Há muito tempo as organizações tem buscado desenvolver diferenciais competitivos, utilizando novas tecnologias, novos conceitos e principalmente novos ambientes. Muitos partiram da computação centralizada, outros da computação distribuída e os mais visionários da computação em nuvem. Mas em todos estes ambientes, a preocupação com a segurança é a mesma, e sempre parece insuficiente.
Existe uma questão a ser levantada quando o assunto é segurança: Por que a preocupação é sempre em relação à Segurança de Redes? Essa questão é bem fácil de responder, pois na maioria das vezes a segurança remete a idéia de Firewall, Sistemas de Detecção e Prevenção de Intrusão, Proxies de Rede. Isso acontece devido à herança de que segurança é realizada na infra-estrutura, na rede lógica.
O cenário atual é bem diferente e apoiado por estatísticas que, antes, eram utilizadas para justificar o investimento em ferramentas de segurança. Desde a década de 90, mais precisamente 1996, existem pesquisas que apontam que entre 65% a 80% dos incidentes de segurança, partem de dentro das próprias organizações, sem relação alguma com a Internet, hackers e outras lendas (por mais que estas também existam). Então ficou evidenciado que as vulnerabilidades e falhas de segurança persistem mesmo com o uso de ferramentas (software e hardware) próprias. Estes incidentes de segurança tem como objetivo o acesso a informações de negócio (com alto valor agregado), para copiá-las, alterá-las ou mesmo destruí-las.
Mas sobre qual segurança então se deve trabalhar? A resposta é tão simples quanto genérica: Segurança da Informação. Mas para poder trabalhar com a segurança da informação é muito importante definir o que é informação para a organização. Além disso, é preciso entender que as ações de proteção vão muito além da rede de computadores (a segurança de redes está embutida na segurança da informação). Mensagens eletrônicas no celular, correio eletrônico, papéis impressos, conversas pelos corredores, em todos estes exemplos informações estavam sendo trocadas e podem ter sido ouvidas, interceptadas e reutilizadas.
Então se pode concluir que segurança da informação é utilizar ferramentas específicas de segurança e controle associadas a uma mudança cultural no que diz respeito à informação. A cultura de segurança é o ponto mais importante a ser tratado, pois todo o esforço de segurança (normas, regras, software, hardware e processos) pode ser prejudicado se a cultura das organizações não mudar.
Pensar em segurança da informação é muito diferente de fazer segurança da informação. Neste contexto, o apoio da alta direção da organização é vital para a quebra do paradigma. As pessoas participarem ativamente da segurança da informação tem muito mais valor do que elas apenas aceitarem regras de segurança. Uma vez que a cultura de segurança foi apresentada, entendida e colocada em prática na organização, as próprias pessoas atuam como ferramentas de detecção e prevenção de incidentes de segurança. Elas estarão comprometidas e participando ativamente do processo.
Por fim, as organizações vão entender que a evolução de segurança é vital para o próprio negócio, partindo da segurança tradicional (de redes) para a segurança da informação. Mas é importante ressaltar que esta evolução exige a adoção de normas e códigos de boas práticas internacionais, como, por exemplo, a série de normas ISO/IEC 27000. Estas normas e códigos oferecem o norte para os projetos de segurança da informação.