Ferramentas do usuário

Ferramentas do site


glossario

Essa é uma revisão anterior do documento!


Glossário

<b>AAA </b>Authentication, Authorization, and Accounting: Autorização, Autenticação e Contabilização (ou Responsabilização)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>ABNT</b> Associação Brasileira de Normas Técnicas</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Business Impact Analysis (BIA)</b> veja Análise de Impacto nos Negócios (AIN)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Ativo</b> qualquer coisa que tenha valor para a organização (ISO/IEC 13335-1:2004)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Informação </b>é um ativo que como qualquer outro, é importante para o negócio, tem valor para a organização e necessita ser protegido adequadamente. (NBR ISO/IEC 27002:2007)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Ativos de Informação</b> os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso; “Qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.”</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Vulnerabilidade</b> falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentalmente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema; “fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças” [ABNT NBR ISO/IEC 27002:2005]</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Ameaça </b>conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização; possibilidade de um agente (ou fonte de ameaça) explorar <b>acidentalmente</b> ou propositalmente uma vulnerabilidade específica.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Risco </b>é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira resultando em um impacto para a organização; “Combinação da probabilidade de um evento e de suas consequências. ” [ABNT ISO/IEC Guia 73:2005]</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>RISCO = (Ameaça) x (Vulnerabilidade) x (Valor do Risco) [ISO 27002(2005)]</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>CIA (CID) Confidentiality</b>, <b>Integrity</b> <b>and</b> <b>Availability</b> (Confidencialidade, Integridade e Disponibilidade):</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Confidencialidade</b>: na norma ISO-17799 como “garantir que a informação seja acessível apenas àqueles autorizados a ter acesso ” ou “propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (ISO/IEC 13335-1:2004)”. A confidencialidade é uma das metas de projeto para muitos sistemas de criptografia.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Integridade</b>: informações confiáveis, correta e dispostas em formato compatível com o de utilização ou “propriedade de salvaguarda da exatidão e completeza de ativos (ISO/IEC 13335- 1:2004)”.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Disponibilidade</b>: capacidade da informação ser acessada sempre que for solicitada (o acesso pode ser controlado ou não) ou “propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (ISO/IEC 13335-1:2004)”. A Disponibilidade é geralmente apresentada como porcentagem. Geralmente, quanto maior a disponibilidade, maior a redundância e custo das soluções de TI.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>Nota: Podemos monitorar a Integridade e a Disponibilidade da informação, mas não a confidencialidade, por ser um <b>fator externo aos sistemas.</b></font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>CICA </b>Em complemento ao modelo CIA podemos acrescentar:</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Consistência </b>– certificar-se de que o sistema atua de acordo com a expectativa dos usuários.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Isolamento ou uso legítimo </b>– controlar o acesso ao sistema. Garantir que somente usuários autorizados possuam acesso ao sistema.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Confiabilidade </b>– garantir que, mesmo em condições adversas, o sistema atuará conforme esperado.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Auditoria </b>– proteger os sistemas contra erros e atos cometidos por usuários autorizados. Para identificar autores e ações, são utilizadas trilhas de auditorias e logs, que registram o que foi executado no sistema, por quem e quando.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>CISO </b>Chief Information Security Officer - Diretor de Segurança da Informação.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>CSO </b>Chief Security Officer - Diretor de Segurança</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Framework</b> Estrutura</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Firmware </b>é o conjunto de instruções operacionais diretamente associadas ao hardware de determinado equipamento. Consiste em um conjunto de operações muito básicas e de baixo nível, sem as quais o equipamento seria completamente não-utilizável. É gravado em memória de hardware (ROM, EEPROM, Flash etc) no momento da fabricação do equipamento, embora alguns modelos de equipamentos possibilitem sua posterior atualização.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>Praticamente todo equipamento eletrônico como controles remotos, calculadoras, relógios e componentes de computadores como Disco Rígido, teclado e mesmo eletrodomésticos com geladeiras e lavadoras possuem firmware.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Guidelines </b>diretrizes que regulam determinado assunto na empresa</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Baseline </b>política mínima (de segurança)</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>Visa definir minimamente os requisitos e as configurações dos ativos de TI, tais como:</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>Estações de Trabalho, Firewalls (incluindo revisão de regras e de configuração), IDS/IPS, Roteadores, Switches e Servidores</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>ACL </b>Access Control List – Listas de Controle de Acessos. Exemplo: regras em firewall</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>IPS </b>Intrusion Prevent System – Sistema de Prevenção de Intrusão. Tanto são encontrados na segurança física (câmeras de vigilância, detetores de movimento, de calor, de abertura de portas e janelas), como na segurança lógica, em dispositivos de rede.