Glossário SGSI

 Apoio Operacional Quem Somos Governança SGSI LGPD Glossário

Lista de termos com definições, utilizados no portal e na LGPD.

Ação corretiva

Ação para eliminar a causa de uma não-conformidade identificada ou outra situação indesejável e prevenir a repetição.

Ataque

Tentativa não autorizada, bem-sucedida ou malsucedida, de destruir, alterar, desabilitar, obter acesso a um ativo ou qualquer tentativa de expor, roubar ou fazer uso não autorizado de um ativo.

Autenticidade

Propriedade que uma entidade é o que ela alega ser.

Autenticação

Provisão de garantia de que uma característica alegada de uma entidade está correta.

Auditoria

Processo sistemático, documentado e independente para obter evidência objetiva e avaliá-la objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos.

Ativos

Bens tangíveis e intangíveis que têm valor para a organização.

  • Ativos primários:
    • Processos e atividades de negócio
    • Informação
  • Ativos de suporte e infraestrutura:
    • Hardware e software
    • Rede
    • Recursos Humanos
    • Instalações físicas
Ativo da Informação

Qualquer dado, informação ou conhecimento a que esteja associado um valor para o negócio do SciELO/FAPUNIFESP. São também ativos de informação os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e os recursos humanos que a eles têm acesso.

Atividade Crítica

Atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade de tal forma que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo.

Atividade

Ação ou conjunto de ações executados por um órgão ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou serviços.

Ataque de Força Bruta

Em criptografia, um ataque de força bruta, ou busca exaustiva de chave, é um ataque criptoanalítico que pode, em teoria, ser usado contra quaisquer dados criptografados. (WIKIPÉDIA)

Acesso Remoto

Acesso ao ambiente computacional do SciELO/FAPUNIFESP por meio de uma rede de comunicações privada, utilizando a internet como meio, conforme norma específica.

Armazenamento Remoto

Serviço de armazenamento e sincronização de arquivos . Exemplo: Google Drive.

Anti-Malware

Ferramenta de detecção que procura anular ou remover os códigos maliciosos de um computador.

ANS (Acordo de Nível de Serviço)

É o compromisso assumido pelo prestador de serviços de TI perante os usuários. Diz respeito à definição de prazo, norma de conduta e escopo dos serviços. É o mesmo que SLA (Service Level Agreement) na tradução para o português.

Análise de Impacto de Privacidade (PIA)

Processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de risco da organização.

Análise Crítica

Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado para alcançar os objetivos estabelecidos.

Ameaças

Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.

Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente identificadas. 

  • Exemplos de ameaças:
    • Acesso não autorizado
    • Espionagem industrial
    • Ações de hackers
    • Fraude
    • Roubo de documentos confidenciais
    • Enchente
    • Incêndio, etc.
Ambiente Tecnológico

É formado pelos conhecimentos e informações relativos aos processos e produtos de seu ramo de negócios e pelas organizações que o produz. As organizações utilizam alguma forma de tecnologia para executar suas operações e realizar suas tarefas. [WIKIPÉDIA].

Ambiente Operacional

Local, físico ou virtual, em que são realizados os procedimentos necessários à operacionalização dos processos de uma unidade.

Alta Direção

Pessoa ou grupo de pessoas que dirigem e controlam uma organização no mais alto nível.

Antivírus

Ferramenta desenvolvida para detectar, anular e eliminar de um computador vírus e outros tipos de códigos maliciosos.

Banco de Dados de Erros Conhecidos

Um banco de dados que contém todos os registros de erros conhecidos.

Broken Authentication

A autenticação é “quebrada” quando os invasores conseguem comprometer senhas, chaves ou tokens de sessão, informações de contas de usuários e outros detalhes para assumir identidades de usuários. Devido ao design e implementação inadequados de controles de identidade e acesso, a prevalência de autenticação quebrada é generalizada.

BIA – Business Impact Analysis – Análise de Impacto nos Negócios

Processo de analisar o impacto de uma disrupção na organização ao longo do tempo os processos / atividades e os efeitos que uma disrupção de negócio pode ter sobre elas.

