Conceitos
Conceitos de Segurança de Computadores
Uma definição de segurança de computadores O Computer Security Handbook (“Livro de Bolso de Segurança de Computadores”) do NIST [NIST95] define a expressão segurança de computadores da seguinte maneira:
Essa definição apresenta três objetivos fundamentais que constituem o coração da segurança
de computadores:
Confidencialidade: Esse termo abrange dois conceitos relacionados:
Confidencialidade de dados: Garante que informações privadas ou confidenciais
não fiquem disponíveis nem sejam reveladas a indivíduos não autorizados.
Privacidade: Garante que os indivíduos controlem ou influenciem quais informações
sobre eles podem ser coletadas e armazenadas, e por quem e para quem tais
informações podem ser reveladas.
Integridade: Esse termo abrange dois conceitos relacionados:
Integridade de dados: Garante que informações e programas sejam alterados
somente de maneira especificada e autorizada.
Integridade de sistemas: Garante que um sistema desempenhe sua função pretendida
de maneira incólume, livre de manipulação não autorizada do sistema,
seja deliberada, seja inadvertida.
Disponibilidade: Garante que os sistemas funcionem prontamente e que não haja
negação de serviço a usuários autorizados.
Esses três conceitos formam o que é frequentemente denominado tríade CID
Os três conceitos incorporam os objetivos de segurança
fundamentais para dados e informações, bem como para serviços de
computação. Por exemplo, o padrão NIST denominado FIPS 199 (Standards for
Security Categorization of Federal Information and Information Systems)
apresenta confidencialidade, integridade e disponibilidade como os três objetivos
de segurança para informações e para sistemas de informação. O FIPS PUB 199
fornece uma caracterização útil desses três objetivos em termos de requisitos e a
definição de perda de segurança relativa a cada categoria:
Confidencialidade: Preservar restrições autorizadas ao acesso e revelação de
informações, incluindo meios para proteger a privacidade pessoal e as
informações proprietárias. Uma perda de confidencialidade consiste na
revelação não autorizada de informações.
Integridade: Defender contra a modificação ou destruição imprópria de
informações, garantindo a irretratabilidade (ou não repúdio) e a autenticidade
das informações. Uma perda de integridade consiste na modificação ou
destruição não autorizada de informações.
Disponibilidade: Assegurar que o acesso e o uso das informações seja
confiável e realizado no tempo adequado. Uma perda de disponibilidade
consiste na disrupção do acesso ou da utilização de informações ou de um
sistema de informação.
Embora a utilização da tríade CID para definir objetivos de segurança seja
bem estabelecida, algumas pessoas na área da segurança acreditam serem
necessários conceitos adicionais para apresentar um quadro completo. Dois dos
mais comumente mencionados são os seguintes:
Autenticidade: A propriedade de ser genuína e poder ser verificada e
confiável; confiança na validade de uma transmissão, de uma mensagem ou
do originador de uma mensagem. Isso significa verificar que os usuários são
quem dizem ser e que cada dado que chega ao sistema veio de uma fonte
confiável.
Determinação de responsabilidade: O objetivo de segurança que leva à
exigência de que as ações de uma entidade sejam rastreadas e atribuídas
unicamente àquela entidade. Isso dá suporte à irretratabilidade, à dissuasão,
ao isolamento de falhas, à detecção e prevenção de intrusões, e à recuperação
e à ação judicial após uma ação. Como sistemas verdadeiramente seguros
ainda não são uma meta atingível, devemos ser capazes de rastrear uma
violação de segurança até a entidade responsável. Os sistemas devem manter
registros de suas atividades para permitir análise forense posterior, de modo a
rastrear violações de segurança ou auxiliar em disputas sobre uma transação.
Observe que o FIPS PUB 199 inclui autenticidade como parte da integridade.
Agora fornecemos alguns exemplos de aplicações que ilustram os requisitos
enumerados.
Para esses exemplos, usamos três níveis de impacto sobre
organizações ou indivíduos caso haja uma quebra de segurança (isto é, uma
perda de confidencialidade, integridade ou disponibilidade). Esses níveis são
definidos no FIPS PUB 199:
FIPS PUB 199 é uma publicação do National Institute of Standards and Technology (NIST) que estabelece os padrões para categorizar a segurança de informações e sistemas de informação federais. Ele requer que as agências avaliem o impacto potencial de uma violação de segurança, classificando os sistemas em três níveis: baixo, moderado e alto impacto, com base na confidencialidade, integridade e disponibilidade da informação (a tríade CIA).
