En términos de gestión de riesgos de seguridad de la información, el activo a proteger es la información de la empresa.

La información es el activo principal pero también debemos considerar: infraestructura informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas.