Glossário de Termos

American Institute of Certified Public Accountants - Organização profissional que desenvolveu e mantém os frameworks SOC, incluindo SOC 2.

Causa potencial de um incidente indesejado que pode resultar em danos para sistemas ou organizações. Pode ser intencional (ataque) ou acidental (erro humano, falha técnica).

Anexo da ISO 27001 que contém 93 controlos de segurança organizados em 4 temas: Organizacionais, Pessoas, Físicos e Tecnológicos. Serve como catálogo de referência para implementação.

Processo sistemático e independente para obter evidências e avaliá-las objetivamente, determinando o grau em que os critérios estabelecidos são cumpridos.

Processo de auditoria externa conduzido por organismo certificador acreditado para verificar conformidade com ISO 27001 e decidir sobre emissão de certificado.

Auditoria anual conduzida após certificação inicial para verificar que o SGSI continua a cumprir requisitos da norma e está a ser mantido eficazmente.

Método de autenticação que requer dois ou mais fatores de verificação independentes (algo que sabe, algo que tem, algo que é) para aceder a recursos.

Cópia de segurança de dados armazenada separadamente para permitir recuperação em caso de perda, corrupção ou desastre. Deve ser testada regularmente para garantir recuperabilidade.

Continuidade de Negócio - Capacidade de uma organização continuar a entregar produtos ou serviços a níveis aceitáveis predefinidos após incidente disruptivo.

Rede de fornecedores e prestadores de serviços. NIS2 exige que entidades avaliem e gerem riscos de cibersegurança na sua cadeia de fornecimento, incluindo fornecedores diretos e indiretos.

Conformidade com leis, regulamentos, normas e políticas aplicáveis. No contexto de IT, refere-se ao cumprimento de requisitos de segurança e privacidade de dados.

Medida que modifica o risco. Pode incluir políticas, procedimentos, práticas, estruturas organizacionais ou funções de software/hardware que gerem riscos de segurança.

Computer Security Incident Response Team - Equipa de resposta a incidentes de segurança informática. NIS2 requer que entidades tenham capacidade de resposta a incidentes, seja interna ou através de serviço externo.

Recuperação de Desastres - Conjunto de políticas, ferramentas e procedimentos para recuperar ou continuar infraestrutura tecnológica vital após desastre natural ou causado por humanos.

Digital Operational Resilience Act - Regulamento da UE que estabelece requisitos de resiliência operacional digital para o setor financeiro, focando-se na capacidade de resistir, responder e recuperar de perturbações relacionadas com TIC.

Processo de codificar informação de forma que apenas partes autorizadas possam acedê-la. Usa algoritmos criptográficos para transformar dados legíveis em formato ilegível sem chave de desencriptação.

Organização em setor crítico (energia, transportes, banca, saúde, etc.) sujeita a requisitos mais rigorosos de cibersegurança e supervisão sob NIS2, com penalizações até €10M ou 2% do volume de negócios.

Organização em setor importante (serviços postais, gestão de resíduos, etc.) sujeita a requisitos de cibersegurança sob NIS2, com penalizações até €7M ou 1,4% do volume de negócios.

Sistema de segurança de rede que monitoriza e controla tráfego de rede com base em regras de segurança predeterminadas, criando barreira entre rede confiável e não confiável.

Estrutura conceptual que define práticas, procedimentos e controlos para atingir objetivos específicos. Em cibersegurança, fornece diretrizes para gerir riscos e proteger ativos.

Análise de lacunas que compara o estado atual de controlos e processos com os requisitos de um framework ou norma, identificando o que precisa ser implementado ou melhorado.

Intrusion Detection System / Intrusion Prevention System - Sistemas que monitorizam rede para atividade maliciosa. IDS deteta e alerta; IPS deteta e bloqueia automaticamente.

Evento único ou série de eventos de segurança da informação inesperados ou indesejados que têm probabilidade significativa de comprometer operações de negócio e ameaçar a segurança da informação.

Norma internacional que especifica requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).