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>HVAC </b>Heating, ventilation, and air conditioning - aquecimento, ventilação e ar-condicionado.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>RADIUS </b>Remote Authentication Dial-In User Service (ver protocolos de rede)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>PDCA </b>Clássico ”Ciclo de Deming” (ou de Shewhart):</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Plan</b> (Planejar): consiste no estabelecimento de Metas e Objetivos, bem como os métodos que serão utilizados para que sejam realizados;</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Do</b> (Executar, fazer): implementação do que foi estabelecido no planejamento;</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Check</b> (Verificar, checar): analisar os dados e medir se os objetivos e metas foram alcançados como planejado;</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Act</b> (Agir): definir as mudanças necessárias para a melhoria contínua do projeto.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Segurança da Informação </b>Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC 17799:2005).</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>SGSI Sistema de Gestão da Segurança da Informação (ISMS) </b>Parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>Nota: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Defesa em profundidade</b> - não confiar em um único mecanismo de segurança, sempre utilizar defesas redundantes e sucessivas</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Gargalo</b>: obriga a passagem por um canal estrito que pode ser monitorado.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Fail-safe [falha Protegida] </b>quando o sistema falha, libera os acessos. Ex: se falhar, a trava elétrica libera as portas. (SAFE normalmente é referente à proteção de pessoas)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Fail-security [falha Segura]</b>: quando o sistema falha, bloqueia os acessos. Ex: quando falhar, o firewall bloqueia todos os acessos. (SECURITY normalmente está associado a medidas contra coisas inesperadas ou perigosas)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Gargalos </b>- obrigam a passagem por um canal estrito que pode ser monitorado.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Single Point of Failure (SPOF) [Ponto Único de Falha (PUF)]</b>- Um SPOF é uma entrada única para um processo que, se ausente, faria com que o este ou vários processos ficariam incapazes de operar. Uma vez identificados, muitas vezes estes SPOFs podem ser facilmente eliminados ou terem seu potencial de dano reduzidos.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Desenho de Serviço da ITIL</b>: Qualquer item de configuração que pode causar um incidente quando ele falhar e para o qual uma contramedida não foi implementada. Um ponto único de falha pode ser uma pessoa, uma etapa em um processo ou atividade, ou ainda um componente de uma infraestrutura de TI.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Evento de segurança da informação. </b>Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação (ISO/IEC TR 18044:2004);</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Incidente de segurança da informação </b>O ato de violar uma política de segurança, explícita ou implícita; um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperado<b>AAA </b>Authentication, Authorization, and Accounting: Autorização, Autenticação e Contabilização (ou Responsabilização)</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>ABNT</b> Associação Brasileira de Normas Técnicas</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Business Impact Analysis (BIA)</b> veja Análise de Impacto nos Negócios (AIN)</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Ativo</b> qualquer coisa que tenha valor para a organização (ISO/IEC 13335-1:2004)</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Informação </b>é um ativo que como qualquer outro, é importante para o negócio, tem valor para a organização e necessita ser protegido adequadamente. (NBR ISO/IEC 27002:2007)</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Ativos de Informação</b> os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso; “Qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.”</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Vulnerabilidade</b> falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentalmente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema; “fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças” [ABNT NBR ISO/IEC 27002:2005]</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Ameaça </b>conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização; possibilidade de um agente (ou fonte de ameaça) explorar <b>acidentalmente</b> ou propositalmente uma vulnerabilidade específica.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Risco </b>é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira resultando em um impacto para a organização; “Combinação da probabilidade de um evento e de suas consequências. ” [ABNT ISO/IEC Guia 73:2005]</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> RISCO = (Ameaça) x (Vulnerabilidade) x (Valor do Risco) [ISO 27002(2005)]</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>CIA (CID) Confidentiality</b>, <b>Integrity</b> <b>and</b> <b>Availability</b> (Confidencialidade, Integridade e Disponibilidade):</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Confidencialidade</b>: na norma ISO-17799 como “garantir que a informação seja acessível apenas àqueles autorizados a ter acesso ” ou “propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (ISO/IEC 13335-1:2004)”. A confidencialidade é uma das metas de projeto para muitos sistemas de criptografia.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Integridade</b>: informações confiáveis, correta e dispostas em formato compatível com o de utilização ou “propriedade de salvaguarda da exatidão e completeza de ativos (ISO/IEC 13335- 1:2004)”.