Glossário SGSI

Ação para eliminar a causa de uma não-conformidade identificada ou outra situação indesejável e prevenir a repetição.

Tentativa não autorizada, bem-sucedida ou malsucedida, de destruir, alterar, desabilitar, obter acesso a um ativo ou qualquer tentativa de expor, roubar ou fazer uso não autorizado de um ativo.

Propriedade que uma entidade é o que ela alega ser.

Provisão de garantia de que uma característica alegada de uma entidade está correta.

Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos.

Bens tangíveis e intangíveis que têm valor para a organização.

• Ativos primários:
  • Processos e atividades de negócio
  • Informação
• Ativos de suporte e infraestrutura:
  • Hardware e software
  • Rede
  • Recursos Humanos
  • Instalações físicas

Qualquer dado, informação ou conhecimento a que esteja associado um valor para o negócio do SciELO/FAPUNIFESP. São também ativos de informação os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e os recursos humanos que a eles têm acesso.

Atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade de tal forma que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo.

Ação ou conjunto de ações executados por um órgão ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou serviços.

Em criptografia, um ataque de força bruta, ou busca exaustiva de chave, é um ataque criptoanalítico que pode, em teoria, ser usado contra quaisquer dados criptografados. (WIKIPÉDIA)

Acesso ao ambiente computacional do SciELO/FAPUNIFESP por meio de uma rede de comunicações privada, utilizando a internet como meio, conforme norma específica.

Serviço de armazenamento e sincronização de arquivos . Exemplo: Google Drive.

Ferramenta de detecção que procura anular ou remover os códigos maliciosos de um computador.

É o compromisso assumido pelo prestador de serviços de TI perante os usuários. Diz respeito à definição de prazo, norma de conduta e escopo dos serviços. É o mesmo que SLA (Service Level Agreement) na tradução para o português.

Processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de risco da organização.

Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado para alcançar os objetivos estabelecidos.

Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.

Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente identificadas. 

• Exemplos de ameaças:
  • Acesso não autorizado
  • Espionagem industrial
  • Ações de hackers
  • Fraude
  • Roubo de documentos confidenciais
  • Enchente
  • Incêndio, etc.

É formado pelos conhecimentos e informações relativos aos processos e produtos de seu ramo de negócios e pelas organizações que o produz. As organizações utilizam alguma forma de tecnologia para executar suas operações e realizar suas tarefas. [WIKIPÉDIA].

Local, físico ou virtual, em que são realizados os procedimentos necessários à operacionalização dos processos de uma unidade.

Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.

Ferramenta desenvolvida para detectar, anular e eliminar de um computador vírus e outros tipos de códigos maliciosos.

Um banco de dados que contém todos os registros de erros conhecidos.

A autenticação é “quebrada” quando os invasores conseguem comprometer senhas, chaves ou tokens de sessão, informações de contas de usuários e outros detalhes para assumir identidades de usuários. Devido ao design e implementação inadequados de controles de identidade e acesso, a prevalência de autenticação quebrada é generalizada.

Processo de analisar o impacto de uma disrupção na organização ao longo do tempo os processos / atividades e os efeitos que uma disrupção de negócio pode ter sobre elas.

Modalidade de backup na qual somente os arquivos novos e modificados desde o último backup realizado.

Conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada.

Cópias de segurança dos dados de um dispositivo ou local de armazenamento para outro. Tornando o dado redundante.

Estratégia de backup que abrange a replicação de dados do backup em um local geograficamente separado do local dos sistemas de produção.

Modalidade de backup na qual somente os arquivos novos e modificados desde o último backup completo são copiados.

Modalidade de backup na qual todos os dados são copiados integralmente.

Atendimento a um requisito.

Cross-site scripting é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro de páginas web vistas por outros usuários. (WIKIPÉDIA)

Qualquer evento ou situação que representa uma ameaça significativa à integridade física das pessoas, à missão, operação e aos recursos da instituição.