Backup Incremental

Modalidade de backup na qual somente os arquivos novos e modificados desde o último backup realizado.

Backup ou cópia de segurança

Conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada.

Cópias de segurança dos dados de um dispositivo ou local de armazenamento para outro. Tornando o dado redundante.

Backup Off-Site

Estratégia de backup que abrange a replicação de dados do backup em um local geograficamente separado do local dos sistemas de produção.

Backup Diferencial

Modalidade de backup na qual somente os arquivos novos e modificados desde o último backup completo são copiados.

Backup Completo

Modalidade de backup na qual todos os dados são copiados integralmente.

Conformidade

Atendimento a um requisito.

Cross-Site Scripting

Cross-site scripting é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro de páginas web vistas por outros usuários. (WIKIPÉDIA)

Crise

Qualquer evento ou situação que representa uma ameaça significativa à integridade física das pessoas, à missão, operação e aos recursos da instituição.

Controle de Acesso

Significa assegurar que o acesso físico e lógico aos ativos seja autorizado e restrito com base em requisitos de negócio e de segurança da informação.

Continuidade de Negócios

Capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido.

Controle

Medida que mantém e/ou modifica o risco.

Confidencialidade

Propriedade de que a informação não esteja disponível ou revelada a indivíduos, sistemas, órgãos, entidades ou processos não autorizados nem credenciados.

Competência

Capacidade de aplicar conhecimento e habilidades para atingir resultados pretendidos.

Colaborador

Funcionário celetista, estagiário e aprendiz.

Cifrador Assimétrico

Criptografia de chave pública, também conhecida como criptografia assimétrica, é qualquer sistema criptográfico que usa pares de chaves: chaves públicas, que podem ser amplamente disseminadas, e chaves privadas que são conhecidas apenas pelo proprietário. (WIKIPÉDIA)

Certificado Digital

É uma identidade digital de pessoa física e jurídica no meio eletrônico. Ele garante autenticidade, confidencialidade, integridade e não repúdio nas operações que são realizadas por meio dele, atribuindo validade jurídica.

Canal de Comunicação

Em comunicação, canal designa o meio usado para transportar uma mensagem do emissor ao receptor. (WIKIPEDIA)

Cage

É uma gaiola que subdivide áreas dentro do Datacenter com o objetivo de prover um nível de segurança.

Disponibilidade

Propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados.

Duplo Fator de Autenticação

É uma camada extra de segurança na conta, que tem como objetivo confirmar a identidade do usuário. Ao ativar a verificação em duas etapas, o usuário precisa fornecer uma segunda informação após inserir login e senha, e só então terá acesso à conta.

Disrupção

Incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

Dispositivo Endpoint do Usuário

Dispositivo endpoint usado pelos usuários para acessar serviços de tratamento de informação.

Dispositivo Endpoint

Dispositivo de hardware de tecnologia da informação e comunicação (TIC) conectado à rede.

Danos

São as consequências de um incidente. Os danos podem ser diretos ou indiretos.

  • Danos diretos – São consequências diretas do incidente
    • Exemplo: furto de um veículo
  • Danos indiretos – São consequências indiretas do incidente.
    • Exemplo: após o furto do veículo, a pessoa perder compromissos
Descontinuidade

Falta de continuidade, descontínuo, cronológica ou fisicamente. Interrupção, falta de contiguidade.

Datacenter (DC)

É um local onde estão concentrados os sistemas computacionais do SciELO/FAPUNIFESP, como um sistema de telecomunicações e sistema de armazenamento de dados, além do fornecimento de energia para a instalação.

Data Definition Language (DDL)

É uma linguagem de computador usada para a definição de estruturas de dados. O termo foi inicialmente introduzido em relação ao modelo de banco de dados Codasyl, onde o esquema de banco de dados era escrito em uma Linguagem de Definição de Dados descrevendo os registros, campos e “conjuntos” que constituíam o Modelo de dados do usuário. Inicialmente referia-se a um subconjunto da SQL, mas hoje é usada em um sentido genérico para referir-se a qualquer linguagem formal para descrição de estruturas de dados ou informação, assim como esquemas. (WIKIPÉDIA)

Dados Pessoais (DP)

Qualquer informação que possa ser usada para identificar a pessoa natural à qual tal informação se relaciona ou pode ser direta ou indiretamente vinculada a uma pessoa natural.

