Glossário

Clique em cada guia para saber mais.

A-C D-H eu - l M-P Q-S T-Z

Segurança Adequada - Segurança compatível com o risco e a magnitude dos danos resultantes da perda, uso indevido
ou acesso não autorizado ou modificação de informações. Fonte: Circular OMB A-130
Controles Administrativos - Controles implementados por meio de políticas e procedimentos. Os exemplos incluem
processos de controle de acesso e a necessidade de várias pessoas para conduzir uma operação específica. Os controles
administrativos em ambientes modernos geralmente são aplicados em conjunto com controles físicos e/ou técnicos,
como uma política de concessão de acesso para novos usuários que exige login e aprovação do gerente de contratação.
Eventos Adversos - Eventos com consequências negativas, como travamentos do sistema, inundações de pacotes de
rede, uso não autorizado de privilégios do sistema, desfiguração de uma página da Web ou execução de código malicioso
que destrói dados.
Application Programming Interface (API) - Um conjunto de rotinas, padrões, protocolos e ferramentas para construir
aplicativos de software para acessar um aplicativo de software baseado na web ou uma ferramenta da web.
Application Server - Um computador responsável por hospedar aplicativos nas estações de trabalho dos usuários. NIST
SP 800-82 Rev.2
Inteligência Artificial - A capacidade de computadores e robôs para simular a inteligência e o comportamento humano.
Ativo - Qualquer coisa de valor que é propriedade de uma organização. Os ativos incluem itens tangíveis, como sistemas
de informação e propriedade física, e ativos intangíveis, como propriedade intelectual.
Criptografia assimétrica - um algoritmo que usa uma chave para criptografar e uma chave diferente para
descriptografar o texto simples de entrada.
Auditoria - Revisão independente e exame de registros e atividades para avaliar a adequação dos controles do sistema,
para garantir o cumprimento das políticas e procedimentos operacionais estabelecidos. NIST SP 1800-15B
Autenticação - Processo de controle de acesso que valida que a identidade reivindicada por um usuário ou entidade é
conhecida pelo sistema, comparando um (fator único ou SFA) ou mais (autenticação multifator ou MFA) fatores de
identificação.
Autorização - O direito ou uma permissão concedida a uma entidade do sistema para acessar um recurso do sistema.
NIST 800-82 Rev.2
Disponibilidade - Garantir acesso oportuno e confiável e uso de informações por usuários autorizados.
Linha de base - Um nível mais baixo documentado de configuração de segurança permitido por um padrão ou
organização.
Biométrico - Características biológicas de um indivíduo, como impressão digital, geometria da mão, voz ou padrões de
íris.
Bit - A representação mais essencial de dados (zero ou um) na Camada 1 do modelo Open Systems Interconnection (OSI).
Bot - Código malicioso que age como um “robô” controlado remotamente para um invasor, com outros recursos de
Trojan e worm.
Violação - A perda de controle, comprometimento, divulgação não autorizada, aquisição não autorizada ou qualquer
ocorrência semelhante em que: uma pessoa que não seja um usuário autorizado acessa ou potencialmente acessa
informações de identificação pessoal; ou um usuário autorizado acessa informações de identificação pessoal para outros
fins que não os autorizados. Fonte: NIST SP 800-53 Rev. 5
Broadcast - A transmissão de broadcast é uma forma um-para-muitos (um-para-todos) de envio de tráfego da Internet.
Continuidade de Negócios (BC) - Ações, processos e ferramentas para garantir que uma organização possa continuar
operações críticas durante uma contingência.
Plano de Continuidade de Negócios (BCP) - A documentação de um conjunto predeterminado de instruções ou
procedimentos que descrevem como a missão/processos de negócios de uma organização serão sustentados durante e
após uma interrupção significativa.
Business Impact Analysis (BIA) - Uma análise dos requisitos, funções e interdependências de um sistema de informação
usado para caracterizar os requisitos e prioridades de contingência do sistema no caso de uma interrupção significativa.
NIST SP 800-34 Rev. 1
Byte - O byte é uma unidade de informação digital que geralmente consiste em oito bits.
Checksum - Um dígito que representa a soma dos dígitos corretos em uma parte dos dados digitais armazenados ou
transmitidos, contra os quais comparações posteriores podem ser feitas para detectar erros nos dados.
Ciphertext - A forma alterada de uma mensagem de texto simples, de modo que seja ilegível para qualquer pessoa,
exceto para os destinatários pretendidos. Em outras palavras, tornou-se um segredo.
