La discrezionalità è il grado di scelta che un operatore ha quando decide come agire. Nella sicurezza informatica, descrive quanto margine ha una persona per interpretare una regola, scegliere una risposta o adattare un processo alla situazione. Una bassa discrezionalità significa che un passaggio deve essere seguito esattamente; un'elevata discrezionalità significa che è richiesto il giudizio dell'operatore.
Questo è importante perché la sicurezza dipende dal sapere quali azioni sono fisse e quali sono flessibili. Troppa discrezionalità può portare ad approvazioni incoerenti, a una gestione disomogenea degli incidenti o a eccezioni di policy che indeboliscono il controllo. Gli aggressori possono sfruttare questa ambiguità tramite social engineering, cercando di spingere il personale a concedere eccezioni non verificate o a bypassare i controlli abituali. In difesa, una discrezionalità attentamente limitata è utile quando gli analisti devono escalare, isolare un host o adattare una risposta in base a evidenze in tempo reale. L'obiettivo non è eliminare il giudizio, ma definire dove il giudizio è consentito e dove la procedura deve rimanere rigida.