Desastre

Evento, ação ou omissão, repentino e não planejado, que tenha permitido acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica, causando perda para toda ou parte da organização e gerando sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período de tempo superior ao tempo objetivo de recuperação.

Estratégia de Continuidade de Negócios

Abordagem de um órgão ou entidade que garante a recuperação dos ativos da informação e a continuidade dos processos críticos ao se confrontar com um desastre, uma disrupção ou com outro incidente maior.

Evento de Segurança da Informação

Ocorrência indicando uma possível violação de segurança da informação ou falha de controles.

Evento

Qualquer ocorrência detectável que tenha importância para a gestão dos serviços de TI, podendo indicar alguma operação anormal do serviço.

Equipe de Backup

Equipe técnica responsável pelos procedimentos de configuração, execução, monitoramento e testes de backup e restauração.

Erro Conhecido

Um problema que possui causa raiz e solução de contorno documentadas.

Empregado Chave

Empregado previamente designado para execução dos processos/atividades críticas.

Endomarketing

Ações de marketing voltadas exclusivamente aos colaboradores.

Função Hash

É um algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo. Os valores retornados por uma função hash são chamados valores hash, códigos hash, somas hash (hash sums), checksums ou simplesmente hashes. (WIKIPÉDIA)

Fornecedor Crítico

Entidade ou grupo de entidades provedoras de recursos críticos e cujo encerramento das operações pode ameaçar a existência da organização.

Filtro Antispam

Ferramenta que permite separar e-mails de acordo com regras pré-definidas. Utilizado tanto para o gerenciamento das caixas postais como para a seleção de e-mails válidos dentre os diversos spams recebidos.

Firewall

Dispositivo de segurança usado para dividir e controlar o acesso entre redes de computadores.

Ferramenta de Gerenciamento de Senha

Basicamente, o gerenciamento de senhas é um sistema capaz de memorizar a sua senha e preencher automaticamente suas informações de login. Além disso, algumas dessas ferramentas são capazes de gerar senhas mais complexas e salvá-las, o que garante a segurança dos seus dados e acessos. (CANALTECH)

Ferramenta de Gerenciamento de Backup

Software usado para gerenciar as cópias de dados e máquinas virtuais, apoiado no princípio de integridade.

Gestão de Crise

Processo no qual são gerenciadas as situações de crise, onde são necessárias tomadas de decisões urgentes e coordenadas, com vistas à proteção de pessoas e à redução dos possíveis impactos financeiros, operacionais e de imagem.

Gestão de Incidentes de Segurança da Informação

Exercício de uma abordagem consistente e eficaz para o manuseio de incidentes de segurança da informação.

Grupos Funcionais

Grupos estruturados em níveis hierárquicos, compostos por empregados com responsabilidades específicas, para atuação em situações de crise.

Gestão de Continuidade de Negócios

Processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado.

Hardening

Processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de tornar a empresa preparada para enfrentar tentativas de ataque.

Informação Documentada

Informação requerida para ser controlada e mantida por uma organização e o meio no qual ela está contida.

Integridade

Propriedade de salvaguarda da exatidão e completeza dos ativos.

Infraestrutura Crítica de Informação

Sistemas de TIC que suportam ativos e serviços chaves da Infraestrutura Crítica.

Infraestrutura Crítica

Instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança.

Informação Sensível

Informação que precisa ser protegida contra indisponibilidade, acesso, modificação ou divulgação pública não autorizada devido a potenciais efeitos adversos em um indivíduo, organização, segurança nacional ou segurança pública.

Incidente de Segurança da Informação e Privacidade

Um ou mais eventos de segurança da informação e privacidade indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Informação Confidencial

Informação que não se destina a ser disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.

