Glossário Cyber

Ação corretiva: no contexto de continuidade e da redação ISO22301, são ações para eliminar causas de não-conformidade, prevenir reincidências, prover melhorias nos planos, nos testes e nas atividades do ecossistema de continuidade.

Acessos: é a resultante dos direitos de execução e permissão relacionado a um objeto sistêmico a partir de um contexto predefinido e esperado. Considere “access creep” que é o resultado cumulativo dos acessos de um dado funcionário mudando de posição/cargo sem perder os privilégios da posição anterior.

Acrônimo: que é formado por acrossemia. Representação de palavras ou expressões por suas letras iniciais, uma contração ou abreviação.

Agregação: na disciplina de Riscos é a combinação de um ou mais riscos isolados em um risco unificado visando maior entendimento do risco global, podendo incorrer na reclassificação da sua criticidade, impacto a partir do novo cenário ou contexto resultante. Atualmente ainda é comum que riscos sejam classificados de maneira isolada e não sejam avaliados de forma ampla e em conjunto com demais elementos coparticipantes e outros riscos identificados.

ALE: Annualized Loss Expectancy. Fórmula usada para quantificar anualmente a perda caso um evento se materialize (ALE = SLE * ARO). Para ARO - Annual Rate of Occurrence, temos a frequência de ocorrências por ano de uma dada ameaça (expressa em porcentagem) e SLE - Single Loss Expectancy, com Expectativa de Perda Única.

Anonimização: processo de descaracterização, utilizando meios e técnicas razoáveis durante o processamento ou tratamento de um dado/informação, na qual este é descaracterizado perdendo a possibilidade de associação direta ou indireta a um indivíduo, situação ou contexto.

ANSI: American National Standards Institute - Instituto Nacional de Normas dos Estados Unidos, similar a ISO ou a brasileira ABNT.

Apetite ao risco: propensão, limite de exposição aos riscos que uma empresa está disposta a aceitar, reter ou assumir para atingir seus objetivos estratégicos. Embora seja componente fundamental da disciplina, é bem comum empresas operarem anos e anos sem definição desse componente em seus modelos (normalmente qualitativos) de gerenciamento de riscos.

AppleTalk: pilha de protocolos proprietário da Apple para comunicação em rede utilizado por computadores Macintosh até versão 9.x. Praticamente extinto, chegou a ter versões encapsuladas sobre TCP-IP (para sistemas legados), porém hoje completamente descontinuado e substituído pela pilha TCP/IP.

APTs: Ameaças Avançadas Persistentes. Referem-se a uma categoria de ameaças cujos autores estudam, perseguem, planejam e comprometem seus alvos escolhidos de maneira agressiva e direcionada. Os ataques são tão sofisticados e específicos que combinam uma diversidade de atores muito grandes, utilizando recursos de engenharia social, cooptação ou infiltração de pessoal interno (insiders), alterações processuais, abordagens com campanhas de phishing ou quaisquer outras formas de coleta de informação ou mesmo estudo profundo e comprometimento de plataformas tecnológicas.

ASCII: acrônimo para American Standard Code for Information Interchange. Formato americano padrão para armazenamento de arquivos desenvolvido para a plataforma IBM-PC. Informações e arquivos armazenados utilizando esse formato obedecem a uma tabela de correspondência ASCII, na qual cada caractere/símbolo tem um número correspondente e único.

Assessment: um tipo de avaliação com base em critérios predefinidos, bem conhecidos ou não, para medição e/ou avaliação de um dado escopo.

ASV: no contexto de PCI, acrônimo de “Approved Scanning Vendor” ou Fornecedor Aprovado de Varredura. Empresa aprovada pelo PCI Security Standards Council para conduzir serviços de verificação/varredura no intuito de identificar deficiências e vulnerabilidades.

Autenticação: processo pelo qual uma conta/usuário/objeto tem sua veracidade validada por seu sistema de controle. Uma vez autenticado, normalmente esse “objeto” passa pelo processo de “autorização” para que possa ter seus acessos liberados de acordo com suas respectivas permissões atribuídas.

BaCen: BC ou Banco Central é a entidade supervisora responsável por autorizar e inspecionar o funcionamento de instituições financeiras no país, fiscalizar operações do SFN (Sistema Financeiro Nacional), exercer o controle de crédito, regular a quantidade de moeda na economia e controlar a inflação.

Baseline: uma base consistente e estabelecida usada para estabelecer um nível mínimo aceitável (de segurança, de aderência, de qualidade entre outros). CIS (Center for Internet Security) são baselines específicos para hardening de ativos e plataformas tecnológicas bem conhecidas e utilizadas.

BIA: baseado na ISO22301, é o processo de analisar/avaliar o impacto (em vidas ou no eixo financeiro, mas não limitado apenas a essas abordagens) de uma disrupção na organização ao longo do tempo (tempo será importantíssimo durante processo de definição de RTO/RPO, explicados mais adiante).

BigData: popularmente conhecido como uma área que gestiona grandes volumes de dados (mas não somente isso), Big Data pode ser definido pelos 5 V’s: volume, variedade (diversas fontes e formatos), velocidade (precisam ser processados em tempo justo), veracidade (ser íntegros e com qualidade) e valor (embora exista interesse em ruídos/sujeiras, a coleta precisa zelar pelo valor do que o dado ou seu processamento pode gerar). Para mais informações ler sobre smartdata (em resumo, não coletar tudo mas apenas o que possui um determinado contexto e matérias correlatas) e smalldata (que é a versão ainda mais específica, direcionada e muito particular de BigData, correspondendo ao uso de uma pequena quantidade de dados (somente o essencial) para ajudar gestores na tomada de decisão – foca na qualidade das amostras e não na quantidade).

BIN: número de identificação bancária. Os seis primeiros dígitos (ou mais) de um cartão de pagamento usados para identificar a instituição financeira emissora do cartão de pagamento para seu respectivo portador.

Bit: menor unidade de armazenamento ou transmissão em sistemas digitais. Um conjunto de 8bits forma um byte. Como exemplo, uma imagem de 1bit, pode armazenar duas cores (branco e preto) pois 1bit seria igual a 2 (sistema binário) elevado a potência 1 (1bit) que é igual a 2. Abreviação para binary digit.

