A segurança informático, à semelhança, de muitas outras áreas tecnológicas tem uma linguagem muito própria, por isso reunimos algumas expressões para que se familiarize.
Conheça a explicação das expressões mais importantes relacionadas com a cibersegurança:
A
Aceitação do Risco – Decisão de aceitar a persistência de um risco residual após o tratamento do risco.
Ameaça – Causa potencial de incidente indesejável que pode resultar em danos para uma organização ou qualquer dos sistemas por ela utilizados. Estas ameaças podem ser acidentais ou deliberadas (com dolo) e caracterizam-se por elementos ameaçadores, alvos potenciais e métodos de ataque.
Ataque – Qualquer tipo de atividade maliciosa que tenta coletar, perturbar, negar, degradar ou destruir recursos de sistema de informação ou a informação em si.
Autenticação de Identidade – Verificação ou validação da identidade de uma pessoa ou da identificação de qualquer outra entidade através de um sistema de segurança.
Autenticação de Mensagem – Processo de validar o código de autenticação de uma mensagem, para obter a garantia de que um dado remetente emitiu essa mensagem para o destinatário previsto e de que a mesma não sofreu alterações durante a transmissão.
Autenticidade – Num contexto informacional, propriedade de uma informação cuja origem e integridade são garantidas.
Auto-proteção dos Sistemas de Comunicação e Informação – Refere-se aos tratamentos de sistemas de comunicação e informação externos à organização como não-confiáveis e a implementação de medidas de proteção para controlar a realização de trocas de informação com estes sistemas.
Avaliação do Risco – Identificação das ameaças e vulnerabilidades e realização da análise de risco conexa, ou seja, a análise da probabilidade e do impacto.
B
Backup – Qualificativo de um processo, técnica ou equipamento usado para ajudar a recuperar dados perdidos ou destruídos ou para manter um sistema em funcionamento.No contexto do software usado para realizar a salvaguarda de ficheiros (software de salvaguarda), obtemos as chamadas “cópias de segurança” (backup copies). No contexto de equipamento que permita redundância, temos por exemplo “fontes de alimentação de reserva” (backup power supplies) ou mesmo “discos de reserva” (backup disks).
Bluetooth – Tecnologia normalizada de ligação via rádio, com baixa potência de transmissão e de pequeno alcance, utilizando um sistema de mudança aleatória de frequência de transmissão, que permite o estabelecimento automático de ligação, sem fios ou cabos, de vários aparelhos eletrónicos (telemóveis, assistentes digitais pessoais (PDA), computadores, etc.) situados a pequena distância uns dos outros, constituindo assim uma pequena rede local sem fios.
C
Chave Criptográfica – Cadeia de bits que comanda as operações de um algoritmo criptográfico. O secretismo destas chaves garante, normalmente, a segurança da transformação (cifragem/decifragem), especialmente quando o algoritmo de transformação é, como desejável, público.
Chave Privada – Em criptografia assimétrica, a chave que, do par de chaves possuídas por uma entidade, é apenas por ela conhecida. A chave privada é utilizada pela entidade titular para decifrar uma mensagem de que é a destinatária (mensagem essa que deve ter sido cifrada com a correspondente chave pública) ou para cifrar uma mensagem, como no caso das assinaturas digitais (que o destinatário decifrará com a correspondente chave pública).
Ciber – Termo que conota uma relação com as tecnologias da informação.
Ciberataque – Ataque realizado através das tecnologias de informação no ciberespaço dirigido contra um ou vários sistemas, com o objetivo de prejudicar a segurança das tecnologias de informação e da comunicação (confidencialidade, integridade e disponibilidade), em parte ou totalmente.
Ciberdefesa – O termo “ciber defesa” refere-se a todas as medidas utilizadas para defender o espaço cibernético com os meios militares e apropriados para alcançar objetivos estratégico militares. A ciber defesa é um sistema integrado, que compreende a implementação de todas as medidas relacionadas com as TIC e a segurança da informação, os recursos milCERT e CNO (operações de rede do computador), bem como o apoio dos recursos físicos do exército.
Ciberdefesa ativa – Uma medida proactiva para detetar ou obter informações relativas a ciber intrusões, ciber ataques ou operações cibernéticas iminentes, ou para determinar a origem de uma operação que envolve o lançamento de uma contraoperação cibernética, preventiva, contra a fonte.