Incidente de Segurança

Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

Incidente

Evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

Segundo ITIL, é uma interrupção não planejada de um serviço em TI ou a redução de sua qualidade. Qualquer evento que cause ou possa causar uma interrupção ou uma redução da qualidade do serviço de TI prestado é considerado um incidente.

Impacto

Resultado que um determinado evento pode provocar na organização, nos requisitos de avaliação de confidencialidade, integridade e disponibilidade.

Mudança adversa no nível obtido dos objetivos do negócio.

Identidade de Acesso

É o conjunto de atributos que caracterizam alguma pessoa ou coisa, ou seja, é a soma de caracteres que individualizam uma pessoa, distinguindo-a das demais.

Informação

Dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.

Melhoria Contínua

Atividade recorrente para melhorar o desempenho.

Método Criptográfico

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação. Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta). (EVALTEC)

Microsoft Active Directory

É uma implementação de serviço de diretório que armazena informação sobre objetos em rede de computadores e disponibiliza essa informação a usuários e administradores desta rede.

Mitigação

Limitação das consequências negativas de um determinado evento.

Normas da Familia ISO IEC 27000

As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos necessários para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) em qualquer organização por meio do estabelecimento de políticas de segurança, controles e gerenciamento de risco.

Normas

São documentos estabelecidos por consenso e aprovado que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.

Não Repúdio

Capacidade de comprovar a ocorrência de um evento ou ação declarada e sua entidades originárias.

Não Conformidade

Não atendimento a um requisito.

Operação Normal do Serviço

A operação de serviço está dentro dos limites de qualidade estabelecidos.

Operador de DP

Parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) em benefício e de acordo com as instruções de um controlador de DP.

PRD – Plano de Recuperação de Desastres

Documento que relaciona os componentes da estratégia de recuperação de desastre.

Protocolo Stateless

Em computação, um protocolo sem estado é um protocolo de comunicação que considera cada requisição como uma transação independente que não está relacionada a qualquer requisição anterior, de forma que a comunicação consista de pares de requisição e resposta independentes. Exemplo: HTTP e IP. (WIKIPÉDIA)

Protocolo de Rede

São regras definidas e precisas de como algo deve acontecer. Protocolo de rede, são portanto, o conjunto de regras de como as coisas devem acontecer na rede.

Processos Críticos

Conjunto de processos priorizados pela Alta Administração, cuja urgência é determinada de forma a evitar impactos inaceitáveis aos negócios, durante uma disrupção.

Processo

Conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado pretendido.

Procedimento

Modo especificado de realizar uma atividade ou um processo.

Problema

A causa raiz de um ou mais incidentes.

Probabilidade

Consiste na medição de o quão provável é a ocorrência do risco.

Prepared Statements

Em sistemas de gerenciamento de banco de dados, uma instrução preparada, instrução parametrizada ou consulta parametrizada é um recurso usado para pré-compilar o código SQL, separando-o dos dados. Os benefícios das declarações preparadas são: eficiência, porque eles podem ser usados repetidamente sem recompilar. (WIKIPÉDIA)

PCTIC – Programa de Continuidade de TIC

Diretrizes, estratégias, processos, normas e documentos dedicados à manutenção dos serviços / sistemas de TIC que suportam os processos críticos do SciELO/FAPUNIFESP.

Política Específica por Tema

Intenções e direção sobre um assunto ou tema específico, como formalmente expressos pelo nível apropriado de gestão.

Política

Intenções e direção de uma organização, expressa formalmente por sua Alta Direção.

Phishing

Tática de enganar as pessoas com o objetivo de obter informações pessoais como números de conta, senhas de acesso, de cartões, são os mais comuns.

PGC – Plano de Gestão de Crise

Documento que contém informações e procedimentos que preparam e orientam todas as unidades ou um conjunto de unidades do SciELO/FAPUNIFESP no enfrentamento de uma crise.

Pessoal

Pessoas que executam atividades sob a direção da organização.

