Glossário de Segurança de Identidade

Active Directory

Aplicativo da Microsoft que fornece recursos de autenticação e autorização ao Microsoft Windows e outros aplicativos do Windows.

Agregação

Coleta e correlação de dados de identidade de aplicativos corporativos em um repositório centralizado de dados de identidade.

Ameaça interna

Potenciais riscos de fraude, roubo, sabotagem ou violações de privacidade originados de funcionários dentro de uma organização com acesso a aplicativos e dados confidenciais.

Aplicação de políticas

Conjunto de controles preventivos e de detecção que garantem automaticamente que a política definida seja seguida pela organização.

App store

Serviço que permite aos usuários navegar e baixar aplicativos.

Asserção

Reivindicação ou declaração de que se é uma identidade específica ou membro de um determinado grupo. Geralmente requer comprovação por meio de uma credencial, ou seja, uma combinação de ID de usuário e senha.

Ataque cibernético

Qualquer acesso não autorizado a sistemas de computador, dispositivos digitais ou redes, que explicitamente pretenda alterar, bloquear, controlar, excluir, destruir, desabilitar, interromper, expor, manipular ou roubar dados, aplicativos ou outros ativos digitais.

Atestado

Termo alternativo para certificação de acesso, a revisão periódica dos privilégios de acesso do usuário a fim de validar se os privilégios de acesso estão alinhados com a função do usuário e em conformidade com as diretrizes da política.

Atribuição de função

O processo de concessão de funções a usuários. Uma função pode ser atribuída implicitamente a um usuário, ou seja, algum banco de dados incluirá uma regra no formato "usuários que atendem aos requisitos X devem receber automaticamente a função Y".

Atributo

Uma única informação associada a uma identidade digital. São exemplos de atributos: nome, número de telefone e afiliação à instituição.
Cada informação de identificação de um usuário pode ser considerada um atributo deste usuário. Usuários têm atributos de identidade, sendo possível armazenar cada um em um ou mais sistemas de destino.

Auditoria

A revisão e exame independentes de registros e atividades com o objetivo de avaliar a adequação dos controles do sistema, garantir a conformidade com as políticas e procedimentos operacionais estabelecidos e recomendar as mudanças necessárias nos controles, políticas ou procedimentos.

Auditoria de segurança cibernética

Extensa avaliação e análise da segurança cibernética e dos riscos cibernéticos de uma organização.

Aumento de direitos

Vulnerabilidade do controle de acesso resultante do acúmulo de privilégios de acesso por parte dos funcionários ao longo do tempo, decorrente de transferências, promoções ou simplesmente pelo curso normal dos negócios.
Quando funcionários acumulam direitos além dos que realmente precisam para realizar seu trabalho, as organizações são expostas a riscos comerciais desnecessários.

Autenticação

O processo de estabelecer confiança na validade do identificador apresentado por um requerente, geralmente como pré-requisito para conceder acesso a recursos em um sistema de informação.

Autenticação baseada em risco

Método de aplicação de vários níveis de rigor aos processos de autenticação com base na probabilidade de que o acesso a um determinado sistema acarrete o seu comprometimento. À medida que o nível de risco aumenta, o processo de autenticação se torna mais abrangente e restritivo.

Autenticação multifator

Processo de autenticação que requer diversos elementos.
Em geral, os elementos são agrupados em três categorias: conhecimento ou algo que você sabe (uma senha, frase secreta ou PIN); posse ou algo que você possui (um token ou cartão inteligente); inerência ou algo que você "é" (uma impressão digital, impressão de voz - espectrograma - ou leitura de retina).

Ler mais

Autenticação por etapas

Método para determinar o um nível de autenticação necessário com base em um conjunto de políticas definido em um recurso.
Com base na avaliação da política, o usuário pode ser solicitado a aumentar o nível de autenticação para acessar qualquer recurso específico (por exemplo, usar a autenticação multifator).

Autoatendimento

O processo de permitir que usuários solicitem acesso a recursos utilizando uma interface de autoatendimento, que utiliza o fluxo de trabalho para encaminhar a solicitação ao(s) gerente(s) apropriado(s) para aprovação.

Autorização

Processo de conceder ou negar acesso a um recurso de informação com base em uma política definida.

Avaliação de políticas

Regras que fazem valer políticas automaticamente ao verificar se uma operação apresenta violações da política antes de ser autorizada.

Avaliação de risco

Processo de identificação dos riscos à segurança do sistema e determinação da probabilidade de ocorrência, o impacto resultante e proteções adicionais que poderiam mitigar esse impacto.

Avaliação de riscos de segurança cibernética

Avaliação da capacidade de uma organização de proteger suas informações e sistemas de informação contra ameaças cibernéticas.