Bloco: unidade lógica mínima de armazenamento ou transferência de dados, normalmente de 512 bytes; podendo ser maior ou menor e variando de acordo com o sistema de arquivo (file system) oferecido pelo sistema operacional. Quanto menor o bloco, menor o desperdício de espaço em disco (e.g. se um arquivo de 12 bytes for gravado num sistema com blocos de 512 bytes, ele ocupará todos os 512 bytes do bloco, embora tenha apenas 12 bytes reais de tamanho).

BlueJacking: ato de enviar mensagens, textos ou imagens não solicitadas (SPAMs) para um usuário de/por Bluetooth. Termo pegou carona no Blue Snarfing que é o ato de roubar informações de um dispositivo por este protocolo.

Botnet: acrônimo de rede de bots ou robôs. Rede de computadores zumbis controlados remotamente por um operador diferente do seu proprietário. Pode ser utilizada para enviar spam, iniciar ataques massivos, minerar criptomoedas, servir de ponte para invasões ou quaisquer outras ações anormais/ilegais do seu controlador.

Brute-Force: método de quebra para cifras ou códigos criptográficos através da experimentação de todas as variações do espectro de possibilidades. Sua viabilidade depende do tamanho da chave, da força da cifra utilizada e do poder computacional disponível ao atacante.

BYOD: sigla para Bring Your Own Device, normalmente traduzido para “traga seu próprio dispositivo”. Conceito utilizado dento do campo da tecnologia da informação que consiste na utilização do aparelho do próprio usuário ou funcionário no desempenho diário de suas atividades empresariais.

Catástrofe: calamidade ou infortúnio que causa destruição em escala elevada, normalmente completamente fora de controle. Interessante observar que Continuidade de Negócios trata recuperação de desastres e não de catástrofes.

CIA: acrônimo de confidencialidade, integridade e disponibilidade conhecido (erroneamente) como os três pilares que sustentam a segurança da informação. Informações extras sobre o porquê esses 3 pilares não são suficientes para garantir Segurança da Informação como um todo, consulte Parkerian Hexad.

CISP: Cardholder Information Security Program é um programa estabelecido pela VISA que objetiva garantir a segurança das informações para os titulaes de cartões em locais onde essas informações possam ser processadas e armazenadas, incluindo a rede de estabelecimentos comerciais e seus prestadores de serviços.

Checklist: é uma lista ordenada que deve ser seguida em situações repetíveis, que exijam validações mais precisas ou em situações que requerem maior atenção e preciosismo. Foi criada pela Boeing em 1935 após investigações revelaram que o principal motivo do acidente fatal que levou a vida de duas pessoas durante o lançamento de uma nova aeronave da companhia tinha ocorrido por erro humano, onde os pilotos esqueceram de remover a trava de comandos (gust lock) pós processo de decolagem.

CI: item de configuração (Configuration Item) é uma unidade estrutural fundamental que corresponde a qualquer componente ou objeto gerenciado que necessita ser inventariado para que possa ser facilmente identificado através de suas propriedades ou atributos. Empresas e modelos que trabalham com gerenciamento de serviços definem como sendo “qualquer ativo, tecnológico ou não, pertencente a companhia ou algum contexto de interesse”.

COAF: órgão responsável por receber, examinar e identificar operações suspeitas de ilicitudes e comunica-las as autoridades competentes para que estes instaurem procedimentos investigativos. Coordena também a troca de informações para viabilizar ações no combate a ocultação de patrimônio, dissimulação de bens, direitos e valores e outras operações financeiras anormais.

Confidencialidade: a propriedade da informação que garante que esta não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização explícita. A garantia do resguardo das informações contra sua revelação não autorizada.

Conflito de interesse: situação gerada pelo confronto entre o interesse particular (pessoa física) e corporativo (pessoa física). Ocorre normalmente quando o processo de tomada de decisão é contaminado por algum viés, influência, tendência ou vantagem que venha a favorecer o negociador, as partes ou uma terceira pessoa em detrimento das condições propostas inicialmente.

Contas: objetos criados em seu ambiente computacional que definem uma entidade/identidade (um usuário, grupo, computador, equipamento, servidor, impressora ou qualquer outra representação funcional em um dado sistema).

Controle compensatório: um controle extra, normalmente interno, projetado para reduzir o risco, mitigar perdas, a possibilidade de fraude, contornar uma fraqueza em um processo ou contra validar uma atividade que mereça maior cuidado, checagem cruzada ou em determinadas atividades em que os controles tradicionais se mostram deficientes para o alcance dos “objetivos de controle” de um determinado processo relevante.

Controle de acesso: atividade ou célula responsável por garantir que usuários terão acessos somente aos recursos mínimos necessários (least privilege) para a execução correta de suas atividades (need to know). Normalmente são responsáveis por garantir que os processos de Autenticação, Autorização e Rastreabilidade funcionem de forma orquestrada e com acuracidade.

Corrupção: ação direta ou indireta, que implica em oferecimento, promessa, solicitação, aceitação, entrega ou recebimento de vantagem indevida, de natureza econômica ou não, com o objetivo que se pratique ou deixe de praticar determinado ato de interesse dos envolvidos e comprometidos.

CRC: Cyclic Redundancy Check - Verificação Cíclica de Integridade. Técnica para verificação de erros através de um conjunto de operações realizadas com o conteúdo dos dados que devem ser checados. Ao final da verificação, um CRC é gerado e armazenado. Sempre que operações forem realizadas nesses dados, o resultado será novamente comparado ao CRC armazenado.

Cultura: conjunto compartilhado de hábitos, costumes, conhecimentos, crenças, linguagem, leis e comportamentos (suposições não declaradas) que podem diferenciar um grupo de pessoas de outros, podendo variar em tamanho (um escritório, uma empresa ou um país), sendo por vezes invisível para as pessoas que fazem parte do arranjo e outras incompreensíveis para as pessoas fora do mesmo arranjo.

Dado sensível: são os dados relacionados as informações mais relevantes e íntimas de um indivíduo como sua origem racial, religiosa, opinião política, saúde, orientação sexual, dado genético, biométrico entre outros.

DaR – Em tratamento de dados, diz respeito ao acrônimo para Dados em Repouso (dados que não estão sendo acessados ​​nem utilizados). Comumente usado em conjunto com DiM (Data in Motion, para dados em movimento/transporte) e DiU (Data in Use – quando em utilização por algum aplicativo ou em consumo pelo usuário).

