Need to not know prinsippet

IT-sjefer som ønsker å vise at de skjønner betydningen av IT-sikkerhet, sier gjerne at informasjon skal være tilgjengelig på en «Need to know» basis. Ansatte skal kun ha adgang til den informasjon de trenger for å kunne utføre oppgavene sine. Implisitt i denne tilnærmingen er tanken at informasjonsadgang kan defineres ovenfra. I den moderne bedriften blir dette helt feil. Ansatte samarbeider på tvers i ad-hoc-baserte strukturer. Hvilken informasjon en enkelt medarbeider vil ha behov for, kan ikke forutsies. I en moderne bedrift skal informasjon være tilgjengelig på en «Need to not know»-basis. Kun den informasjon som det finnes sterke grunner til å beskytte, skal ikke være tilgjengelig for alle medarbeidere.