Cookies da sessão são cookies temporários que são utilizados para lembrar de você durante o curso da sua visita ao website, e eles perdem a validade quando você fecha o navegador. (REFERÊNCIA)

Significa assegurar que o acesso físico e lógico aos ativos seja autorizado e restrito com base em requisitos de negócio e de segurança da informação.

Capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido.

Medida que mantém e/ou modifica o risco.

Propriedade de que a informação não esteja disponível ou revelada a indivíduos, sistemas, órgãos, entidades ou processos não autorizados nem credenciados.

Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.

Funcionário celetista, estagiário e aprendiz.

Criptografia de chave pública, também conhecida como criptografia assimétrica, é qualquer sistema criptográfico que usa pares de chaves: chaves públicas, que podem ser amplamente disseminadas, e chaves privadas que são conhecidas apenas pelo proprietário. (WIKIPÉDIA)

É uma identidade digital de pessoa física e jurídica no meio eletrônico. Ele garante autenticidade, confidencialidade, integridade e não repúdio nas operações que são realizadas por meio dele, atribuindo validade jurídica.

Em comunicação, canal designa o meio usado para transportar uma mensagem do emissor ao receptor. (WIKIPEDIA)

É uma gaiola que subdivide áreas dentro do Datacenter com o objetivo de prover um nível de segurança.

Propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados.

É uma camada extra de segurança na conta, que tem como objetivo confirmar a identidade do usuário. Ao ativar a verificação em duas etapas, o usuário precisa fornecer uma segunda informação após inserir login e senha, e só então terá acesso à conta.

Incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

Dispositivo endpoint usado pelos usuários para acessar serviços de tratamento de informação.

Dispositivo de hardware de tecnologia da informação e comunicação (TIC) conectado à rede.

São as consequências de um incidente. Os danos podem ser diretos ou indiretos.

• Danos diretos – São consequências diretas do incidente. 
  • Exemplo: furto de um veículo
• Danos indiretos – São consequências indiretas do incidente.
  • Exemplo: após o furto do veículo, a pessoa perder compromissos

Falta de continuidade, descontínuo, cronológica ou fisicamente. Interrupção, falta de contiguidade.

É um local onde estão concentrados os sistemas computacionais do SciELO/FAPUNIFESP, como um sistema de telecomunicações e sistema de armazenamento de dados, além do fornecimento de energia para a instalação.

É uma linguagem de computador usada para a definição de estruturas de dados. O termo foi inicialmente introduzido em relação ao modelo de banco de dados Codasyl, onde o esquema de banco de dados era escrito em uma Linguagem de Definição de Dados descrevendo os registros, campos e “conjuntos” que constituíam o Modelo de dados do usuário. Inicialmente referia-se a um subconjunto da SQL, mas hoje é usada em um sentido genérico para referir-se a qualquer linguagem formal para descrição de estruturas de dados ou informação, assim como esquemas. (WIKIPÉDIA)

Qualquer informação que possa ser usada para identificar a pessoa natural à qual tal informação se relaciona ou pode ser direta ou indiretamente vinculada a uma pessoa natural.

Evento, ação ou omissão, repentino e não planejado, que tenha permitido acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica, causando perda para toda ou parte da organização e gerando sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período de tempo superior ao tempo objetivo de recuperação.

Abordagem de um órgão ou entidade que garante a recuperação dos ativos da informação e a continuidade dos processos críticos ao se confrontar com um desastre, uma disrupção ou com outro incidente maior.

Ocorrência indicando uma possível violação de segurança da informação ou falha de controles.

Qualquer ocorrência detectável que tenha importância para a gestão dos serviços de TI, podendo indicar alguma operação anormal do serviço.

Equipe técnica responsável pelos procedimentos de configuração, execução, monitoramento e testes de backup e restauração.

Um problema que possui causa raiz e solução de contorno documentadas.

Empregado previamente designado para execução dos processos/atividades críticas.

Ações de marketing voltadas exclusivamente aos colaboradores.

