Guia de referência

TI, segurança e conformidade termos explicados

Definições em inglês simples dos termos que mais aparecem em TI, segurança cibernética, conformidade e IA. Sem jargão. Sem fofo.

Conformidade e Regulamentos Cibersegurança Gestão de TI Inteligência Artificial

Regulamento Geral de Proteção de Dados

GDPR

A principal lei de proteção de dados da UE. Aplica-se a qualquer organização que processe dados pessoais de pessoas na UE ou no EEE, independentemente de onde a organização esteja sediada. As principais obrigações incluem identificar uma base legal para o processamento, concluir avaliações de impacto na proteção de dados para atividades de alto risco, notificar violações no prazo de 72 horas e respeitar oito direitos dos titulares dos dados. As multas chegam a 20 milhões de euros ou 4% do volume de negócios anual global, o que for maior.

Guia de conformidade GDPR?

Diretiva de Segurança de Redes e Informações 2

NIS2

A diretiva atualizada de cibersegurança da UE, que substituiu a Diretiva SRI original em outubro de 2024. Aplica-se a uma gama mais ampla de setores do que a sua antecessora, incluindo cuidados de saúde, infraestruturas do mercado financeiro, infraestruturas digitais e prestadores de serviços geridos. O NIS2 exige que as organizações implementem medidas de gerenciamento de riscos, relatem incidentes significativos dentro de 72 horas e atribuam responsabilidade direta à alta administração por falhas de conformidade. As multas para entidades essenciais chegam a 10 milhões de euros ou 2% do volume de negócios global.

Serviços de conformidade NIS2?

Lei de Resiliência Operacional Digital

DORA

Um regulamento da UE aplicável a entidades financeiras e aos seus prestadores de serviços críticos de TIC, em vigor a partir de janeiro de 2025. O DORA exige que as empresas financeiras demonstrem que podem resistir, responder e recuperar de perturbações relacionadas com as TIC. Os seus cinco pilares são: gestão de riscos de TIC, classificação e comunicação de incidentes, testes de resiliência operacional digital, gestão de riscos de TIC de terceiros e partilha de informações. As instituições financeiras que não conseguem demonstrar resiliência enfrentam medidas de supervisão.

Serviços de conformidade DORA?

ISO 27001

O padrão internacional para sistemas de gerenciamento de segurança da informação (ISMS). A obtenção da certificação demonstra que uma organização implementou controles sistemáticos para proteger seus ativos de informação. A revisão de 2022 abrange 93 controles em quatro temas: organizacional, pessoal, físico e tecnológico. A certificação é concedida por um organismo terceirizado credenciado após uma auditoria independente e deve ser renovada por meio de auditorias regulares de supervisão e recertificação a cada três anos.

Suporte à certificação ISO 27001?

Padrão de segurança de dados da indústria de cartões de pagamento

PCI DSS

Um padrão de segurança global que se aplica a qualquer organização que armazene, processe ou transmita dados de cartões de pagamento. Mantido pelo PCI Security Standards Council, abrange 12 requisitos principais em segurança de rede, controle de acesso, criptografia, monitoramento e gerenciamento de vulnerabilidades. A versão 4.0, em vigor a partir de março de 2024, dá maior ênfase à implementação personalizada e à segurança contínua. A não conformidade pode resultar em multas das bandeiras de cartão, taxas de transação mais altas e suspensão de privilégios de processamento de cartão.

Serviços de Auditorias e Compliance?

Kit de ferramentas de segurança e proteção de dados

DSPT

Uma ferramenta de autoavaliação exigida pelo NHS England para organizações que acessam ou processam dados de saúde e assistência social. Ele mapeia os dez padrões de segurança de dados do National Data Guardian e exige o envio anual de evidências em áreas que incluem treinamento de pessoal, controles de acesso, acordos de compartilhamento de dados e acordos de continuidade de negócios. O envio é obrigatório para fundos do NHS, consultórios de GP e qualquer organização fornecedora com acesso aos dados de pacientes do NHS.

Serviços de Auditorias e Compliance?