Classificação - A classificação identifica o grau de dano à organização, suas partes interessadas ou outros que podem
resultar se um ativo de informação for divulgado a uma pessoa, processo ou organização não autorizado. Em suma, a
classificação é focada principalmente em manter a confidencialidade dos dados, com base na sensibilidade dos dados.
Informações Classificadas ou Sensíveis - Informações que foram determinadas a exigir proteção contra divulgação não
autorizada e são marcadas para indicar seu status classificado e nível de classificação quando em forma de documento.
Computação em Nuvem - Um modelo para permitir o acesso onipresente, conveniente e sob demanda à rede a um
conjunto compartilhado de recursos de computação configuráveis ​(por exemplo, redes, servidores, armazenamento,
aplicativos e serviços) que podem ser rapidamente provisionados e liberados com mínimo esforço de gerenciamento ou
interação do provedor de serviço. NIST 800-145
Community Cloud - Um sistema no qual a infraestrutura de nuvem é fornecida para uso exclusivo por uma comunidade
específica de consumidores de organizações que compartilham preocupações (por exemplo, missão, requisitos de
segurança, política e considerações de conformidade). Pode ser de propriedade, gerenciado e operado por uma ou mais
organizações da comunidade, um terceiro ou alguma combinação deles, e pode existir dentro ou fora das instalações.
NIST 800-145
Confidencialidade - A característica dos dados ou informações quando não são disponibilizados ou divulgados a pessoas
ou processos não autorizados. NIST 800-66
Gerenciamento de configuração - Um processo e disciplina usados ​para garantir que as únicas alterações feitas em um
sistema sejam aquelas que foram autorizadas e validadas.
Crime Prevention through Environmental Design (CPTED) - Uma abordagem arquitetônica para o projeto de edifícios e
espaços que enfatiza características passivas para reduzir a probabilidade de atividade criminosa.
Criticidade - Uma medida do grau em que uma organização depende da informação ou sistema de informação para o
sucesso de uma missão ou de uma função de negócios. NIST SP 800-60 vol. 1, Rev. 1
Criptoanalista - Aquele que realiza criptoanálise, que é o estudo de técnicas matemáticas para tentar derrotar técnicas
criptográficas e/ou segurança de sistemas de informação. Isso inclui o processo de procurar erros ou pontos fracos na
implementação de um algoritmo ou do próprio algoritmo.
Criptografia - O estudo ou aplicações de métodos para assegurar ou proteger o significado e conteúdo de mensagens,
arquivos ou outras informações, geralmente por disfarce, obscurecimento ou outras transformações desse conteúdo e
significado.

Integridade dos dados - A propriedade de que os dados não foram alterados de maneira não autorizada. A integridade
dos dados abrange os dados armazenados, durante o processamento e durante o trânsito. Fonte: NIST SP 800-27 Rev A
Data Loss Prevention (DLP) - Recursos do sistema projetados para detectar e impedir o uso não autorizado e a
transmissão de informações.
Descriptografia - O processo inverso da criptografia. É o processo de converter uma mensagem de texto cifrado de volta
em texto simples por meio do uso do algoritmo criptográfico e da chave apropriada para descriptografia (que é a mesma
para criptografia simétrica, mas diferente para criptografia assimétrica). Este termo também é usado de forma
intercambiável com “decifrar”.
Desencapsulamento - O processo oposto de encapsulamento, no qual pacotes de dados são descompactados ou
revelados.
Defense in Depth - Estratégia de segurança da informação que integra recursos de pessoas, tecnologia e operações para
estabelecer barreiras variáveis ​em várias camadas e missões da organização. Fonte: NIST SP 800-53 Rev 4
Desmagnetização - Uma técnica de apagar dados em disco ou fita (incluindo fitas de vídeo) que, quando executada
corretamente, garante que não haja remanência magnética suficiente para reconstruir os dados.
Denial-of-Service (DoS) - A prevenção de acesso autorizado a recursos ou o atraso de operações de tempo crítico. (O
tempo crítico pode ser milissegundos ou horas, dependendo do serviço fornecido.) Fonte: NIST SP 800-27 Rev A
Assinatura Digital - Resultado de uma transformação criptográfica de dados que, quando devidamente implementada,
fornece os serviços de autenticação de origem, integridade de dados e não repúdio do signatário. NIST SP 800-12 Rev. 1
Disaster Recovery (DR) - Em termos de sistemas de informação, as atividades necessárias para restaurar os serviços de
TI e comunicações de uma organização durante e após uma interrupção, interrupção ou perturbação de qualquer tipo ou
escala.