BYOA

Bring Your Own Application (Traga Seu Próprio Aplicativo) refere-se à política de permitir que os funcionários acessem contas de aplicativos pessoais (por exemplo, Facebook, LinkedIn, TripIt) enquanto estiverem no local de trabalho.

BYOD

Bring Your Own Device (Traga Seu Próprio Dispositivo) refere-se à política de permitir que os funcionários tragam dispositivos móveis de sua propriedade (notebooks, tablets e smartphones) para o local de trabalho e os usem para acessar informações e aplicativos privilegiados da empresa.

Basel II

Um conjunto de regulamentações bancárias publicado pelo Comitê de Supervisão Bancária de Basileia, que regulamenta finanças e serviços bancários internacionalmente.
Basel II tenta integrar os padrões de capital de Basileia com as regulamentações nacionais, estabelecendo os requisitos de capital mínimo de instituições financeiras com o objetivo de mitigar riscos financeiros e operacionais.

Biometria

Um traço físico ou característica comportamental que pode ser usado para fins de identificação ou verificação. Uma boa biometria deve ser exclusiva de um indivíduo, estável ao longo do tempo, rápida e fácil de apresentar e verificar, e não ser facilmente duplicada por meios artificiais.

CSV

Um arquivo de valores separados por vírgula (CSV) é um arquivo de dados usado para o armazenamento digital de dados estruturados em formato de tabela ou lista, onde cada item associado (membro) em um grupo está associado a outros também separados por vírgulas de seu conjunto.

Certificação

Veja Certificações de Acesso

Certificação de funções

Revisão periódica de uma ou mais funções a fim de confirmar se a função contém os privilégios de acesso apropriados e se os membros da função estão corretos. Certificações de funções são comumente usadas como um controle interno e uma forma de prevenir a proliferação de funções.

Certificações de acesso

Revisão periódica dos privilégios de acesso do usuário a fim de confirmar se estão alinhados com a função do usuário e em conformidade com as diretrizes da política. As certificações de acesso são comumente usadas como um controle interno para garantir a conformidade com a Lei Sarbanes-Oxley e outras regulamentações.

Chave de identidade

Valor único usado (e geralmente gerado) por um repositório de identidades que identifica cada identidade de forma exclusiva.

Computação na nuvem

Serviço de computação fornecido pela Internet com três características distintas: o serviço é vendido sob demanda; o serviço é elástico — um usuário pode ter o serviço que desejar em um determinado momento, e o serviço é totalmente gerenciado pelo provedor de serviços (o consumidor precisa apenas de um navegador da web).

Conformidade

Conformidade com uma especificação ou política, padrão ou lei claramente definida. As políticas podem derivar de diretivas, procedimentos e requisitos internos, ou de leis, regulamentos, padrões e acordos externos.
Essas leis podem impor penalidades criminais ou civis, ou podem ser regulamentos.

Conformidade contínua

Uso de processos e ferramentas em atendimento aos requisitos de conformidade de forma automatizada, perseverante e previsível, em vez de tratar a conformidade como um evento único.

Conformidade regulatória

Adesão de uma organização às leis, regulamentos, padrões, diretrizes e especificações estabelecidas por governos, agências, associações comerciais e outros órgãos.

Ler mais

Conta compartilhada

ID de login em um sistema ou aplicativo que é usado por mais de um usuário humano ou de máquina. Contas privilegiadas são frequentemente compartilhadas por administradores: por exemplo, root, SA ou Administrador.

Conta de serviço

Tipo de conta compartilhada usada para comunicação entre aplicativos quando o acesso seguro deve ser concedido por um sistema a outro.

Conta privilegiada

Uma conta privilegiada é um ID de login em um sistema ou aplicativo que concede direitos de acesso mais poderosos que os de um usuário normal.
Contas privilegiadas são normalmente usadas por administradores de sistemas para gerenciar sistemas, executar serviços em sistemas ou por um aplicativo para se conectar programaticamente a outro.

Conta órfã

Conta pertencente a um usuário que já saiu da organização.
Contas órfãs são o resultado direto da falha na remoção de privilégios de acesso quando funcionários encerram ou transferem funções, sendo foco frequente dos auditores de TI que procuram riscos de segurança.

Continuidade dos negócios

O planejamento e a preparação antecipados necessários para garantir que uma organização possa manter as operações essenciais em caso de desastre, emergência ou outro imprevisto que cause interrupção significativa.

Controle de acesso

Os controles do sistema e os processos adjacentes que concedem ou negam às partes a capacidade e a oportunidade de acessarem os sistemas (ou seja, obter conhecimento das informações ou de materiais em sistemas ou de alterá-los).

Controle de acesso baseado em atributos

Metodologia de autorização que define e aplica políticas com base em características, como departamento, local, gerente e horário do dia.

Ler mais

Controle de acesso baseado em função (RBAC)

Modelo que limita o acesso do usuário com base em sua função em uma organização.

