A abordagem de processo para a gestão da segurança da informação possibilita, entre outros benefícios, a implementação e operação de controles para gerenciar os riscos de segurança da informação, no contexto dos riscos de negócios globais da organização e a monitoração e análise crítica do desempenho e eficácia do SGSI.

A política do Sistema de Gestão de Segurança da Informação (SGSI), que deve ser aprovada por todos os funcionários da organização, deverá estabelecer um direcionamento global e princípios para ações relacionadas com a segurança da informação, bem como conter critérios para a avaliação dos riscos.

Os critérios para aceitação de risco devem seguir um único limite, representando um nível desejável de risco.

Aspectos legais e regulatórios, operações, tecnologia e finanças são alguns dos aspectos que devem ser observados ao se estabelecerem critérios de aceitação de risco.

Distintas classes de risco podem exigir a aplicação de diferentes critérios de risco.

Ataques de negação de serviço volumétricos, distribuídos ou não, envolvem flooding para esgotamento de recursos e spoofing para dificultar o rastreamento da origem.

Ataques de buffer overflow exploram o buffer de recepção no mecanismo de controle de fluxo do TCP, sendo mitigados por IDS/IPS.

Firewalls são eficazes para evitar ataques carregados nos payloads dos datagramas, como buffer overflow , enquanto IDS/IPS são indicados para inspeção de cabeçalho.

Enquanto a criptografia simétrica utiliza a mesma chave para cifração e decifração, a assimétrica utiliza uma chave exclusiva para cifração e outra exclusiva para decifração.

A cifra AES usa um tamanho de bloco fixo de 128 bits e pode operar usando chaves com tamanho de 128, 192 ou 256 bits.