Glossário de Segurança de Identidade

Aplicativo da Microsoft que fornece recursos de autenticação e autorização ao Microsoft Windows e outros aplicativos do Windows.

Coleta e correlação de dados de identidade de aplicativos corporativos em um repositório centralizado de dados de identidade.

Potenciais riscos de fraude, roubo, sabotagem ou violações de privacidade originados de funcionários dentro de uma organização com acesso a aplicativos e dados confidenciais.

Conjunto de controles preventivos e de detecção que garantem automaticamente que a política definida seja seguida pela organização.

Serviço que permite aos usuários navegar e baixar aplicativos.

Reivindicação ou declaração de que se é uma identidade específica ou membro de um determinado grupo. Geralmente requer comprovação por meio de uma credencial, ou seja, uma combinação de ID de usuário e senha.

Qualquer acesso não autorizado a sistemas de computador, dispositivos digitais ou redes, que explicitamente pretenda alterar, bloquear, controlar, excluir, destruir, desabilitar, interromper, expor, manipular ou roubar dados, aplicativos ou outros ativos digitais.

Termo alternativo para certificação de acesso, a revisão periódica dos privilégios de acesso do usuário a fim de validar se os privilégios de acesso estão alinhados com a função do usuário e em conformidade com as diretrizes da política.

O processo de concessão de funções a usuários. Uma função pode ser atribuída implicitamente a um usuário, ou seja, algum banco de dados incluirá uma regra no formato "usuários que atendem aos requisitos X devem receber automaticamente a função Y".

Uma única informação associada a uma identidade digital. São exemplos de atributos: nome, número de telefone e afiliação à instituição.
Cada informação de identificação de um usuário pode ser considerada um atributo deste usuário. Usuários têm atributos de identidade, sendo possível armazenar cada um em um ou mais sistemas de destino.

A revisão e exame independentes de registros e atividades com o objetivo de avaliar a adequação dos controles do sistema, garantir a conformidade com as políticas e procedimentos operacionais estabelecidos e recomendar as mudanças necessárias nos controles, políticas ou procedimentos.

Extensa avaliação e análise da segurança cibernética e dos riscos cibernéticos de uma organização.

Vulnerabilidade do controle de acesso resultante do acúmulo de privilégios de acesso por parte dos funcionários ao longo do tempo, decorrente de transferências, promoções ou simplesmente pelo curso normal dos negócios.
Quando funcionários acumulam direitos além dos que realmente precisam para realizar seu trabalho, as organizações são expostas a riscos comerciais desnecessários.

O processo de estabelecer confiança na validade do identificador apresentado por um requerente, geralmente como pré-requisito para conceder acesso a recursos em um sistema de informação.

Método de aplicação de vários níveis de rigor aos processos de autenticação com base na probabilidade de que o acesso a um determinado sistema acarrete o seu comprometimento. À medida que o nível de risco aumenta, o processo de autenticação se torna mais abrangente e restritivo.

Processo de autenticação que requer diversos elementos.
Em geral, os elementos são agrupados em três categorias: conhecimento ou algo que você sabe (uma senha, frase secreta ou PIN); posse ou algo que você possui (um token ou cartão inteligente); inerência ou algo que você "é" (uma impressão digital, impressão de voz - espectograma - ou leitura de retina).

Método para determinar o um nível de autenticação necessário com base em um conjunto de políticas definido em um recurso.
Com base na avaliação da política, o usuário pode ser solicitado a aumentar o nível de autenticação para acessar qualquer recurso específico (por exemplo, usar a autenticação multifator).

O processo de permitir que usuários solicitem acesso a recursos utilizando uma interface de autoatendimento, que utiliza o fluxo de trabalho para encaminhar a solicitação ao(s) gerente(s) apropriado(s) para aprovação.

Processo de conceder ou negar acesso a um recurso de informação com base em uma política definida.

Regras que fazem valer políticas automaticamente ao verificar se uma operação apresenta violações da política antes de ser autorizada.

The process of identifying the risks to system security and determining the probability of occurrence, the resulting impact, and additional safeguards that would mitigate this impact.

Avaliação da capacidade de uma organização de proteger suas informações e sistemas de informação contra ameaças cibernéticas.