Glossário de Segurança da Informação

Para fortalecer a cultura de segurança da informação e garantir uma linguagem comum entre as áreas técnicas, administrativas e de governança, o IFMG adota como referência o Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.

Este glossário reúne os principais conceitos, siglas e termos utilizados na área de segurança da informação e cibernética, com o objetivo de padronizar entendimentos e apoiar a implementação de políticas, controles e boas práticas no ambiente institucional.

Os termos aqui apresentados são especialmente úteis para profissionais de tecnologia da informação, membros do Comitê de Segurança da Informação (CSI), equipes da ETIR, gestores de dados pessoais, servidores públicos e demais usuários dos sistemas institucionais.

🔗 Acesse a portaria GSI/PR nº 93/2021 na íntegra

Abaixo, os principais conceitos de segurança para uma consulta rápida:

AAA (Autenticação, Autorização e Auditoria)
Conjunto de mecanismos que garantem que apenas usuários autorizados acessem sistemas (autenticação), operem dentro de seus limites (autorização) e que suas ações sejam registradas para rastreabilidade (auditoria).
Ex.: login com senha, permissões por perfil, e registro de atividades em logs.

AC (Autoridade Certificadora)
Instituição que emite certificados digitais usados para autenticar identidades eletrônicas.
Ex.: ICP-Brasil para emissão de e-CPF, e-CNPJ, Assinatura Eletrônica GOV.BR.

Adware
Software que exibe anúncios ao usuário. Quando abusivo ou oculto, pode comprometer a privacidade.
Ex.: programas gratuitos que instalam barras de ferramentas ou pop-ups sem aviso.

Antivírus
Programa que detecta, isola e remove malwares. Pode oferecer proteção em tempo real e verificações agendadas.
Ex.: Windows Defender, Kaspersky, Avast.

Ataque de Força Bruta
Tentativas automáticas de combinações para descobrir senhas.
Ex.: tentativa de login com senhas geradas por script.

Ataque interno
Incidente causado por usuário autorizado, intencionalmente ou não.
Ex.: vazamento de dados por colaborador com acesso privilegiado.

Autenticidade
Confirmação de que a informação é proveniente de uma fonte confiável.
Ex.: assinatura digital em documentos oficiais.

Backup
Cópia de segurança de dados importantes, armazenada de forma separada e segura.
Ex.: backup automático de servidores em nuvem ou em storage externo.

Biometria
Método de autenticação baseado em características físicas ou comportamentais.
Ex.: impressão digital, reconhecimento facial ou de íris.

Botnet
Rede de dispositivos infectados controlados remotamente para fins maliciosos.
Ex.: ataques DDoS coordenados usando milhares de computadores zumbis.

Ciberataque
Qualquer tentativa de comprometer sistemas, redes ou dados.
Ex.: invasão por malware, ransomware ou ataques de engenharia social.

Confidencialidade
Assegura que apenas pessoas autorizadas possam acessar certas informações.
Ex.: documentos com acesso restrito, uso de criptografia em arquivos sensíveis.

Criptografia
Transforma dados em um formato ilegível para terceiros não autorizados.
Ex.: HTTPS em sites, criptografia de e-mails e backups.

CSIRT / ETIR
Equipe responsável por prevenir, tratar e responder a incidentes cibernéticos.
Ex.: notificação de vazamento, análise de logs, resposta a ataques.

DLP (Data Loss Prevention)
Tecnologias que evitam o vazamento de dados sensíveis.
Ex.: bloqueio de envio de dados sigilosos por e-mail.

Disponibilidade
Garantia de que sistemas e dados estejam acessíveis quando necessários.
Ex.: uso de redundância, failover, sistemas de alta disponibilidade.

Engenharia Social
Técnica de manipulação psicológica para obter acesso ou informações.
Ex.: e-mails falsos pedindo senha ou dados bancários.

Firewall
Barreira de proteção entre redes, controlando o tráfego permitido.
Ex.: firewall do Windows, firewalls corporativos e de aplicação.

Gestão de Riscos
Processo sistemático para identificar, avaliar e controlar riscos.
Ex.: avaliação de impacto em caso de indisponibilidade de serviço.

Hardening
Técnica para reforçar a segurança de sistemas, removendo pontos vulneráveis.
Ex.: desabilitar serviços não utilizados, aplicar patches, configurar permissões adequadas.

Integridade
Assegura que os dados não sejam alterados indevidamente.
Ex.: checagem de hash em arquivos transferidos.

LGPD
Lei Geral de Proteção de Dados (13.709/2018), que regula o tratamento de dados pessoais no Brasil.
Ex.: consentimento para coleta de dados em formulários institucionais.

Logs
Registros automáticos de eventos, acessos e operações em sistemas.
Ex.: log de login, de alterações de arquivos ou configurações.

Malware
Software malicioso projetado para causar dano, espionar ou sequestrar dados.
Ex.: vírus, trojans, spyware, ransomware.

Mitigação
Ações para reduzir o impacto ou a probabilidade de um risco.
Ex.: aplicar patches de segurança regularmente.

Phishing
Tentativa de enganar usuários para obter dados sensíveis.
Ex.: e-mail falso do banco pedindo senha ou código de verificação.

PKI
Infraestrutura de Chaves Públicas para emissão e validação de certificados digitais.
Ex.: ICP-Brasil, uso em assinatura digital de documentos oficiais.

Plano de Continuidade de Negócios (PCN)
Plano que define estratégias para manter operações durante crises ou desastres.
Ex.: planos para manter sistemas críticos mesmo após pane de servidor.

Política de Segurança da Informação (POSIC)
Documento institucional com diretrizes de proteção da informação.
Ex.: regras sobre uso de e-mail, senhas, acesso remoto.

Ransomware
Tipo de malware que bloqueia dados e exige resgate para liberação.
Ex.: WannaCry, ataques criptografando pastas e exigindo pagamento.

Segurança da Informação
Conjunto de medidas para proteger informações quanto à confidencialidade, integridade e disponibilidade.
Ex.: criptografia, controle de acesso, backups.

SIEM (Security Information and Event Management)
Plataforma que agrega e analisa eventos de segurança.
Ex.: centraliza alertas de antivírus, firewall e sistemas de detecção.

SOC (Security Operations Center)
Centro de monitoramento e resposta a incidentes.
Ex.: equipe que atua 24/7 monitorando alertas de segurança.

Spoofing
Falsificação de identidade digital para enganar sistemas ou usuários.
Ex.: e-mails com endereço falso aparentando ser confiável.

Spyware
Software que espiona atividades do usuário sem autorização.
Ex.: captura de teclas digitadas ou monitoramento de navegação.

Token
Dispositivo ou código usado para autenticar o usuário.
Ex.: token de banco, aplicativo de autenticação em dois fatores.

Tokenização
Substitui dados reais por equivalentes sem valor, protegendo a informação sensível.
Ex.: uso em transações de cartão de crédito.

VPN (Virtual Private Network)
Rede privada virtual que cria conexão segura sobre a internet.
Ex.: acesso remoto criptografado à rede interna institucional.

Vulnerabilidade
Falha que pode ser explorada para comprometer um sistema.
Ex.: software desatualizado com falha de segurança conhecida.

Zeroday
Vulnerabilidade ainda desconhecida pelo fornecedor, sem correção disponível.
Ex.: exploração de falha logo após descoberta.