Selon Les Stevens, analyste chez Gartner, il est primordial pour les entreprises d'établir une politique de sécurité claire et assimilable par tous les employés. Pour cela, elles doivent avant tout identifier les facteurs clés de cette politique, garantissant le succès ou conduisant à un échec de leur plan de gestion . «Beaucoup d'entreprises ont négligé d'apprendre les actions à mener pour développer une politique de sécurité», a-t-il déclaré lors de l'IT Security Summit de Londres. Elles ont davantage mis l'accent sur la satisfaction des responsables et leur capacité à mener à bien les audits. Leur attention ne s'est pas assez focalisée sur les besoins liés à l'activité, en termes de risques et d'implémentation. Selon l'analyste, le contenu de la politique doit «être clair et concis, définir les rôles et les responsabilités de chacun et faire apparaître de façon claire les conséquences du non respect des règles par le personnel». De plus, il doit être rédigé dans une langue compréhensible par tous. Sa mise en oeuvre doit être adaptée à la culture de l'entreprise, régulièrement revue et maintenue à jour. Enfin, les entreprises doivent être auditées pour vérifier la bonne correspondance entre la politique déployée et leurs activités. Pour mettre en place une politique de sécurité de façon optimale, les entreprises doivent utiliser une charte, associée à des règles génériques et d'autres plus spécifiques en fonction de chaque département. Les responsables informatiques et directeurs exécutifs devraient, selon Les Stevens, avoir la responsabilité du développement de la politique, tandis qu'un comité aurait la charge de l'approuver et de l'implémenter.