Ler mais

Controle de detecção

Procedimento, possivelmente auxiliado por automação, usado para identificar eventos (indesejáveisou desejados), erros e outras ocorrências cujos efeitos são, segundo determinação da empresa, significativos para seus negócios.

Controle preventivo

Controle interno usado para evitar eventos indesejáveis, erros e outras ocorrências cujos efeitos podem ser, segundo determinação da empresa, adversos para seus negócios.

Controles internos

Processos criados para ajudar organizações a prevenir e detectar fraudes e proteger ativos sensíveis. Controles internos normalmente são um meio pelo qual os processos e recursos de TI de uma organização são revisados, monitorados e mensurados.

Correlação

Processo de combinar dados de identidade de fontes de dados distintas em um esquema comum que representa uma identidade. As identidades podem ser vinculadas automaticamente a contas de aplicativos e direitos de acesso por meio de regras de correlação ou o uso manual de uma ferramenta para estabelecer os vínculos corretos.

Correção

O ato ou processo de corrigir um problema ou questão de conformidade, como uma violação de política.

Credencial

Meio de autenticar uma identidade reivindicada, geralmente significando a parte privada de uma asserção de identidade pareada (o ID do usuário geralmente é a parte pública). Credenciais podem mudar com o tempo e podem ser revogadas.

Criação de funções

Processo de definir funções dentro de um modelo de função e mapeá-las ao conjunto apropriado de privilégios de acesso com base no processo de negócios e na função do cargo.

Cubo de identidade

Visão multidimensional de cada identidade e seus acessos e atributos associados.

Dashboard

Mecanismo de relatórios que agrega e exibe métricas e indicadores-chave de desempenho (KPIs), permitindo que sejam examinados rapidamente por todos os tipos de usuários antes de uma avaliação mais aprofundada por meio de ferramentas adicionais de inteligência de negócios (BI), gestão de desempenho (PM) e análise.

Data center

Instalação usada para abrigar sistemas de computador e componentes associados, como servidores (servidores web, servidores de aplicativos, servidores de banco de dados, etc.), switches, roteadores, dispositivos de armazenamento de dados, balanceadores de carga, gradis ou armários de aço, cofres, racks e equipamentos relacionados.

Deficiência de auditoria

Constatação do auditor de que um controle de TI não é eficaz. O termo é comumente usado em auditorias de conformidade com a Lei Sarbanes-Oxley para sinalizar uma deficiência de controle que poderia impactar de modo adverso a capacidade da empresa de divulgar dados financeiros externos com confiabilidade.

Delegação

Processo em que um revisor ou aprovador pode transferir sua autoridade decisória a outro usuário, temporária ou permanentemente.

Desprovisionamento

Processo de exclusão de uma conta de usuário em um sistema.

Detecção e resposta a ameaças

Conjunto de práticas e ferramentas de segurança cibernética para identificar atividades maliciosas e neutralizá-las ou mitigá-las antes do comprometimento de redes, sistemas ou dados confidenciais.

Diretiva NIS2

Segunda versão da Diretiva NIS, a primeira diretiva de segurança cibernética da União Europeia. Inclui mais setores, bem como diretrizes para sua implementação uniforme em todos os estados-membros da UE.

Diretório

Infraestrutura de informações compartilhada para localizar, gerenciar, administrar e organizar itens comuns e recursos de rede, que pode conter volumes, pastas, arquivos, impressoras, usuários, grupos, dispositivos, números de telefone e outros objetos.

Entitlement

Valor específico para um atributo de conta, mais comumente uma associação a um grupo ou uma permissão. Um direito de segurança é aquele concedido à conta de um usuário em determinado sistema para que ele acesse alguns dados ou funções.

Escalonamento

Processo de alerta, notificação ou de delegação de uma ação quando um revisor ou aprovador não responde a uma solicitação após determinado período.

Estratégia de gerenciamento de riscos

Uma estratégia de gerenciamento de riscos é um sistema que aborda como uma organização planeja avaliar os riscos, responder aos riscos identificados, observar continuamente novos riscos e monitorar os riscos já conhecidos.

Estrutura de Segurança Cibernética do NIST

O Instituto Nacional de Padrões e Tecnologia, normalmente chamado de NIST, é uma agência subordinada ao Departamento de Comércio dos EUA.
A Estrutura de Segurança Cibernética do NIST foi criada para aprimorar a segurança das infra estruturas essenciais dos EUA, definidas como os ativos, sistemas e funções considerados vitais.

FedRAMP

O Programa Federal de Gerenciamento de Autorização e Risco foi criado para garantir a segurança dos serviços e soluções de nuvem usadospor agências governamentais dos EUA.

