"O conhecimento é em si mesmo um poder"
-Francis Bacon-
Banco de dados, contratos, documentação de sistemas, sistemas, manuais de usuários, material de treinamento, planos de continuidade de negócios, sistemas e aplicações ou qualquer outro recurso que tenha valor para a organização e precisa ser adequadamente protegido.
Informação organizada e armazenada, eletrônica e fisicamente, que possui valor para a organização.
Reconhecimento do fato de que certos riscos são aceitos. Isso pode ocorrer quando os custos das medidas de segurança excedem os possíveis danos. Mas também pode ser que a gestão decida não fazer nada, mesmo que os custos não sejam superiores aos possíveis danos. As medidas que uma organização com aceitação de risco adota no domínio da segurança da informação geralmente são de natureza repressiva.
risco ou potencial perigo de um incidente, que pode resultar em dano à empresa.
Processo de comparar o risco estimado com um dado critério de risco para determinar a importância do risco.
Processo geral de análise do risco e estimativa do risco.
Trata-se de aplicações onde a interface lógica está localizada inteiramente em um servidor web, essas aplicações são transmitidas através de protocolo HTTPS, e por isso podem ser acessadas como webservices ou como sites em navegadores.
Trata-se de aplicações desenvolvidas para operar em dispositivos móveis, tais como smartphones, smartwatches e tablets.
são “mini” aplicações criadas para possibilitar a comunicação entre plataformas através de uma série de padrões e protocolos, com o objetivo de facilitar e simplificar o desenvolvimento de aplicações, melhorar as integrações entre sistemas e manter a escalabilidade dos serviços.
Conjunto de rotinas e padrões de programação para acesso a um aplicativo de software ou plataforma baseado na Web.
Cópias de segurança de arquivos e informações armazenadas em bancos de dados, servidores de e-mail, diretórios de rede corporativa, entre outros. Útil para recuperar esses dados, quando necessário. Por exemplo:
Usuário apagou acidentalmente um arquivo crítico;
área responsável em zelar pelo armazenamento das informações:
data centers, administradores de banco de dados, administradores de servidores de arquivos, cofres, entre outros.
Pequenos arquivos de texto que ficam gravados no computador do usuário e podem ser recuperados durante a navegação pelo site que o gerou. Tem o objetivo de identificar e armazenar informações sobre os usuários.
Controles de segurança são medidas tomadas para proteger um sistema de informação contra ataques à confidencialidade, integridade e disponibilidade (ou confidentiality, integrity and availability – CIA) do sistema. Note que os termos proteção/salvaguarda e contramedida são, às vezes, utilizados como sinônimos para controles de segurança.
Aviso legal ou termo de responsabilidade é uma referência ou aviso, encontrado comumente em mensagens eletrônicas e páginas da Web, que informa os direitos do leitor de um determinado documento e as responsabilidades assumidas ou, normalmente, não assumidas pelo autor deste documento.
São considerados dados pessoais como Nome completo, Data de nascimento, Número e imagem da Carteira de Identidade (RG), Número e imagem do Cadastro de Pessoas Físicas (CPF), Número e imagem da Carteira Nacional de Habilitação (CNH), Fotografia 3x4, Estado civil, Nível de instrução ou escolaridade, Endereço completo, Números de telefone, WhatsApp, endereços de e-mail, Nome de usuário e senha específicos para uso dos serviços do Controlador, Comunicação, verbal e escrita, mantida entre o Titular e o Controlador, Dados profissionais, como nome da empresa, CNPJ, cargo, e-mail profissional.
Assegura o acesso confiável e oportuno aos dados, ou recursos computacionais, pelo pessoal apropriado. Em outras palavras, garante que os sistemas estão ligados e funcionando quando necessário. Além disso, este conceito garante que os serviços de segurança requeridos pelo profissional de segurança estão em bom estado de funcionamento.
Informação na forma de texto, números, gráficos, etc. Ele é usado como uma base para o raciocínio, discussão e cálculos;
Atividades e processos relacionados à segurança na fase de desenvolvimento de software.
Mostra que uma empresa assumiu a responsabilidade pelas atividades que ocorrem dentro dela e tomou as medidas necessárias para ajudar a proteger a si, seus recursos e funcionários de possíveis ameaças.
Destruir ou tornar ilegível a informação impressa ou digital.
Equipamentos de capacidade computacional que podem ser movidos fisicamente ou que se mantenham funcionais em movimento e dispositivos removíveis de memória. São exemplos de dispositivos móveis:
é uma outra metodologia de testes de segurança, mas no DAST o teste é dinâmico, onde a análise é feita no aplicativo ou sistema já publicado e em atividade de execução.
é qualquer ocorrência visível em uma rede ou sistema de informação. Exemplos: um usuário que acessa um arquivo compartilhado, um servidor que recebe uma solicitação para uma página da Web, um usuário que envia um e-mail ou um firewall que faz um bloqueio de uma tentativa de conexão, entre outros.
