Ao atuar na avaliação das funções de um help desk, o auditor estará mais focado na adequação dos aspectos operacionais de uma organização que nos aspectos de desenvolvimento de projetos dessa organização.

Ao encontrar, em uma área pública de um servidor, um arquivo contendo a lista de logins e senhas criptografadas usadas no controle de acesso a um sistema, o auditor deverá aumentar a classificação de risco de que esse sistema seja invadido por meio de um ataque de dicionário.

Após uma auditoria, as recomendações para a separação de técnicos de uma organização de desenvolvimento de sistemas em duas equipes: de desenvolvimento e de teste, podem ser diretamente embasadas no princípio da segregação de responsabilidades.

A emissão de um relatório definitivo de uma auditoria de sistemas de informações não precisa ser precedida de uma validação dos achados junto aos representantes da organização auditada, a fim de que não haja distorção ou pressão sobre os resultados da auditoria.

O uso de ferramentas de teste de penetração de rede, como o nmap, não deve ser realizado durante uma atividade de auditoria, pois o teste de aderência a controles e políticas de segurança em redes está fora do escopo do trabalho do auditor.

O modelo COBIT propõe, para fins de auditoria, que os processos de gestão de TI de uma organização sejam classificados em quatro domínios: planejamento e organização do desenvolvimento de software; aquisição e desenvolvimento de sistemas; entrega e suporte de serviços de software; e monitoramento de redes.

Uma das principais funções de um auditor de TI é avaliar se as configurações dos sistemas computacionais implantadas pelos técnicos de TI dessa organização estão aderentes aos padrões de segurança estabelecidos pelo mercado.

Uma solução de backup que contemple a duplicação, em um sítio hot, de todos os dados digitais e equipamentos e linhas de transmissão de dados necessários ao provimento de serviços de informação por meio da Internet e da Web garantirá que a empresa alcance plena recuperação de sua capacidade de negócios, após eventual ocorrência de desastre que não afete esse sítio hot.

As regras de entrada de tráfego mantidas no elemento ACL1 são, possivelmente, mais restritivas que as mantidas no elemento ACL2.

Uma das formas usualmente indicadas para fortalecimento da disponibilidade de um sistema de informações compreende o uso de serviços de autenticação, como o AH (autentication header).