Plano de Recuperação de Desastres (DRP) - Os processos, políticas e procedimentos relacionados à preparação para a
recuperação ou continuação das funções críticas de negócios, infraestrutura de tecnologia, sistemas e aplicativos de uma
organização após a organização passar por um desastre. Um desastre ocorre quando as funções críticas de negócios de
uma organização não podem ser executadas em um nível aceitável dentro de um período predeterminado após uma
interrupção.
Controle de acesso discricionário (DAC) - Uma certa quantidade de controle de acesso é deixada a critério do
proprietário do objeto ou de qualquer outra pessoa autorizada a controlar o acesso do objeto. O proprietário pode
determinar quem deve ter direitos de acesso a um objeto e quais devem ser esses direitos. NIST SP 800-192
Domain Name Service (DNS) - Esta sigla pode ser aplicada a três elementos inter-relacionados: um serviço, um servidor
físico e um protocolo de rede.
Monitoramento de saída - Monitoramento do tráfego de rede de saída.
Encapsulamento - Execução de ocultação de dados e ocultação de código durante todas as fases de desenvolvimento de
software e uso operacional. Juntar dados e métodos é o processo de encapsulamento; seu processo oposto pode ser
chamado de desembalar, revelar ou usar outros termos. Também usado para se referir a pegar qualquer conjunto de
dados e empacotá-lo ou ocultá-lo em outra estrutura de dados, como é comum em protocolos de rede e criptografia.
Criptografar - Para proteger informações privadas, colocando-as em um formulário que só pode ser lido por pessoas que
tenham permissão para fazê-lo.
Criptografia - O processo e o ato de converter a mensagem de seu texto simples em texto cifrado. Às vezes, também é
referido como codificação. Os dois termos às vezes são usados ​de forma intercambiável na literatura e têm significados
semelhantes.
Sistema de Criptografia - O conjunto total de algoritmos, processos, hardware, software e procedimentos que, juntos,
fornecem uma capacidade de criptografia e descriptografia.
Evento - Qualquer ocorrência observável em uma rede ou sistema. Fonte: NIST SP 800-61 Rev 2
Exploit - Um ataque específico. É chamado assim porque esses ataques exploram vulnerabilidades do sistema.
File Transfer Protocol (FTP) - O protocolo de internet (e programa) usado para transferir arquivos entre hosts.
Firewalls - Dispositivos que impõem políticas administrativas de segurança filtrando o tráfego de entrada com base em
um conjunto de regras.
Ataque de fragmento - Em um ataque de fragmento, um invasor fragmenta o tráfego de forma que um sistema não
consiga reunir os pacotes de dados.
Regulamento Geral de Proteção de Dados (GDPR) - Em 2016, a União Europeia aprovou uma legislação abrangente que
trata da privacidade pessoal, considerando-a um direito humano individual.
Governança - O processo de como uma organização é gerenciada; geralmente inclui todos os aspectos de como as
decisões são tomadas para essa organização, como políticas, funções e procedimentos que a organização usa para tomar
essas decisões.
Endurecimento - Uma referência ao processo de aplicação de configurações seguras (para reduzir a superfície de
ataque) e bloqueio de vários hardwares, sistemas de comunicação e software, incluindo sistema operacional, servidor
web, servidor de aplicativos, aplicativos etc. diretrizes e benchmarks do setor, como os fornecidos pelo Center for Internet
Security (CIS).
Hardware - As partes físicas de um computador e dispositivos relacionados.
Função Hash - Um algoritmo que calcula um valor numérico (chamado de valor hash) em um arquivo de dados ou
mensagem eletrônica que é usado para representar esse arquivo ou mensagem e depende de todo o conteúdo do
arquivo ou mensagem. Uma função hash pode ser considerada uma impressão digital do arquivo ou mensagem. NIST SP
800-152
Hashing - O processo de usar um algoritmo matemático em relação aos dados para produzir um valor numérico
representativo desses dados. Fonte CNSSI 4009-2015
Health Insurance Portability and Accountability Act (HIPAA) - Esta lei federal dos EUA é o regulamento de
informações de saúde mais importante nos Estados Unidos. Ele orienta a adoção de padrões nacionais para transações
eletrônicas de saúde, protegendo a privacidade das informações de saúde do indivíduo. Outras disposições abordam a
redução de fraudes, proteções para indivíduos com seguro saúde e uma ampla gama de outras atividades relacionadas à
saúde. Husa. 1996.
