Una estrategia de gestión de la seguridad y riesgos de la información (ISRM) proporciona a la organización una ruta para la protección de la información e infraestructura tecnológica, con metas y objetivos que garantizan que las capacidades proporcionadas estén alineadas con los objetivos comerciales y el perfil de riesgo de la organización.

Tradicionalmente, ISRM se ha tratado como una función de TI e incluye la planificación estratégica de una organización. A medida que el ISRM se ha convertido en un elemento más crítico de las actividades de apoyo comercial, ahora requiere su propia estrategia independiente, para garantizar su capacidad de respaldar adecuadamente los objetivos comerciales, madurar y evolucionar de manera efectiva.

La estrategia inicia con un diagnóstico de las áreas más vulnerables de una organización; dentro de las herramientas utilizadas se incluye el ya explicado análisis de riesgos, sin embargo, existen herramientas adicionales que permiten contar con un perfil mucho más completo. La estrategia de seguridad, llevado a una analogía en la vida real, tiene que ver con la protección que se le da a un hogar, dependiendo de la zona, las vialidades de acceso, el índice de delincuencia y conocimiento del entorno, se decide qué protección se necesita, como alarmas, cercas eléctricas, circuitos cerrados de video vigilancia, por ejemplo.

Todo este proceso es, prácticamente, el mismo que se lleva a cabo cuando deseamos establecer una estrategia de seguridad informática. A lo largo de este tema, se explicarán las herramientas útiles para identificar las áreas de oportunidad de una empresa, los controles necesarios y la definición de una estrategia de seguridad.