● 93 entries

Conformidade e frameworks

Acordo de Tratamento de Dados (DPA)Contrato exigido pelo artigo 28.o do RGPD entre o responsavel pelo tratamento e o subcontratante quando dados pessoais sao tratados em nome do responsavel.
Análise qualitativa de riscosAbordagem de análise que classifica probabilidade e impacto usando escalas descritivas (baixo/médio/alto ou 1-5) em vez de valores monetários ou probabilísticos.
Análise quantitativa de riscosAbordagem que exprime probabilidade e impacto em números, normalmente como probabilidades e distribuições de perda monetária, para sustentar decisões orientadas por dados.
Apetite ao riscoQuantidade e tipo agregados de risco que uma organização está disposta a procurar ou a aceitar na prossecução dos seus objetivos estratégicos, definidos pelo conselho e pela liderança sénior.
Atomic Red TeamBiblioteca open source de testes pequenos e focados criada pela Red Canary que emula tecnicas individuais do MITRE ATT&CK para validar detecoes e controlos.
Avaliação de Impacto sobre a Proteção de Dados (DPIA)Avaliação estruturada, exigida pelo artigo 35 do RGPD, que identifica e mitiga riscos para os direitos e liberdades das pessoas antes do início de um tratamento de alto risco.
Avaliação de riscosAtividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
Avaliação de segurança de fornecedoresA avaliação estruturada dos controlos, políticas e práticas de segurança de um fornecedor terceiro, antes e durante a relação comercial, para medir o risco que ele introduz.
CAPECCommon Attack Pattern Enumeration and Classification, catalogo publico mantido pela MITRE com padroes de ataque usados pelos adversarios para explorar fraquezas conhecidas.
CCPACalifornia Consumer Privacy Act, lei estadual dos EUA que concede aos residentes da Califórnia direitos sobre as suas informações pessoais detidas por empresas.
CCSPCertificacao de seguranca em nuvem da ISC2 que cobre arquitetura, protecao de dados, seguranca de plataforma e infraestrutura, operacoes e conformidade legal nos principais provedores.
CEHCertificacao de hacking etico do EC-Council que ensina ferramentas e tecnicas dos atacantes em reconhecimento, exploracao e testes web, sem fio e em nuvem.
Certificacoes GIACFamilia de certificacoes de ciberseguranca por papel emitidas pelo GIAC e alinhadas aos treinamentos do SANS Institute, abrangendo operacoes, resposta a incidentes, forense e pentest.
CIS ControlsConjunto priorizado de boas práticas de cibersegurança mantido pelo Center for Internet Security para defender contra os ataques mais comuns.
CISACertificacao da ISACA para auditores de sistemas de informacao, cobrindo processo de auditoria, governanca, aquisicao, operacoes e protecao de ativos em cinco dominios.
CISMCertificacao de nivel gerencial da ISACA para responsaveis por seguranca da informacao, cobrindo governanca, risco, desenvolvimento de programa e gestao de incidentes em quatro dominios.
CISSPCertificacao senior e independente de fornecedor emitida pela ISC2, que cobre oito dominios do Common Body of Knowledge e exige cinco anos de experiencia profissional remunerada.
CMMCPrograma de certificação do Departamento de Defesa dos EUA que verifica se os contratantes da base industrial de defesa têm controlos de cibersegurança adequados.
COBITQuadro da ISACA para a governança e a gestão da informação e da tecnologia empresarial, que liga os objetivos de negócio aos objetivos e controlos de TI.
CompTIA Security+Certificacao de ciberseguranca de nivel inicial e independente de fornecedor da CompTIA, que cobre ameacas, arquitetura, operacoes e governanca para profissionais em inicio de carreira.
ConformidadeDisciplina que assegura o cumprimento de requisitos legais, regulatórios, contratuais e internos de segurança através de controlos documentados, evidências e avaliação contínua.
CPRACalifornia Privacy Rights Act de 2020, que altera e amplia a CCPA e entrou em plena vigencia em 1 de janeiro de 2023.
CRISCCertificacao da ISACA para profissionais de risco e controle de TI, cobrindo governanca, avaliacao de risco, resposta e reporte, e selecao de controles em quatro dominios.
CVE Numbering Authority (CNA)Organização autorizada pelo programa CVE a atribuir identificadores CVE e publicar registos para vulnerabilidades dentro do seu âmbito definido.
Defesa em ProfundidadeEstrategia de seguranca que empilha controlos independentes para que, se um falhar, outros continuem a prevenir, detetar ou conter um ataque.
Diretiva NIS2Diretiva UE 2022/2555 que eleva os requisitos basicos de ciberseguranca e as obrigacoes de notificacao de incidentes para entidades essenciais e importantes na Uniao.
DORARegulamento UE 2022/2554 relativo a resiliencia operacional digital do setor financeiro, aplicavel desde 17 de janeiro de 2025.
DPFQuadro UE-EUA de Privacidade de Dados, mecanismo de adequacao de julho de 2023 que substitui o Privacy Shield para transferencias transatlanticas de dados pessoais.
FAIR (Factor Analysis of Information Risk)Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas.