Nuvem Híbrida - Uma combinação de armazenamento em nuvem pública e armazenamento em nuvem privada em que
alguns dados críticos residem na nuvem privada da empresa, enquanto outros dados são armazenados e acessíveis a
partir de um provedor de armazenamento em nuvem pública.

Impacto - A magnitude do dano que pode ser causado pelo exercício de uma vulnerabilidade por uma ameaça.
Incidente - Um evento que põe em risco real ou potencialmente a confidencialidade, integridade ou disponibilidade de
um sistema de informação ou a informação que o sistema processa, armazena ou transmite.
Tratamento de Incidentes - A mitigação de violações de políticas de segurança e práticas recomendadas. Também
conhecido como Resposta a Incidentes. Fonte: NIST SP 800-61 Rev 2.
Resposta a Incidentes (IR) - A mitigação de violações de políticas de segurança e práticas recomendadas. Também
conhecido como Tratamento de Incidentes. Fonte: NIST SP 800-61 Rev 2.
Plano de Resposta a Incidentes (IRP) - A documentação de um conjunto predeterminado de instruções ou
procedimentos para detectar, responder e limitar as consequências de um ataque cibernético mal-intencionado contra os
sistemas de informação de uma organização. Fonte: NIST SP 800-34 Rev 1
Risco de Segurança da Informação - Os potenciais impactos adversos nas operações de uma organização (incluindo sua
missão, funções e imagem e reputação), ativos, indivíduos, outras organizações e até mesmo a nação, que resultam da
possibilidade de acesso não autorizado, uso, divulgação, interrupção , modificação ou destruição de informações e/ou
sistemas de informação.
Infraestrutura como serviço (IaaS) - O provedor do núcleo de computação, armazenamento e hardware e software de
rede que é a base sobre a qual as organizações podem criar e implantar aplicativos. IaaS é popular no data center onde o
software e os servidores são adquiridos como um serviço totalmente terceirizado e geralmente cobrado pelo uso e
quanto do recurso é usado.
Ingress Monitoring - Monitoramento do tráfego de rede de entrada.
Ameaça interna - Uma entidade com acesso autorizado que tem o potencial de prejudicar um sistema de informação
por meio de destruição, divulgação, modificação de dados e/ou negação de serviço. NIST SP 800-32
Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) - IEEE é uma organização profissional que estabelece padrões
para telecomunicações, engenharia de computação e disciplinas similares.
Integridade - A propriedade da informação pela qual ela é registrada, usada e mantida de forma a garantir sua
integridade, precisão, consistência interna e utilidade para um propósito declarado.
Organização Internacional de Padrões (ISO) - A ISO desenvolve padrões internacionais voluntários em colaboração com
seus parceiros na padronização internacional, a Comissão Eletrotécnica Internacional (IEC) e a União Internacional de
Telecomunicações (ITU), particularmente no campo das tecnologias de informação e comunicação .
Internet Control Message Protocol (ICMP) - Um protocolo de rede IP padronizado pela Internet Engineering Task Force
(IETF) através do RFC 792 para determinar se um determinado serviço ou host está disponível.
Internet Engineering Task Force (IETF) - A organização de padrões da Internet, formada por designers de rede,
operadores, fornecedores e pesquisadores, que define padrões de protocolo (por exemplo, IP, TCP, DNS) por meio de um
processo de colaboração e consenso. Fonte: NIST SP 1800-16B
Internet Protocol (IPv4) - Protocolo padrão para transmissão de dados da origem aos destinos em redes de
comunicações comutadas por pacotes e sistemas interconectados dessas redes. CNSSI 4009-2015
Intrusão - Um evento de segurança, ou combinação de eventos de segurança, que constitui um incidente de segurança
no qual um intruso obtém ou tenta obter acesso a um sistema ou recurso do sistema sem autorização. Fonte: IETF RFC
4949 Ver 2
iOS - Um sistema operacional fabricado pela Apple Inc. Usado para dispositivos móveis.
Defesa em camadas - O uso de vários controles organizados em série para fornecer vários controles consecutivos para
proteger um ativo; também chamado de defesa em profundidade.
Probabilidade - A probabilidade de que uma vulnerabilidade potencial possa ser exercida dentro da construção do
ambiente de ameaça associado.
Probabilidade de ocorrência - Um fator ponderado com base em uma análise subjetiva da probabilidade de uma
determinada ameaça ser capaz de explorar uma determinada vulnerabilidade ou conjunto de vulnerabilidades.
Linux - Um sistema operacional que é de código aberto, tornando seu código-fonte legalmente disponível para os
usuários finais.