PCOTIC – Plano de Continuidade Operacional de Tecnologia da Informação e Comunicação

Planos e procedimentos relacionados à recuperação de ativos de infraestrutura de TI que suportam os processos / atividades e serviços / sistemas críticos de TIC.

PCO – Plano de Continuidade Operacional

Documentação dos procedimentos e informações necessários à manutenção dos processos críticos, que descreve de forma detalhada os procedimentos e atividades de resposta, comunicação, proteção das pessoas e redução de danos, no caso de uma disrupção. Busca eliminar a lacuna entre o prazo para restauração ou substituição do componente cuja falha acionou o plano e a retomada do processo de negócio afetado.

PCN SciELO/FAPUNIFESP – Programa de Continuidade de Negócios do SciELO/FAPUNIFESP

Processo contínuo de gestão e governança suportado pela alta direção e que recebe recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de continuidade viáveis e garantir a continuidade de fornecimento de produtos e serviços por intermédio de análises críticas, testes, treinamentos e manutenção.

Partes Interessadas (Stakeholder)

Pessoas ou organização interessada que pode afetar, ser afetada ou percebe-se afetada por uma decisão ou atividade.

Parceiro

Empresa comercial que nos dá suporte às operações.

QR Code

É um código de barras, ou barrametrico, bidimensional, que pode ser facilmente escaneado usando a maioria dos telefones celulares equipados com câmera. [WIKIPÉDIA]

Retenção

Período de tempo em que o conteúdo da mídia de backup deve ser preservado.

RTO – Recovery Time Objective – Tempo Objetivo de Recuperação

Período após um incidente em que o produto ou serviço ou o processo / atividade deve ser retomada, ou os recursos devem ser recuperados.

Diz respeito à quantidade de tempo que as operações levam para estarem acessíveis, após uma indisponibilidade.

RPO – Recovery Point Objective – Ponto Objetivo de Recuperação

Ponto em que a informação usada por um processo / atividade deve ser restaurada para permitir a operação da atividade na retomada. Também pode ser referido como “perda máxima de dados”.

Diz respeito à quantidade de informação que é tolerável perder, no caso de indisponibilidade nos serviços.

Risco Residual

Risco remanescente após o tratamento do risco.

Risco de Segurança da Informação e Privacidade

Potencial de que ameaças possam explorar vulnerabilidades de um ativo da informação ou grupo de ativos de informação, causando assim dano para a organização.

Recuperação de Desastre

Estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica.

Responsável pelo Serviço

Colaborador da Infraestrutura de TI e/ou Desenvolvimento de Sistemas responsável pela operação de determinados serviços ou recursos computacionais do SciELO.

Requisitos

Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória.

Recursos

Todos os ativos, pessoas, competências, informação, tecnologia (incluindo instalações e equipamentos), locais, suprimentos e informação (eletrônica ou não) que uma organização deve ter disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos.

Recurso Crítico

Produto e/ou serviço obtidos de fornecedor crítico que, se indisponível, causará disrupção nos processos críticos da organização, ameaçando sua existência.

Resiliência

Capacidade de uma organização ou de uma infraestrutura de resistir aos efeitos de um incidente, ataque ou desastre e retornar à normalidade de operações.

Sistema de Gestão de Segurança da Informação

É um sistema de gestão corporativo/institucional (não necessariamente um sistema automatizado) voltado para a Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade, Disponibilidade e Autenticidade. O SGSI é composto por estratégias, planos, políticas, medidas, controles, e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

Suporte

Grupo de suporte envolvidos na resolução de incidentes e investigação de problemas.

Storage

Hardware que contém um conjunto de discos com componentes altamente redundantes onde é armazenado os dados com segurança.

SQL

Structured Query Language, ou Linguagem de Consulta Estruturada ou SQL, é a linguagem de pesquisa declarativa padrão para banco de dados relacional. Muitas das características originais do SQL foram inspiradas na álgebra relacional. (WIKIPÉDIA)

Spam

Palavra comumente utilizada para se referir aos e-mails não solicitados, que normalmente são enviados em larga escala.

