No âmbito da de segurança da informação, não existem riscos aceitáveis; por isso, todos os riscos devem ser controlados, evitados ou transferidos.

Funcionários, fornecedores e terceiros devem ser instruídos a averiguar, imediatamente, qualquer fragilidade na segurança de informação suspeita.

Os proprietários dos ativos organizacionais devem ser identificados, e a responsabilidade pela manutenção apropriada dos controles deve ser a eles atribuída. Os proprietários permanecem responsáveis pela proteção adequada dos ativos, mesmo que a implantação específica de controles seja delegada.

O conteúdo web acessado pelos funcionários de uma empresa a partir da rede corporativa pode ser filtrado por meio da configuração de um servidor proxy, com base em listas de liberação e listas de bloqueio de acesso.

Em uma organização que utilize conexões públicas de Internet, o uso de um software VPN que crie um túnel de IP-em-IP é indicado quando se deseja evitar o monitoramento indevido do tráfego de mensagens entre determinadas autoridades.

A detecção de intrusão pode ser realizada por meio do uso de honeypots, técnica que atrai o atacante para um ambiente não crítico, onde há informações falsas e aparentemente valiosas, encorajando-o a permanecer nesse ambiente o tempo suficiente para que os administradores possam registrar e rastrear seu comportamento.

Uma organização que deseje interconectar duas redes locais usando uma intranet deve solicitar endereços IP às autoridades da Internet, de forma a evitar a duplicação de endereços por outra organização.

Os scanners heurísticos, programas de combate a códigos maliciosos, dependem da assinatura específica de um vírus, que deve ser combinada com regras heurísticas para a detecção de provável infecção por vírus.

Considere que João criptografe uma mensagem com a chave pública de Pedro. Nessa situação hipotética, a mensagem não poderá ser facilmente decriptografada por terceiros sem a chave privada de Pedro; uma mensagem criptografada com a chave privada de Pedro não poderia, da mesma forma, ser decriptografada facilmente por João sem a chave pública de Pedro.

Em criptossistemas de chave pública, o algoritmo de Rivest, Shamir e Adleman (RSA) é adequado para a implementação de criptografia/decriptografia, assinatura digital e troca de chave.