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Disponibilidade</b>: capacidade da informação ser acessada sempre que for solicitada (o acesso pode ser controlado ou não) ou “propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (ISO/IEC 13335-1:2004)”. A Disponibilidade é geralmente apresentada como porcentagem. Geralmente, quanto maior a disponibilidade, maior a redundância e custo das soluções de TI.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> Nota: Podemos monitorar a Integridade e a Disponibilidade da informação, mas não a confidencialidade, por ser um <b>fator externo aos sistemas.</b></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>CICA </b>Em complemento ao modelo CIA podemos acrescentar:</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Consistência </b>– certificar-se de que o sistema atua de acordo com a expectativa dos usuários.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Isolamento ou uso legítimo </b>– controlar o acesso ao sistema. Garantir que somente usuários autorizados possuam acesso ao sistema.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Confiabilidade </b>– garantir que, mesmo em condições adversas, o sistema atuará conforme esperado.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Auditoria </b>– proteger os sistemas contra erros e atos cometidos por usuários autorizados. Para identificar autores e ações, são utilizadas trilhas de auditorias e logs, que registram o que foi executado no sistema, por quem e quando.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>CISO </b>Chief Information Security Officer - Diretor de Segurança da Informação.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>CSO </b>Chief Security Officer - Diretor de Segurança</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Framework</b> Estrutura</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Firmware </b>é o conjunto de instruções operacionais diretamente associadas ao hardware de determinado equipamento. Consiste em um conjunto de operações muito básicas e de baixo nível, sem as quais o equipamento seria completamente não-utilizável. É gravado em memória de hardware (ROM, EEPROM, Flash etc) no momento da fabricação do equipamento, embora alguns modelos de equipamentos possibilitem sua posterior atualização.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> Praticamente todo equipamento eletrônico como controles remotos, calculadoras, relógios e componentes de computadores como Disco Rígido, teclado e mesmo eletrodomésticos com geladeiras e lavadoras possuem firmware.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Guidelines </b>diretrizes que regulam determinado assunto na empresa</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Baseline </b>política mínima (de segurança)</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> Visa definir minimamente os requisitos e as configurações dos ativos de TI, tais como:</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> Estações de Trabalho, Firewalls (incluindo revisão de regras e de configuração), IDS/IPS, Roteadores, Switches e Servidores</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>ACL </b>Access Control List – Listas de Controle de Acessos. Exemplo: regras em firewall</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>IPS </b>Intrusion Prevent System – Sistema de Prevenção de Intrusão. Tanto são encontrados na segurança física (câmeras de vigilância, detetores de movimento, de calor, de abertura de portas e janelas), como na segurança lógica, em dispositivos de rede.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>HVAC </b>Heating, ventilation, and air conditioning - aquecimento, ventilação e ar-condicionado.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>RADIUS </b>Remote Authentication Dial-In User Service (ver protocolos de rede)</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>PDCA </b>Clássico ”Ciclo de Deming” (ou de Shewhart):</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Plan</b> (Planejar): consiste no estabelecimento de Metas e Objetivos, bem como os métodos que serão utilizados para que sejam realizados;</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Do</b> (Executar, fazer): implementação do que foi estabelecido no planejamento;</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Check</b> (Verificar, checar): analisar os dados e medir se os objetivos e metas foram alcançados como planejado;</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Act</b> (Agir): definir as mudanças necessárias para a melhoria contínua do projeto.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Segurança da Informação </b>Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC 17799:2005).</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>SGSI Sistema de Gestão da Segurança da Informação (ISMS) </b>Parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> Nota: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Defesa em profundidade</b> - não confiar em um único mecanismo de segurança, sempre utilizar defesas redundantes e sucessivas</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Gargalo</b>: obriga a passagem por um canal estrito que pode ser monitorado.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Fail-safe [falha Protegida] </b>quando o sistema falha, libera os acessos. Ex: se falhar, a trava elétrica libera as portas. (SAFE normalmente é referente à proteção de pessoas)</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Fail-security [falha Segura]</b>: quando o sistema falha, bloqueia os acessos. Ex: quando falhar, o firewall bloqueia todos os acessos. (SECURITY normalmente está associado a medidas contra coisas inesperadas ou perigosas)</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Gargalos </b>- obrigam a passagem por um canal estrito que pode ser monitorado.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Single Point of Failure (SPOF) [Ponto Único de Falha (PUF)]</b>- Um SPOF é uma entrada única para um processo que, se ausente, faria com que o este ou vários processos ficariam incapazes de operar. Uma vez identificados, muitas vezes estes SPOFs podem ser facilmente eliminados ou terem seu potencial de dano reduzidos.