É um algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo. Os valores retornados por uma função hash são chamados valores hash, códigos hash, somas hash (hash sums), checksums ou simplesmente hashes. (WIKIPÉDIA)

Entidade ou grupo de entidades provedoras de recursos críticos e cujo encerramento das operações pode ameaçar a existência da organização.

Ferramenta que permite separar e-mails de acordo com regras pré-definidas. Utilizado tanto para o gerenciamento das caixas postais como para a seleção de e-mails válidos dentre os diversos spams recebidos.

Dispositivo de segurança usado para dividir e controlar o acesso entre redes de computadores.

Basicamente, o gerenciamento de senhas é um sistema capaz de memorizar a sua senha e preencher automaticamente suas informações de login. Além disso, algumas dessas ferramentas são capazes de gerar senhas mais complexas e salvá-las, o que garante a segurança dos seus dados e acessos. (CANALTECH)

Software usado para gerenciar as cópias de dados e máquinas virtuais, apoiado no princípio de integridade.

Processo no qual são gerenciadas as situações de crise, onde são necessárias tomadas de decisões urgentes e coordenadas, com vistas à proteção de pessoas e à redução dos possíveis impactos financeiros, operacionais e de imagem.

Exercício de uma abordagem consistente e eficaz para o manuseio de incidentes de segurança da informação.

Grupos estruturados em níveis hierárquicos, compostos por empregados com responsabilidades específicas, para atuação em situações de crise.

Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado.

Processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de tornar a empresa preparada para enfrentar tentativas de ataque.

Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela está contida.

Propriedade de salvaguarda da exatidão e completeza dos ativos.

Sistemas de TIC que suportam ativos e serviços chaves da Infraestrutura Crítica.

Instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança.

Informação que precisa ser protegida contra indisponibilidade, acesso, modificação ou divulgação pública não autorizada devido a potenciais efeitos adversos em um indivíduo, organização, segurança nacional ou segurança pública.

Um ou mais eventos de segurança da informação e privacidade indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Informação que não se destina a ser disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.

Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

Evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

Segundo ITIL, é uma interrupção não planejada de um serviço em TI ou a redução de sua qualidade. Qualquer evento que cause ou possa causar uma interrupção ou uma redução da qualidade do serviço de TI prestado é considerado um incidente.

Resultado que um determinado evento pode provocar na organização, nos requisitos de avaliação de confidencialidade, integridade e disponibilidade.

Mudança adversa no nível obtido dos objetivos do negócio.

É o conjunto de atributos que caracterizam alguma pessoa ou coisa, ou seja, é a soma de caracteres que individualizam uma pessoa, distinguindo-a das demais.

Dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.

Atividade recorrente para melhorar o desempenho.

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação. Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta). (EVALTEC)

É uma implementação de serviço de diretório que armazena informação sobre objetos em rede de computadores e disponibiliza essa informação a usuários e administradores desta rede.

Limitação das consequências negativas de um determinado evento.

As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos necessários para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) em qualquer organização por meio do estabelecimento de políticas de segurança, controles e gerenciamento de risco.

São documentos estabelecidos por consenso e aprovado que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.

Capacidade de comprovar a ocorrência de um evento ou ação declarada e sua entidades originárias.

Não atendimento a um requisito.

A operação de serviço está dentro dos limites de qualidade estabelecidos.

Parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) em benefício e de acordo com as instruções de um controlador de DP.

Documento que relaciona os componentes da estratégia de recuperação de desastre.

Em computação, um protocolo sem estado é um protocolo de comunicação que considera cada requisição como uma transação independente que não está relacionada a qualquer requisição anterior, de forma que a comunicação consista de pares de requisição e resposta independentes. Exemplo: HTTP e IP. (WIKIPÉDIA)

São regras definidas e precisas de como algo deve acontecer. Protocolo de rede, são portanto, o conjunto de regras de como as coisas devem acontecer na rede.

Conjunto de processos priorizados pela Alta Administração, cuja urgência é determinada de forma a evitar impactos inaceitáveis aos negócios, durante uma disrupção.

Conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado pretendido.

Modo especificado de realizar uma atividade ou um processo.

A causa raiz de um ou mais incidentes.

Consiste na medição de o quão provável é a ocorrência do risco.

Em sistemas de gerenciamento de banco de dados, uma instrução preparada, instrução parametrizada ou consulta parametrizada é um recurso usado para pré-compilar o código SQL, separando-o dos dados. Os benefícios das declarações preparadas são: eficiência, porque eles podem ser usados repetidamente sem recompilar. (WIKIPÉDIA)

Diretrizes, estratégias, processos, normas e documentos dedicados à manutenção dos serviços / sistemas de TIC que suportam os processos críticos do SciELO/FAPUNIFESP.

Intenções e direção sobre um assunto ou tema específico, como formalmente expressos pelo nível apropriado de gestão.

Intenções e direção de uma organização, expressa formalmente por sua Alta Direção.

Tática de enganar as pessoas com o objetivo de obter informações pessoais como números de conta, senhas de acesso, de cartões, são os mais comuns.

Documento que contém informações e procedimentos que preparam e orientam todas as unidades ou um conjunto de unidades do SciELO/FAPUNIFESP no enfrentamento de uma crise.

Pessoas que executam atividades sob a direção da organização.

Planos e procedimentos relacionados à recuperação de ativos de infraestrutura de TI que suportam os processos / atividades e serviços / sistemas críticos de TIC.

Documentação dos procedimentos e informações necessários à manutenção dos processos críticos, que descreve de forma detalhada os procedimentos e atividades de resposta, comunicação, proteção das pessoas e redução de danos, no caso de uma disrupção. Busca eliminar a lacuna entre o prazo para restauração ou substituição do componente cuja falha acionou o plano e a retomada do processo de negócio afetado.

Processo contínuo de gestão e governança suportado pela alta direção e que recebe recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de continuidade viáveis e garantir a continuidade de fornecimento de produtos e serviços por intermédio de análises críticas, testes, treinamentos e manutenção.

Pessoas ou organização interessada que pode afetar, ser afetada ou percebe-se afetada por uma decisão ou atividade.

Empresa comercial que nos dá suporte às operações.

É um código de barras, ou barrametrico, bidimensional, que pode ser facilmente escaneado usando a maioria dos telefones celulares equipados com câmera. [WIKIPÉDIA]

Período de tempo em que o conteúdo da mídia de backup deve ser preservado.

Período após um incidente em que o produto ou serviço ou o processo / atividade deve ser retomada, ou os recursos devem ser recuperados.

Diz respeito à quantidade de tempo que as operações levam para estarem acessíveis, após uma indisponibilidade.

Ponto em que a informação usada por um processo / atividade deve ser restaurada para permitir a operação da atividade na retomada. Também pode ser referido como “perda máxima de dados”.

Diz respeito à quantidade de informação que é tolerável perder, no caso de indisponibilidade nos serviços.

Risco remanescente após o tratamento do risco.

Potencial de que ameaças possam explorar vulnerabilidades de um ativo da informação ou grupo de ativos de informação, causando assim dano para a organização.

Estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica.

Colaborador da Infraestrutura de TI e/ou Desenvolvimento de Sistemas responsável pela operação de determinados serviços ou recursos computacionais do SciELO.

Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.

Todos os ativos, pessoas, competências, informação, tecnologia (incluindo instalações e equipamentos), locais, suprimentos e informação (eletrônica ou não) que uma organização deve ter disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos.

Produto e/ou serviço obtidos de fornecedor crítico que, se indisponível, causará disrupção nos processos críticos da organização, ameaçando sua existência.

Capacidade de uma organização ou de uma infraestrutura de resistir aos efeitos de um incidente, ataque ou desastre e retornar à normalidade de operações.

É um sistema de gestão corporativo/institucional (não necessariamente um sistema automatizado) voltado para a Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade, Disponibilidade e Autenticidade. O SGSI é composto por estratégias, planos, políticas, medidas, controles, e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

Grupo de suporte envolvidos na resolução de incidentes e investigação de problemas.