Princípio de Menor Privilégio - Prática de limitar direitos de acesso de utilizadores ao mínimo necessário para realizar suas funções, reduzindo superfície de ataque.

Não cumprimento de um requisito da norma. Pode ser Maior (falha significativa) ou Menor (desvio isolado). Deve ser corrigida com ação corretiva dentro de prazo definido.

Network and Information Security Directive 2 - Diretiva da UE que estabelece requisitos de cibersegurança para entidades essenciais e importantes em setores críticos, substituindo a NIS original.

Obrigação de reportar incidentes significativos às autoridades competentes. NIS2 requer notificação inicial em 24h, notificação de incidente em 72h e relatório final em 1 mês.

Gestão de Patches - Processo de identificar, adquirir, testar e instalar atualizações de software (patches) para corrigir vulnerabilidades e melhorar funcionalidade.

Teste de Penetração - Ataque simulado autorizado a sistema informático para avaliar segurança, identificando vulnerabilidades que atacante poderia explorar.

Fornecedor de serviços de tecnologia considerado crítico para operações de entidades financeiras, sujeito a supervisão direta sob DORA devido ao seu impacto potencial no setor financeiro.

Processo de auditoria completa realizado a cada 3 anos para renovar o certificado ISO 27001, avaliando todo o SGSI como na certificação inicial.

Capacidade de uma entidade financeira construir, garantir e rever a sua integridade e fiabilidade operacional, assegurando continuidade dos serviços através de ferramentas e mecanismos TIC adequados.

Efeito da incerteza nos objetivos. Em segurança da informação, é a combinação da probabilidade de um evento adverso ocorrer e o seu impacto potencial.

Âmbito ou alcance de um sistema, processo ou certificação. Define os limites e fronteiras do que está incluído numa avaliação ou implementação.

Segregação de Funções - Princípio que divide tarefas críticas entre múltiplas pessoas para prevenir fraude e erro, garantindo que nenhuma pessoa tenha controlo completo sobre processo crítico.

Organização de Serviços - Entidade que fornece serviços a outras organizações (user entities) e cujos controlos são relevantes para os controlos internos dessas organizações.

Sistema de Gestão de Segurança da Informação - Abordagem sistemática para gerir informação sensível da empresa, incluindo pessoas, processos e sistemas TI, aplicando gestão de risco.

Security Information and Event Management - Solução que agrega e analisa logs de segurança de múltiplas fontes em tempo real, fornecendo alertas e relatórios de eventos de segurança.

Service Organization Control 2 - Framework de auditoria do AICPA que avalia controlos de uma organização de serviços relevantes para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

Relatório que avalia se os controlos estão adequadamente desenhados para cumprir os critérios aplicáveis num ponto específico no tempo (fotografia).

Relatório que avalia se os controlos estão a operar eficazmente durante um período de tempo (tipicamente 6-12 meses), demonstrando eficácia contínua.

Documento que lista todos os controlos do Anexo A, indicando quais são aplicáveis à organização, quais foram excluídos e a justificação para cada decisão.

Threat-Led Penetration Testing - Teste de penetração baseado em ameaças que simula ataques reais de adversários sofisticados para avaliar capacidades de deteção e resposta.

Critérios de Serviços de Confiança - Cinco categorias de controlos no SOC 2: Segurança (obrigatório), Disponibilidade, Integridade de Processamento, Confidencialidade e Privacidade.

Entidade Utilizadora - Organização que usa serviços de uma service organization e cujos controlos internos podem depender dos controlos da service organization.

Fraqueza num ativo ou controlo que pode ser explorada por uma ameaça. Pode existir em sistemas, processos, pessoas ou infraestrutura física.

Avaliação de Vulnerabilidades - Processo sistemático de identificar, quantificar e priorizar vulnerabilidades em sistemas, usando ferramentas automatizadas e análise manual.

Modelo de segurança que assume que ameaças existem tanto dentro como fora da rede, requerendo verificação contínua de todos os utilizadores e dispositivos antes de conceder acesso.