Com o avanço tecnológico, as empresas passaram a deixar de lado os registros de suas atividades em meio físico, passando a utilizar sistemas computacionais, tendo em vista o barateamento destes e o alto poder de processamento, armazenamento, centralização e consulta dos dados.
Assim, é notório que os sistemas de informática tornaram-se o centro neural de toda e qualquer atividade empresarial, não se admitindo instabilidades, uma vez que, a depender do sistema comprometido e do tempo necessário para o seu reestabelecimento, uma fração ou todas as operações possam ser comprometidas, isto reflete diretamente na sua credibilidade, reputação e faturamento.
Com o fito de evitar surpresas, pautando-se, em frameworks de boas práticas e estratégias de contenção, como planos para continuidade dos negócios e de recuperação de desastre, que preveem avaliações para minimizar os danos sobre as operações da empresa em caso de sinistros, o departamento de TI tem a obrigação de criar políticas e procedimentos que normatizem o uso adequado de toda a estrutura de TI, objetivando a segurança das informações, em trânsito ou em repouso, desde sua coleta, processamento e saída, em síntese, durante o seu ciclo de vida.
Documentos como a política de segurança, normatizam o uso dos sistemas (software), estrutura (hardware) e comportamento humano (peopleware), quanto ao uso adequado destes. Uma boa política de segurança define os objetivos, procedimentos e estratégias, como exemplo, determinada política deve ser redigida de forma a conter um padrão de conduta ou uso de software/hardware, seu procedimento e diretriz, demonstrando e explanando suas motivações, uma vez que é necessário expandir a cultura adequada de uso, incluindo e motivando todos os escalões de empresa em adotar o cumprimento de tais medidas e não somente forçar o seu uso.
O objetivo de uma política é avaliar constantemente o ambiente organizacional empresarial e as práticas culturais em uso, visando impedir ataques, sejam externos ou internos, reduzindo ao máximo as vulnerabilidades, ameaças e riscos, para, desta forma, estabelecer medidas e contramedidas.
Outros documentos que podem ser providenciados pelo departamento de TI são as políticas de uso aceitável, conscientização de segurança e a classificação e proteção de ativos.
Notadamente, deve o departamento de TI seguir os parâmetros idealizados pela família de normas ISO 27000, minimamente a 27001 e 27002, para a instituição de um Sistema de Gestão em Segurança da Informação, pois, modelos como estes, apresentam e abordam uma quantidade significativa de objetivos e controles, já experimentados, e servem como norte, apontando os principais elementos a considerar.Todas as funções e atividades esperadas do setor de TI devem ser amplamente documentadas, como listas de equipamentos, controle sobre equipamento dentro e fora da garantia do fabricante, controle sobre contratos de manutenção, equipamentos em comodato e alugados, manutenções preventivas e corretivas, versões de software em uso, controle de acesso físico e digital, dentre outras. Tal rigor é necessário, pois caso ocorra a troca de funcionários no setor ou estes entrem em férias, um agente substituto tem condições imediatas de dar continuidade aos planos traçados para perfectibilizar a continuidade da segurança da informação, sem que a empresa fique refém de um único usuários ou despenda recursos para treinar um novo agente de controle de TI.