Log Anomaly - Uma irregularidade do sistema que é identificada ao estudar entradas de log que podem representar
eventos de interesse para vigilância adicional.
Logging - Coletar e armazenar as atividades do usuário em um log, que é um registro dos eventos que ocorrem nos
sistemas e redes de uma organização. NIST SP 1800-25B.
Sistemas lógicos de controle de acesso - Um sistema automatizado que controla a capacidade de um indivíduo acessar
um ou mais recursos do sistema de computador, como uma estação de trabalho, rede, aplicativo ou banco de dados. Um
sistema de controle de acesso lógico requer a validação da identidade de um indivíduo por meio de algum mecanismo,
como PIN, cartão, biométrico ou outro token. Ele tem a capacidade de atribuir diferentes privilégios de acesso a
diferentes indivíduos, dependendo de suas funções e responsabilidades em uma organização. NIST SP 800-53 Rev.5.

Man-in-the-Middle - Um ataque onde o adversário se posiciona entre o usuário e o sistema para que possa interceptar e
alterar os dados trafegados entre eles. Fonte: NISTIR 7711
Controle de Acesso Obrigatório - Controle de acesso que exige que o próprio sistema gerencie os controles de acesso
de acordo com as políticas de segurança da organização.
Mantrap - Uma entrada para um edifício ou uma área que exige que as pessoas passem por duas portas com apenas
uma porta aberta de cada vez.
Message Digest - Uma assinatura digital que identifica exclusivamente os dados e tem a propriedade de que a alteração
de um único bit nos dados fará com que um resumo de mensagem completamente diferente seja gerado. NISTIR-8011
Vol.3
Microsegmentação - Parte de uma estratégia de confiança zero que divide as LANs em zonas muito pequenas e
altamente localizadas usando firewalls ou tecnologias semelhantes. No limite, isso coloca o firewall em cada ponto de
conexão.
Autenticação Multifator - Usando duas ou mais instâncias distintas dos três fatores de autenticação (algo que você
sabe, algo que você tem, algo que você é) para verificação de identidade.
Institutos Nacionais de Padrões e Tecnologia (NIST) - O NIST faz parte do Departamento de Comércio dos EUA e trata
da infraestrutura de medição dentro dos esforços de ciência e tecnologia do governo federal dos EUA. O NIST estabelece
padrões em várias áreas, incluindo segurança da informação no Computer Security Resource Center das Computer
Security Divisions.
Não-repúdio - A incapacidade de negar a realização de uma ação, como criar informações, aprovar informações e enviar
ou receber uma mensagem.
Objeto - Entidade passiva relacionada ao sistema de informação (por exemplo, dispositivos, arquivos, registros, tabelas,
processos, programas, domínios) contendo ou recebendo informações. O acesso a um objeto (por um sujeito) implica o
acesso à informação nele contida. Veja assunto. Fonte: NIST SP 800-53 Rev 4
Sistema operacional - O software “aplicativo de controle mestre” que executa o computador. É o primeiro programa
carregado quando o computador é ligado, e seu principal componente, o kernel, reside na memória o tempo todo. O
sistema operacional define os padrões para todos os programas aplicativos (como o servidor da Web) executados no
computador. Os aplicativos se comunicam com o sistema operacional para a maioria das operações de interface do
usuário e gerenciamento de arquivos. NIST SP 800-44 Versão 2
Oversized Packet Attack - Envio proposital de um pacote de rede que é maior do que o esperado ou maior do que pode
ser tratado pelo sistema receptor, fazendo com que o sistema receptor falhe inesperadamente.
Packet - Representação dos dados na Camada 3 do modelo Open Systems Interconnection (OSI).
Patch - Um componente de software que, quando instalado, modifica diretamente os arquivos ou as configurações do
dispositivo relacionadas a um componente de software diferente sem alterar o número da versão ou os detalhes da
versão do componente de software relacionado. Fonte: ISO/IEC 19770-2
Patch Management - A notificação sistemática, identificação, implantação, instalação e verificação do sistema
operacional e revisões de código de software aplicativo. Essas revisões são conhecidas como patches, hot fixes e service
packs. Fonte: CNSSI 4009
Payload - A ação primária de um ataque de código malicioso.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) - um padrão de segurança de
informações administrado pelo Conselho de padrões de segurança do setor de cartões de pagamento que se aplica a
comerciantes e provedores de serviços que processam transações com cartão de crédito ou débito.