Federação

Conjunto de acordos que permite a uma organização confiar na autenticação fornecida por uma organização diferente e fornecer autorização com base nesse resultado de autenticação. O objetivo da federação é permitir que usuários acessem recursos em várias organizações de forma integrada.

Fluxo de trabalho de aprovação

Processo de negócios que automatiza a coleta de aprovações de usuários autorizados para alterações solicitadas em artefatos de identidade, como direitos de acesso ou definição de função do usuário.

Fonte confiável

O sistema que contém o valor online definitivo para um atributo de identidade específico. Em alguns casos, um sistema é autoritativo porque gera o valor (por exemplo, o número de identificação do funcionário).
Em outros casos, um sistema é autoritativo porque é o local onde um usuário deve ir para inserir as informações (por exemplo, o número do celular).

Fraqueza material

Constatação do auditor de que um controle de TI está gravemente deficiente. O termo é comumente usado em auditorias de conformidade com a Lei Sarbanes-Oxley para indicar que uma distorção significativa nas demonstrações financeiras não pode ser prevenida ou detectada.

Função

Conjunto de direitos ou de outras funções que permite que uma identidade acesse recursos e execute determinadas operações no âmbito de uma organização. Uma função simples é uma coleção de direitos definidos no contexto de um único sistema. As funções são usadas para simplificar a administração de segurança em sistemas e aplicativos, encapsulando conjuntos populares de direitos e atribuindo-os como pacotes, em vez de individualmente, aos usuários.

Gerenciamento de acesso

Sistemas ou processos usados para controlar a autenticação e a autorização de recursos dentro de uma organização, como arquivos, aplicativos, sistemas, dispositivos, etc. O gerenciamento de acesso normalmente se baseia em uma função e em um sistema de avaliação de regras para conceder ou negar acesso a um objeto na organização.

Ler mais

Gerenciamento de conformidade

Termo que abrange todas as ferramentas, sistemas, pessoas e processos usados no cumprimento de regras e políticas de governança.

Ler mais

Gerenciamento de contas

Conjunto de processos que controlam a autenticação em sistemas conectados. Isso envolve principalmente a criação e a exclusão de contas de usuário no sistema conectado.

Gerenciamento de direitos

Mecanismo que estabelece, de forma centralizada, os aplicativos e serviços para os quais um usuário pode receber autorização.
É o processo de concessão, resolução, execução, revogação e administração de direitos de acesso refinados (também denominados "autorizações", "privilégios", "direitos de acesso", "permissões" e/ou "regras").

Gerenciamento de funções

É improvável que funções e atribuições de funções permaneçam estáticas por muito tempo. Por isso, elas devem ser gerenciadas (os direitos associados a uma função devem ser revisados e atualizados), e os usuários atribuídos à função, implícita ou explicitamente, devem ser revisados e alterados. O Gerenciamento de Funções abrange os processos de negócios usados para influenciar essas revisões e alterações.

Gerenciamento de identidade

Solução de segurança usada para a verificação e atribuição de permissões a entidades digitais, que podem ser pessoas, sistemas ou dispositivos.

Ler mais

Gerenciamento de identidade e acesso (IAM)

Software que automatiza os processos de negócios necessários ao gerenciamento de identidades eletrônicas e suas permissões de acesso relacionadas. Isso garante que os privilégios de acesso sejam concedidos de acordo com uma única interpretação da política e que todos os indivíduos e serviços sejam devidamente autenticados, autorizados e auditados.

Ler mais

Gerenciamento de risco

Processo total de identificação, controle e mitigação de riscos.

Gerenciamento de risco de terceiros

Processo de identificação, avaliação e controle de riscos por uma organização, provenientes de parceiros comerciais e fornecedores externos, inclusive fornecedores, parceiros, prestadores de serviços, fornecedores e contratados.

Gerenciamento de riscos corporativos

Um método estratégico que visa a identificação e a avaliação dos riscos, preparação para os riscos e a correção deles.

Gerenciamento de riscos de fornecedores

Estrutura usada para identificar, avaliar, mitigar, gerenciar e monitorar riscos associados a parceiros de negócios.

Gerenciamento de senhas

Automação do processo de controle, configuração, redefinição e sincronização de senhas entre sistemas.

Ler mais

Gerenciamento do ciclo de vida de funções

Processo de automatizar a criação, modificação e descontinuação de funções; aprovações de funções; certificações de funções e análise de funções.

Governança

O sistema de regras, práticas e processos pelos quais uma organização é direcionada, mensurada e controlada.

Governança de dados

Método de gerenciamento de dados ao longo de sua existência, da coleta, uso, ao descarte final, de maneiras que apoiam, beneficiam e protegem a organização em constante evolução.

Ler mais

Governança de identidade

Software de gerenciamento de identidade que automatiza as regras, práticas e processos que visam ao gerenciamento e controle do acesso de usuários a aplicativos e dados críticos. A governança de identidade permite que as organizações aperfeiçoem a responsabilidade e a transparência, cumpram as exigências de conformidade e gerenciem melhor os riscos.