Níveis de impacto
Baixo Impacto: Uma violação pode ter efeitos "limitados" na organização, como degradação de capacidades, danos menores a ativos ou perdas financeiras modestas.
Moderado Impacto: Uma violação pode causar efeitos adversos sérios, incluindo degradação significativa da missão ou capacidade da agência, danos significativos aos ativos ou prejuízos consideráveis a indivíduos.
Alto Impacto: Uma violação pode resultar em danos catastróficos, incluindo a perda da capacidade de funcionamento da agência, danos severos aos ativos e consequências graves para os indivíduos.
Para que serve o FIPS 199
Avaliação de risco: Ajuda as agências a realizar um inventário e classificar a segurança de seus sistemas de informação. Base para controles de segurança: A classificação de FIPS 199 é usada como base para determinar os controles de segurança necessários, com o objetivo de mitigar as ameaças.
O FIPS 200, por exemplo, detalha os controles de segurança que devem ser implementados com base na categorização feita pelo FIPS 199. Padronização: Fornece um formato conciso para a classificação de sistemas de informação, permitindo uma abordagem mais consistente.
Exemplos
Baixo: Pode-se esperar que a perda cause efeito adverso limitado sobre
operações organizacionais, ativos organizacionais ou indivíduos. Um efeito
adverso limitado significa, por exemplo, que a perda de confidencialidade,
integridade ou disponibilidade poderia (i) causar degradação na capacidade
de completar uma tarefa até um ponto e por uma duração tal que a
organização consegue executar suas funções primárias, mas a efetividade das
funções sofre redução perceptível; (ii) resultar em dano desprezível a ativos
organizacionais; (iii) resultar em perdas financeiras insignificantes; ou (iv)
resultar em dano reduzido a indivíduos.
Moderado: Pode-se esperar que a perda cause efeito adverso sério sobre
operações organizacionais, ativos organizacionais ou indivíduos. Um efeito
adverso sério significa, por exemplo, que a perda poderia (i) causar
degradação significativa na capacidade de completar uma tarefa até um
ponto e por uma duração tal que a organização consegue executar suas
funções primárias, mas a efetividade das funções sofre significativa redução;
(ii) resultar em dano significativo a ativos organizacionais; (iii) resultar em
perda financeira significativa; ou (iv) resultar em dano significativo a
indivíduos, não envolvendo perda de vida ou ferimentos sérios que ameacem
a vida.
Alto: Pode-se esperar que a perda cause efeito adverso grave ou catastrófico
sobre operações organizacionais, ativos organizacionais ou indivíduos. Um
efeito adverso grave ou catastrófico significa, por exemplo, que a perda
poderia (i) causar grave degradação ou perda de capacidade de completar
uma tarefa até um ponto e por uma duração tal que a organização não
consegue executar uma ou mais de suas funções primárias; (ii) resultar em
grande dano a ativos organizacionais; (iii) resultar em grande perda
financeira; ou (iv) resultar em dano grave ou catastrófico a indivíduos,
envolvendo perda de vida ou ferimentos sérios que ameacem a vida.
Os três pilares da Segurança da Informação
Confidencialidade, integridade e disponibilidade (CID) são os três pilares da segurança da
informação, fundamentais para proteger dados e sistemas. A confidencialidade garante
que informações sejam acessíveis apenas por usuários autorizados; a integridade assegura
que os dados sejam precisos, completos e não alterados indevidamente; e a disponibilidade
garante que sistemas e dados estejam acessíveis e funcionais quando necessários.
Confidencialidade
O que é: Garante o sigilo e a privacidade dos dados.
Como funciona: Através do controle de acesso para evitar o compartilhamento não autorizado
de informações.
Exemplo: Informações sobre notas obtidas por estudantes em exames são um ativo cuja
confidencialidade é considerada de altíssima importância pelos próprios
estudantes. Nos Estados Unidos, a liberação de tais informações é regulamentada
pelo Family Educational Rights and Privacy Act (FERPA). Informações sobre
tais notas só podem ser disponibilizadas para estudantes, seus pais e funcionários
que necessitem das informações para realizar seu serviço. Informações sobre
matrículas de estudantes podem ter grau moderado de confiabilidade. Embora
ainda protegidas pelo FERPA, essas informações são vistas por mais pessoas
diariamente, a probabilidade de serem visadas é menor do que a de informações
sobre notas de exames escolares, e sua revelação resulta em menor dano.