Informações de identificação pessoal (PII) - O Instituto Nacional de Padrões e Tecnologia, conhecido como NIST, em
sua Publicação Especial 800-122 define PII como “qualquer informação sobre um indivíduo mantida por uma agência,
incluindo (1) qualquer informação que possa ser usada para distinguir ou rastrear a identidade de um indivíduo, como
nome, CPF, data e local de nascimento, nome de solteira da mãe ou registros biométricos; e (2) qualquer outra
informação vinculada ou vinculável a um indivíduo, como informações médicas, educacionais, financeiras e de emprego.”
Controles Físicos - Controles implementados por meio de um mecanismo tangível. Exemplos incluem paredes, cercas,
guardas, fechaduras, etc. Nas organizações modernas, muitos sistemas de controle físico estão ligados a sistemas
técnicos/lógicos, como leitores de crachás conectados a fechaduras de portas. Também conhecido como controles de
acesso físico.
Plaintext - Uma mensagem ou dados em seu formato natural e de forma legível; extremamente vulnerável do ponto de
vista da confidencialidade.
Plataforma como serviço (PaaS) - O ambiente de middleware de desenvolvimento de aplicativos ou autoria da Web que
permite que os aplicativos sejam criados na nuvem antes de serem implantados como ativos SaaS.
Privacidade - O direito de um indivíduo de controlar a distribuição de informações sobre si mesmo.
Private Cloud - Uma plataforma de computação em nuvem que é implementada dentro do firewall corporativo, sob o
controle do departamento de TI. Uma nuvem privada é projetada para oferecer os mesmos recursos e benefícios dos
sistemas em nuvem, mas remove uma série de objeções ao modelo de computação em nuvem, incluindo controle sobre
dados corporativos e de clientes, preocupações com segurança e problemas relacionados à conformidade regulatória.
Princípio do menor privilégio - O princípio de que usuários e programas devem ter apenas os privilégios mínimos
necessários para concluir suas tarefas. NIST SP 800-179
Conta Privilegiada - Uma conta do sistema de informação com autorizações aprovadas de um usuário privilegiado. NIST
SP 800-53 Rev. 4
Probabilidade - As chances, ou probabilidade, de que uma determinada ameaça seja capaz de explorar uma
determinada vulnerabilidade ou um conjunto de vulnerabilidades. Fonte: NIST SP 800-30 Rev. 1
Informações de saúde protegidas (PHI) - informações sobre o estado de saúde, a prestação de cuidados de saúde ou o
pagamento de cuidados de saúde, conforme definido na HIPAA (Lei de Responsabilidade e Portabilidade de Seguro de
Saúde).
Protocolos - Um conjunto de regras (formatos e procedimentos) para implementar e controlar algum tipo de associação
(isto é, comunicação) entre sistemas. NIST SP 800-82 Rev. 2
Nuvem pública - A infraestrutura de nuvem é fornecida para uso aberto pelo público em geral. Pode ser de propriedade,
gerenciado e operado por uma organização empresarial, acadêmica ou governamental, ou alguma combinação deles. Ele
existe nas instalações do provedor de nuvem. NIST SP 800-145

Análise Qualitativa de Risco - Um método de análise de risco que se baseia na atribuição de um descritor como baixo,
médio ou alto. Fonte: NISTIR 8286 See More
Análise Quantitativa de Risco - Um método para análise de risco em que valores numéricos são atribuídos ao impacto e
à probabilidade com base em probabilidades estatísticas e avaliação monetarizada de perda ou ganho. Fonte: NISTIR
8286 See More
Ransomware - Um tipo de software malicioso que bloqueia a tela ou os arquivos do computador, impedindo ou
limitando o acesso de um usuário ao seu sistema e dados até que o dinheiro seja pago.
Registros - Os registros (automáticos e/ou manuais) de evidências de atividades executadas ou resultados alcançados
(por exemplo, formulários, relatórios, resultados de testes), que servem de base para verificar se a organização e o
sistema de informação estão funcionando conforme pretendido. Também usado para se referir a unidades de campos de
dados relacionados (ou seja, grupos de campos de dados que podem ser acessados ​por um programa e que contêm o
conjunto completo de informações sobre itens específicos). NIST SP 800-53 Rev. 4
Retenção de Registros - Prática baseada no ciclo de vida dos registros, segundo a qual os registros são retidos pelo
tempo necessário e, em seguida, destruídos após decorrido o intervalo de tempo apropriado.
Remanência - Informações residuais que permanecem na mídia de armazenamento após a limpeza. NIST SP 800-88 Rev.
1
Request for Change (RFC) - O primeiro estágio do gerenciamento de mudanças, em que uma mudança no procedimento
ou produto é solicitada por uma parte interessada.
