Un objetivo de seguridad (ST) es el nombre de un documento creado por una empresa o negocio de seguridad de tecnología de la información (TI) con respecto a una aplicación o empresa en particular con la que está trabajando. Por ejemplo, un desarrollador de software en particular que crea programas antivirus puede proporcionar un ST para un programa específico para documentar los tipos de amenazas de seguridad que está diseñado para detectar y tratar para un cliente. Un servicio de seguridad de TI también puede emitir un objetivo de seguridad para una empresa en particular con la que está trabajando, en el que detalla las formas específicas en las que esa empresa es vulnerable a los ataques y proporciona información sobre cómo se podría aumentar la seguridad para esa empresa.
El nombre «objetivo de seguridad» se refiere al documento real elaborado por una empresa de seguridad de TI para detallar las formas en que esa empresa puede ayudar a proteger a otros. La información específica proporcionada en este tipo de documento puede variar según los tipos de amenazas que pueda enfrentar una empresa o los servicios que las empresas pueden brindar. Sin embargo, en general, un objetivo de seguridad generalmente proporciona información extensa sobre las necesidades de seguridad de un individuo o empresa y cómo se pueden satisfacer esas necesidades.
Un desarrollador de software puede, por ejemplo, diseñar un objetivo de seguridad para indicar los tipos de amenazas con las que puede lidiar un nuevo programa de seguridad. El objetivo de seguridad de un nuevo programa antivirus puede indicar los tipos de virus y otro malware que el software puede encontrar y tratar para un cliente. Si hay algún problema específico que este programa tiene con falsos positivos o no encuentra ciertas formas de malware, esto puede incluirse en el documento. Toda esta información se proporciona normalmente en referencia al objetivo de evaluación (TOE), que suele ser una empresa en particular que podría utilizar un producto o servicio determinado.
El objetivo de seguridad generado por un servicio de seguridad de TI también puede abordar las necesidades y amenazas específicas de una empresa en particular. En este caso, el TOE no es solo la propia empresa, sino también archivos específicos y tipos de información que tiene la empresa. Una vez que se nombra y se detalla el TOE, el objetivo de seguridad generalmente proporciona información sobre cómo se pueden manejar las amenazas, aunque de una manera bastante general que no brinda asistencia de seguridad sin el uso de los servicios de esa compañía. Toda esta información se crea y proporciona normalmente utilizando Criterios comunes para la evaluación de la seguridad de la tecnología de la información o «criterios comunes», que se refieren a un conjunto de estándares utilizados en la industria de la seguridad y la TI.