As informações processadas e armazenadas constituem um bem precioso da organização, pois além de servirem ao funcionamento e à gestão da empresa, dizem respeito a aspectos confidenciais de clientes e da própria empresa. Por isso é tão importante a proteção dessas informações contra eventuais danos ou para evitar o acesso de pessoas alheias aos interesses da empresa.
Para garantir a segurança das informações, são necessários controles de segurança lógica, por intermédio de senhas, e controles de segurança física, que restringem o acesso aos equipamentos de processamento de dados apenas para pessoas autorizadas.

Muitas empresas desprezam a questão da segurança por acreditar que os sistemas são invulneráveis, por achar que problemas de acesso não autorizado ou desastres nunca atingirão sua organização, por desconhecer os transtornos causados pela falta de segurança e por supor que é muito caro investir em segurança. Por tudo isso, é necessário que seja desenvolvida uma consciência da importância dos procedimentos de segurança e dos transtornos que a perda das informações pode causar.

A organização pode sofrer ameaças à sua segurança como sabotagem, terrorismo, espionagem, roubo e furto, acidente, explosão, desabamento, incêndio e inundação. No que se refere à segurança lógica, muitos problemas decorrem da centralização física dos dados, do treinamento insuficiente dos envolvidos nas questões de segurança, da dificuldade de repreender ou punir responsáveis por atos dolosos, do descaso e da falta de um plano de contingência. A Internet tornou-se mais uma porta de acesso para hackers, que podem provocar danos à integridade das informações, perda de privacidade, interrupção de serviços e perda do controle das funções dos sistemas. Mesmo adotando procedimentos de segurança, a empresa pode ser atacada de diversas formas.

Programas antivírus devem ser rotineiros na empresa, para evitar os diferentes danos que podem ser provocados por vírus. A segurança de dados é fundamental para proporcionar às organizações confidencialidade, integridade, disponibilidade e legitimidade.

As preocupações com segurança podem relacionar-se à infraestrutura, recursos humanos e recursos técnicos. Por infraestrutura entende-se separar fisicamente ambientes com atividades diferentes, instalar bom ar condicionado, evitar radiação eletromagnética, garantir a fonte de energia com no-breaks e proteger fisicamente o acesso aos equipamentos de informática. No que concerne a recursos humanos, pode-se implantar proteção lógica, controle de acesso e incentivar a formação de uma cultura de segurança. Já no caso de recursos técnicos, pode-se garantir a integridade e a confiabilidade dos dados e a integridade dos sistemas e das redes. Um recurso amplamente utilizado é a criptografia, que usa técnicas que codificam as informações que trafegam na rede, tornando-as compreensíveis somente a quem tem a chave de decifração do código.

Nesse panorama, é essencial que a organização defina uma política de segurança que faça parte de sua estratégia geral, e que relacione recursos a serem protegidos, que defina funcionários que poderão ter acesso lógico e físico aos sistemas, que liste as possíveis ameaças e respectivas probabilidades que avalie as chances de as ameaças ocorrerem em curto prazo. Constantes atualizações nesse processo garantem uma boa política de segurança.

A questão da segurança já mobilizou diferentes setores organizacionais e já há um código de prática para a gestão da segurança da informação, a NBR ISO/IEC 17799, elaborada pela Associação Brasileira de Normas Técnicas (ABNT). Seu objetivo é fornecer recomendações para a gestão da segurança da informação, servindo como base para que se desenvolvam normas de segurança organizacional.