Risco - Um possível evento que pode ter um impacto negativo sobre a organização.
Aceitação de riscos - Determinar que os benefícios potenciais de uma função de negócios superam o possível
impacto/probabilidade do risco e executar essa função de negócios sem nenhuma outra ação.
Avaliação de riscos - O processo de identificação e análise de riscos para as operações organizacionais (incluindo missão,
funções, imagem ou reputação), ativos organizacionais, indivíduos e outras organizações. A análise realizada como parte
do gerenciamento de riscos que incorpora análises de ameaças e vulnerabilidades e considera mitigações fornecidas por
controles de segurança planejados ou em vigor.
Prevenção de riscos - Determinar que o impacto e/ou probabilidade de um risco específico é muito grande para ser
compensado pelos benefícios potenciais e não executar uma determinada função de negócios por causa dessa
determinação.
Gestão de Risco - O processo de identificação, avaliação e controle de ameaças, incluindo todas as fases de contexto de
risco (ou estrutura), avaliação de risco, tratamento de risco e monitoramento de risco.
Estrutura de Gerenciamento de Risco - Uma abordagem estruturada usada para supervisionar e gerenciar riscos para
uma empresa. Fonte: CNSSI 4009
Mitigação de riscos - Implementar controles de segurança para reduzir o possível impacto e/ou probabilidade de um
risco específico.
Tolerância ao Risco - O nível de risco que uma entidade está disposta a assumir para alcançar um resultado potencial
desejado. Fonte: NIST SP 800-32. Limiar de risco, apetite de risco e risco aceitável também são termos usados ​como
sinônimos de tolerância ao risco.
Transferência de risco - Pagando uma parte externa para aceitar o impacto financeiro de um determinado risco.
Tratamento de riscos - A determinação da melhor maneira de lidar com um risco identificado.
Controle de acesso baseado em função (RBAC) - Um sistema de controle de acesso que configura permissões de
usuário com base em funções.
Regra - Uma instrução desenvolvida para permitir ou negar o acesso a um sistema comparando a identidade validada do
sujeito com uma lista de controle de acesso.
Controles de segurança - Os controles gerenciais, operacionais e técnicos (ou seja, salvaguardas ou contramedidas)
prescritos para um sistema de informação para proteger a confidencialidade, integridade e disponibilidade do sistema e
suas informações. Fonte: FIPS PUB 199
Governança de segurança - A totalidade das políticas, funções e processos que a organização usa para tomar decisões
de segurança em uma organização.
Security Operations Center - Uma função organizacional centralizada desempenhada por uma equipe de segurança da
informação que monitora, detecta e analisa eventos na rede ou sistema para prevenir e resolver problemas antes que
resultem em interrupções nos negócios.
Segregação de funções - A prática de garantir que um processo organizacional não possa ser concluído por uma única
pessoa; força o conluio como meio de reduzir as ameaças internas. Também comumente conhecido como Separação de
Deveres.
Sensibilidade - Medida da importância atribuída à informação por seu proprietário, com o objetivo de denotar sua
necessidade de proteção. Fonte: NIST SP 800-60 Vol 1 Rev 1
Simple Mail Transport Protocol (SMTP) - O protocolo de comunicação padrão para enviar e receber e-mails entre
remetentes e destinatários.
Autenticação de Fator Único - Utilização de apenas um dos três fatores disponíveis (algo que você sabe, algo que você
tem, algo que você é) para realizar o processo de autenticação solicitado.
Engenharia Social - Táticas para se infiltrar em sistemas via e-mail, telefone, texto ou mídia social, muitas vezes
representando uma pessoa ou agência com autoridade ou oferecendo um presente. Um método de baixa tecnologia
seria simplesmente seguir alguém até um prédio seguro.
Software - Programas de computador e dados associados que podem ser escritos ou modificados dinamicamente
durante a execução. NIST SP 80-37 Rev. 2
Software como serviço (SaaS) - O cliente de nuvem usa os aplicativos do provedor de nuvem executados em uma
infraestrutura de nuvem. Os aplicativos podem ser acessados ​de vários dispositivos clientes por meio de uma interface
thin client, como um navegador da Web ou uma interface de programa. O consumidor não gerencia ou controla a
infraestrutura de nuvem subjacente, incluindo rede, servidores, sistemas operacionais, armazenamento ou mesmo
recursos de aplicativos individuais, com a possível exceção de configurações limitadas de aplicativos específicos do
usuário. Derivado do NIST 800-145
Spoofing - Falsificar o endereço de envio de uma transmissão para obter entrada ilegal em um sistema seguro. CNSSI
4009-2015
Estado - A condição em que uma entidade se encontra em um determinado momento.