Ciberdefesa passiva – Uma medida para detetar e mitigar intrusões e os efeitos de ataques cibernéticos que não envolve o lançamento de uma contraoperação cibernética, preventiva, contra a fonte. Exemplo das medidas de defesa passiva são firewalls, patches, software antivírus e ferramentas de forenses digitais.
Ciberespaço – Metáfora usada para descrever o espaço não físico criado por redes de computadores, nomeadamente pela Internet, onde as pessoas podem comunicar de diferentes maneiras, por exemplo, através de mensagens eletrónicas, em salas de conversa ou em fóruns de discussão.
Cifra – Algoritmo de complexidade variável que permite a transformação de um texto claro num texto ilegível, inviabilizando a leitura do texto original por pessoas que desconheçam o algoritmo.
CNCS – Centro Nacional de Cibersegurança.
COMPUSEC – A aplicação de atributos de segurança no hardware, firmware e software de um sistema de computador para proteção ou prevenção da perda de integridade, disponibilidade dos sistemas, a divulgação não autorizada, manipulação, modificação/eliminação de informação e negação de serviço.
Comunicação do Risco – Consciencializar os grupos de utilizadores de sistemas de comunicação e informação para os riscos, informar as autoridades de aprovação desses riscos e reportá-los às autoridades operacionais.
Consórcio World Wide Web (W3C) – Associação constituída por representantes de várias áreas relacionadas com o desenvolvimento da Internet. A W3C define e cria especificações, linhas de ação, software e ferramentas para a World Wide Web, incluindo padrões e normas como HTML ou RSS, de forma a garantir o crescimento da Internet a longo prazo.
Cookie – Pacote de informação enviado de um servidor Web para um programa de navegação, e depois reenviado sempre que este aceda ao servidor.
Correio Eletrónico – Qualquer mensagem textual, vocal, sonora ou gráfica enviada através de uma rede pública de comunicações que possa ser armazenada na rede ou no equipamento terminal do destinatário até que este a recolha.
Crime Informático – Atos criminosos cometidos on-line utilizando redes de comunicação eletrónicas e sistemas de informação.
D
Dados de Tráfego – Os dados informáticos relacionados com uma comunicação efetuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente.
Dados Informáticos – (1) Significa qualquer representação de factos, de informações ou de conceitos sob uma forma suscetível de processamento num sistema de computadores, incluindo um programa apto a fazer um sistema informático executar uma função; (2) Qualquer representação de factos, informações ou conceitos sob uma forma suscetível de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função; (3) Uma representação de factos, informações ou conceitos de forma adequada para o tratamento num sistema de informação, incluindo um programa que permite que um sistema de informação execute uma dada função.
Dados Pessoais – (1) Qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (‘titular dos dados’); é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social; (2) Os dados pessoais são dados relativos a uma pessoa física e devem ser reservados à pessoa a que correspondem. Estes dados, que incluem informação como identidade, estado civil, situação profissional, financeira, médica, jurídica, etc., permitem a identificação direta ou indireta da pessoa em causa e desse modo comprometer a sua segurança ou legitimidade.
Defesa em Profundidade – (1) A aplicação de um conjunto de medidas de segurança organizadas como múltiplas camadas de defesa; (2) Aplicação de uma série de medidas de segurança organizadas em múltiplos estratos de defesa; (3) Medidas de proteção desenhadas, utilizadas e implementadas na arquitetura de componentes de sistemas de comunicação e informação, em produtos de segurança e em dados, à extensão possível, de modo a que haja múltiplas linhas de defesa.
Disponibilidade – Em tecnologias da informação e da comunicação, capacidade de uma unidade funcional permanecer em estado de realizar uma determinada função dentro de condições determinadas, num dado instante ou num dado intervalo de tempo, supondo que estão assegurados os necessários meios exteriores.
Domínio – Grupo de computadores e dispositivos de uma rede, em particular da Internet, que são administrados como uma unidade, com regras e procedimentos comuns, e que partilham um nome comum (nome do domínio).
E
Endereço IP (Internet Protocol address) – Endereço de 32 bits de um computador ou outro dispositivo ligado à Internet, representado habitualmente por uma notação decimal de quatro grupos de algarismos separados por pontos.
Endereço URL (Uniform Resource Locator) – Endereço pelo qual documentos e outros recursos são conhecidos e acedidos na Internet com a ajuda de um programa de navegação. Integra carateres identificadores do protocolo, do domínio e do caminho para atingir o recurso e apresenta-se com a seguinte estrutura: id. do protocolo://nome do domínio/nome do caminho/nome do recurso.