DAST – Dynamic Application Security Testing é um método de teste black-box. Examina a aplicação enquanto ela está rodando (de forma dinâmica, de fora para dentro), tentando encontrar vulnerabilidades ou fraquezas nos relacionamentos entre objetos, bibliotecas ou recursos fornecidos aos usuários que um atacante poderia usar para explorar a aplicação.

Disponibilidade: refere a capacidade do interessado acessar a informação no exato momento da sua necessidade. Estado ou qualidade do que é ou está disponível.

DMARC: Domain-Based Message Authentication Message Conformance, algo parecido como “Autenticação de Mensagem Baseada em Domínio, Relatório e Conformidade”. DMARC agrupa dois protocolos previamente definidos (SPF e DKIM), permitindo que os proprietários de domínio digam explicitamente ao servidor de e-mail receptor o que fazer com um e-mail falho durante tentativa de autenticação. Ajuda evitar ataques de personificação e fraude online, garantindo trocas legítimas de mensagens eletrônicas, de modo que o remetente assegura a todo destinatário meios para verificar que uma mensagem usando seu domínio, poderá ser comprovada quanto a sua origem e emissor.

DMZ: Demilitarized Zone. Uma espécie de meio-termo entre uma rede interna confiável e uma rede externa não confiável. Criada com o intuito de oferecer “serviços de fronteira” onde usuários internos e usuários externos precisariam consumir os mesmos recursos, neste caso, tornando parte dos serviços externos mais protegidos/seguros/isolados e permitindo que acessos internos pudessem ocorrer somente a partir de configurações muito restritivas, em sentidos, protocolos e condições bem conhecidas e específicas.

Dumpster Diving: prática de vasculhar o lixo de um alvo/vítima em busca de potencial informação útil (endereços, documentos, senhas, comprovantes, dados armazenados em equipamentos eletrônicos e afins). Técnica também conhecida como Trashing.

EDR: Endpoint Detection and Response. Termo utilizado para dispositivos/endpoints ditos mais modernos, profundos e inteligentes (quando comparados com ferramentas baseadas em regras e assinaturas), capazes de uma resposta mais rápida e assertiva a partir do uso de Inteligência Artificial combinada com Machine Learning contra ataques, utilizados também como sensores de monitoração, componentes ativos na contenção de ameaças e elementos colaborativos no processo de resposta a anomalias e incidentes. É possível que o leitor encontre definição muito similar e bem parecida com o MDR (Managed Detection and Response) e, quem sabe, até com o XDR (Extended Detection and Response) e de fato, embora o mercado não pense assim, eles são orginalmente a mesma solução que ganharam novas letras (desnecessariamente) a medida que cresceram, evoluíram, ganharam novos recursos e foram apresentados a vida adulta. Aguarde em breve o ZDR.

Eficiência: a capacidade de realizar uma tarefa em tempo mínimo com o mínimo de esforço ou recursos.

Efetividade: atributo que se concentra na conclusão da tarefa, garantindo que uma dada entrega combinada seja concluída produzindo um efeito reconhecidamente real.

Emulador: programa que “simula” o funcionamento de um outro programa ou sistema. Um emulador é um programa que procura executar as mesmas funções de um programa original, porém, em função da camada de abstração/tradução, normalmente de maneira mais lenta e ineficiente.

FATF: Financial Action Task Force (Grupo de Ação Financeira Internacional) é uma organização intergovernamental criada em 1989 com o propósito de desenvolver e promover políticas nacionais e internacionais de combate à lavagem de dinheiro e ao financiamento ao terrorismo, sendo o principal organismo internacional envolvido nessa temática. Consulte sobre as 40 recomendações do GAFI de combate a PLD-CFT e adicionalmente, consulte também Egmont Group - AML/CFT – FMI.

FedRAMP: Federal Risk and Authorization Management Program (Programa Federal de Gerenciamento de Autorização e Risco) é um programa do governo americano que fornece um padrão para avaliação de segurança, autorização e monitoramento contínuo de produtos, provedores (CSP) e serviços. CSPs que ofertam “nuvem” ao governo devem demonstrar conformidade com FedRAMP (este, baseado em publicação especial NIST que prevê avaliação de segurança independente conduzida por organização externa, garantindo que as autorizações também estejam em conformidade com FISMA - Federal Information Security Management Act - Lei Federal de Gerenciamento da Segurança das Informações.

Flooding: processo de inundar/sobrecarregar recursos computacionais (CPU, redes, barramentos, registradores e quaisquer outros componentes que processem informação) no intuito de impedir ou dificultar que qualquer tráfego ou atividade legítima possa ocorrer.

Forense: uso da ciência da computação em conjunto com procedimentos investigativos e ferramentas para a identificação, exame e análise de dados, garantindo a preservação, a correta cadeia de custódia, e a integridade do dado a ser salvaguardado.

FPS: termo cunhado por Günther em 1990 e discutido por Whitfield Diffie, Paul van Oorschot e Michael James Wiener. Em criptografia, Forward Secrecy (sigilo encaminhado) ou Perfect Forward Secrecy (sigilo encaminhado perfeito), é um recurso utilizado em protocolos seguros de comunicação para proteger o conteúdo de mensagens cifradas e assinaturas digitais contra eventuais vazamentos ou comprometimentos de senhas e/ou chaves criptográficas

Fraude: ação ou omissão de circunstância intencional com o objetivo de lesar, ludibriar ou induzir ao erro pessoas, capaz de resultar em perda ou vantagem para a vítima, para o autor ou terceiros.

FTE: full-time equivalent (FTE), tradução literal de “equivalente em tempo integral”, é um indicador utilizado para entendermos a quantidade de pessoas alocadas nas atividades da empresa, ajudando a reduzir custos e delegar atividades com equidade e sem sobrecarregar os colaboradores. Um cálculo bem utilizado para FTE é de 176h/mês/profissional considerando uma média de 4,5 semanas/mês ou 22 dias úteis. A partir desse referencial é possível definir people-rating para atividades onde o esforço é conhecido ou pelo menos previsível.

Gap Analysis: análise das diferenças entre dois estados diferentes com o propósito de determinar como ir do ponto A (elemento avaliado) ao ponto B (padrão esperado). Objetiva gerar uma fotografia momentânea que deve ser consumida o mais rápido possível e, a partir dela, traçar maneiras de resolver as lacunas identificadas.

Gerenciamento corporativo de riscos: arquitetura implantada para gerenciar riscos de maneira integrada, unificada e centralizada, contribuindo para a redução da materialização de eventos que impactem negócios, objetivos estratégicos e possa melhorar a compreensão das inter-relações entre riscos, estratégia, pessoas, processos, tecnologia e conhecimentos através de diversas áreas. Conhecido com eRM – Enterprise Risk Management ou iRM (Intelligent).