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Desenho de Serviço da ITIL</b>: Qualquer item de configuração que pode causar um incidente quando ele falhar e para o qual uma contramedida não foi implementada. Um ponto único de falha pode ser uma pessoa, uma etapa em um processo ou atividade, ou ainda um componente de uma infraestrutura de TI.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Evento de segurança da informação. </b>Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação (ISO/IEC TR 18044:2004);</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Incidente de segurança da informação </b>O ato de violar uma política de segurança, explícita ou implícita; um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/IEC TR 18044:2004).</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> “Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. ” [ISO/IEC TR 18044:2004]</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Tratamento de Incidente</b> - Atividade que tem como função receber, analisar e responder às notificações e as atividades relacionadas a incidentes de segurança.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Custodiante </b>- Aquele que zela pelo armazenamento e preservação de informações que não lhe pertencem.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>CSIRT </b>Computer Security and Incident Response Team (Grupo de Resposta a Incidentes de Segurança da Informação): um grupo ou organização que provê serviços e suporte para um público bem definido, para prevenção, tratamento e resposta a incidentes de segurança.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Riscos de Segurança da Informação e Comunicações </b>potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Identificação de riscos </b>processo para localizar, listar e caracterizar elementos do risco.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Análise de riscos </b>uso sistemático de informações para identificar fontes e estimar o risco (ABNT ISO/IEC Guia 73:2005).</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Análise de Impacto nos Negócios (AIN) </b>- Esta atividade permite à organização identificar os processos críticos que sustentam os seus principais produtos e serviços, as interdependências entre os processos e os recursos necessários para operar os processos num nível minimamente aceitável.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Estimativa de riscos </b>processo utilizado para atribuir valores à probabilidade e consequências de um risco.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Avaliação de riscos </b>processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco (ABNT ISO/IEC Guia 73:2005).</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Tratamento do risco</b> processo de seleção e implementação de medidas para modificar um risco (evitar, reduzir, reter ou transferir) -ABNT ISO/IEC Guia 73:200.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> NOTA: Nesta Norma o termo “controle” é usado como um sinônimo para “medida”.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Reduzir risco </b>uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Reter risco </b>uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Transferir risco </b>uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Risco residual </b>risco remanescente após o tratamento de riscos (ABNT ISO/IEC Guia 73:2005).</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Aceitação do risco </b>decisão de aceitar um risco (ABNT ISO/IEC Guia 73:2005).</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Gestão de Riscos </b>atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> NOTA: A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. (ABNT ISO/IEC Guia 73:2005).</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Declaração de Aplicabilidade </b>declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> NOTA: Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Controle</b>: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. [ABNT NBR ISO/IEC 27002:2005]</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Não-repúdio</b> ou <b>irretratabilidade</b> - é a garantia de segurança que impede uma entidade participante numa dada operação de negar essa participação. As partes envolvidas não repudiam o fato de que em data e hora específicos ocorreu o acesso a determinada informação.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Comprometimento</b>: perda de segurança resultante do acesso não-autorizado.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Credencial de segurança</b>: certificado, concedido por autoridade competente, que habilita determinada pessoa a ter acesso a dados ou informações em diferentes graus de sigilo.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Malware</b> - Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> Alguns exemplos de malware são: vírus; worms; backdoors; cavalos de tróia; keyloggers e outros programas spyware; rootkits.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Engenharia social</b>, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Geralmente possui uma sequência de passos:</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Coleta de </b><b>informações</b> – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Desenvolvimento de relacionamento</b> – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Exploração de um relacionamento</b> – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.</p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%”> <b>Execução do ataque</b> – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Certificado Digital</b> - é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Informação</b> compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>IEC</b> (International Electrotechnical Commission [Organização Internacional Eletrotécnica])</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>ISO </b>(International Organization for Standardization [Organização Internacional de Normas])</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%”> <b>Segurança da Informação</b> se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as informações pessoais.