Engenharia Social – Técnicas utilizadas para obter informações importantes ou sigilosas através de ações que enganam ou exploram a confiança das pessoas.
Espionagem Informática – Ciberataques dirigidos contra a confidencialidade de um sistema de tecnologias da informação.
Estratégia Nacional de Segurança das Redes e dos Sistemas de Informação – Enquadramento nacional que estabelecerá os objetivos estratégicos e prioridades em matéria de segurança das redes e dos sistemas de informação a nível nacional.
Estratégia Nacional de Segurança do Ciberespaço – Estratégia fundada no compromisso de aprofundar a segurança das redes e da informação, como forma de garantir a proteção e defesa das infraestruturas críticas e dos serviços vitais de informação, e potenciar uma utilização livre, segura e eficiente do ciberespaço por parte de todos os cidadãos, das empresas e das entidades públicas e privadas.
Ethernet – Arquitetura muito utilizada para conexão física de redes locais, desenvolvida pela Xerox. Uma rede Ethernet usa uma topologia em barramento ou em estrela e suporta um tráfego de alto débito.
F
Ficheiro de Dados Pessoais – qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.
Firewall – Em tecnologias da informação e da comunicação, sistema informático concebido para proteger uma rede de computadores do acesso externo de utilizadores não autorizados.
Fornecedor de Serviço – (1) a) Qualquer entidade pública ou privada que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático; b) Qualquer outra entidade que processe ou armazene dados informáticos em nome do referido serviço de comunicação ou dos utilizadores desse serviço; (2) Qualquer entidade, pública ou privada, que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome e por conta daquela entidade fornecedora de serviço ou dos respetivos utilizadores.
H
Hardware – Totalidade ou parte dos componentes físicos de um sistema de processamento de dados.
Hiperligação – Referência de algum ponto de um hipertexto para um ponto do mesmo ou de outro documento; uma tal referência é normalmente especificada de uma forma diferenciada do resto do hipertexto (por exemplo, usando palavras sublinhadas).
HTML – Linguagem de marcação de hipertexto que possibilita a preparação de documentos com gráficos e hiperligações, para visualização na World Wide Web (WWW) ou em sistemas compatíveis.
I
IMAP4 – Protocolo que permite que um utilizador de correio eletrónico aceda à sua conta num servidor remoto.
Incidente – (1) um evento com um efeito adverso real na segurança das redes e dos sistemas de informação; (2) Ações tomadas através da utilização de uma rede de computadores que resultam num efeito atual ou potencialmente adverso sobre um sistema de informação e/ou a informação aí armazenada.
Informação – (1) Conhecimento que pode ser comunicado sob qualquer forma; (2) Dados que foram interpretados ou organizados de forma coerente e posteriormente comunicados sendo então possível tirar conclusões do seu significado.
Informática – Ramo da ciência e da tecnologia que trata do processamento automático de informação efetuado por meio de computadores.
INFOSEC – A aplicação de medidas de segurança para proteger a informação processada, armazenada ou transmitida em Sistemas de Tecnologia da Informação e Comunicações contra a perda de confidencialidade, integridade ou disponibilidade, acidental ou intencional, e para prevenir a perda de integridade ou disponibilidade dos sistemas.
Infraestrutura Crítica da Informação – Refere-se a quaisquer sistemas de tecnologias da informação que suportem ativos fundamentais e serviços das infraestruturas nacionais.
Infraestrutura Crítica Europeia – A infraestrutura crítica situada em território nacional cuja perturbação ou destruição teria um impacto significativo em, pelo menos, mais um Estado membro da União Europeia, sendo o impacto avaliado em função de critérios transversais, incluindo os efeitos resultantes de dependências intersectoriais em relação a outros tipos de infraestruturas.
Infraestrutura Crítica Nacional – A componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções.
Infraestrutura da Informação e da Comunicação – Conjunto de sistemas (hardware e software) e serviços que oferecem a base para a organização e comunicação de dados entre dois ou mais sistemas de computadores.
Integridade – Garantia de que os dados ou a informação não sejam alterados de modo não autorizado.
Interceção – O ato destinado a captar informações contidas num sistema informático, através de dispositivos eletromagnéticos, acústicos, mecânicos ou outros.
Interconexão de dados – Forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.
