• Fazer uma lista de todos os recursos que precisam ser protegidos.
• Definir quem tem acesso físico ao hardware e acesso lógico ao software.
• Catalogar as ameaças para cada um dos recursos.
• Realizar uma análise de risco, mostrando a probabilidade de cada ameaça.
• Avaliar que ameaças podem ser ignoradas em curto prazo, e quais precisam ser consideradas.
• Fazer constantes avaliações e atualizações em busca de novas ameaças ou falha na segurança.