Sistema Eletrônico de Acesso

A principal função é liberar ou bloquear, automaticamente, a entrada de pessoas a um determinado ambiente. Fazendo uso de leitura biométrica por impressão digital ou reconhecimento facial. Uma fechadura eletrônica é um exemplo de sistema eletrônico de acesso.

SQL Injection

Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que trabalham com bases de dados realizando ataques com comandos SQL; onde o atacante consegue inserir uma instrução SQL personalizada e indevida através da entrada de dados de uma aplicação, como formulários ou URL de uma aplicação online. (WIKIPÉDIA)

Sistema de Informação

Conjunto de aplicações, serviços, ativos de tecnologia da informação ou outros componentes de manuseio da informação.

Sistema de Controle de Versão

Um sistema de controle de versões, é um software que tem a finalidade de gerenciar diferentes versões no desenvolvimento de um documento qualquer. Exemplo: GIT. (WIKIPÉDIA)

Serviço de Backup

Todo ativo que possui informações ou dados e foi incluído nos serviços de backup em conformidade com as regras de inclusão.

Serviço Crítico de TIC

Serviço de TIC que suporta um ou mais processos críticos.

Segurança da Informação e Privacidade

Preservação da confidencialidade, integridade e disponibilidade da informação.

Salt

Em criptografia, salt é um dado aleatório que é usado como uma entrada adicional para uma função unidirecional que “quebra” os dados, uma senha ou frase-passe. Os salts são usados para proteger as senhas no armazenamento.(WIKIPÉDIA)

Sala de Infraestrutura

É uma sala localizada na matriz onde fica concentrado os sistemas computacionais de Recuperação e Desastre do SciELO/FAPUNIFESP.

Tratamento do Risco

Processo para modificar um risco.

Tratamento

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Trabalho Remoto

É uma das categorias dos novos modelos de trabalho, abrangida no conceito legal de Teletrabalho, e permite que o colaborador exerça de forma autônoma, em ambiente externo, suas atividades com registro de ponto on-line.

Titular de DP

Pessoa natural a quem se referem os dados pessoais (DP)

Token

É um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que é capaz de realizar as mesmas tarefas do token. [WIKIPÉDIA]

Teste Funcional

Atividades projetadas para examinar a capacidade da organização para responder, recuperar, e continuar eficazmente a executar funções, pelas áreas de negócio, atribuídas quando confrontados com cenários de disrupção específicos. Os exercícios e os resultados são documentados para assegurar a eficácia e a prontidão de seus planos de continuidade de negócios. Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados em um cenário apropriado para atendê-los. São normatizados em PCO.

Teletrabalho / Trabalho Remoto

Prestação de serviços preponderantemente fora das dependências do SciELO/FAPUNIFESP, com a utilização de tecnologias de informação e de comunicação.

Tarefa Automatizada

É uma etapa que consiste em identificar tarefas repetitivas, que poderiam ser realizadas sem a intervenção humana, e substituí-las por softwares, aplicativos e interfaces, trazendo mais assertividade, eficiência e controle aos processos.

Unidade de origem

Ambiente normal, regular de trabalho de unidade gestora do PCO.

Usuário

Funcionário celetista, prestador de serviço, estagiário, aprendiz ou parceiro, autorizado a acessar os ativos de informação do SciELO/FAPUNIFESP para desempenho de suas atribuições.

Violação De Segurança Da Informação

Comprometimento de segurança da informação que leva à destruição indesejada, perda, alteração, divulgação ou acesso a informações protegidas transmitidas, armazenadas ou tratadas de diversas formas.

VPN (Virtual Private Network)

Rede virtual privativa implementada sobre redes públicas, como a Internet, que utiliza mecanismos de criptografia que garantem o sigilo e a integridade da informação trafegada.

Vulnerabilidade

Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.

Falhas, fraquezas na segurança que podem ser exploradas por uma ou mais ameaças para obter acesso não autorizado a um ativo.


Revision #9
Created 30 May 2023 16:55:04 by Rondineli G. Saad
Updated 30 May 2023 18:05:06 by Rondineli G. Saad