Nesse post iremos ver o significado de termos usados na família 27000, como ISO 27001, 27002 e 27701. Veja os principais termos técnicos usados.

Para entender como a segurança pode ser gerenciada, diversos conceitos importantes devem ser explicados primeiro. “Vulnerabilidade”, “ameaça”, “risco” e “exposição” são termos frequentemente usados para representar a mesma coisa, mesmo que tenham diferentes significados e relações entre si. É importante entender a definição de cada palavra, mas mais importante ainda é entender as suas relações com outros conceitos.
Ação Preventiva
Ação preventiva é uma ação para eliminar a causa de uma situação indesejável ou potencial não conformidade.
Aceitação do Risco
É simplesmente aceitar o risco mas de forma consciente e planejada, ou seja, já sabendo o resultado. Isto pode acontecer por diversos fatores, como quando o tratamento do risco é mais custoso que a consequência ou impacto que o risco pode causar. Saiba que risco é algo(ameaça) futura. Veja: Exemplo de Risco de Segurança da Informação.
Ameaça
Veja antes o que é um ativo: é tudo aquilo que tem/possui valor para uma empresa ou instituição; seja softwares, pessoas, servidores, conhecimento, cultura, senhas…
Em segurança da informação, chamamos de ameaça tudo aquilo que coloca em risco o valor de um determinado ativo. Ameaça é a causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou organização.
Existem ameaças ativas, que agem alterando dados, ou passivas, que, apesar de não alterarem os dados, podem torná-los vulneráveis.
Sobre a origem das ameaças, podemos classificá-las em:
- Intencionais: surgidas de agentes internos ou externos, como espiões industriais, hackers e funcionários mal intencionados. Pode ser causado ainda por um ator de ameaça. Veja: O que é Ator de Ameaça(Actor Threat) em Informática?
- Não intencionais: resultantes de falta de treinamento adequado ou falha na comunicação sobre as regras de segurança da informação.
- Relacionadas a equipamentos: como falhas fortuitas ou de operação no hardware ou software.
- Eventos naturais: são fáceis de detectar, porém podem causar muito dano, como inundações e enchentes.
Análise da Informação
A análise da informação proporciona uma clara imagem de como uma organização manuseia a informação, como a informação “flui” pela organização.
Análise de Risco
Conforme disse acima, risco é algo que pode ocorrer no futuro. Um processo para compreender a natureza do risco afim de determinar o seu nível, se é alto, médio baixo ou ainda a probabilidade que tem de se concretizar. Uma análise de riscos proporciona a base para a estimativa do risco e para as decisões sobre o tratamento do risco. A análise de riscos inclui a estimativa do risco.
Ataque
Uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de, um ativo. Um ativo é tudo aquilo que possui valor para a organização, pode ser programas, pessoas, conhecimento, computadores… é um termo bem genérico e amplo.
Ativo
Qualquer coisa que tenha valor para a organização. Esta é uma de defnição ampla, você pode pensar em instalações, informação, software, hardware, serviços impressos(papéis), mas também em pessoas, habilidades, experiência e coisas intangíveis, como reputação e também imagem.
Autenticidade
Propriedade de uma entidade ser o que a afirma que é. Quando inserimos usuário e senha em um programa estamos autenticando. Seu documento(RG, CPF…) é uma forma de autenticidade.
Avaliação do Risco
A avaliação do risco é o processo geral de identificação do risco, análise do risco e estimativa do risco.
Confiabilidade
Propriedade de consistência dos comportamentos e resultados desejados.
Confidencialidade
Propriedade em que a informação não é disponibilizada ou divulgada para pessoas, entidades ou processos não autorizados. O conceito de confidencialidade busca prevenir a divulgação intencional ou não intencional do conteúdo de uma mensagem. A perda de confidencialidade pode ocorrer de diversas maneiras, tais como pela divulgação intencional de uma informação privada de uma empresa ou pelo mau uso das credenciais de acesso à rede.
Controle
Meios de gerenciar o risco, incluindo políticas, procedimentos, diretrizes e práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, gerencial ou legal, que modifiquem o risco à segurança da informação. É possível que os controles nem sempre exerçam os pretendidos ou assumidos efeitos de mudança, e o controle também é usado como sinônimo para salvaguarda ou contramedida.