GRC: acrônimo utilizado por décadas dentro do campo de Segurança (fortemente desejado sua implementação em outras áreas como defende, por exemplo, o OCEG) e mais recentemente mais bem incorporado e aceito dentro dos modelos de gestão mais modernos e corporativos. Representa a tríade do pilar de Governança (dar norte, medir, governar, estabelecer controles), em trabalho uníssono com Riscos (no intuito de tornar as ações, descobertas e desvios de Segurança menos técnicos e mais orientados a riscos com vieses de negócio) onde, todos, são amparados por controles e pontos de aderência (Compliance) que vão muito além das obrigações internas e das fronteiras físicas da corporação.

GUI: do inglês Graphical User Interface. Inicialmente desenvolvida nos laboratórios da Xerox Corporation, foi posteriormente “copiada” pela Apple na primeira versão do seu System (no lançamento do Lisa) e num segundo momento “remanufaturada” pela Microsoft na interface do Windows 1.0, dando assim uma nova cara à interface linha de comando (DOS) utilizada à época.

Hackitivismo: junção dos termos hack e ativismo, no intuito de defender uma ideia, promover ideologia política, expressão ideológica, liberdade de expressão, direitos humanos ou informações defendidas por grupos específicos.

Hardening: técnica de blindagem utilizada em plataformas, aplicações, sistemas operacionais e outros ativos tecnológico que envolve um processo de “endurecimento/proteção” do ativo contra ataques ou explorações indevidas. Geralmente inclui a remoção de serviços desnecessários, controle de logins, aplicação e atualização de patches, ajuste de kernel, controle de portas, monitoramento de anomalias, a ativação de recursos e atributos de segurança que possam tornam o objeto-alvo mais robusto.

HASH: um algoritmo, função matemática criptográfica unidirecional de sintetização que transforma uma entrada de dados de comprimento variável em dados de saída com comprimento fixo. Deve ser fácil para computar seu valor independentemente do tipo de entrada, porém impossível de regenerar uma mensagem a partir de seu resumo/saída (operação inversa) e é esperado que mínimas mudanças na mensagem original (quebra da originalidade) gerem distorções consideráveis no resultado.

HMG IS5e: ou Infosec-Standard-5 Enhanced é um método de higienização e destruição de dados baseado em software, publicado pelo Communications Electronics Security Group (CESG) e utilizado de forma padrão pelo governo britânico através do National Cyber Security Centre (NCSC). Método de 3 passos, onde no “passo 1 grava se zeros “, “passo 2 grava uns” e no “passo 3 um caractere aleatório seguido de verificação” finaliza a totalidade do processo de remoção.

Honeypot: recurso computacional com segurança propositalmente fragilizada, porém controlada, dedicado a ser sondado, invadido, atacado ou comprometido. Normalmente companhias criam versões de seus produtos/serviços de forma fake, publicamente visíveis e fragilizadas para atrair invasores e malfeitores e assim, aprender com seus comportamentos, com atividades maliciosas ou mesmo análise comportamental dos seus “visitantes”. Um arranjo com diversos honeypots é conhecido como HoneyNet.

IANA: Internet Assigned Numbers Authority. Órgão regulador primário para a Internet. Supervisiona três aspectos principais da Internet: domínios de primeiro nível (TLDs), alocação de endereços IP e associações dos números de portas.

IAST: Interactive Application Security Testing combina as vantagens do SAST e do DAST (não em sua totalidade e um tipo não substitui os outros), analisando o código e vulnerabilidades de segurança enquanto o aplicativo é executado, seja por teste automatizado, interação humana ou qualquer ação que “interaja” com as funcionalidades do alvo sob escrutínio.

ICMP: Internet Control Message Protocol (em português, Protocolo de Mensagens de Controle da Internet), é um protocolo integrante do Protocolo IP, definido pelo RFC 792 e utilizado para comunicar informações da camada de rede, sendo mais comumente utilizado para fornecer status de erros/comunicação (ping) entre diversos equipamentos. Por vezes tem seu bloqueio total erroneamente habilitado como forma de evitar ataques de DDoS, sendo que o bloqueio parcial (type-0 e type-8) normalmente resolveria 99% desse problema.

IDM: Identity Management ou Gestão de Identidade é o processo de automatizar, controlar e auditar concessões em ambiente onde os objetos e seus respectivos usuários tenham uma relação de autorização, autenticação e uso.

IETF: Internet Engineering Task Force. Comunidade internacional aberta de designers de rede, engenheiros, desenvolvedores de protocolos, fornecedores e pesquisadores preocupados com a constante evolução da Internet seu respectivo bom funcionamento e isonomia.

IMAC: embora não seja um termo oficial ITIL, o termo é muito utilizado por empresas de outsourcing como unidade de trabalho ou requisição de serviços. Diz respeito a instalações, movimentações, acréscimos e mudanças em quaisquer ativos de infraestrutura, componentes de redes, sistemas ou outros dispositivos.

Impacto: resultado da avaliação qualitativa, quantitativa ou híbrida projetado num indicador de consequência em caso de materialização do risco que está sob análise.

Incerteza: estado parcial (presente ou futuro) da deficiência de informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência, seu impacto ou sua probabilidade, gerando dúvida sobre potencial ameaça (ou não) ou situação que possa comprometer a companhia.

Integridade: a garantia de que a informação será utilizada sem apresentar erros, em sua completude original. Característica onde uma informação gerada numa dada origem (2+2=5) pode ser recuperada em completa igualdade (2+2=5) no momento do seu uso.

Irretratabilidade: ou não-repúdio. Capacidade de provar a origem de uma ocorrência, evento reivindicado, ação, propriedade as suas entidades originárias, criadoras e/ou remetentes.

ISMS: Information Security Management System. Entidade principal responsável pela orquestração de Segurança da Informação. É formada por pessoas, estruturas, políticas, procedimentos, diretrizes, indicadores, recursos tecnológicos e atividades, gerenciadas coletivamente e preferencialmente de forma unificada, em abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter, melhorar e governar a segurança da informação numa organização de forma a alcançar seus objetivos.

