Le Informazioni Controllate Non Classificate sono informazioni sensibili legate al governo che non sono classificate, ma che richiedono comunque tutela in base a policy, contratto o normativa. Le CUI possono includere dati tecnici, dettagli operativi, registri personali o altro materiale che non dovrebbe essere esposto liberamente. Non sono “pubbliche” e non sono protette dalle regole di classificazione per la sicurezza nazionale; invece, rientrano in una categoria intermedia che richiede pratiche coerenti di gestione, controllo degli accessi e conservazione.
Le CUI sono importanti perché gli attaccanti spesso prendono di mira i sistemi che le archiviano o le elaborano per rubare dati, mappare le operazioni governative o spostarsi verso ambienti connessi. In genere, i difensori proteggono le CUI con segmentazione, principio del privilegio minimo, crittografia, registrazione dei log e controlli sui fornitori, così che un singolo utente o vendor compromesso non possa esporre tutto. Negli ambienti reali, le CUI compaiono nelle email, nelle unità condivise, nei servizi cloud e nei sistemi dei contractor, rendendo il controllo dei confini e le prove di conformità importanti quanto la difesa contro il malware.