Informações catalogadas, como listas de estudantes ou de faculdades e
departamentos, podem receber uma classificação de confidencialidade baixa ou
até mesmo nula. Essas informações normalmente estão disponíveis livremente
ao público e são publicadas no site da escola.
Integridade
O que é: Assegura que as informações sejam corretas, autênticas e confiáveis, protegidas
contra alterações não autorizadas.
Como funciona: Protege os dados enquanto estão em uso, trânsito ou armazenamento, garantindo
que permaneçam inalterados.
Exemplo: Vários aspectos de integridade são ilustrados pelo exemplo das informações de
um hospital sobre as alergias de seus pacientes, armazenadas em um banco de
dados. O médico tem de confiar que as informações são corretas e atualizadas.
Entretanto, suponha que um funcionário (por exemplo, um enfermeiro) que está
autorizado a ver e atualizar essas informações falsifique deliberadamente os
dados para causar danos ao hospital.
O banco de dados precisará ser restaurado
rapidamente para um estado confiável e possibilitar o rastreamento e a
identificação da pessoa responsável pelo erro. Informações sobre as alergias dos
pacientes são um exemplo de ativo que requer alto grau de integridade.
Informações inexatas poderiam resultar em sérios danos e até na morte de um
paciente e expor o hospital a uma ação judicial de responsabilidade.
Um exemplo de ativo ao qual pode ser imputado um requisito de integridade
de nível moderado é um site da Web que oferece um fórum para usuários
registrados discutirem algum tópico específico. Um usuário registrado ou um
hacker poderia falsificar algumas entradas ou desfigurar o site.
Se o fórum
existir para ser utilizado somente pelos usuários, se gerar pouca ou nenhuma
receita de anúncios publicitários e não for usado para algo importante como
pesquisas, o dano potencial não é grave.
O webmaster pode sofrer alguma perda
de dados, de tempo ou financeira.
Um exemplo de requisito de integridade baixa é uma votação anônima online. Muitos sites da Web, como empresas jornalísticas, fornecem os resultados
dessas votações a seus usuários com um número muito pequeno de ressalvas.
Todavia, a inexatidão e a natureza não científica dessas votações é bem
entendida.
Disponibilidade
O que é: Garante que os sistemas e dados estejam acessíveis e operacionais quando os usuários autorizados precisam
deles.
Como funciona: Mantém os sistemas ativos e funcionando para evitar a interrupção de processos críticos, mesmo que a
disponibilidade não seja 24/7, mas sim de acordo com um acordo prévio.
Exemplo: Quanto mais crítico um componente ou serviço, mais alto é o nível de
disponibilidade exigido. Considere um sistema que provê serviços de
autenticação para sistemas, aplicações e dispositivos críticos.
Uma interrupção
do serviço resultaria na incapacidade de os clientes acessarem ativos
computacionais e de funcionários acessarem os ativos de que necessitam para
executar tarefas críticas.
A perda do serviço traduz-se em grande perda
financeira e em termos de perda de produtividade dos empregados e potencial
perda de clientes.
Um exemplo do que normalmente seria classificado como ativo que requer
disponibilidade moderada é um site público de uma universidade; o site provê
informações sobre estudantes e doadores atuais e potenciais. Tal site não é um
componente crítico do sistema de informação da universidade, mas sua
indisponibilidade causará algum constrangimento.
Uma aplicação de consulta a listas telefônicas on-line seria classificada como
requisito de disponibilidade baixa. Embora a perda temporária de acesso à
aplicação possa ser um aborrecimento, há outros modos de acessar a informação,
como uma lista em papel ou um telefonista.
Todos os indivíduos de uma organização que desejem ter um
entendimento básico sobre segurança da informação. O conhecimento sobre segurança da
informação é importante para todos os funcionários. Não faz diferença se você trabalha em uma
organização com ou sem fins lucrativos, pois todas as organizações enfrentam riscos semelhantes.
