Nivel Básico: Caracterizado por procesos manuales y localizados, con un grado mínimo de centralización:

El nivel de control por parte del departamento de IT es mínimo, ya que no existen políticas de seguridad ni directivas de cumplimiento obligatorio o se aplican de forma poco consistente.

Se desconoce el nivel general de salud de las aplicaciones y servicios debido a la falta de herramientas y recursos.

No hay manera de compartir el conocimiento acumulado entre los profesionales de IT.

El control de los entornos es muy difícil, los costes de desktops y servidores son elevados y el tratamiento de las amenazas contra la seguridad es muy reactivo.

La distribución de software, parches y servicios se realiza casi exclusivamente por medios manuales y con costes muy elevados.