Jitter: à medida que os dados são gerados pela aplicação, são divididos em segmentos e depois encapsulados em pacotes. Ao trafegarem, nem todos os pacotes seguem a mesma rota, gerando diferenças individuais do tempo em que cada pacote leva para cumprir a sua rota escolhida. Essa variação é o jitter, que tem seu problema amplificado, por exemplo, quando dividindo o mesmo canal, causando assim congestionamento ou perda de pacotes (ver WindowSize).

Keylogger: um spyware, programa desenvolvido para capturar e armazenar teclas digitadas, telas e/ou saídas de dados de um usuário num dado dispositivo. É comum que spywares permaneçam em “hibernação” até que um gatilho (conteúdo, ação ou palavra-chave) de disparo o torne ativo.

KYC: Know Your Customer. Avaliação mínima normalmente realizada em atividades de onboarding. Durante as fases de coleta de dados, identificação, validação dos dados, qualificação e posterior classificação de seus “clientes”, é o processo de escrutínio realizado para contra validar dados/informações fornecidas no intuito de comprovar sua veracidade e correspondência.

KPI: sigla para Key Performance Indicator ou Indicadores-Chave de Desempenho. De forma simplificada, são as métricas que você elege para monitorar e avaliar um processo sub sua gestão, e por meio destes, garantir que suas metas definidas estão sob controle e serão perseguidas. Dentro de GRC é comum definir KGIs, KRIs e KCIs respectivamente para atender esses pilares.

Lead-Time: na filosofia Lean expressa um intervalo de tempo compreendido entre o início e o término de uma atividade por completo. Não confundir com tempo de ciclo, que diz respeito ao tempo de cada sub-etapa da atividade total.

Logging: processo de geração, monitoração e armazenamento automático de eventos predefinidos relacionados à segurança (ou não) oriundos de um sistema computacional, sensor, plataforma ou elemento de rede. Incluem carimbo de tempo, descrição do evento e informações relevantes sobre uma ação e/ou comportamento em que se deseja registrar. Comumente utilizado para solução de problemas técnicos ou mesmo para colaborar com investigações diversas.

LZW: Lempel-Ziv-Welch (Jacob Ziv, Abraham Lempel e Terry Welch). Método de codificação e compressão semelhante à codificação de Huffman, na qual as repetidas sequências de zeros e uns são substituídas em um dicionário por um símbolo correspondente. Foi utilizado primariamente para compressão sem perda de qualidade em imagens no formato .TIF e posteriormente utilizado pelo pkzip, Winzip, PDF e GIF. Devido sua eficiência, foi incorporado por outros sistemas de compressão mais modernos (junto com a criptografia RSA), utilizado em casos de esteganografia, suportando sistemas, códigos e estudos utilizando transformadas discretas (DCT).

Macintosh: microcomputador de arquitetura proprietária fabricado pela Apple Computer Inc, cujo nome foi grafado erroneamente no início do projeto. Dizem que o nome deveria ser McIntosh, em homenagem a John McIntosh (Ontário, 1796), descobridor e produtor da maça McIntosh na região.

MAD/MTD: MAD (Maximum Allowable Downtime - Tempo de inatividade máximo permitido) e MTD (Maximum Tolerable Downtime - Tempo de inatividade máximo tolerável) são iguais e dizem respeito ao tempo máximo no qual um recurso pode ficar inacessível.

Malvertising: do inglês Malicious advertsing. Tipo de golpe que consiste em criar anúncios maliciosos e, por meio de serviços de publicidade, apresentá-los em diversas páginas web com forma de angariar (fisgar) usuários descuidados.

MDM: embora tenha sido um acrônimo previamente cunhado pela área de dados há algumas décadas (MDM – Master Data Management), em Segurança MDM é uma maneira de gerenciar dispositivos móveis remotamente (Mobile Device Management), sejam estes notebooks, smartphones, tablets, IoTs ou quaisquer outras variações de ativos que “se movimentam” além das fronteiras da companhia ou de acordo com o interesse do usuário.

MIB: Management Information Base (RFC1066) é a base principal de navegação do SNMP onde um dado objeto gerenciado guarda todos seus atributos e permissões (leitura/escrita através do OID), oferecendo uma visão abstrata, porém gerenciada de um recurso real do sistema. Estes objetos e seus atributos ficam distribuídos em 3 categorias principais, sendo: MIB principal, MIB experimental e MIB privada.

MISP: Malware Information Sharing Platform é uma plataforma de software livre para compartilhamento de dados de inteligência de ameaças, globalmente utilizada para a troca de conhecimento e informações entre as comunidades de CSIRTs globais, ajudando tanto na automação, como na padronização a partir de uma plataforma aberta, gratuita e constantemente melhorada pela comunidade. Embora ainda em processo de reconhecimento em solo nacional, deve ser a plataforma oficial utilizada para compartilhamento e normalização de informações pelas instituições e governos nos próximos anos.

MP: Ministério Público é o agente independente (dos 3 poderes, Executivo, Legislativo e Judiciário) com papel fiscalizador e de proteção aos princípios, recursos e interesses fundamentais da sociedade, atuando de forma conjunta com outros órgãos (Polícia Civil, Federal, entidade de classe, COAF...).

MPEG: Motion Pictures Group. Grupo de especialistas da indústria do cinema responsável pela padronização de tecnologias de áudio e vídeo. A base teórica da compressão MPEG consiste em desprezar bits que o olho/ouvido humano tem dificuldade em distinguir quando forem vizinhos a outros sons/imagens mais significativos, resultando em economia de bits e espaço.

Non-Repudiation: não-repúdio ou irretratabilidade. A habilidade de garantir e comprovar que um indivíduo ou entidade não negue a autoria de uma ação específica realizada em seu nome.

OKR: Objectives and Key Results (termo inglês para “objetivos e resultados-chave”) é uma metodologia de gestão como objetivo de simplificar e tornar a direção e propósito da companhia bem definidos (objectives) a partir de resultados objetivos (key-result) bem conhecidos. OKR é uma adaptação do iMBO - Intel Management by Objectives, o qual foi adaptado do MBO criado por Peter Drucker.

OODA Loop: ciclo de 4 passos desenvolvido por John Boyd em 1950 (estrategista e piloto da Força Aérea Americana), sendo uma variação do PDCA (desenvolvido em 1930 por Walter Shewhart e erroneamente atribuído ao seu amigo Deming que apenas o tornou mais popular e comercial). Algumas pessoas dizem que o OODA (observar, orientar, decidir e agir) foi desenvolvido em tempo de guerra, motivo esse que decisões rápidas era um de seus principais motes e PDCA (planejar, fazer, checar e agir/repetir) em tempos de paz, o que levaria o modelo a considerar janelas de tempos maiores para a fase de planejamento. Considere correlacionar essas ações no modelo do Cynefin e avaliar a afirmação.