Grupo

Conjunto de usuários que simplificam o controle de acesso a sistemas de computador. Tradicionalmente, grupos são estáticos: define-se um grupo selecionando individualmente seus membros. Em grupos dinâmicos, no entanto, todos os usuários que corresponderem aos critérios de pesquisa especificados serão considerados membros deste grupo dinâmico.

HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde)

Legislação federal promulgada nos Estados Unidos para o estabelecimento de mecanismos padronizados para intercâmbio eletrônico de dados (EDI), segurança e confidencialidade de todos os dados relacionados à saúde.
A HIPAA exige mecanismos de segurança que garantam a confidencialidade e a integridade dos dados de qualquer informação que permita a identificação pessoal de um indivíduo.

IAM como serviço (IDaaS)

Software de IAM hospedado na nuvem, fornecido como um serviço na nuvem e gerenciado por um provedor de serviços terceirizado.

Identidade digital

A versão digital da identidade analógica de um indivíduo, consistindo em múltiplas contas, credenciais, direitos, comportamentos e padrões de uso a ele associados.

Identidade federada

Solução que simplifica a segurança do acesso do usuário combinando vários componentes, como autenticação, autorização, controle de acesso, sistemas de detecção e prevenção de intrusão (IDPS) e provedores de serviços.

Ler mais

Informações de saúde protegidas (PHI)

Dados relacionados à saúde ou condição física ou mental passada, presente ou futura de uma pessoa, bem como suas informações genéticas.

Integração

Processo de concessão de acesso quando usuários, como novos funcionários, contratados, parceiros ou clientes, ingressam em uma organização.

Interface

Tecnologia que permite ao usuário se comunicar e usar softwares de computador. São interfaces a tela de exibição, o teclado, o mouse, a aparência da área de trabalho, caracteres, cores, mensagens de ajuda, etc.

LDAP (Lightweight Directory Access Protocol)

Conjunto de protocolos de acesso de informações em diretórios.
O LDAP possibilita que praticamente qualquer aplicativo em execução em praticamente qualquer plataforma de computador obtenha informações de diretório.

Last-mile provisioning

Processo de implementação de alterações em recursos de destino com base nas alterações do ciclo de vida do usuário.

Lei Federal de Modernização da Segurança da Informação (FISMA)

Legislação dos Estados Unidos que define diretrizes e padrões de segurança para a proteção de informações e operações governamentais.

Ler mais

Lei Gramm-Leach-Bliley (GLBA)

Legislação federal promulgada nos Estados Unidos para controlar a forma como as instituições financeiras lidam com as informações privadas dos indivíduos.
A GLBA exige que as instituições financeiras forneçam aos clientes avisos de privacidade por escrito que expliquem as práticas de compartilhamento de informações.

Lei Sarbanes-Oxley (SOX)

Também conhecida como "Lei de Reforma Contábil de Empresas de Capital Aberto e Proteção ao Investidor", é uma lei promulgada em 2002 visando à proteção de investidores, ao aumento da precisão e da confiabilidade das divulgações financeiras corporativas. A regulamentação atinge todas as empresas listadas nas bolsas de valores dos EUA.

Linguagem de marcação de controle de acesso extensível (XACML)

Linguagem de padrão aberto baseada em XML, projetada para expressar políticas de segurança e direitos de acesso a informações para serviços web, gerenciamento de direitos digitais (DRM) e aplicativos de segurança empresarial.

Log de auditoria

Log que captura um registro de eventos que ocorreram em um sistema ou aplicativo. Por exemplo, um log de auditoria pode conter todos os logins feitos no sistema, o nome das pessoas que fizeram os logins, a hora em que os logins ocorreram, etc.

Logon único (SSO)

Processo de autenticação em que o usuário pode inserir um nome de usuário e uma senha e ter acesso a diversos recursos no âmbito de uma empresa, eliminando a necessidade de autenticação e login separados em aplicativos e sistemas individuais.

Ler mais

Machine learning

Subconjunto da inteligência artificial (IA) que permite que os sistemas identifiquem automaticamente recursos, classifiquem informações, encontrem padrões em dados, façam determinações e previsões e descubram insights.

Ler mais

Microssegmentação

Prática de segurança de rede que divide as redes em zonas menores, ou microssegmentos, segmentando as cargas de trabalho dos aplicativos e protegendo-as individualmente. Elemento fundamental de uma abordagem zero trust de segurança.

Mitigação de riscos

Processo que reduz a probabilidade ou as consequências de uma ameaça. As opções de mitigação de riscos podem ser a eliminação de vulnerabilidades, o fortalecimento dos controles internos, ou a redução da magnitude dos impactos adversos.

