a localização de sítio backup, assegurando que ele fique perto da base original de dados, para facilitar o acesso em caso de emergência.

Critérios previamente desenvolvidos para identificar ações a serem tomadas relativamente ao risco são mais utilizados na fase de avaliação que na fase de tratamento de riscos.

Modelos correntes de gestão de risco, como o apresentado no diagrama, pressupõem uma abordagem especializada para o tratamento de riscos em diferentes áreas temáticas, buscando uma separação entre os diferentes métodos empregados para a gestão de riscos de segurança da informação, de projetos e organizacionais em geral.

Sistemas criptográficos simétricos AES, DES e RC4 são mais adequados ao estabelecimento de protocolos de não repúdio, quando comparados com algoritmos assimétricos, como RSA

Como regra geral, quanto menor for a MTU de um enlace de rede, maior tenderá a ser a fragmentação de segmentos que trafegam nessa rede. Devido à fragmentação, assinaturas de ataques com o protocolo ICMP poderão ser mais difíceis de detectar, especialmente no caso de o firewall em uso ser do tipo de filtragem de pacotes.

O uso de uma ferramenta como tcpdump ou windump, para análise de tráfego de rede, oferece uma saída de dados mais amigável que Ethereal, principalmente pela sua capacidade de apresentar estatísticas de conversação entre hosts e hierarquias de protocolos empregadas.

Acerca das vulnerabilidades e ataques comuns aos sistemas de rede wireless, é correto afirmar que o protocolo WEP, independentemente do uso de TKIP, utiliza vetores de inicialização dinâmicos e não cíclicos, que auxiliam na randomização das chaves de criptografia simétricas do tipo RC4 usadas durante a transmissão de pacotes.

O emprego de mecanismos de controle de acesso obrigatório ou mandatório possibilita o alcance de segurança multinível em bancos de dados, algo que é bem mais difícil de ser alcançado com mecanismos de controle de acesso flexíveis ou discricionários. No primeiro caso, são empregados esquemas de classificação da informação. No último, em geral, empregam-se listas de controle de acesso.

Acerca das técnicas gerais de ataques e vulnerabilidades de aplicações, é correto afirmar que vulnerabilidades de SQL injection são minimizadas por meio do uso de prepared statements; ataques de heap overflow ocorrem com maior freqüência em linguagens com tipos de dados fracos que em linguagens com tipos de dados fortes; ataques de dicionário são tecnicamente mais complexos de empreender quando são empregados hashes criptográficos embasados no algoritmo MD5 que no caso do algoritmo SHA1.