Internet – Rede de área alargada que é uma confederação de redes de computadores das universidades e de centros de pesquisa, do Governo, do comércio e da indústria, com base no protocolo TCP/IP. Proporciona acesso a sítios Web, correio eletrónico, bases de dados, fóruns de discussão, etc.
Intranet – Rede corporativa baseada no protocolo TCP/IP e acessível apenas aos membros ou colaboradores de uma organização, ou a outros desde que autorizados.
L
LAN – Rede de área local onde a transmissão de sinais é efetuada sem recorrer a fios ou a cabos como, por exemplo, através da utilização de ondas rádio.
M
Modelo de Maturidade e de Capacidade – Um conjunto de melhores práticas para diagnóstico e avaliação do grau de maturidade de uma organização, no que respeita à aptidão para o desenvolvimento de software. Neste modelo faz-se uma avaliação contínua, identificação de problemas e ações corretivas, dentro de uma estratégia de melhoria dos processos.
Modem – Equipamento que tem como funções fundamentais a modulação, a transmissão e a desmodulação de sinais.
Motor de Pesquisa em Linha – um serviço digital que permite aos utilizadores consultarem, em princípio, todos os sítios web, ou sítios web numa determinada língua, com base numa pesquisa sobre qualquer assunto, sob a forma de uma palavra-chave, de uma frase ou de outros dados, e que responde fornecendo ligações onde podem ser encontradas informações relacionadas com o conteúdo solicitado.
N
Norma – Em engenharia de software, requisitos obrigatórios utilizados e impostos para atingir uma abordagem disciplinada e uniforme no desenvolvimento de software.
O
Operador de Serviços Essenciais – Uma entidade pública ou privada pertencente a um dos tipos referidos no anexo II da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, e que cumpre os critérios previstos no n.º 2 do artigo 5.º, da mesma Diretiva.
P
Palavra-passe – Sequência de caracteres ou palavras que um sujeito apresenta a um sistema, como informação de autenticação.
Phishing – Envio aos internautas de mensagens de correio eletrónico, com a aparência de terem origem em organizações financeiras credíveis, mas com ligações para falsos sítios Web que replicam os originais, e nos quais são feitos pedidos de atualização de dados privados dos clientes.
Pirata Informático (Hacker) – Pessoa que explora as falhas da segurança de um sistema com o intuito de violar a sua integridade, destruindo ou alterando a informação ali residente, ou ainda de copiar fraudulentamente os seus ficheiros.
Plataforma Eletrónica – A infraestrutura tecnológica constituída por um conjunto de aplicações, meios e serviços informáticos necessários ao funcionamento dos procedimentos eletrónicos de contratação pública nacional, sobre a qual se desenrolam os referidos procedimentos.
Política de Informação – Conjunto de orientações ou diretrizes relativas à utilização ou divulgação de informação, tais como as respeitantes à privacidade, aos direitos de cópia e à propriedade intelectual. A sua aplicação ao meio digital coloca novos desafios, tanto ao nível da redefinição da política como da sua aplicabilidade e do seu controlo.
Política de Privacidade – Conjunto das medidas administrativas, técnicas e físicas destinadas a impedir as intrusões na vida privada das pessoas ou nos negócios privados das organizações.
Ponto de Acesso à Internet – Zona de acesso público abrangida por um nó de uma rede de área local sem fios (WLAN) que fornece ligação à Internet
Ponto de Troca de Tráfego – uma estrutura de rede que permite a interligação de mais de dois sistemas autónomos independentes, sobretudo a fim de facilitar a troca de tráfego na Internet; um ponto de troca de tráfego só interliga sistemas autónomos; um ponto de troca de tráfego não implica que o tráfego na Internet entre um par de sistemas autónomos participantes passe através de um terceiro sistema autónomo, não altera esse tráfego nem interfere nele de qualquer outra forma.
Portabilidade – No caso de um programa informático, capacidade do programa poder ser executado em diferentes computadores com nenhumas ou poucas alterações.
Prestador de Serviços Digitais – Uma pessoa coletiva que presta um serviço digital.
Prestador de Serviços do Sistema de Nomes de Domínio – Uma entidade que presta serviços de DNS na Internet.
Privacidade de Dados – Característica de segurança de um sistema de informação que permite definir quais os dados que podem, ou não, ser acedidos por terceiros.
Privilégio Mínimo – Os privilégios e autorizações requeridos para o desempenho de determinada tarefa ou cumprimento de dever.