é um evento com consequências negativas. Exemplos: Falhas do sistema de informação, uso não autorizado de privilégios de sistema de informação, acesso não autorizado a dados confidenciais ou execução de malware que destrói dados, entre outros;
É o ato de estar exposto a perdas causadas por um agente ameaçador. Uma vulnerabilidade expõe uma organização a possíveis danos.
qualquer ato ardiloso, enganoso, de má-fé, com o intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever
Controlar, processar, proteger e facilitar o acesso aos dados visando fornecer informações para aqueles que dela necessitam;
Qualquer área ou colaborador da EMPRESA que é responsável pela classificação, rótulo, armazenamento e tratamento das informações, sejam elas geradas pela EMPRESA ou recebida de terceiros.
O processo de planejar, organizar, liderar e controlar as atividades de uma organização a fim de minimizar os efeitos do risco sobre o capital e os ganhos de uma organização.
Dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.
é um evento adverso identificado que indica possível violação à política de segurança da informação ou documentos complementares, falha de controles ou situação previamente desconhecida e que possa ser relevante à segurança da informação.
A lei 13709 de 14 de agosto de 2018, esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
As medidas de segurança tomadas são tais que as ameaças já não se manifestam ou, se o fizerem, o dano resultante é minimizado. A maioria das medidas tomadas no domínio da segurança da informação por uma organização que neutraliza os riscos é uma combinação de medidas preventivas, de detecção e repressivas.
Dispositivo físico utilizado para armazenar as informações de backup;
No protocolo HTTP, existem métodos para a comunicação realizada entre os sistemas que o utilizam. O GET é um dos métodos de envio de informações a um servidor, que entrega os dados por meio da URL. Já o POST, é outro método de envio de informações do protocolo HTTP, a diferença é que ele não envia as informações de uma forma totalmente exposta – ele manda as informações por meio do corpo da requisição, “oculto”, do protocolo HTTP.
são métodos habilitados por padrão no Apache para que as informações das requisições as aplicações que estão publicadas venham completas. São úteis para fazer uma análise de um possível incidente ou para ter mais informações sobre um sistema.
Medidas tomadas para que uma ameaça seja neutralizada a tal ponto que já não leve a um incidente. Considere, por exemplo, as atualizações de software de um sistema operacional (SO). Ao atualizar um SO imediatamente após a atualização estar disponível, você previne seu sistema contra problemas técnicos conhecidos ou questões de segurança. Muitas das contramedidas dessa estratégia têm um caráter preventivo.
é um tipo de teste de segurança feito manualmente, por analistas especializados, com o objetivo de realizar uma intrusão no aplicativo ou sistema e relatar tais ações para que o responsável pela aplicação aplique as devidas correções. Mais conhecido como teste de intrusão.
é o responsável por atribuir níveis de classificação às informações que lhe foram confiadas, devido à sua responsabilidade.
algoritmo simétrico, usamos o SHA2 ou acima.
é um ponto de checagem dentro de um processo de publicação das aplicações em que se toma a decisão (de forma manual ou automatizada) se os próximos passos daquele processo poderão ser executados.
Operação executada para retornar os dados para seu estado original;
combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos.
armazenar informações em ativos de informação, independente se o suporte onde as informações estão seja físico ou digital.
é a preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios, maximizar o retorno dos investimentos e de novas oportunidades de transação no espaço cibernético.
conjunto de procedimentos que visa eliminar informações de mídias magnéticas.
Sistemas que suportam os processos de negócio considerados críticos dentro da organização.
é uma metodologia para testes de segurança em aplicações que tem como objetivo descobrir vulnerabilidades, onde o SAST é a o teste do código fonte da aplicação, e por isso se chama “análise estática”, pois não há nenhuma execução do sistema.
O processo de seleção e implementação de medidas para modificar o risco.
Faz uso das informações e segue os padrões de segurança definidos para o tipo de informação que é manuseado
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças, falta de configurações ou pacotes de correção (patch) representando um risco para sua confirmação, apresentando evidências testadas.
Toda e qualquer vulnerabilidade que não necessita de testes para sua confirmação, apresentando evidência testada.
Itens que podem representar uma vulnerabilidade, podendo ou não apresentar um risco de segurança ou necessitando de testes manuais para sua confirmação.
Vulnerabilidade baixa, existindo a possibilidade de obtenção de informações diversas;
Vulnerabilidade média, existindo a possibilidade de obtenção de informações sensíveis;
Vulnerabilidade alta, podendo existir a possibilidade de leitura de arquivos, com certa limitação, navegação em diretório e/ou negação de serviço;
Vulnerabilidade crítica, podendo existir a possibilidade de leitura de arquivos, podendo ou não ser arquivo de configuração;
Vulnerabilidade crítica, podendo existir a possibilidade de leitura e escrita em arquivos ou execução de comandos remotamente (com possibilidade de privilégios administrativos);
Engloba varredura de aplicações web, com foco apenas na aplicação.
é um sistema que fica entre o seu site ou aplicativo e o restante da internet, funcionando como uma barreira
Copyright © 2024 Inteligência Brasil