Modelo de função

Descrição esquemática de funções que define funções e hierarquias de funções, ativação de funções de sujeito, mediação sujeito-objeto, bem como restrições à associação de usuário/função e ativação do conjunto de funções.
Um modelo de função é um conjunto de definições de funções e um conjunto de atribuições de funções implícitas ou explícitas.

Modelo de função hierárquica

No controle de acesso baseado em função, a hierarquia de função define uma relação de herança entre as funções.
Por exemplo, a estrutura de função de um banco pode tratar todos os funcionários como membros da função "funcionário".
Acima disso, podem estar as funções "gerente de departamento" e "contador", que herdam todas as permissões da função "funcionário".

Monitoramento de atividades

Um meio de monitorar as ações do usuário (por exemplo, acesso a sistemas, modificações em dados) usando dados de log coletados de sistemas ou aplicativos.

Nuvem privada

Forma de computação na nuvem usada por apenas uma organização ou que garante que a nuvem de uma organização esteja completamente isolada das demais. Quando um provedor de serviços usa recursos de nuvem pública para criar uma nuvem privada, o resultado é chamado de nuvem privada virtual.

Nuvem pública

Ambiente de computação na nuvem aberto ao público em geral e fornecido pela Internet, fora de qualquer firewall corporativo. A computação na nuvem pública utiliza tecnologias de computação na nuvem para oferecer suporte a clientes externos à organização do provedor. O uso de serviços na nuvem pública gera os tipos de economias de escala e compartilhamento de recursos que podem reduzir custos e aumentar as opções de tecnologias.

OAuth

Padrão aberto de autorização. A autorização aberta OAuth fornece um método para os clientes acessarem os recursos do servidor em nome de um proprietário de recurso (como um cliente diferente ou um usuário). Ela também fornece um processo para que usuários finais autorizem o acesso de terceiros aos seus recursos de servidor sem compartilhar suas credenciais (normalmente, uma combinação de nome de usuário e senha), usando redirecionamentos de usuário-agente.

Offboarding

Processo de remoção de acesso quando usuários, como funcionários, contratados, parceiros ou clientes, deixam uma organização.

On-premise

Software instalado e executado em computadores nas instalações (edifício) da pessoa ou organização que usa o software, em vez de em instalações remotas, como um provedor de serviços na nuvem.

OpenID

Padrão aberto que descreve como usuários podem ser autenticados usando um serviço de terceiros (conhecido como Relying Partiesou RP), eliminando a necessidade de as organizações fornecerem seus próprios sistemas de autenticação e permitindo que os usuários consolidem suas identidades digitais.

OpenID Connect

Padrão aberto que executa muitas das mesmas tarefas do OpenID, mas o faz de forma amigável à API e utilizável por aplicativos nativos e móveis. O padrão é uma camada de identidade simples sobre o protocolo OAuth 2.0 e permite que clientes verifiquem a identidade do usuário final com base na autenticação realizada por um servidor de autorização, bem como que obtenham informações básicas de perfil sobre o usuário final de maneira interoperável e semelhante ao REST.

Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI)

Padrão desenvolvido pelo Conselho de Padrões PCI para o aprimoramento da segurança dos dados de contas de pagamento. O padrão consiste em 12 requisitos principais, que compreendem gerenciamento de segurança, políticas, procedimentos, arquitetura de rede, design de software e outras medidas fundamentais.

Política

Conjunto de regras confiáveis e prescritas para a condução de negócios que podem ser definidas por uma organização ou pelo resultado de determinações regulatórias.

Política de senhas

Conjunto de requisitos relativos à criação, armazenamento e uso de senhas. Em geral, esses requisitos restringem diversas características das senhas.

Privilégio mínimo

Conceito que busca restringir o acesso de um usuário (por exemplo, a dados ou aplicativos) ou o tipo de acesso (leitura, gravação, execução, exclusão, etc.) ao mínimo necessário à execução de suas funções.

Privilégios de acesso

Direitos de acesso que um usuário tem a um recurso do sistema, como o direito de acessar, visualizar, modificar, criar ou excluir.

Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP)

Estrutura desenvolvida para proteger a confiabilidade contínua de grandes sistemas de energia elétrica da América do Norte, aprovada no início de 2008.
Os padrões CIP exigem que as concessionárias de serviços públicos identifiquem e protejam seus ativos cibernéticos essenciais.

Provedor de identidade (IdP)

Sistema que cria, mantém e gerencia informações de identidade para entidades (usuários, serviços ou sistemas) e fornece autenticação de entidades a outros provedores de serviços (aplicativos) em uma federação ou rede distribuída.

Provisionamento de usuários

Formação, preservação, atualização e descarte da identidade digital de um usuário e dos privilégios de acesso a vários recursos simultaneamente, seja no local, na nuvem ou em ambientes híbridos.

