Definição de alguns "termos" usados no ambiente de segurança cíbernética

Políticas de segurança

Uma política de segurança é um documento de alto nível que descreve os objectivos, princípios e diretrizes gerais de segurança de uma organização. Ela fornece uma estrutura para a tomada de decisões relacionadas à segurança e define o tom da postura de segurança da organização. As políticas de segurança geralmente abrangem tópicos como uso aceitável de recursos, proteção de dados, controlo de acesso, resposta a incidentes e muito mais. Uma política é independente de soluções e tecnologias. Um exemplo de política de segurançamais comum é a política de uso aceitável dentro de uma organização.

Procedimentos de segurança

Um procedimento de segurança é um guia detalhado passo a passo que descreve as ações e tarefas específicas que precisam ser realizadas para executar um processo ou tarefa relacionada à segurança. Os procedimentos são documentos práticos e acionáveis que fornecem uma sequência clara de acções a serem seguidas durante a resposta a incidentes, manutenção do sistema, integração de utilizadores e outras actividades relacionadas à segurança. Um exemplo de procedimento de segurança seria: quando um incidente de segurança é gerado, o centro de operações de segurança (SOC) deve informar imediatamente o gestor de segurança de plantão e enviar os detalhes do incidente.

Diretrizes de segurança

Uma diretriz de segurança é um documento que oferece recomendações e orientações quando uma norma de segurança específica não se aplica. As diretrizes tentam lidar com as áreas cinzentas que surgem quando uma norma não abrange, ou abrange apenas parcialmente a uma questão.

Normas de segurança

Uma norma de segurança é um documento mais detalhado e específico que fornece diretrizes e requisitos para a implementação de controlos e medidas de segurança dentro de uma organização. As normas são mais concretas e técnicas do que as políticas, oferecendo instruções e recomendações específicas para configurar e manter sistemas, redes e processos para cumprir os objetivos de segurança. Um exemplo de uma norma de segurança seria todos os dados internos devem ser encriptados em repouso e em trânsito.

Base de referência de segurança

Uma base de referência segurança é um conjunto de configurações mínimas de segurança consideradas essenciais para um determinado sistema, aplicação ou ambiente num determinado momento. Define um ponto de partida para a segurança que deve ser implementado em todas as instâncias relevantes. A base de referência de segurança ajuda a garantir a consistência e um certo nível de segurança em toda a infraestrutura de TI de uma organização.

Leis e Regulamentos no contexto cíbernético

Leis e regulamentos referem-se a estruturas jurídicas estabelecidas por governos e órgãos reguladores para definir e aplicar regras, normas e requisitos para proteger sistemas digitais, dados e informações. Essas leis e regulamentos variam de acordo com a jurisdição e concentram-se em diferentes aspetos da cibersegurança, incluindo proteção de dados, privacidade, comunicação de incidentes e segurança de infraestruturas críticas. Aqui estão alguns exemplos de leis e regulamentos relacionados à segurança cibernética: por exemplo, Regulamento Geral sobre a Proteção de Dados (GDPR), Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), Lei de Privacidade do Consumidor da Califórnia (CCPA), Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

Em resumo, estes termos representam diferentes níveis de documentação e orientação dentro da estrutura de cibersegurança de uma organização. As políticas de segurança definem os objetivos de alto nível, as normas fornecem requisitos detalhados, as linhas de base estabelecem configurações mínimas de segurança, as diretrizes oferecem as melhores práticas e os procedimentos oferecem etapas acionáveis para os processos de segurança.