Na definição dos requisitos de um sistema de segurança, deve-se levar em consideração a atividade-núcleo da organização a que esse sistema se destina. Por exemplo, em um estabelecimento bancário, a confidencialidade deve ser priorizada quando confrontada com a integridade dos dados. Em outras situações, de acordo com o princípio da confidencialidade, é preferível a destruição de instalações, dados e backups a permitir o acesso não-autorizado ao sistema. Já em alguns casos, a indisponibilidade da informação pode ser tão danosa quanto a sua deleção.