FedRAMPPrograma do governo dos EUA que padroniza a avaliação de segurança, autorização e monitorização contínua dos serviços cloud usados pelas agências federais.
FERPALei federal dos EUA que protege a privacidade dos registos educativos dos alunos e confere direitos aos pais e aos estudantes elegíveis.
FISMALei federal dos EUA que obriga as agências federais e os seus contratantes a implementar programas de segurança da informação baseados em risco para sistemas que tratam dados governamentais.
Gestão de risco de fornecedoresSubconjunto do TPRM focado em avaliar e supervisionar fornecedores diretos, em especial as suas práticas de segurança, privacidade e resiliência operacional.
Gestão de risco de terceiros (TPRM)Disciplina de ponta a ponta para identificar, avaliar, contratar, monitorizar e descontinuar terceiros, mantendo dentro do apetite os riscos ciber, operacionais e de conformidade introduzidos por eles.
Gestão de riscosProcesso coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
Gestão de riscos empresariais (ERM)Abordagem integrada e transversal para identificar, governar e tratar riscos estratégicos, financeiros, operacionais, de conformidade e cibernéticos, alinhada aos objetivos do negócio.
Gramm-Leach-Bliley Act (GLBA)Lei federal dos Estados Unidos que obriga as instituições financeiras a proteger as informações dos clientes e a divulgar as suas práticas de partilha de dados.
HIPAALei dos EUA Health Insurance Portability and Accountability Act, que define normas nacionais para a proteção de informação de saúde identificável.
HITRUSTQuadro de seguranca centrado em risco e conformidade, o HITRUST CSF, amplamente usado no setor da saude nos EUA para demonstrar alinhamento com HIPAA, NIST e outras fontes.
ISO/IEC 27001Norma internacional que define os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) e permite certificação formal das organizações.
ISO/IEC 27002Código internacional de boas práticas que fornece orientação detalhada para implementar os controlos de segurança listados no Anexo A da ISO/IEC 27001.
ITILQuadro globalmente reconhecido, publicado pela AXELOS/PeopleCert, de boas práticas de gestão de serviços de TI ao longo do sistema de valor do serviço.
Lei Sarbanes-Oxley (SOX)Lei federal dos EUA de 2002 que impõe requisitos de governação, controlo interno e reporte a empresas cotadas em bolsa para proteger investidores.
LGPDLei Geral de Protecao de Dados do Brasil (Lei n.o 13.709/2018), em vigor desde 18 de setembro de 2020, que regula o tratamento de dados pessoais por entidades publicas e privadas.
Metodo OCTAVEMetodologia de avaliacao de risco de seguranca da informacao desenvolvida pelo SEI da CMU, focada no risco organizacional e operacional sobre ativos criticos.
MITRE ATT&CKBase de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
MITRE D3FENDGrafo de conhecimento da MITRE sobre contramedidas defensivas de cibersegurança e os artefactos digitais que observam ou modificam, complemento do MITRE ATT&CK.
Modelo de ameacas PASTAProcess for Attack Simulation and Threat Analysis, metodologia de modelagem de ameacas em sete etapas centrada no risco que alinha ameacas tecnicas ao impacto de negocio.
Modelo DREADModelo qualitativo de avaliação de risco que pontua ameaças em Damage, Reproducibility, Exploitability, Affected users e Discoverability.
Modelo STRIDEQuadro de classificação de ameaças da Microsoft que agrupa ameaças de software em Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service e Elevation of Privilege.
NIST Cybersecurity FrameworkReferencial voluntário baseado em risco, publicado pelo NIST dos EUA, que organiza os resultados de cibersegurança em seis funções essenciais.
NIST Risk Management FrameworkProcesso do NIST em sete passos, definido na SP 800-37, para integrar a gestão de riscos de segurança, privacidade e cadeia de fornecimento no ciclo de vida dos sistemas.
NIST SP 800-171Publicação do NIST que define os requisitos de segurança para proteger Controlled Unclassified Information (CUI) em organizações não federais.
NIST SP 800-30Publicacao especial do NIST que fornece orientacoes para conduzir avaliacoes de risco de sistemas de informacao e das missoes que eles apoiam.
NIST SP 800-37Risk Management Framework do NIST que define um processo de sete passos para gerenciar risco de seguranca e privacidade ao longo do ciclo de vida do sistema.
NIST SP 800-53Publicação do NIST que fornece um catálogo abrangente de controlos de segurança e privacidade para sistemas federais dos EUA e muitos adotantes do setor privado.
NIST SP 800-61Guia do NIST para tratamento de incidentes de seguranca computacional, descrevendo o ciclo de vida em quatro fases usado por equipes de resposta no governo e na industria.
OSCPCertificacao pratica de seguranca ofensiva da Offensive Security obtida ao comprometer uma rede de laboratorio em um exame pratico monitorado de 24 horas.
OSSTMMMetodologia aberta e revisada por pares de testes de seguranca mantida pelo ISECOM, que define medicoes cientificas e repetiveis de seguranca operacional em cinco canais.