OT: dado sua particularidade de protocolos proprietários e diferentes do mundo Ethernet/TCP-IP, é quase o lado oposto de IT. Acrônimo para “tecnologia operacional”, do original Operational Technology é a tecnologia que monitora, gerencia ativos, processos e controles industriais (onde está presente a subcategoria ICS – Industrial Control Systems), além de supervisionar (outra subcategoria, agora de ICS, chamada SCADA - Supervisory Control and Data Acquisition) equipamentos, sensores e diversos tipos de terminais e controladores lógicos no mundo da manufatura.

Outsourcing: terceirização. Acordo onde uma organização ou prestador de serviço externo passa a desempenhar (uma parte ou o todo – full-outsourcing) as atividades, serviços ou processos originalmente realizados pela entidade originalmente proprietária ou demandante.

Papéis: são perfis funcionais existentes dentro de uma plataforma, sistema ou ambiente computacional que transportam diferentes atribuições. Papéis são úteis durante a atribuição de diversas permissões a usuários/grupos que possuem características similares como, por exemplo, Presidentes, Diretores, Gerentes, Coordenadores, Analistas e Convidados.

Permissões: direitos que um dado objeto possui (ou não) para executar uma ou mais ações em outros objetos do sistema (impressoras, arquivos, registros, aplicações, portas, conexões etc.).

PF: Polícia Federal. Atua na segurança pública, na preservação da ordem, na segurança do cidadão bem como dos bens e interesses da União, auxiliando o Poder Judiciário em investigações, exercendo também atividade de polícia marítima, aeroportuária, de fronteira, repressão ao tráfico, contrabando, descaminho, lavagem de dinheiro, terrorismo entre outros delitos.

PIN: acrônimo de “Personal Identification Number” ou número de identificação pessoal. Número exclusivo conhecido somente pelo usuário e pelo sistema para a autenticação do usuário, comumente usados em caixas automáticos para transações ou em cartões com chip EMV no intuito de substituir a assinatura do portador de cartão.

Poder Executivo: é o poder do estado que, nos moldes da constituição de um país, possui a atribuição de representar e governar seu povo, administrando os interesses públicos, prezando pelos direitos/deveres e cumprindo fielmente as ordenações legais. É quem coloca em prática (executa) os assuntos previamente deliberados pelo Poder Legislativo.

Poder Judiciário: responsável por garantir os direitos individuais, coletivos e sociais, resolvendo conflitos entre os cidadãos, as entidades e o Estado. Possui a prerrogativa de julgar de acordo com as regras constitucionais e leis criadas pelo Poder Legislativo.

Poder Legislativo: responsável por legislar e fiscalizar os atos do Executivo. No âmbito federal, o poder legislativo é exercido pelo Congresso Nacional, composto pela Câmara dos Deputados e pelo Senado Federal.

Posse: pelo modelo Parkerian Hexad, diz respeito ao atributo ligado a perda de controle ou posse da informação. Parker cita como um dos atributos (estendidos) fundamentais para a garantia efetiva da Segurança da Informação, uma vez que de nada adiante você ter confidencialidade, integridade, disponibilidade, autenticidade e utilidade (outro atributo estendido do modelo) se você não tem a posse do conteúdo.

Probabilidade: chance de algo acontecer, não importando se bem definida, medida ou determinada, objetiva ou subjetiva, qualitativa ou quantitativamente.

Pseudonimização: é o tratamento ao qual um dado perde a possibilidade de associação direta ou indireta a um indivíduo, senão pelo uso de informação complementar utilizada pelo controlador ou operador dos dados.

QSA: assessor de segurança qualificado. Empresa aprovada pelo PCI Standards Council para validar a adesão de uma entidade aos requisitos PCI-DSS.

Quick-Win: soluções de baixa complexidade, baixo investimento, mas com alto benefício, avanço com indicadores ou velocidade no tempo de correção. Traduzido literalmente são “Vitórias Rápidas”, normalmente uma atividade ou processo que gere resultados positivos em espaço estreito de tempo e baixo esforço. Como exemplo, você pode escolher corrigir vulnerabilidades por criticidade ou volume, sendo que o primeiro pode ser mais complexo e o segundo, bem escolhido, provocar uma redução quantitativa mais rápida e interessante.

QWERTY: configuração padrão dos teclados de computadores, "herdada" das máquinas de escrever, cuja disposição de teclas foi inventada no fim do século 19 como meio de evitar problemas mecânicos dos marteletes (o nome vem das seis primeiras letras da fileira superior do teclado). Essa distribuição, ergonomicamente sofrível, acabou sendo preterida ao padrão Dvorak, cuja disposição de letras oferecia maior velocidade, eficiência, menos deslocamento dos dedos e problemas ergonômicos durante o processo de digitação.

RASP: Runtime Application Self-Protection atua de forma inteligente permitindo que uma aplicação intercepte e detecte em tempo real de execução ataques que estejam passando por suas camadas de autoproteção. Atua de forma ativa e contínua e sem intervenção humana na resposta a determinadas condições, anomalias, ameaças ou exploração de vulnerabilidades e componentes. Tem pequena similaridade com o WAF mas este normalmente atua apenas como front-end das requisições sendo que o RASP avalia toda a pilha, bibliotecas e componentes utilizados na construção do alvo a ser protegido.

Risco: efeito resultante das incertezas, sejam estas positivas (oportunidades) ou negativas (riscos) nos objetivos ou estratégias da companhia. Quanto mais longe (no tempo) mais difícil é sua predição.

Risk Manager: unidade de negócio ou time que possui a autoridade e responsabilidade pelo gerenciamento de riscos, diferentemente do risk owner que é o proprietário/responsável pelo risco identificado e seu respectivo tratamento.

RPO: Ponto Objetivado de Recuperação. (1) a quantidade de dados que podem ser perdidos pela organização sem destruí-la, geralmente medido no tempo, retroativamente a partir do momento atual. (2) quantidade de dados (no tempo) a qual a organização pode perder antes de deixar de ser viável.

