aos processos DS8 - Gerenciar a central de serviço e os incidentes do COBIT e Gerenciamento de incidente do ITIL.

ao processo DS10 - Gerenciar os problemas do COBIT, apenas.

aos processos DS4 - Assegurar continuidade de serviços do COBIT e Gerenciamento de problema do ITIL.

aos processos PO9 - Avaliar e gerenciar os riscos de TI do COBIT e Gerenciamento do nível de serviço do ITIL.

ao processo Gerenciamento de operações do ITIL, apenas.

transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.

conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco.

ignorar os riscos, pois os possíveis problemas causados impactam em um custo menor do que o necessário para o seu tratamento.

aplicar controles apropriados para reduzir os riscos.

não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.

deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.

prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.

define uma ação de continuidade imediata e temporária.

precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.

A maioria dos concentradores vem com serviço SNMP habilitado, e isso pode ser usado por um atacante, pois revela uma vasta gama de informações sobre a rede em questão.

A maioria dos equipamentos saem de fábrica com senhas de administração e endereço IP padrão. Caso estes não sejam trocados, poderão permitir a um atacante que se utilize delas em uma rede-alvo.

A alta potência dos equipamentos pode permitir que um atacante munido de uma interface de maior potência receba o sinal a uma distância não prevista pelos testes.

O posicionamento de determinados componentes de rede pode comprometer o bom funcionamento da rede e facilitar o acesso não autorizado e outros tipos de ataque.

Os métodos de segurança WEP são completamente vulneráveis por possuírem chaves WEP pré-configuradas que não podem ser modificadas.

o Role-Based Access Control (RBAC) é um mecanismo de controle de acesso em que cada usuário é associado a um nível de segurança e que permite ao proprietário do recurso decidir quem tem permissão de acesso em determinado recurso e qual privilégio ele terá.

no Discretionary Access Control (DAC), a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Cada usuário é associado a um nível de segurança, isto é, o potencial de risco que poderia resultar de um acesso não autorizado a informação.

o Mandatory Access Control (MAC) é um mecanismo de controle de acesso em que as permissões são associadas a papéis e os usuários são mapeados para esses papéis.

o Role-Based Access Control (RBAC) possibilita ao administrador de sistema criar papéis, definir permissões para esses papéis e, então, associar usuários para os papéis com base nas responsabilidades associadas a uma determinada atividade.

o Discretionary Access Control (DAC) possibilita uma grande flexibilidade e facilidade do ajuste do controle de acesso à medida que ocorrem mudanças no ambiente.