OWASP API Security Top 10Documento de consciencializacao da OWASP que classifica os riscos de seguranca mais criticos das APIs web, complementando o OWASP Top 10 geral.
OWASP ASVSApplication Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.
OWASP Dependency-CheckFerramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE.
OWASP MASVSMobile Application Security Verification Standard da OWASP, conjunto base de requisitos de seguranca testaveis para aplicacoes moveis iOS e Android.
OWASP Mobile Top 10Documento de consciencializacao da OWASP que classifica os riscos de seguranca mais criticos em aplicacoes moveis para iOS, Android e plataformas similares.
OWASP SAMMSoftware Assurance Maturity Model da OWASP, um modelo para medir e melhorar ao longo do tempo as praticas de desenvolvimento seguro de software de uma organizacao.
OWASP Top 10Documento de sensibilização da OWASP que enumera os riscos de segurança mais críticos para aplicações web, atualizado periodicamente com base em dados reais de vulnerabilidades.
OWASP WSTGWeb Security Testing Guide da OWASP, manual open source abrangente que descreve como testar aplicacoes web face as fraquezas de seguranca mais comuns.
OWASP ZAPZed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
Panorama de ameacas (Threat Landscape)Imagem atual das ameacas que enfrentam uma organizacao, setor ou regiao: atores, taticas, familias de malware, vulnerabilidades e tendencias ao longo do tempo.
PCI DSSNorma global de segurança da informação para organizações que armazenam, processam ou transmitem dados de cartões de pagamento, mantida pelo PCI Security Standards Council.
PIPEDALei federal canadiana de privacidade para o setor privado, que regula como as organizacoes recolhem, usam e divulgam informacao pessoal em atividades comerciais.
Ponto unico de falha (SPOF)Componente cuja falha individual derruba todo o sistema, comprometendo disponibilidade, resiliencia e objetivos de recuperacao.
Principio da Necessidade de Conhecer (Need-to-Know)Principio de seguranca que so concede acesso a informacao a quem dela precisa para o seu trabalho, mesmo quando ja tem o nivel de credenciacao adequado.
PTESMetodologia comunitaria de teste de intrusao que organiza o trabalho em sete fases, do pre-engajamento ate o reporte e recomendacoes de remediacao.
Registo de riscosInventário vivo dos riscos identificados com descrição, responsável, pontuações, tratamento e estado, usado para acompanhar a exposição da organização ao longo do tempo.
Regulamento Europeu de IARegulamento UE 2024/1689 que estabelece regras harmonizadas sobre inteligencia artificial com uma abordagem baseada no risco, com aplicacao faseada entre 2025 e 2027.
RGPDRegulamento Geral sobre a Proteção de Dados da União Europeia, que regula o tratamento de dados pessoais de pessoas na UE e no EEE.
Risco inerenteNível de risco que existe numa atividade ou ativo antes de quaisquer controlos ou mitigações, refletindo a exposição bruta a ameaças.
Risco residualRisco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
SANS Top 25Lista publicada anualmente, mantida pela MITRE com o SANS Institute, que classifica as fraquezas de software mais perigosas a partir de dados reais de CVE.
SCCClausulas Contratuais-Tipo aprovadas pela Comissao Europeia que fornecem garantias conformes ao RGPD para transferencias de dados pessoais para fora do EEE.
Segregacao de Funcoes (SoD)Principio de controlo que divide uma tarefa sensivel entre varias pessoas ou sistemas para que nenhum ator a complete sozinho.
Seguranca por obscuridadeAbordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca.
Seguro ciberneticoProduto de seguro especializado que transfere a uma seguradora o impacto financeiro de incidentes ciberneticos — resposta, interrupcao de negocio e responsabilidade civil.
Simulação de risco Monte CarloTécnica computacional que estima o risco executando milhares de cenários aleatórios a partir de distribuições de probabilidade de entrada, gerando uma distribuição de resultados possíveis.
SOC 2Norma de atestação do AICPA segundo a qual um auditor independente avalia os controlos de uma organização prestadora de serviços face aos Trust Services Criteria.
Superficie de ataqueConjunto de todos os pontos por onde um atacante pode tentar entrar, exfiltrar dados ou manipular um sistema: redes, software, identidades, cadeia de fornecimento e pessoas.
Tolerância ao riscoVariação aceitável em torno de um objetivo ou categoria específica de risco, expressa em limites quantitativos ou qualitativos derivados do apetite ao risco.
Tratamento de riscosDecisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização.
Triade CIAModelo fundamental de seguranca da informacao que agrupa os objetivos em Confidencialidade, Integridade e Disponibilidade.
TrikeMetodologia open-source de modelagem de ameaças com uma abordagem orientada por requisitos e baseada em risco, centrada em atores, ativos e ações permitidas.
Vetor de ameacaCanal ou meio pelo qual um ator de ameaca pode entregar um ataque; usado quase como sinonimo de vetor de ataque, com enfase em modelagem de ameacas.
Vetor de ataqueCaminho ou tecnica concreta usada por um atacante para obter acesso nao autorizado: phishing, exploracao de uma CVE, credenciais roubadas, etc.