RTO: Tempo Objetivado de Recuperação. (1) tempo máximo que a estrutura afetada (critical path ou processo crítico) tem para ser restaurado a uma condição de contingência esperada (ainda não como operação normal). (2) é o tempo máximo definido para se recuperar de alguma interrupção, voltando a alguma condição parcial de normalidade em que se possa operar. Deve ser obrigatoriamente menor que o MAD/MTD - ver verbete.

SAN: Storage Area Network. Sub-rede de alta velocidade que interconecta dispositivos dedicados ao armazenamento de dados. Com desenho exclusivo voltado ao processamento de alto volume de dados (preferencialmente separados das redes comuns), SANs são especialistas em lidar com espelhamento de disco entre dispositivos, backup/restore em alta velocidade, arquivamento e recuperação de dados arquivados em filesystems diferenciados que prezam pela velocidade, alto I/O e comunicação simples entre seus receptores/transmissores de dados.

SAST – Static Application Security Testing é um método de teste white-box. Examina o código (fonte ou binário) do software em busca de falhas, vulnerabilidades e fraquezas em verificações que ocorrem “de dentro para fora” não considerando questões dinâmicas e em tempo de execução.

SCA – Software Composition Analysis é a verificação de todo tipo de código não escrito diretamente pela equipe de desenvolvimento ou presente primariamente em sua aplicação, podendo ser bibliotecas, estruturas e componentes de terceiros usados de forma auxiliar ou build-in por plataformas (existentes) ou por aplicações (em desenvolvimento). Embora SCA seja parcialmente testado por ferramentas SAST não é necessariamente completo ou exaustivo quando comparado as ferramentas dedicadas a este tipo de análise.

Screener: na indústria cinematográfica era o profissional responsável por distribuir de forma adequada e controlada as cópias analógicas dos filmes. Em aeroportos, é a pessoa que verifica com auxílio de equipamentos especiais se os passageiros estão carregando algum objeto perigoso ou suspeito. Um examinador. O termo é utilizando dentro da disciplina de Segurança e Dados para o profissional com o papel de ser o “censor digital de dados”, analisando de forma mais profunda e meticulosa solicitações e pedidos exagerados de auditorias, entidades reguladoras, legais ou mesmo policiais em circunstâncias diferenciadas que possam extrapolar o contexto das solicitações, da privacidade, do legítimo interesse e/ou objetivos das investigações. Em momentos, esse papel pode e deve ser executado pelo CISO, justamente no intuito de não fornecer informações além da efetivamente necessária (need to know) e direcionada exatamente as pessoas e aos perfis necessários (least privilege).

SDP: Data Protection Program ou Programa de Proteção de Dados de Sites é um programa criado pela Mastercard para encorajar participantes do arranjo de cartões a elaborarem programas mais maduros de proteção de dados, contra o comprometimento de sistemas, e que permitam melhorar a identificação e cor-reção de vulnerabilidades em processos, procedimentos e configurações seguras.

Sessão: espaço de tempo durante o qual o usuário após autenticado passa a acessar recursos de um determinado sistema, em uma ou diversas sessões de acordo com a característica de cada sistema, seu respectivo papel (multiusuário e multiperfil) ou mesmo tempos predefinidos de consumo/utilização.

SIEM: Security Information and Event Management são agregadores de conteúdo/logging com funções de detecção, agrupamento, normalização de dados, correlação, alertas e relatórios, variando em quantidade de recursos de acordo com cada fornecedor.

SLA: Service Level Agreement. Acordo contratual entre uma organização e seu provedor de serviços. SLAs definem e protegem a organização em relação à responsabilização do provedor de serviços pelos requisitos e indicadores definidos no contrato. Deveriam ser definidos somente a partir de um bom levantamento e análise de série história gerados pelos SLOs (comportamento ainda não comum nos atuais provedores de serviços).

SMTP: Protocolo de Transferência de Correio Simples (Simple Mail Transfer Protocol) é o protocolo padrão de envio de e-mails através da Internet definido via RFC 821. Simples, em texto plano ou cifrado (respectivamente porta 25 ou 587) e somente utilizado para envio, não permite que o usuário descarregue ou solicite mensagens diretamente no servidor, sendo necessário o uso de protocolos adicionais de leitura como o POP ou IMAP.

SNMP: Simple Network Management Protocol é um protocolo criado para o monitoramento e gerenciamento de redes e outros objetos gerenciados (nome correto utilizado na literatura), sendo descrito pela primeira vez via RFC1067. Atualmente em sua vesão3, como a maioria dos protocolos de monitoramento (CMIP, SS7, SIGTRAN...), utiliza datagramas UDP ao invés de pacotes TCP para evitar sobrecargas durante o processo de abertura, manutenção e encerramento da conexão, além de não incorrer no problema maior de equidade existente no TCP que interferiria muito durante o processo de monitoração e nas estatísticas.

SoA: Declaração de Aplicabilidade (Statement of Aplicability – SoA), é um documento onde a organização registra quais controles (do Anexo A da ISO 27001 e/ou outras fontes) são aplicáveis ou não, considerando o escopo de uma certificação para seu SGSI. Em caso de auditorias, o SoA servirá de guia de referência para o auditor durante o processo de acreditação, servindo para descrever a forma racional como cada controle aplicável está/é implementado, relacionando documentos (políticas, processos, instrução de trabalho etc.) ou descrevendo brevemente o procedimento, o processo ou a tecnologia utilizada. Um SoA bem feito pode diminuir a quantidade de documentos, por exemplo, quando a descrição do procedimento do controle for curta, você pode descrevê-lo diretamente na SoA, evitando escrever um novo documento somente para ter formalizado a sua necessidade e existência.

Software: um aglomerado de instruções e códigos organizados através de uma linguagem de programação para atender um propósito específico. As variações e licenciamentos mais comuns são o freeware (programas que podem ser copiados e distribuídos gratuitamente), shareware (compartilhado de acordo com algumas condições de licenciamento e distribuição), demoware (software de apresentação com funções desabilitadas ou incompletas), timeware (operacional por um tempo determinado), counterware (por n execuções) e outras variações mais curiosas como o postcardware (cunhado pelo criador do programa JPEGView), onde ele mencionava que a taxa para utilização do programa seria o envio de um cartão postal pelo usuário.

Stakeholder: a parte interessada. Pessoa ou organização que é afetada, pode ser afetada ou que entende ser afetado por alguma decisão ou atividade - o comprometido.