Os funcionários precisam saber por que devem cumprir diariamente as regras de segurança. Os
gerentes imediatos precisam ter esse entendimento, uma vez que são responsáveis pela segurança
da informação no seu departamento. Esse conhecimento básico também é importante para todos
os profissionais, incluindo os trabalhadores autônomos, que não possuem funcionários, visto que
são responsáveis por proteger suas próprias informações. Certo grau de conhecimento também é
necessário em casa. E, é claro, esse conhecimento constitui uma boa base para aqueles que têm em
vista uma carreira como especialista de segurança da informação, seja como um profissional de
Tecnologia da Informação (TI) ou um gerente de processos
Todo mundo está envolvido com a segurança da informação, muitas vezes por meio de
contramedidas de segurança. Essas contramedidas são, por vezes, impostas por normas
regulatórias e às vezes implementadas por meio de normas internas. Considere, por exemplo, o
uso de senha em um computador. Nós normalmente vemos tais medidas como um incômodo,
uma vez que elas tomam o nosso tempo e nem sempre compreendemos do que elas nos protegem.
A segurança da informação é o caminho para encontrar o equilíbrio certo entre diversos
aspectos:
Os requisitos de qualidade que uma organização pode ter para a sua informação.
Os riscos associados a esses requisitos de qualidade.
As contramedidas que são necessárias para mitigar esses riscos.
A garantia da continuidade do negócio em caso de um desastre.
Se e quando relatar incidentes fora da organização.
O que é qualidade?
Primeiro você deve decidir o que pensa ser qualidade. Em seu nível mais simples, a qualidade
responde a duas perguntas: “o que se quer?” e “como é que fazemos?”. De forma adequada, o
reduto da qualidade sempre foi a área de processos. Desde a ISO 9000 até os pontos mais altos da
Gestão de Qualidade Total (GQT) ou Total Quality Management (TQM), os profissionais de
qualidade especificam, medem, aprimoram e reinventam processos para garantir que as pessoas
consigam o que querem. Então, onde estamos agora?
Existem tantas definições de qualidade quanto existem consultores de qualidade, mas as
variações comumente aceitas incluem:
‘Conformidade com os requisitos’
‘Adequação ao uso’
‘A totalidade das características de uma entidade que lhe confere a capacidade de satisfazer as
necessidades explícitas e implícitas’ – ISO 9001-2008.
Modelos de qualidade para negócios, incluindo o Prêmio Deming, o modelo de excelência
EFQM e o prêmio Baldrige.
O principal objetivo deste livro é prover capacitação para os estudantes que desejam realizar um
exame básico de segurança. Este livro é baseado no padrão internacional ISO 27002:2013 e pode
ser uma fonte de informações para o professor que queira questionar os alunos de segurança da
informação quanto aos seus conhecimentos. Muitos dos capítulos incluem um estudo de caso.
Com o objetivo de ajudar na compreensão e na coerência de cada assunto, esses estudos de caso
incluem questões relacionadas às áreas cobertas nos capítulos relevantes. Também estão incluídos
exemplos de eventos recentes que ilustram a vulnerabilidade da informação.
Estudo de Caso: Springbooks – Uma Livraria Internacional
Introdução
A Springbooks foi fundada em 1901. Durante a sua expansão para uma organização internacional que opera na Europa, a empresa teve que mudar e se ajustar ao seu ambiente. Boa parte disso foi a grande mudança ocorrida ao longo dos últimos cinquenta anos no fornecimento de informações. Como se pode imaginar, há uma grande diferença no controle de processos entre a época em que a Springbooks foi fundada em 1901, com o surgimento de Tecnologias da Informação e de Comunicações (TICs) (ou Information and Communication Techniques – ICT) durante as décadas de 1960 e 1970, até a crescente dependência das TICs dos dias de hoje. As TICs se tornaram uma das mais importantes ferramentas da Springbooks.
A Springbooks Ltd. (SB) é uma livraria que opera na Europa. É uma organização com 120
livrarias, a maioria das quais funcionando com base em franquias. No total, 50 dessas lojas
pertencem à própria SB.
A SB foi fundada em 1901 quando Henry Spring abriu uma pequena loja em Bedrock-onThames, Reino Unido.
Ao longo do tempo 36 lojas foram criadas em todas as principais cidades do Reino Unido.
