No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação.

Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.

A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

Apesar de ser uma opção disponível, não se recomenda o uso de autenticação junto com cifração em VPNs, considerando a diminuição de desempenho.

No ping flood, o atacante sobrecarrega o sistema vítima com pactos ICMP echo request (pacotes ping). Para o ataque ser bem sucedido, o atacante deve possuir maior largura de banda que a vítima, que, ao tentar responder aos pedidos, irá consumir a sua própria largura de banda, impossibilitando-a de responder a pedidos de outros utilizadores. Uma das formas de prevenir esse tipo de ataque é limitar o tráfego de pacotes ICMP echo request.

É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

Na assinatura digital RSA, calcula-se um hash da mensagem a ser assinada, que é cifrado usando a chave pública de quem assina, gerando a assinatura que é concatenada com a mensagem original. Na verificação, decifra-se a assinatura usando a chave pública de quem assinou e calcula-se o hash da mensagem, sendo a mensagem considerada válida se tanto a chave quanto o hash coincidirem.

A política de gestão da continuidade de negócios (GCN), proposta pela direção administrativa da empresa, deve ser aprovada pela alta direção e, em seguida, comunicada somente aos empregados da área de TI, já que o sigilo é imprescindível para o seu sucesso.

O padrão 2DES consiste em duas rodadas consecutivas do DES, com duas chaves distintas de 56 bits, tendo assim uma chave equivalente a 112 bits.

O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.

O padrão AES define uma cifra na qual os comprimentos do bloco e da chave podem ser especificados independentemente para 128 bits, 192 bits ou 256 bits. Os três tamanhos de chave determinam vários parâmetros da cifra, como número de rodadas, e podem ser usados limitando o bloco a 128 bits.

Alguns controles deverão salvaguardar sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. O escopo de verificação deve ser acordado e controlado.

A relevância de qualquer controle é determinada pelos riscos específicos a que os patrocinadores estão expostos.

Em um sistema de chaves assimétricas, cada usuário tem um par de chaves, sendo que uma delas é mantida secreta e a outra é pública.

Nos sistemas assimétricos, as chaves são escolhidas de forma que se uma mensagem é cifrada usando uma das chaves, o criptograma correspondente é decifrado utilizando a outra chave do par.

A segurança da informação pode ser entendida como uma atividade voltada à preservação de princípios básicos, como confidencialidade, integridade e disponibilidade da informação

O padrão DES, que utiliza chave de 64 bits, não é mais recomendado, considerando a sua vulnerabilidade a ataques de força bruta.

Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.

A política de segurança define o que deve ser feito para proteger a informação, seja ela armazenada ou esteja em trânsito.