Termos comumente usados ​​indevidamente em segurança cibernética

Palavras são difíceis. Inglês é difícil. Como conseguimos comunicar qualquer coisa é quase um milagre.

Às vezes, gostaria de ser Oscar Wilde ou Mark Twain ou qualquer um dos outros grandes autores que parecem ser capazes de descrever sem esforço um personagem ou um cenário para que o leitor possa imaginar perfeitamente o que eles significam.

Em vez disso, temo ser mais parecido com Shakespeare, que inventou palavras e distorceu outras para caber em seu medidor insano, de modo que pessoas comuns como eu lutam para entender os significados pretendidos (aliás, eu amo Shakespeare).

Infelizmente, meu campo escolhido parece estar cheio de companheiros de Shakespeare - pessoas que usam palavras jogando sopa de letrinhas na parede e lendo os resultados como se fossem folhas de chá, mas com menos precisão.

O que isso realmente significa?

Quando criei o banco de dados de termos de cibersegurança, que é a espinha dorsal do Glossário de Cibersegurança do NIST, fiquei surpreso com a confusão que havia até mesmo sobre termos onipresentes como "risco" e "segurança". Ainda não há um consenso real sobre o que significa a palavra “cibersegurança”!

Então, eu compilei uma lista de alguns termos comumente usados ​​indevidamente no campo da segurança cibernética (essas são descrições não oficiais que pretendem ser informativas):

Dados x informações x conhecimento

Dados geralmente são considerados os bits e bytes dos quais as informações são compostas. Informação transforma vários bits e bytes em algo útil. Por exemplo, um sensor de temperatura pode ler "102", mas informações nos diz que está 102 graus Fahrenheit em um sensor de temperatura que estava na boca de um humano. Conhecimento é o que permite informações para se transformar em ação. Diz que 102 graus Fahrenheit para um ser humano é muito quente. As linhas entre dados , informações e conhecimento estão borrados, mas há alguns que discutem essas falas com veemência.

Ameaça vs. Risco

Uma ameaça é usado para significar algo ruim que pode acontecer ou uma entidade que pode fazer com que algo ruim aconteça (também chamado de “ator de ameaça”). Risco inclui a probabilidade de que algo ruim possa acontecer e o (s) resultado (s) potencial (is). As pessoas costumam (incorretamente) usar essas palavras de forma intercambiável.

Gestão de Risco

O processo de responder ao potencial de que algo ruim possa acontecer. Geralmente há quatro opções:aceitar o risco, transferi-lo, evitá-lo ou mitigá-lo. Dependendo de com quem você fala, existem pelo menos oito opções, mas essas são as quatro tradicionais. Quando uma pessoa da segurança cibernética fala sobre gerenciamento de risco, ela pode estar se referindo ao processo descrito na Estrutura de gerenciamento de risco.

Cibersegurança

Basicamente, a proteção de sistemas de computador (incluindo redes, a internet e qualquer coisa “inteligente”). No entanto, tem sido usado como um termo abrangente que também abrange garantia de informações, proteção de dados e privacidade. Este termo provavelmente continuará mudando até que alguém possa explicar adequadamente o que é “cibernético”.

Garantia de Informação (ou Segurança)

A proteção de quaisquer fatos, notícias, conhecimento ou, às vezes, dados, em qualquer formato - papel, eletrônico, placa de pedra, sinais, memorizados, etc. Freqüentemente confundidos e colocados sob a égide da segurança cibernética.

Padrão

Muitas pessoas nomeiam erroneamente as publicações especiais do NIST como padrões, mas é um pouco mais complicado do que isso. O NIST desenvolve padrões formais - Federal Information Processing Standards (FIPS), como FIPS 200 e FIPS 140-3, por exemplo. O NIST também participa do desenvolvimento de padrões internacionais e da indústria. A palavra padrão também pode ser usado para significar um nível de qualidade ou uma norma aceita. Neste último caso, as publicações NIST são freqüentemente usadas como um padrão . É uma diferença sutil, mas importante. Ainda assim, em geral, é melhor evitar ligar para publicações especiais (SPs) do NIST, relatórios internos / interagências (IRs), white papers ou qualquer coisa diferente de FIPS como um padrão e, em vez disso, use os termos “publicação”, “documento” ou “orientação”.

Requisitos vs. controles

Ambos os termos podem ser usados ​​para identificar atividades, processos, práticas ou recursos específicos que uma organização pode ter ou fazer para gerenciar seu risco de segurança cibernética. Controles podem ou não ser obrigatórios, enquanto os requisitos geralmente são. É sempre melhor verificar o termo que um documento usa. Por exemplo, muitas pessoas referem-se aos requisitos do NIST SP 800-171 como controles , o que está incorreto.

Auditoria vs. Avaliação

Na segurança cibernética, o termo auditoria frequentemente tem um tom mais formal e negativo do que em algumas outras disciplinas. Auditorias são feitas após um incidente, como uma violação de dados (geralmente uma auditoria interna), a pedido de um cliente (geralmente uma auditoria externa conduzida pelo cliente), ou para obter uma certificação (uma auditoria de terceiros). Avaliações são tipicamente, mas nem sempre, mais como um check-up amigável. Abrangendo qualquer número de atividades, as avaliações podem ser restritas ou amplas, com tanto rigor quanto a empresa que está sendo avaliada deseja, ou que seja adequada à situação. Uma exceção a esta regra geral é o programa Cybersecurity Maturity Model Certification (CMMC), que usa a palavra avaliação como o método formal pelo qual uma empresa é avaliada.

Conformidade

Conformidade normalmente se refere ao cumprimento de um requisito (interno ou externo, às vezes regulamentar) e geralmente é mostrado com uma certificação ou atestado de algum tipo. As pessoas costumam usar frases como "compatível com NIST". Isso pode ser enganoso, pois muitos interpretam que significa que o NIST está cumprindo um requisito ou certificando ou atestando a segurança dos produtos ou processos de uma empresa. O que normalmente se entende por “compatível com o NIST” é que a empresa usou as práticas e procedimentos nas publicações do NIST, muitas vezes para atender a alguns requisitos. Embora isso possa ser visto como uma conformidade atividade, geralmente é melhor evitar confusão, em vez disso, declarando qual regra ou requisito está sujeito à conformidade. Por exemplo, pode-se seguir o NIST SP 800-171 para ser compatível com DFARS. Uma exceção a isso são os algoritmos e módulos criptográficos, caso em que a terminologia correta é validada e compatível indica que o produto geral não foram formalmente avaliados.

As palavras em inglês evoluem quase tão rapidamente quanto os memes na internet - um milhão de shakespearianos retirando a língua inglesa para ser massacrada, manipulada e dobrada em uma escrita quase imperceptível. No campo da segurança cibernética, parece que isso é feito com abandono imprudente. Mas entender alguns desses termos-chave e como eles são usados ​​ajudará a entender e comunicar suas necessidades de segurança cibernética.