Uma forma comum de detecção de intrusão é a análise de anomalias estatísticas no sistema, tais como taxa de utilização de CPU e atividade de discos. A desvantagem desses métodos é que não detectam ataques oriundos da rede interna da organização perpetrados por usuários legítimos.

Sistemas de detecção de instrusão enquadram-se em duas categorias: baseados em rede (network based) e baseados em host. Os primeiros monitoram todo o tráfego em um segmento de rede, procurando por assinaturas que evidenciem uma atividade suspeita, e os demais monitoram a atividade em um host específico. Um IDS baseado em rede tende a ser mais complexo e caro, estando sujeito a gerar falsos alarmes com maior freqüência.

A utilização de um firewall como gateway para conexão com o ambiente externo de uma rede torna prescindível o uso de IDS específicos, uma vez que firewalls normalmente possuem mecanismos de detecção e bloqueio de ataques à rede.

Entre os pontos gerais a serem normalmente verificados em uma auditoria de sistemas computacionais, incluem-se a política de documentação, a segregação de funções e a existência de um plano de contingência.

Auditoria envolve a coleta de uma massa de dados a partir de várias fontes. De uma forma geral, dados coletados a partir de documentos arquivados ou obtidos de pessoas físicas devem ser verificados quanto à confiabilidade como evidências. No entanto, dados obtidos diretamente do sistema, como, por exemplo, registros de log, são confiáveis por natureza.

Ferramentas de apoio a auditoria ou CAATs (computer assisted audit techniques) são recursos computacionais usados para facilitar o trabalho de auditoria em sistemas computacionais, tais como ferramentas para extração de dados por amostragem de bancos de dados e port scanners.

Para que uma auditoria, em geral, tenha sucesso, é imprescindível que seja realizada por uma entidade externa à instituição, a fim de manter independência.

Usualmente, cada usuário de uma PKI necessita de 2 pares de chaves, um para assinatura/conferência e outro para cifração/decifração. Tal necessidade deriva do fato de que a chave privativa para decifração pode necessitar ser copiada para fins de backup, mas a chave privativa de assinatura somente pode ser de conhecimento único do próprio usuário, não podendo as duas, nesse caso, serem as mesmas.