Imediatamente após o fim da Segunda Guerra Mundial a SB estabeleceu livrarias em Amsterdã,
Copenhague, Estocolmo, Bonn, Berlim e Paris.
Atualmente a SB possui lojas em todas as principais cidades da União Europeia (UE). O
Conselho de Diretores fica nos escritórios de Londres. A sede europeia está em Amsterdã e todo
país possui um escritório central. Todas as livrarias prestam contas ao seu escritório nacional. O
escritório nacional presta contas à sede europeia em Amsterdã. A sede europeia, por fim, presta
contas ao Conselho de Diretores em Londres.
Em 2000 foram feitos planos para expandir os negócios internacionais para EUA, Canadá,
Austrália e Nova Zelândia. Entretanto, devido à crise bancária, esses planos não foram realizados,
até a primavera de 2015, quando foram publicadas as ideias de expandir para a Austrália e Nova
Zelândia.
A crise bancária teve um sério efeito sobre o valor das ações da SB. O fato é que a primeira coisa
que as pessoas cortam é despesa com livros, jornais e revistas, os principais negócios da SB. Isso
resultou na suspensão temporária dos planos de expansão para o mercado externo. Os planos de
investimento em novas lojas estão congelados e a busca por novos mercados resultou em novos
planos.
O Conselho de Diretores por muito tempo adotou uma abordagem antiquada de negócio. A internet não era o seu jeito de fazer negócio. Um grupo de consultoria independente havia recomendado que a SB lançasse lojas na Austrália e na Nova Zelândia para expandir em conjunto com as muito bem-sucedidas lojas “locais” da internet, as quais foram abertas na Austrália e na Nova Zelândia em 2014.
Organização:
Londres, Reino Unido:
Na sede de Londres estão o Conselho de Diretores e os Diretores Gerais de Informação (CIO),
Financeiro (CFO), de Compras (CPO) e Executivo (CEO).
Cada país possui um escritório central, que é responsável pelos negócios naquele país específico.
O Diretor de cada país é responsável perante o Diretor de Unidade pela sua região específica.
Bedrock-on-Thames, Reino Unido:
O Diretor do Reino Unido (o Reino Unido não pertence à UE) é responsável pelas livrarias do
Reino Unido. Também há um CIO, CEO, CFO e um Encarregado de Segurança da Informação
Local, ou Local Information Security Of icer (LISO).
Amsterdã, Holanda:
Diretor da UE (UE sem o Reino Unido), UE CIO, CEO, CFO, CPO, LISO e o Diretor
Corporativo de Segurança da Informação, ou Corporate Information Security Of icer (CISO).
A área de TI é organizada de forma centralizada. Há uma Wide Area Network (WAN) a qual
todas as lojas estão conectadas.
A WAN da Springbooks é uma rede de computadores que cobre
uma grande área. Ela contrasta com as Local Area Networks (LANs) das livrarias, que são limitadas
a uma única edificação.
O que é WAN?
WAN é a sigla para Wide Area Network, ou Rede de Longa Distância. Trata-se de uma rede de computadores que abrange uma área geográfica grande, como cidades, países ou até mesmo o mundo todo, conectando diferentes redes menores (como as LANs). O principal exemplo de uma WAN é a própria Internet
As caixas registradoras estão conectadas à WAN. Todo livro vendido é
escaneado na caixa registradora e registrado em uma base de dados central. Isso permite
acompanhar a evolução do estoque em tempo real, em qualquer (parte do) dia. Ao atualizar o
estoque com base nas vendas, a Springbooks pode garantir que tem sempre os livros populares em
estoque.
A velocidade de reposição do estoque depende da popularidade do livro, é claro.
Todo funcionário possui seu próprio ID, que é usado para fazer o login no sistema das caixas
registradoras. Todo livro vendido é associado ao empregado que gerou a fatura. Na mesma base de
dados há muitas informações de clientes armazenadas, tais como nomes, endereços e informações
de cartão de crédito.
Todas as informações relativas aos clientes, armazenadas no ambiente de TI da Springbooks,
tornam muito importante a segurança da informação e a conformidade com as leis (nacionais) de
privacidade. A divulgação inesperada e não autorizada da base de dados de clientes pode ter
enormes consequências para a confiabilidade da Springbooks.
A Springbooks possui uma organização de segurança da informação parcialmente centralizada.
