3. CERT
É um centro de excelência de segurança na internet que fornece informações
de proteção e relação de problemas em sistemas operacionais e softwares. O
trabalho desse centro envolve a publicação de materiais sobre segurança da
informação, pesquisa e desenvolvimento para treinamentos.
4. SANS
Criado em 1989, a SANS (SYSAdmin, Audit, Netword Security) é uma organização
líder em pesquisa de segurança da informação, certificação e educação. Essa
instituição permite que profissionais de segurança, auditores, administradores de
redes e sistemas encontrem soluções para os desafios apresentados.
As publicações desse instituto, normalmente vencem prêmios dentre pesquisas,
resumos, alertas de segurança e artigos.
5. CIS
Fornece métodos e ferramentas para as organizações gerenciarem
efetivamente riscos relacionados à segurança da informação. Ela gerencia as
organizações de um modelo consensual identificando ameaças e no
desenvolvimento de métodos e práticas para reduzi-las.
6. SCORE
É uma comunidade de profissionais de segurança que visam trabalhar pra
desenvolver um consenso dos padrões mínimos e informações da melhores
práticas. Essa comunidade é um esforço entre a SANS e a CIS.
Além dessas organizações existem institutos que certificam e padronizam os
meios, dispositivos e ferramentas que são utilizados na internet.
7. IANA ( Internet Assigned Numbers Authority).
É um organização responsável pela atribuição dos números de IP e portas da Internet.
IEEE
É um instituto dos engenheiros elétricos e eletrônicos fundada nos estados Unidos é
responsável pelos padrões de comunicação para os formatos de computadores e
dispositivos.
ABNT/ISSO/IEC:
Entidades responsáveis pela padronização dos códigos e normas para várias áreas
como a segurança da informação.
8. Segundo a norma ISSO 27000:
“a segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar os riscos ao negócio,
maximizar o retorno sobre o investimento e as oportunidade de negócios”
9. Requisitos de Segurança
Os requisitos da segurança são baseados em três pilares: Prevenir, detectar,
recuperar.
Prevenir: Refere-se a impedir eventos de segurança como invasão, roubo ou
violação de politicas de segurança.
Detectar: é a maneira eficaz de como, quando, onde e de que forma foi feita.
Recuperar: é avaliar os danos causados em um sistema, recuperando-o para a sua
operação normal.
Os tipos de proteção podem ser aplicados no ambiente físico, nos sistemas
operacionais, nas aplicações ou serviços, nas redes, nos processos e nas pessoas.
11. A informação é um dados tratado resultado de um processo. Diferente mente de
um dado que não possui significado. Apesar de ser transmitido o seu entendimento
não tem sentido por se tratar de mensagens isoladas.
12. ATIVO
Um ativo é qualquer coisa que tenha valor para um organização. Ele pode ser
classificado em dois tipos: tangíveis e intangíveis.
Tangível: esses são componentes físicos como computadores roteadores,
firwwalls, etc.
Intangível: software e a informação.
Esses ativos possuem custo para a organizações sendo necessárias medidas para
torna-los seguros.
13. AMEAÇAS
“ ameaça é uma palavra, ato, gesto pelos quais exprime a vontade de fazer o mal
a alguém” – Dicionário Aurélio.
A ameaças na segurança da informação estão ligadas ao risco de um acesso
não autorizado e controles inadequados de ativos. Podendo estar relacionados
à perda ou manipulação de dados ou paralização de um serviço, ou seja,
acarretando algum perigo a um bem.
As ameaças são classificadas como intencionais e não intencionais. Uma
ameaça não intencional esta acessível a qualquer pessoa, caracterizada pelo
erro humano, do equipamento e desastres naturais. Uma ameaça intencional
esta relacionada ao vandalismo e roubo de uma informação.
14. VUNERABILIDADE
A vulnerabilidade é a exploração de uma falha ou defeito de um sistema pela
falta de controle de segurança por uma ameaça. Ela esta relacionada
diretamente a uma ameaça
15. RISCO
É uma determinada ameaça que envolve a ameaça de explorar
vulnerabilidade de um ativo para causar perda ou danos aos ativos.
16. GESTÃO DE RISCO
É um processo de analisar, eliminar ou aceitar os riscos. Nesse processo são
definidos os escopos do deve ser gerenciado, analisado, avaliado e tratado.