</p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2”> <font face=“Calibri, serif”>s, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/IEC TR 18044:2004).</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> “<font face=“Calibri, serif”><span lang=“en-US”>Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. ” [ISO/IEC TR 18044:2004]</span></font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Tratamento de Incidente</b> - Atividade que tem como função receber, analisar e responder às notificações e as atividades relacionadas a incidentes de segurança.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Custodiante </b>- Aquele que zela pelo armazenamento e preservação de informações que não lhe pertencem.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>CSIRT </b>Computer Security and Incident Response Team (Grupo de Resposta a Incidentes de Segurança da Informação): um grupo ou organização que provê serviços e suporte para um público bem definido, para prevenção, tratamento e resposta a incidentes de segurança.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Riscos de Segurança da Informação e Comunicações </b>potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Identificação de riscos </b>processo para localizar, listar e caracterizar elementos do risco.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Análise de riscos </b>uso sistemático de informações para identificar fontes e estimar o risco (ABNT ISO/IEC Guia 73:2005).</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Análise de Impacto nos Negócios (AIN) </b>- Esta atividade permite à organização identificar os processos críticos que sustentam os seus principais produtos e serviços, as interdependências entre os processos e os recursos necessários para operar os processos num nível minimamente aceitável.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Estimativa de riscos </b>processo utilizado para atribuir valores à probabilidade e consequências de um risco.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Avaliação de riscos </b>processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco (ABNT ISO/IEC Guia 73:2005).</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Tratamento do risco</b> processo de seleção e implementação de medidas para modificar um risco (evitar, reduzir, reter ou transferir) -ABNT ISO/IEC Guia 73:200.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>NOTA: Nesta Norma o termo “controle” é usado como um sinônimo para “medida”.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Reduzir risco </b>uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Reter risco </b>uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Transferir risco </b>uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Risco residual </b>risco remanescente após o tratamento de riscos (ABNT ISO/IEC Guia 73:2005).</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Aceitação do risco </b>decisão de aceitar um risco (ABNT ISO/IEC Guia 73:2005).</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Gestão de Riscos </b>atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>NOTA: A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. (ABNT ISO/IEC Guia 73:2005).</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Declaração de Aplicabilidade </b>declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>NOTA: Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Controle</b>: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. [ABNT NBR ISO/IEC 27002:2005]</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Não-repúdio</b> ou <b>irretratabilidade</b> - é a garantia de segurança que impede uma entidade participante numa dada operação de negar essa participação. As partes envolvidas não repudiam o fato de que em data e hora específicos ocorreu o acesso a determinada informação.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Comprometimento</b>: perda de segurança resultante do acesso não-autorizado.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Credencial de segurança</b>: certificado, concedido por autoridade competente, que habilita determinada pessoa a ter acesso a dados ou informações em diferentes graus de sigilo.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Malware</b> - Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”>Alguns exemplos de malware são: vírus; worms; backdoors; cavalos de tróia; keyloggers e outros programas spyware; rootkits.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Engenharia social</b>, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Geralmente possui uma sequência de passos:</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Coleta de informações</b> – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Desenvolvimento de relacionamento</b> – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Exploração de um relacionamento</b> – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.</font></p> <p style=“margin-left: 0.39in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Execução do ataque</b> – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Certificado Digital</b> - é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Informação</b> compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>IEC</b> (International Electrotechnical Commission [Organização Internacional Eletrotécnica])</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>ISO </b>(International Organization for Standardization [Organização Internacional de Normas])</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <font face=“Calibri, serif”><b>Segurança da Informação</b> se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as informações pessoais.</font></p> <p style=“margin-left: 0.39in; text-indent: -0.2in; margin-top: 0.08in; margin-bottom: 0.11in; line-height: 100%; widows: 2; orphans: 2; page-break-before: auto; page-break-after: auto”> <br/> <br/> </p> <p style=“margin-bottom: 0in; line-height: 100%”><br/> </p> </body> </html>

glossario.1488809818.txt.gz · Última modificação: 2017/03/06 11:16 por fafanet

Ferramentas da página