Processo de Gestão do Risco de Segurança – (1) Todo o processo de identificação, controlo e minimização de eventos incertos que tenham a potencialidade de afetar os recursos do sistema; (2) Processos de gestão de riscos de segurança aplicados para monitorizar, reduzir, eliminar, evitar ou aceitar riscos; (3) Todo o processo de identificação, controlo e minimização de acontecimentos indeterminados que possam afetar a segurança de determinada organização ou qualquer dos sistemas por ela utilizados. Este processo abarca todas as atividades relacionadas com o risco, designadamente avaliação, tratamento, aceitação e comunicação.
Produto Semicondutor – a forma final ou intermédia de qualquer produto, composto por um substrato que inclua uma camada de material semicondutor e constituído por uma ou várias camadas de matérias condutoras, isolantes ou semicondutoras, segundo uma disposição conforme a uma configuração tridimensional e destinada a cumprir, exclusivamente ou não, uma função eletrónica.
Propriedade Intelectual – Propriedade que deriva do trabalho da mente ou do intelecto, especificamente uma ideia, uma invenção, um processo, um programa, uns dados, uma fórmula ou uma aplicação.
Proteção de Dados Pessoais – Implementação de medidas para proteger dados pessoais e sensíveis de acessos públicos não autorizados, e para controlar o fluxo desses dados
Protocolo – Em tecnologias da informação e da comunicação, conjunto das convenções e regras que devem ser seguidas no intercâmbio de dados entre computadores.
Protocolo FTP – Protocolo para permitir e controlar a cópia de ficheiros, normalmente via Internet.
Protocolo HTTP – Protocolo utilizado para transferência de páginas Web de hipertexto: é o protocolo de comunicação da World Wide Web (WWW).
Protocolo HTTPS – Versão segura do protocolo HTTP. Foi criada pela Netscape Communications Corporation para fornecer autenticação e comunicação cifrada e é usada no comércio eletrónico.
Protocolo IMAP4 – Protocolo que permite que um utilizador de correio eletrónico aceda à sua conta num servidor remoto.
Protocolo IP – Protocolo da família TCP/IP que controla a circulação de dados na Internet, fragmentando-os na origem sob a forma de pacotes de comprimento variável que incluem o endereço do destinatário, e reunindo-os na chegada.
Protocolo IP v4 – Implementação do protocolo IP que permite que qualquer tipo de equipamento se conecte à Internet de forma individualizada, adquirindo um endereço composto por 4 grupos de até 3 dígitos, separados por um ponto.
Protocolo IP v6 – Implementação do protocolo IP que vai permitir que qualquer tipo de equipamento se conecte à Internet de forma individualizada, adquirindo um endereço composto por 8 grupos de até 4 caracteres do sistema hexadecimal, separados por dois pontos.
Protocolo POP3 – Versão do protocolo normalizado POP para receção de correio eletrónico. Trata-se de um protocolo cliente-servidor que permite ao cliente recuperar as mensagens de correio eletrónico recebidas e guardadas num servidor da Internet.
Protocolo SMTP – Norma de facto que rege a transmissão de correio eletrónico através da Internet. A maioria dos sistemas de correio eletrónico na Internet usam o protocolo SMTP para enviar mensagens de um servidor para outro, podendo as mensagens ser recuperadas por um cliente usando, por exemplo, o protocolo POP3.
Protocolo SSL – Procolo da autoria da Netscape Communications Corporation, que assegura a confidencialidade dos dados trocados entre um programa de navegação e um servidor Web.
Protocolo TCP/IP – Conjunto dos protocolos de comunicação usados na Internet para gerir a circulação de dados na rede, fragmentando a informação na origem sob a forma de pacotes de dados e reunindo-a novamente no destino, assim como controlando eventuais erros de transmissão.
R
Ransomware – O Ransomware representa um tipo de malware (vírus, trojans, etc.) que infetam os sistemas informáticos dos utilizadores e manipulam o sistema de forma a que a vítima não consiga utilizar, parcial ou totalmente, os dados armazenados que estão armazenados. A vítima geralmente recebe um aviso de chantagem por pop-up, pressionando a vítima a pagar um resgate para recuperar o acesso total ao sistema e aos arquivos.
Rede – Conjunto formado por entidades e as suas interconexões. Em topologia de rede ou numa estrutura abstrata, as entidades interconectadas são pontos e as interconexões são linhas num esquema; numa rede de computadores, as entidades interconectadas são computadores ou equipamentos de comunicação de dados e as interconexões são ligações de dados.