A principal maneira de realizar (ou tratar) de segurança da informação é através da sede em
Londres. A ISO 27001 e a ISO 27002 são as normas a serem utilizadas em todos os países.
Em Londres há um Gerente Corporativo de Segurança da Informação com a responsabilidade de
organizar a segurança da informação na empresa. Ele garante que a segurança da informação seja
parte do trabalho diário de todos os funcionários da Springbooks.
Fica a cargo dos escritórios locais garantir o cumprimento das leis e dos regulamentos. Esse
elemento descentralizado pode ter impacto na forma como a segurança da informação deve ser
organizada localmente.
O Encarregado de Segurança da Informação Local (Local Information Security Of icer – LISO)
do país é responsável pela adesão às regras centrais e nacionais. Ele também é responsável pela
segurança física das livrarias e pela saúde, segurança e meio ambiente dos empregados das
livrarias. No Reino Unido, próximo ao CIO, o LISO é responsável pela segurança da informação
das livrarias situadas na região.
Toda livraria possui um ponto focal de segurança da informação. Este é um funcionário
responsável pela segurança da informação na loja e ponto de contato para o LISO
“nacional”.
Definições e Conceitos de Segurança
Na nova ISO 27001:2013 declara que todos os termos e definições foram
transferidos para a ISO 27000:2014. Consequentemente, todas as definições deixaram de ser
incluídas na ISO 27001:2013.
A ISO/IEC 27000:2014 é o primeiro volume de toda a família de
normas ISO 27000. Ela contém uma visão geral dessa família de normas e explica as definições dos
termos usados nas referidas normas, as quais são todas focadas na tecnologia da informação, nas
técnicas de segurança e nos sistemas de gestão de tecnologia da informação. Veja o Apêndice B
para uma visão geral de todas as normas da série ISO 27000.
As definições a seguir são explicadas na ISO 27000 ou são mencionadas na ISO 27000:2014; elas
derivam, no entanto, de outras normas ISO. O objetivo dessa abordagem é criar um entendimento
comum sobre termos e definições. O objetivo da ISO é evitar confusões quanto a tais termos e
definições. Por exemplo, um ativo é qualquer item que tenha valor para a organização. Isso
significa que em toda norma, seja qual for o seu assunto, é usada a mesma definição de ativo.
Neste capítulo provemos as definições dos principais conceitos usados neste livro. No final deste
livro há também um vasto glossário.
Antes de entrarmos nas definições e nos conceitos de segurança, há uma breve introdução sobre
as mais recentes normas de gestão da ISO, juntamente com algumas informações sobre as
principais mudanças que ocorreram nas últimas normas de gestão da ISO.
Em 2012 foi publicado o Anexo SL, “Propostas para normas de sistemas de gestão” (Proposals for
management system standards), que dá orientações sobre como devem ser definidas as normas de
gestão ISO. De fato, o Anexo SL fornece requisitos implícitos sobre os capítulos a serem incluídos
em uma norma de gestão. O resultado é uma grande mudança entre a ISO 27001:2005 e a ISO
27001:2013. Os benefícios dessas mudanças são o alinhamento entre diferentes normas de gestão,
as quais terão sempre o mesmo formato, e o uso das mesmas definições e dos mesmos conceitos.
Por exemplo, a definição de responsabilidade é idêntica nas normas para segurança da informação,
gestão da informação e gestão de continuidade de negócios.
Definições
Ação preventiva
Ação para eliminar a causa de uma potencial não conformidade ou outra potencial situação indesejável.
Aceitação do risco
A decisão de aceitar um risco.
Ameaça
Causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou organização.
Análise da informação
A análise da informação proporciona uma clara imagem de como uma organização manuseia a informação – como a informação “flui” pela organização.
Análise de riscos
Um processo para compreender a natureza do risco a fim de determinar o seu nível. Uma análise de riscos proporciona a base para a estimativa do risco e para as decisões sobre o tratamento do risco. A análise de riscos inclui a estimativa do risco.
Ataque
Uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de, um ativo.
Ativo
Qualquer coisa que tenha valor para a organização. Esta é uma definição ampla, você pode pensar em instalações, informação, software, hardware, serviços impressos (papéis), mas também em pessoas, habilidades, experiência e coisas intangíveis, como reputação e também imagem.