Provisioning

Processo de conceder, alterar ou remover o acesso do usuário a sistemas, aplicativos e bancos de dados com base em uma identidade de usuário exclusiva. O provisionamento automatizado de usuários visa agilizar e simplificar a administração de usuários e seus privilégios de acesso. Isso é feito automatizando e codificando processos de negócios, como integração e desligamento, e conectando esses processos a vários sistemas.

Proxy reverso

Software que fornece um único ponto de autenticação para servidores web em uma rede interna. A arquitetura de proxy reverso tem a vantagem de não exigir a instalação de software em todo aplicativo web.

Reatribuição

Ação que transfere a responsabilidade pela execução de uma operação a uma pessoa diferente.

Reconciliação

Processo que compara periodicamente dados de identidade em uma solução de Gerenciamento de Identidades com os dados realmente presentes nos recursos gerenciados. A reconciliação correlaciona os dados da conta, destaca as diferenças e pode invocar o fluxo de trabalho a fim de alertar ou fazer alterações nos dados.

Recurso

Sistema, aplicativo, banco de dados ou outro objeto gerenciado por um sistema de gerenciamento de identidade.

Redefinição de senha

Processo ou tecnologia que permite a usuários que esqueceram suas senhas ou acionaram algum bloqueio se autenticarem com um fator alternativo e, em seguida, definirem uma nova senha.

Regra de auditoria modelo (MAR)

Exigência em vigor desde 1º de janeiro de 2010 que exige que seguradoras privadas nos Estados Unidos comprovem que possuem controles eficazes sobre a integridade dos sistemas e dados financeiros.
Semelhante à Lei Sarbanes-Oxley, a MAR exige mais transparência, maior adesão aos controles internos e melhor governança corporativa.

Regras

Conjunto de diretrizes prescritas que podem ser definidas por uma organização ou pelo resultado de determinações regulatórias.

Regulamento Geral sobre a Proteção de Dados (RGPD)

Lei promulgada para controlar a maneira como as organizações processam e usam dados pessoais coletados de consumidores on-line.

Ler mais

Repositório de identidades

Sistema que mantém informações de identidade. Um repositório de identidades costuma ser uma fonte confiável para algumas das informações que contém.

Revogação

Ato de remover uma função ou direito específico de um usuário com base em decisão tomada por um revisor durante uma certificação.

Risco

A probabilidade de que uma determinada fonte de ameaça exerça (acione acidentalmente ou explore intencionalmente) determinada vulnerabilidade do sistema de informação e, caso o evento ocorra, o impacto resultante.

Risco cibernético

Ocorre por meio do comprometimento da confidencialidade ou integridade de informações ou tecnologia da informação, podendo acarretar perdas financeiras, impactos operacionais negativos e danos a sistemas, organizações, governos e pessoas.

Ler mais

SAML

A Linguagem de Marcação para Asserções de Segurança (Security Assertion Markup Language) é um padrão baseado em XML para troca de dados de autenticação e autorização entre domínios de segurança, ou seja, entre um provedor de identidade (um produtor de asserções) e um provedor de serviços (um consumidor de asserções).

SOX Compliance

Refere-se à conformidade com a Lei Sarbanes-Oxley (SOX), uma lei federal dos EUA, promulgada em 2002, para proteger investidores e clientes de práticas corporativas fraudulentas.

Segregação de funções

Divide as tarefas em pelo menos duas partes para garantir que nenhuma pessoa possa executar ações unilateralmente, quando o impacto de efeitos irreversíveis ultrapassar a tolerância de uma organização a erros ou fraudes.

Segurança cibernética

Termo que abrange as diversas ferramentas, sistemas, práticas, processos e procedimentos que são combinados para proteger recursos digitais (hardware, softwares, redes, dados, etc.) contra ameaças cibernéticas externas e perturbações, infiltrados e usuários descuidados.

Senha

Uma forma de dados de autenticação secretos usados para controlar o acesso aos serviços do sistema. Permite ao titular de um identificador eletrônico confirmar que ele ou ela é a pessoa para quem o identificador foi emitido.
Uma credencial, algo que apenas o usuário conhece e que o autenticador pode confirmar.

Senha de uso único (OTP)

Senha válida apenas para uma única sessão de login ou transação, gerada por um algoritmo quando um usuário precisa se autenticar.
A OTP normalmente é enviada para o dispositivo móvel ou token de segurança do usuário.

Separação de funções (SoD)

Controle interno projetado para prevenir fraudes, garantindo que nenhuma pessoa tenha controle excessivo sobre uma ou mais transações comerciais essenciais. Refere-se a acesso ou funções mutuamente exclusivas.
O processo envolve a divisão de responsabilidades por informações confidenciais ou ações de risco, de modo que nenhum indivíduo agindo sozinho possa comprometer um sistema. Como princípio de segurança, seu objetivo principal é a prevenção de fraudes e erros. Esse princípio se manifesta na exigência ocasional de duas assinaturas em um cheque bancário ou na prevenção de que uma pessoa autorize suas próprias solicitações de fluxo de trabalho. Também denominada Segregação de Funções.