Rede Dorsal (Backbone) – Sub-rede que, numa rede de computadores, conecta nós de extremidade ou outras sub-redes e que se caracteriza pela comunicação de dados a alta velocidade.
Rede e Sistemas de Informação – a) Uma rede de comunicações eletrónicas na aceção do artigo 2º, alínea a), da Diretiva n.º 2002/21/CE, do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva-quadro),; b) Um dispositivo ou um grupo de dispositivos interligados ou associados, um ou mais dos quais efetuam o tratamento automático de dados digitais com base num programa; ou c) Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas alíneas a) e b) tendo em vista a sua exploração, utilização, proteção e manutenção.
Rede Privada Virtual (VPN) – Rede virtual de comunicação privada que utiliza uma infraestrutura pública de telecomunicações para transmitir dados que são protegidos devido à utilização de técnicas de cifragem ou de encapsulação.
Registo de Nome de Domínio de Topo – Uma entidade que administra e opera o registo de nomes de domínio da Internet no contexto de um domínio de topo específico.
Resiliência – capacidade de adaptação rápida e/ou recuperação de qualquer tipo de disrupção, para permitir a continuidade das operações a um nível aceitável tendo por base os objetivos de missão e o impacto na segurança.
Responsável pelo Tratamento de Dados Pessoais – a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa.
Risco – (1) Possibilidade de uma ameaça específica explorar as vulnerabilidades internas e externas de uma organização ou de um dos sistemas por ela utilizados, causando assim danos à organização e respetivos ativos corpóreos ou incorpóreos. Mede-se pela combinação entre a probabilidade de as ameaças ocorrerem e o respetivo impacto; (2) uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial na segurança das redes e dos sistemas de informação.
Risco de Segurança – A probabilidade de as vulnerabilidades inerentes a sistemas de comunicação e informação serem exploradas por ameaças, levando ao comprometimento dos sistemas.
Risco Residual – Risco que permanece após terem sido aplicadas medidas de segurança, dado que não é possível neutralizar todas as ameaças nem eliminar todas as vulnerabilidades.
Router – Equipamento de interconexão, instalado num nó de uma rede de computadores, que se destina a otimizar a transmissão de dados, determinando qual o melhor caminho que eles devem seguir.
S
Segurança da Informação – Proteção dos sistemas de informação contra o acesso ou a modificação não autorizada da informação, durante o seu armazenamento, processamento ou transmissão, e contra a negação de serviço a utilizadores autorizados ou o fornecimento de serviço a utilizadores não autorizados, incluindo as medidas necessárias para detetar, documentar e contrariar tais ameaças.
Segurança das Redes de dos Sistemas de Informação – a capacidade das redes e dos sistemas de informação para resistir, com um dado nível de confiança, a ações que comprometam a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através deles.
Segurança de Redes – Conjunto de regras que devem ser respeitadas no acesso a redes de comunicação, na navegação na Web, no uso de palavras-passe e de chaves criptográficas, e nos ficheiros anexados a mensagens de correio eletrónico. Habitualmente são integradas num documento que expõe a arquitetura do ambiente de segurança da empresa.
Segurança Informática – Tomada de um conjunto de medidas de segurança (físicas, lógicas e administrativas) e de medidas de urgência em caso de situações imprevistas, de forma a assegurar a proteção dos bens informáticos de uma organização (hardware, software e dados), assim como a continuidade do serviço. Esquematicamente pode dizer-se que segurança informática = confidencialidade + integridade + disponibilidade.
Serviço de Computação em Nuvem (Cloud) – Um serviço digital que permite o acesso a um conjunto modulável e adaptável de recursos computacionais partilháveis.
Serviço Digital – um serviço na aceção do artigo 1.º, n.º 1, alínea b), da Diretiva (UE) n.º 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação, pertencente a um dos tipos enumerados no anexo III da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016.
Serviços de Certificação Eletrónica – A disponibilização de certificados qualificados para efeitos de produção de assinaturas eletrónicas qualificadas e de selos temporais de validação cronológica
Servidor – Programa informático que recebe e satisfaz pedidos de outros programas (programas clientes), no mesmo ou noutros computadores. Computador onde corre o programa ou os programas servidores.
Sistema de Informação – Um dispositivo ou grupo de dispositivos interligados ou associados, dos quais um ou mais executam, através de um programa, o tratamento automático de dados informáticos, bem como de dados informáticos armazenados, tratados, recuperados ou transmitidos por esse dispositivo ou grupo de dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção.