Taxonomia: esquema comum (e bem conhecido) utilizado para classificar um “corpo de conhecimento”, definir correlações entre seus principais domínios, funções e temáticas, no que possa ser útil ao seu total entendimento, sua aplicação e seu uso. Como exemplo, a taxonomia corporativa diz respeito a um conjunto de acordos, combinados, regras e definições bem conhecidas que permite que as partes interessadas possam organizar e consumir o conhecimento e a informação em poder das organizações a partir de uma linguagem comum e padronizada.

TCO: Total Cost of Ownership. Uma estimativa financeira usada para calcular a soma dos custos diretos e indiretos (aquisição, gerenciamento, suporte, treinamento, substituição, licenciamento, perdas por produtividade...), associados à compra e propriedade de algum ativo ou licença ao longo de um determinado período ou todo o seu ciclo de vida.

TCP/IP: também chamado de pilha de protocolos é um conjunto de protocolos de comunicação, cujo nome origina-se de dois protocolos. TCP (Transmission Control Protocol - Protocolo de Controle de Transmissão) e o IP (Internet Protocol - Protocolo de Internet). Pode ser visto como um modelo em camadas (OSI), onde cada camada é responsável por um grupo específico de tarefas, fornecendo um conjunto de serviços bem definidos para outras camadas.

Terrorismo: segundo a ONU, “atos criminosos, incluindo aqueles contra civis, cometidos com o objetivo de causar mortes, lesões corporais, tomada de reféns com o propósito de provocar incertezas ou estado de terror para um grupo de pessoas, ao público geral, indivíduos específicos, visando intimidar a população, compelir um governo ou constranger uma instituição a fazer ou se abster de algo”. Informações extras, pesquise por Global Terrorism Index, consulte a Lei Brasileira 13.260/2016 ou a Circular BaCen 3.978/2020.

Think Tank: pode ser traduzido como círculo de reflexão, fábrica ou laboratório de ideias, um centro, reservatório, tanque de pensamento, uma instituição ou grupo de especialistas de natureza investigativa ou reflexiva, cuja função principal é a reflexão e pesquisa intelectual sobre assuntos diversos (tecnológicos, econômicos, políticos, militares, culturais, de segurança), que tenham importância reconhecida para uma sociedade ou contexto de interesse.

Tokenização: processo pelo qual um objeto, credencial ou segredo a ser protegido (como um número de conta principal - PAN) é substituído por um valor aleatório, desconhecido e aparente inútil se capturado fora de seu contexto.

Tolerância: na disciplina de Riscos, diz respeito à disposição (ou a medida) da organização ou parte interessada em suportar algum risco previamente identificado.

Tomada de decisão: sob condições de incerteza ou inexatidão, é a ação em escolher um caminho mesmo com a precariedade de informação, sob pena de incorrer em prejuízos maiores pelo simples fato da indecisão.

TTL: Time To Live. Contador usado em um pacote IP que especifica o número máximo de saltos que o pacote pode percorrer. Quando um TTL é reduzido a zero (a cada novo salto/hop uma unidade é decrementada.

Utilidade: em Parkerian Hexad, é o atributo ligado ao contexto mínimo de conhecimento necessário para consumir uma informação. Como exemplo, de nada adiante você ter acesso a informação numa língua ou codificação que você não tem condições de “decifrar”. Neste caso, mesmo com acesso a confidencialidade, integridade, disponibilidade, autenticidade e posse a informação continua não acessível.

Vulnerabilidade: um defeito, imperfeição, uma fraqueza em um ativo ou objeto que pode ser explorada por algum evento, agente ou ator maléfico, circunstância não prevista, erro humano ou por uma ou mais ameaças.

WAF: um firewall de aplicativos web que ajuda a proteger aplicações online ao monitorar, filtrar, inspecionar e bloquear o tráfego de protocolos e pacotes de dados anormais que são transmitidos entre o aplicativo e a internet.

Window Size: tamanho de janela é a quantidade de dados (em bytes) que podem ser armazenados em buffer durante um processo de comunicação entre transmissor e receptor. O host transmissor pode enviar apenas essa quantidade de dados antes que uma nova sinalização de reconhecimento ou atualização de janela seja emitida pelo host receptor. Embora existam tamanhos-padrão, o atributo foi projetado para se autoajustar (RFC 1323) em incrementos do tamanho máximo do segmento (MSS), quando negociado nos momentos iniciais do handshake em pilhas TCP/IP.

Worm: software malicioso com capacidade de multiplicação independente do seu meio transmissão. Sua replicação normalmente ocorre através de vulnerabilidades, ausência de atualizações, gatilhos definidos pelo programador, por falhas ou má configuração.

XSS: Cross-site scripting é uma vulnerabilidade/ataque causado por falhas nas validações dos parâmetros de entrada do usuário e resposta do servidor em uma aplicação web, permitindo que parte de um código seja inserido de maneira arbitrária no navegador da vítima.

Zero-Day Exploits: explorações de dia zero, se referem a vulnerabilidades encontradas antes que pesquisadores de segurança, da comunidade, de desenvolvedores de software e profissionais tomem conhecimento da fragilidade ou de como consertá-la. Alguns profissionais defendem que, essas mesmas explorações, na verdade não são tão “dia zero” assim, uma vez que um dos propósitos da sua liberação e divulgação pública seria justamente para causar ruído, alvoroço e utilização dos artefatos de forma massiva (assim, poluindo logging e sobrepondo ações do real interessado que teria utilizado o recurso/ferramenta há muito tempo antes da sua comunicação).

Zumbi: nome dado a um ativo tecnológico infectado por algum artefato malicioso, permitindo seu controle de forma remota sem o consentimento da vítima. Em plataformas Unix é também o nome dado ao processo que por algum motivo ou desgoverno do sistema operacional se perdeu em suas rotinas e/ou entrou em situação de execução/looping eterno.

Creative Commons. O conteúdo desta página pode ser reproduzido por quaisquer meios. Esta licença permite que interessados remixem, adaptem e criem a partir do trabalho original, mesmo para fins comerciais, desde que citado este link, sua origem e que os interessados licenciem novas criações e alterações sob termos idênticos. Esta licença costuma ser comparada com as licenças de software livre e de código aberto “copyleft”. Novos trabalhos terão a mesma licença e/ou menos restritiva, portanto, quaisquer trabalhos derivados também permitirão o uso comercial. Esta é a licença usada pela Wikipédia e é recomendada para materiais que seriam beneficiados com a incorporação de conteúdos da Wikipédia e de outros projetos com licenciamento semelhante.