Diretriz
Descrição falando o que deve ser feito, e como, para alcançar os objetivos definidos nas políticas(regras ou normas).
Disponibilidade
Propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada. É o acesso confiável e em tempo oportuno a dados ou recursos de computação pelo pessoal apropriado. A disponibilidade garante que os sistemas estão ativos e funcionando quando necessário. Adicionalmente, este conceito garante que os serviços de segurança, que o profissional de segurança requer, estão em perfeito funcionamento.
Estimativa do Risco
É o processo de comparar os resultados de análise do risco com um critério de risco afim de determinar quando o risco e/ou sua magnitude é aceitável ou tolerável.
Evento de Segurança da Informação
Ocorrência identificada de um estado de um sistema, serviço ou rede que indique uma possível violação da política de segurança da informação ou falha de proteção, ou uma situação previamente desconhecida que possa ser relevante em termos de segurança.
Exposição
Exposição é a circunstância de estar exposto aos prejuízos oriundos de um agente ameaçador.
Gerenciamento de Riscos
Atividades coordenadas para direcionar e controlar uma organização no que diz respeito ao risco.
Gestão da Informação
A gestão da informação descreve os meios pelos quais uma organização eficientemente planeja, coleta, organiza, usa, controla, dissemina e descarta sua informação; através da qual garante que o valor dessa informação é identificado e explorado em toda a sua extensão.
Gestão de Incidentes de Segurança da Informação
Processos para detectar, reportar, avaliar, responder, lidar e aprender com os incidentes de segurança da informação.
Gestão de Segurança da Informação
Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco. O gerenciamento do risco tipicamente inclui a avaliação do risco, o tratamento do risco, a aceitação do risco e a comunicação do risco.
Identificação do Risco
É o processo de encontrar, reconhecer e descrever riscos. A identificação do risco envolve a identificação das suas fontes, eventos, causas e suas potenciais consequências. A identificação do risco também pode envolver dados históricos, análise teórica, opiniões, pareceres fundamentados e de especialistas e necessidades das partes interessadas.
Incidente de Segurança da Informação
Um incidente de segurança da informação é indicado por um único ou uma série de eventos de segurança da informação, indesejáveis ou inesperados, que tenham uma probabilidade significativa de comprometer a operação dos negócios e ameacem a segurança da informação.
Informação
Informação é o dado que tem significado em algum contexto para quem o recebe. Quando informação é inserida e armazenada em um computador, ela é geralmente referida como dado. Após processamento, tal como formatação e impressão, o dado de saída pode ser novamente percebido como informação.
Instalações de Processamento de Informação
Qualquer sistema de processamento de informações, serviço ou infraestrutura, ou os locais físicos que as abriguem.
Integridade
Propriedade de proteger a exatidão e a integridade dos ativos. O conceito de integridade assegura que sejam prevenidas modificações não autorizadas ao software e ao hardware, que não sejam feitas modificações não autorizadas aos dados, por pessoal autorizado ou não autorizado e/ou processo, e que o dado seja internamente e externamente consistente.
Não Repúdio
Habilidade de provar a ocorrência de um suposto evento ou ação e suas entidades de origem.
Política
A intenção e orientação geral formalmente expressa pela administração.
Processo
Conjunto de atividades inter-relacionadas ou interativas que transformam entradas em saídas.
Processo de Gerenciamento de Riscos
É a aplicação sistemática de políticas de gerenciamento, procedimentos e práticas às atividades de comunicar, consultar, estabelecer o contexto e identificar, analisar, avaliar, tratar, monitorar e revisar o risco. A ISO/IEC 27005:2011, que é a norma ISO para o gerenciamento do risco à segurança da informação, usa o termo “processo” para descrever todo o gerenciamento de riscos. Os elementos dentro do processo de gerenciamento de riscos são denominados “atividades”.
Responsabilidade
Atribuição de ações e decisões a uma entidade.