Ler mais

Shadow IT

Refere-se a sistemas digitais, dispositivos (computadores pessoais [PCs], notebooks, tablets, smartphones, etc.), softwares, aplicativos (ou seja, geralmente softwares prontos para uso) e serviços (ou seja, predominantemente software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) que são usados em uma organização sem o conhecimento do departamento de TI.

Sincronização de senhas

Solução que obtém a senha de um usuário e altera as senhas em outros recursos para que sejam iguais a essa senha.

Sistema para gerenciamento de identidade entre domínios (SCIM)

Padrão aberto usado para simplificar o gerenciamento de usuários na nuvem, definindo um esquema de representação de usuários e grupos e uma API REST para todas as operações necessárias de criação, leitura, atualização e exclusão (CRUD, create, read, update, and delete).

Software como serviço (SaaS)

Modelo de distribuição de softwares no qual os aplicativos são hospedados por um prestador ou provedor de serviços e disponibilizados aos clientes pela Internet, geralmente com pagamento conforme o uso. Um software SaaS é de propriedade, fornecido e gerenciado remotamente por um ou mais provedores de serviços.

Solicitação de acesso

Sistemas ou processos usados para solicitar novo acesso, fazer alterações no acesso existente ou remover o acesso a recursos em uma organização.

Solvency II

Estrutura regulatória baseada em risco, com entrada em vigor em 2012, que se aplica a todas as seguradoras dos estados-membros da UE.
A Solvency II busca incutir a conscientização sobre riscos na governança, nas operações e na tomada de decisões do setor de seguros europeu.

TI híbrida

Abordagem à computação empresarial na qual uma organização fornece e gerencia alguns recursos de tecnologia da informação (TI) localmente (no data center), mas utiliza serviços baseados na nuvem para outros.

Tecnologia de gerenciamento de informações e eventos de segurança (SIEM)

O gerenciamento de informações de segurança (SIM, Security information management) fornece gerenciamento de logs (coleta, relatório e análise de dados de log) visando dar suporte a relatórios de conformidade regulatória, gerenciamento interno de ameaças e monitoramento de acesso a recursos.
O gerenciamento de eventos de segurança (SEM, Security event management) processa dados de eventos de dispositivos de segurança, dispositivos de rede, sistemas e aplicativos em tempo real para fornecer monitoramento de segurança, correlação de eventos e resposta a incidentes.
A tecnologia pode ser usada para descobrir atividades associadas a um ataque direcionado ou a uma violação de segurança, sendo também usada para atender a uma ampla gama de requisitos regulatórios.

Token

Software ou hardware usado como fator de autenticação para acessar um sistema de informações.
Tokens de hardware são pequenos dispositivos, normalmente do tamanho de um cartão de crédito ou chaveiro, que calculam uma senha de uso único.
Um token de software desempenha a mesma função que um token de hardware, exceto pelo fato de ser instalado como um software em um dispositivo que o usuário já possui, como um celular ou tablet.

Transparência

A disponibilidade de informações completas necessárias à responsabilização, gerenciamento de risco e tomada de decisões coletivas.

Vetor de ameaça

Métodos ou mecanismos que os cibercriminosos usam para obter acesso ilegal e não autorizado a sistemas e redes de computadores.

Violação

Comprometimento bem-sucedidosdoscontroles de segurança, o que pode acarretar a invasão não autorizada de um sistema ou aplicativo; uma violação dos controles de um sistema específico, de forma que ativos de informação ou componentes do sistema sejam indevidamente expostos.

Violação da HIPAA

Ocorre quando alguém deixa de cumprir as regras definidas na Lei Federal de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996; As regras se concentram na proteção das informações de saúde protegidas (PHI) dos pacientes.

Violação de dados

Incidente de segurança cibernética que resulta na exposição, exfiltração ou dano causado por terceiros não autorizados a dados sensíveis, confidenciais, privados ou protegidos.

Ler mais

Violação de segurança

Ocorre quando um incidente resulta em acesso não autorizado a dados digitais, aplicativos, serviços, redes ou dispositivos quando um perímetro lógico de TI privado, protegido ou confidencial é acessado sem permissão. O resultado final é o acesso não autorizado às informações.

Zero trust

Estrutura de segurança de TI que exige que todas as identidades (pessoas, dispositivos ou qualquer outra entidade designada como usuário) sejam autenticadas, autorizadas e verificadas continuamente, esteja o usuário dentro ou fora da rede da empresa, antes e durante o acesso a dados e aplicativos.

Ler mais