Em um ataque de força bruta que consiste em adivinhar, por tentativa e erro, login e senha de acesso a um serviço em rede, é possível ocorrer negação de serviço (DDoS).

No contexto da gestão da continuidade do negócio, é importante que se incluam controles para a identificação e redução de riscos bem como para a garantia da recuperação tempestiva das operações vitais, o que permite a interrupção das atividades do negócio e protege os processos críticos contra efeitos de falhas ou desastres significativos.

Um elemento-chave da gestão da continuidade do negócio é que a responsabilidade pela sua coordenação seja atribuída necessariamente ao gestor de TI da organização, que é o responsável direto pelo plano de continuidade.

Como as ações contidas no plano de continuidade podem gerar impacto nos negócios da organização, é importante que, em função dos resultados da avaliação de risco, seja desenvolvido um plano estratégico para se definir a abordagem mais abrangente a ser adotada para dar continuidade ao negócio.

Devem constar do plano de continuidade os procedimentos de recuperação que descrevem as ações necessárias para a transferência das atividades essenciais do negócio para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário.

Quando novos requisitos são identificados, é necessário que os procedimentos de emergência a eles relacionados sejam ajustados na estrutura do plano de continuidade, a qual não deve conter as condições de ativação pelo fato de estas não estarem vinculadas aos requisitos.

No tratamento de risco, há opção de se reduzir ou de se transferir o risco. Na primeira opção, são tomadas ações para reduzir a probabilidade ou consequências negativas associadas a um risco, ao passo que, na segunda, pode-se compartilhar o benefício do ganho associado a determinado risco.

Na estimativa de risco, atribuem-se valores às probabilidades e também às consequências de um risco.

Na análise e avaliação de riscos, faz-se a combinação da probabilidade com o impacto da ocorrência indesejada, de modo que os riscos e as ameaças sejam ordenados de acordo com sua gravidade percebida pelo valor ativo para a organização.

Para possibilitar a comparação entre organizações de mesmo ramo de atividade, a organização deve utilizar, na gestão de riscos, a escala de níveis de aceitação de riscos descrita na norma, limitando-se, a, no máximo, um limite por nível de risco.