Risco
Efeito da incerteza sobre os objetivos. É a combinação da probabilidade de um evento e sua consequência. Um efeito é um desvio do que é esperado, o qual pode ser positivo e/ou negativo. Os objetivos podem ter diferentes aspectos (tais como financeiro, saúde e segurança, segurança da informação e metas ambientais) e podem ser aplicados em diferentes níveis (tais como estratégico, em toda a organização, projeto, produto e processo). Um risco é frequentemente caracterizado pela referência a potenciais eventos e consequências, ou uma combinação destes. O risco à segurança da informação é muitas vezes expresso em termos de uma combinação entre as consequências de um evento de segurança da informação e a sua probabilidade de ocorrência. Incerteza é o estado, mesmo que parcial, de deficiência da informação relacionada a compreensão ou conhecimento de um evento, sua consequência ou probabilidade. O risco à segurança da informação está associado ao potencial de ameaças explorarem vulnerabilidades de um ativo de informação ou grupo de ativo de informações e, desse modo, causar danos a uma organização.
Risco Residual
Risco que permanece após o tratamento do risco. O risco residual pode conter riscos não identificados e também pode ser conhecido como “risco retido”.
Segurança da Informação
Preservação da confidencialidade, integridade e disponibilidade da informação. Adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, também podem ser incluídas. Traduzindo essa definição formal, podemos dizer que a segurança da informação é a proteção da informação contra uma ampla gama de ameaças, afim de garantir a continuidade dos negócios, minimizar os riscos de negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio.
Sistema de gerenciamento da segurança da informação – SGSI(Information Security Management System – ISMS)
Parte do sistema total de gerenciamento, baseado em uma abordagem de riscos de negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. O sistema de gerenciamento inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
Sistema de Informação
Aplicação, serviço, recursos de tecnologia da informação ou qualquer outro componente de manejo da informação. Em um sentido bem amplo, o termo sistema da informação é frequentemente usado para se referir à interação entre pessoas, processos, dados e tecnologia. Nesse sentido, o termo é usado para se referir não somente à Tecnologia da Informação e de Comunicações (TIC) que uma organização usa, mas também à forma como as pessoas interagem com essa tecnologia em apoio aos processos de negócio.
Terceiro
A pessoa que é reconhecida como sendo independente das outras partes envolvidas, até onde diz respeito o assunto em questão.
Tratamento de Riscos
É o processo de seleção e implementação de medidas para modicar os riscos.
O tratamento de riscos pode envolver:
- Evitar o risco ao optar por não começar ou continuar com a atividade que dá origem ao risco.
- Tomar ou elevar o risco afim de perseguir uma oportunidade
- Remover a fonte de risco.
- Alterar a probabilidade.
- Alterar as consequências.
- Dividir o risco com um terceiro ou terceiros(incluindo contratos e financiamento do risco).
- Manter o risco através de uma escolha consciente.
Tratamentos de riscos que lidam com consequências negativas são por vezes referenciados como “mitigação de riscos”, “eliminação de riscos”, “prevenção de riscos” e “redução de riscos”. O tratamento de riscos pode criar novos riscos ou modicar riscos existentes.
Vulnerabilidade
Fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças. Um ponto fraco que uma vez explorada resulta em um incidente de segurança.
Como vimos acima, ameaça é a causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou organização.
A relação entre ameaça e vulnerabilidade é que, em um determinado momento, uma ameaça explora intencionalmente uma vulnerabilidade de um ativo provocando um incidente.
Ameaça | O que pode Explorar? | Vulnerabilidade | Ativo |
Hacker | Obtenção de dados | Engenharia social | Colaborador |
Malware | Invasão | Falha de atualização | banco de dados |
Chuva | Inundação | Erro de projeto físico | Datacenter |
Conclusão sobre Termos Usados na Família 27000
Nesse post vimos termos usados na família 27000. Quando falamos em família 27000 estamos falando das ISOs 27k, como 27001, 27701 e 27002.
Saiba que a ISO 17779 passou a ser a 27002, veja em: Normas e ISO: Falando sobre ISOs 17779 e a 27002 ou o artigo publicado na Wikipedia
Esses termos mais usados nas ISOs da Família 27000 ajudarão bastante no estudo da Segurança da Informação.
Comments on “ISOs e Normas: Termos Usados na Família 27000”