Hardware que contém um conjunto de discos com componentes altamente redundantes onde é armazenado os dados com segurança.

Structured Query Language, ou Linguagem de Consulta Estruturada ou SQL, é a linguagem de pesquisa declarativa padrão para banco de dados relacional. Muitas das características originais do SQL foram inspiradas na álgebra relacional. (WIKIPÉDIA)

Palavra comumente utilizada para se referir aos e-mails não solicitados, que normalmente são enviados em larga escala.

A principal função é liberar ou bloquear, automaticamente, a entrada de pessoas a um determinado ambiente. Fazendo uso de leitura biométrica por impressão digital ou reconhecimento facial. Uma fechadura eletrônica é um exemplo de sistema eletrônico de acesso.

Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que trabalham com bases de dados realizando ataques com comandos SQL; onde o atacante consegue inserir uma instrução SQL personalizada e indevida através da entrada de dados de uma aplicação, como formulários ou URL de uma aplicação online. (WIKIPÉDIA)

Conjunto de aplicações, serviços, ativos de tecnologia da informação ou outros componentes de manuseio da informação.

Um sistema de controle de versões, é um software que tem a finalidade de gerenciar diferentes versões no desenvolvimento de um documento qualquer. Exemplo: GIT. (WIKIPÉDIA)

Todo ativo que possui informações ou dados e foi incluído nos serviços de backup em conformidade com as regras de inclusão.

Serviço de TIC que suporta um ou mais processos críticos.

Preservação da confidencialidade, integridade e disponibilidade da informação.

Em criptografia, salt é um dado aleatório que é usado como uma entrada adicional para uma função unidirecional que “quebra” os dados, uma senha ou frase-passe. Os salts são usados para proteger as senhas no armazenamento.(WIKIPÉDIA)

É uma sala localizada na matriz onde fica concentrado os sistemas computacionais de Recuperação e Desastre do SciELO/FAPUNIFESP.

Processo para modificar um risco.

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

É uma das categorias dos novos modelos de trabalho, abrangida no conceito legal de Teletrabalho, e permite que o colaborador exerça de forma autônoma, em ambiente externo, suas atividades com registro de ponto on-line.

Pessoa natural a quem se referem os dados pessoais (DP)

É um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que é capaz de realizar as mesmas tarefas do token. [WIKIPÉDIA]

Atividades projetadas para examinar a capacidade da organização para responder, recuperar, e continuar eficazmente a executar funções, pelas áreas de negócio, atribuídas quando confrontados com cenários de disrupção específicos. Os exercícios e os resultados são documentados para assegurar a eficácia e a prontidão de seus planos de continuidade de negócios. Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados em um cenário apropriado para atendê-los. São normatizados em PCO.

Prestação de serviços preponderantemente fora das dependências do SciELO/FAPUNIFESP, com a utilização de tecnologias de informação e de comunicação.

É uma etapa que consiste em identificar tarefas repetitivas, que poderiam ser realizadas sem a intervenção humana, e substituí-las por softwares, aplicativos e interfaces, trazendo mais assertividade, eficiência e controle aos processos.

Ambiente normal, regular de trabalho de unidade gestora do PCO.

Funcionário celetista, prestador de serviço, estagiário, aprendiz ou parceiro, autorizado a acessar os ativos de informação do SciELO/FAPUNIFESP para desempenho de suas atribuições.

Comprometimento de segurança da informação que leva à destruição indesejada, perda, alteração, divulgação ou acesso a informações protegidas transmitidas, armazenadas ou tratadas de diversas formas.

Rede virtual privativa implementada sobre redes públicas, como a Internet, que utiliza mecanismos de criptografia que garantem o sigilo e a integridade da informação trafegada.

Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.

Falhas, fraquezas na segurança que podem ser exploradas por uma ou mais ameaças para obter acesso não autorizado a um ativo.