Autenticidade
Propriedade de uma entidade ser o que afirma que é. Avaliação do risco A avaliação do risco é o processo geral de identificação do risco, análise do risco e estimativa do risco.
Confiabilidade
Propriedade de consistência dos comportamentos e resultados desejados.
Confidencialidade
Propriedade em que a informação não é disponibilizada ou divulgada para pessoas, entidades ou processos não autorizados. O conceito de confidencialidade busca prevenir a divulgação intencional ou não intencional do conteúdo de uma mensagem. A perda de confidencialidade pode ocorrer de diversas maneiras, tais como pela divulgação intencional de uma informação privada de uma empresa ou pelo mau uso das credenciais de acesso à rede.
Controle
Meios de gerenciar o risco, incluindo políticas, procedimentos, diretrizes e práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, gerencial ou legal, que modifiquem o risco à segurança da informação.
Diretriz
Descrição que esclarece o que deve ser feito, e como, para alcançar os objetivos definidos nas políticas.
Disponibilidade
Propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada. O texto formal anterior assegura o acesso confiável e em tempo oportuno a dados ou recursos de computação pelo pessoal apropriado. Em outras palavras, a disponibilidade garante que os sistemas estão ativos e funcionando quando necessário. Adicionalmente, este conceito garante que os serviços de segurança, que o profissional de segurança requer, estão em perfeito funcionamento.
Estimativa do risco
É o processo de comparar os resultados de análise do risco com um critério de risco a fim de determinar quando o risco e/ou sua magnitude é aceitável ou tolerável. Evento de segurança da informação Ocorrência identificada de um estado de um sistema, serviço ou rede que indique uma possível violação da política de segurança da informação ou falha de proteção, ou uma situação previamente desconhecida que possa ser relevante em termos de segurança.
Exposição
Exposição é a circunstância de estar exposto aos prejuízos oriundos de um agente ameaçador. Gerenciamento de riscos Atividades coordenadas para direcionar e controlar uma organização no que diz respeito ao risco.
Gestão da informação
A gestão da informação descreve os meios pelos quais uma organização eficientemente planeja, coleta, organiza, usa, controla, dissemina e descarta sua informação, e através da qual garante que o valor dessa informação é identificado e explorado em toda a sua extensão. Gestão de incidentes de segurança da informação Processos para detectar, reportar, avaliar, responder, lidar e aprender com os incidentes de segurança da informação.
Gestão de segurança da informação
Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco. O gerenciamento do risco tipicamente inclui a avaliação do risco, o tratamento do risco, a aceitação do risco e a comunicação do risco.
Identificação do risco
É o processo de encontrar, reconhecer e descrever riscos. A identificação do risco envolve a identificação das suas fontes, eventos, causas e suas potenciais consequências. A identificação do risco também pode envolver dados históricos, análise teórica, opiniões, pareceres fundamentados e de especialistas, e necessidades das partes interessadas.
Incidente de segurança da informação
Um incidente de segurança da informação é indicado por um único ou uma série de eventos de segurança da informação, indesejáveis ou inesperados, que tenham uma probabilidade significativa de comprometer a operação dos negócios e ameacem a segurança da informação.
Informação
Informação é o dado que tem significado em algum contexto para quem o recebe. Quando informação é inserida e armazenada em um computador, ela é geralmente referida como dado. Após processamento (tal como formatação e impressão), o dado de saída pode ser novamente percebido como informação.
Instalações de processamento de informações
Qualquer sistema de processamento de informações, serviço ou infraestrutura, ou os locais físicos que as abriguem.
Integridade
Propriedade de proteger a exatidão e a integridade dos ativos. O conceito de integridade assegura que sejam prevenidas modificações não autorizadas ao software e ao hardware, que não sejam feitas modificações não autorizadas aos dados, por pessoal autorizado ou não autorizado e/ou processo, e que o dado seja internamente e externamente consistente.
Não repúdio
Habilidade de provar a ocorrência de um suposto evento ou ação e suas entidades de origem.
Política
A intenção e orientação geral formalmente expressa pela administração.
Procedimento
Forma específica de conduzir uma atividade ou processo.
Processo
Conjunto de atividades inter-relacionadas ou interativas que transformam entradas em saídas.
Processo de gerenciamento de riscos