Sistema de Nomes de Domínio (DNS) – (1) um sistema de nomes distribuídos hierarquicamente numa rede que encaminha pesquisas sobre nomes de domínio; (2) Sistema hierárquico de nomes na Internet, implementado através de uma base de dados distribuída, cuja principal utilidade é a conversão dos nomes dos domínios, mais fáceis de entender pelos seres humanos, nos endereços IP dos equipamentos que integram a rede.
Sistema Informático – (1) Significa qualquer dispositivo isolado ou grupo de dispositivos relacionados ou interligados, em que um ou mais de entre eles, desenvolve, em execução de um programa, o tratamento automatizado de dados; (2) Qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção.
Sistema Operativo – Software de base de um computador destinado a controlar a execução de programas e a comunicação entre dispositivos e programas, assegurando as operações de entrada-saída, a atribuição de recursos aos diferentes processos, o acesso às bibliotecas de programas e aos ficheiros, assim como a compatibilidade dos trabalhos.
Smart Card – Cartão de circuitos integrados, normalmente com a dimensão de um cartão de crédito, provido de um microprocessador e de memória, capaz de armazenar e atualizar informação sobre o utilizador, permitindo-lhe por exemplo efetuar transações de natureza financeira.
Software – Totalidade ou parte dos programas, dos procedimentos, das regras e da documentação associada, pertencentes a um sistema de processamento de informação.
Software Malicioso – Programas informáticos destinados a perturbar, alterar ou destruir todos ou parte dos módulos indispensáveis ao bom funcionamento de um sistema informático. Exemplos: vírus, vermes, cavalos de Troia.
SPAM – Mensagens de correio eletrónico não solicitadas, geralmente enviadas de uma forma massiva e indiscriminada, que, para além do incómodo provocado aos utilizadores do correio, podem comprometer o bom funcionamento dos sistemas informáticos.
Spoofing – Mistificação IP (IP spoofing), que consiste na utilização do endereço IP de outro utilizador; mistificação do domínio (domain spoofing), que significa a utilização de um nome de domínio pertencente a outrem; mistificação do endereço eletrónico (e-mail spoofing), que é a utilização de outro endereço eletrónico que não o próprio do utilizador.
T
Tecnologias de Informação e de Comunicação (TIC) – Integração de métodos, processos de produção, hardware e software, com o objetivo de proporcionar a recolha, o processamento, a disseminação, a visualização e a utilização de informação, no interesse dos seus utilizadores.
Tratamento de Dados Pessoais – Qualquer operação ou conjunto de operações sobre dados pessoais, efetuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição.
Tratamento de Incidentes – Todos os procedimentos de apoio à deteção, análise e contenção de um incidente, e à resposta ao incidente.
Tratamento do Risco – Atenuação, eliminação, redução (mediante uma combinação adequada de medidas técnicas, materiais, organizativas e processuais), transferência ou monitorização do risco.
U
Usabilidade – Nível de eficiência de um utilizador na realização de determinadas tarefas num produto, por exemplo um sítio Web ou uma aplicação. A usabilidade pode ser medida objetivamente através de erros de desempenho cometidos e da produtividade alcançada, e subjetivamente através da caracterização das preferências do utilizador em relação à interface.
V
Violação de Dados Pessoais – Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público.
Vírus – Classe de software malicioso que tem a capacidade de se auto-replicar e “infetar” partes do sistema operativo ou de outros programas, com o intuito de causar a perda ou alteração da informação.
VoIP – Tecnologia através da qual as informações de voz são transmitidas via protocolo IP.
Vulnerabilidade – (1) Insuficiência, seja de que natureza for, que possa ser explorada por uma ou mais ameaças. A vulnerabilidade pode consistir numa omissão ou estar relacionada com uma insuficiência dos controlos no que se refere ao rigor, coerência ou exaustividade destes últimos, podendo ser de natureza técnica, processual, material, organizativa ou operacional; (2) Fraqueza de um sistema informático, revelada por um exame à sua segurança (por exemplo, devido a falhas na análise, conceção, implementação ou operação), que se traduz por uma incapacidade de fazer frente às ameaças informáticas que pesam sobre ele.
W
WI-FI – Abreviatura de “wireless fidelity“, termo usado para designar determinados tipos de redes locais sem fios.