Segurança e proteção são coisas diferentes mas têm muito em comum, considerando que é impossível se sentir seguro sem a certeza de estar protegido das ameaças. Assim, entende-se por segurança da informação a adoção de procedimentos integrados técnicos, humanos e organizacionais a fim de garantir a tranquilidade necessária ao trabalho livre de perigos, bem como as consequências dele através da garantia de não exposição ou comprometimento dos ativos de informação de uma companhia.

Desse modo, é necessário assegurar a confidencialidade das informações de modo a garantir que elas cheguem apenas a quem necessita delas e tenha autorização para acessá-las, mas também a manutenção da integridade, se certificando de que a informação não possa ser alterada de forma desautorizada. Além disso, é importante possibilitar que esses ativos estejam disponíveis às pessoas autorizadas a qualquer momento por meio do atributo disponibilidade. Apesar disso, vários princípios foram sendo criados ao longo dos anos além desses, porém todos continuam sendo tratados dentro do trinômio da segurança da informação.

Ademais, é crucial que as informações sejam submetidas a procedimentos de segurança no momento em que são tratadas, seja por ativos físicos, tecnológicos ou humanos, pois essas fases são críticas e de maior exposição ao risco, devendo a empresa diagnosticar a situação visando dar a devida atenção. De todo modo, é fundamental garantir o manuseio adequado, bem como o armazenamento, transporte e descarte devido.

Contudo, tudo isso se vale de uma estrutura de gestão robusta voltada para garantir os atributos de segurança por todo o ciclo de vida da informação pautado nos processos do sistema de gestão da segurança da informação (SGSI), além das demais tarefas orientadas por normas, governança, gestão de riscos e conformidade.

Em linhas gerais, é imperioso compreender que o departamento de segurança da informação deverá não apenas participar da modelagem do plano diretor de segurança, mas também interagir com as decisões macroestratégicas da empresa dado seu impacto nos interesses do negócio, principalmente em relação a reputação e a imagem, que serão severamente afetados por essa área, exigindo uma abordagem integrada.