Sujeito - Geralmente um indivíduo, processo ou dispositivo que faz com que as informações fluam entre os objetos ou
mudem para o estado do sistema. Fonte: NIST SP800-53 R4
Criptografia simétrica - um algoritmo que usa a mesma chave nos processos de criptografia e descriptografia.
Integridade do sistema - A qualidade que um sistema tem quando executa sua função pretendida de maneira
inalterada, livre de manipulação não autorizada do sistema, seja intencional ou acidental. Fonte: NIST SP 800-27 Rev. A

Controles Técnicos - Os controles de segurança (ou seja, salvaguardas ou contramedidas) para um sistema de
informação que são implementados e executados principalmente pelo sistema de informação por meio de mecanismos
contidos nos componentes de hardware, software ou firmware do sistema.
Ameaça - Qualquer circunstância ou evento com potencial para impactar adversamente as operações organizacionais
(incluindo missão, funções, imagem ou reputação), ativos organizacionais, indivíduos, outras organizações ou a nação por
meio de um sistema de informação por meio de acesso não autorizado, destruição, divulgação, modificação de
informações e/ou negação de serviço. Fonte: NIST SP 800-30 Rev 1
Agente de ameaça - Um indivíduo ou grupo que tenta explorar vulnerabilidades para causar ou forçar a ocorrência de
uma ameaça.
Vetor de Ameaça - O meio pelo qual um ator de ameaça realiza seus objetivos.
Token - Um objeto físico que um usuário possui e controla que é usado para autenticar a identidade do usuário. NISTIR
7711
Modelo de Protocolo de Controle de Transporte/Protocolo de Internet (TCP/IP) - modelo de protocolo de
interconexão de redes criado pelo IETF, que especifica quatro camadas de funcionalidade: Camada de enlace
(comunicações físicas), Camada de Internet (comunicação rede a rede), Camada de transporte (base canais para conexões
e troca de dados sem conexão entre hosts), e Camada de Aplicação, onde outros protocolos e programas aplicativos do
usuário fazem uso de serviços de rede.
Catraca - Uma porta giratória unidirecional ou barreira que permite que apenas uma pessoa por vez entre em um edifício
ou passe por uma área.
Unix - Um sistema operacional usado no desenvolvimento de software.
Provisionamento de usuários - O processo de criação, manutenção e desativação de identidades de usuários em um
sistema.
Virtual Local Area Network (VLAN) - Um grupo lógico de estações de trabalho, servidores e dispositivos de rede que
parecem estar na mesma LAN apesar de sua distribuição geográfica.
Rede Privada Virtual (VPN) - Uma rede privada virtual, construída sobre redes existentes, que pode fornecer um
mecanismo de comunicação seguro para transmissão entre redes.
Vulnerabilidade - Fraqueza em um sistema de informação, procedimentos de segurança do sistema, controles internos
ou implementação que pode ser explorada por uma fonte de ameaça. Fonte: NIST SP 800-128
Servidor Web - Um computador que fornece serviços da World Wide Web (WWW) na Internet. Inclui hardware, sistema
operacional, software de servidor da Web e conteúdo do site da Web (páginas da Web). Se o servidor da Web for usado
internamente e não pelo público, ele pode ser conhecido como “servidor de intranet”. NIST SP 800-44 Versão 2
Whaling Attack - Ataques de phishing que tentam enganar funcionários de alto escalão ou indivíduos privados com
ativos consideráveis ​para que autorizem grandes transferências eletrônicas de fundos para entidades anteriormente
desconhecidas.
Wireless Area Network (WLAN) - Um grupo de computadores e dispositivos localizados na mesma vizinhança, formando
uma rede baseada em transmissões de rádio em vez de conexões com fio. Uma rede Wi-Fi é um tipo de WLAN.
Zenmap - A interface gráfica do usuário (GUI) para o Nmap Security Scanner, um aplicativo de código aberto que verifica
as redes para determinar tudo o que está conectado, bem como outras informações.
Zero Day - Uma vulnerabilidade do sistema anteriormente desconhecida com potencial de exploração sem risco de
detecção ou prevenção porque, em geral, não se encaixa em padrões, assinaturas ou métodos reconhecidos.
Zero Trust - Removendo a crença de design de que a rede possui algum espaço confiável. A segurança é gerenciada em
cada nível possível, representando o ativo mais granular. A microssegmentação de cargas de trabalho é uma ferramenta
do modelo.