Neste nível, os processos de segurança da informação são informais, improvisados e reativos. Não há uma política de segurança definida, nem um planejamento estratégico. Os incidentes de segurança são frequentes e as ações corretivas são tomadas de forma pontual e sem análise de causa raiz. A segurança da informação depende da competência e da iniciativa de alguns indivíduos, mas não é uma prioridade para a organização.