Tanto el dueño de la información y la alta dirección tienen la responsabilidad de clasificar los datos, dictar cómo se deben proteger (sin especificar detalles técnicos) y dictar qué individuos tiene permitido el acceso. Si existiera un incidente a los datos, ellos serán los responsables máximos. Los dueños de la información o datos deben tener un comportamiento pro-activo, realizar los pasos necesarios para proteger a sus activos (en muchas ocasiones esto implica actividades técnicas fuera del alcance del dueño, si bien no es su responsabilidad realizar la instalación de un antivirus o aplicar los permisos sobre directorios, si lo es expedir la solicitud y exigir que se realicen las acciones correspondientes para que su requerimiento se cumpla). A este comportamiento activo se le nombrará Due Care.

Para poder realizar un adecuado comportamiento pro-activo (Due Care) es necesario conocer la realidad. Investigar los riesgos y ulnerabilidades son parte del acto de conciencia. A este comportamiento le nombraremos Due Diligence y se entenderá como el estudio y entendimiento de los riesgos que se enfrentan. Por lo tanto, se debe ejecutar primeramente una investigación y tomar conciencia de la realidad de los riesgos enfrentados y posteriormente realizar las actividades pro-activas correspondientes. Aquí es donde la
responsabilidad es determinada; si estos comportamiento son omitidos acusaciones de negligencia podrían tomar lugar.