Avaliação de impacto na proteção de dados

DPIA

Uma análise estruturada exigida pelo GDPR quando uma atividade de processamento provavelmente resultará em um alto risco para os direitos e liberdades dos indivíduos. Os DPIAs avaliam a natureza e a finalidade do processamento, avaliam a necessidade e a proporcionalidade e documentam medidas para mitigar os riscos identificados. Eles devem ser concluídos antes do início do processamento. Se um risco residual elevado não puder ser mitigado, a autoridade de supervisão relevante deverá ser consultada antes de prosseguir.

Serviços de Auditorias e Compliance?

Registros de atividades de processamento

RoPA

Um inventário documentado exigido pelo Artigo 30 do GDPR para a maioria das organizações que processam dados pessoais. O RoPA registra quais dados pessoais são processados, as finalidades do processamento, quem tem acesso a eles, para onde os dados são transferidos e por quanto tempo são retidos. É um documento básico de preparação para auditoria e um pré-requisito para qualquer programa de conformidade GDPR. As autoridades de supervisão podem solicitar a sua inspeção a qualquer momento.

Guia de conformidade GDPR?

Oficial de Proteção de Dados

DPO

Uma função formalmente designada exigida pelo GDPR para autoridades públicas, organizações que realizam monitoramento sistemático em larga escala de indivíduos e aquelas que processam dados confidenciais em grande escala. O DPO monitora a conformidade interna, aconselha sobre DPIAs, coopera com as autoridades supervisoras e atua como ponto de contato para os titulares dos dados. Os encarregados da proteção de dados devem ter conhecimento especializado da legislação de proteção de dados, não podem ser demitidos pelo desempenho das suas tarefas e devem ser capazes de operar independentemente da gestão.

Guia de conformidade GDPR?

Base Legal

Um dos seis fundamentos legais que devem ser identificados antes do processamento de dados pessoais no GDPR. As seis bases são: consentimento, execução do contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos. As organizações devem determinar e documentar a base legal correta para cada atividade de processamento antes de seu início e devem comunicá-la aos titulares dos dados. A escolha da base errada não torna o processamento retroativo legal.

Guia de conformidade GDPR?

Fundamentos Cibernéticos

Um esquema de certificação apoiado pelo governo do Reino Unido, projetado para proteger as organizações contra as ameaças mais comuns baseadas na Internet. Abrange cinco controles técnicos: firewalls, configuração segura, controle de acesso do usuário, proteção contra malware e gerenciamento de patches. O Cyber ​​Essentials Plus inclui uma auditoria técnica verificada de forma independente dos mesmos controles. A certificação é exigida para determinados contratos governamentais do Reino Unido e é uma base amplamente reconhecida para a gestão de riscos cibernéticos.

Serviços de segurança cibernética?

EU AI Act

O regulamento abrangente da UE sobre inteligência artificial, adotado em 2024 e entrando em vigor em fases até 2027. Classifica os sistemas de IA por nível de risco: risco inaceitável (proibido), risco alto (regulamentado), risco limitado (obrigações de transparência) e risco mínimo (sem requisitos). Os sistemas de IA de alto risco, como os utilizados no recrutamento, pontuação de crédito, dispositivos médicos ou infraestruturas críticas, enfrentam avaliações de conformidade, requisitos de documentação técnica e supervisão humana obrigatória. Certas aplicações de IA são totalmente proibidas, incluindo vigilância biométrica em tempo real em espaços públicos.

Serviços de consultoria em IA?

Estrutura de segurança cibernética NIST

NIST CSF

Uma estrutura voluntária de segurança cibernética publicada pelo Instituto Nacional de Padrões e Tecnologia dos EUA, amplamente adotada globalmente como arquitetura de referência para programas de segurança. O NIST CSF organiza atividades de segurança em cinco funções principais: Identificar, Proteger, Detectar, Responder e Recuperar. A versão 2.0, lançada em 2024, adicionou uma sexta função, Governar, e ampliou o escopo além da infraestrutura crítica para todas as organizações. Embora não seja uma regulamentação, o NIST CSF é referenciado nas análises de lacunas do ISO 27001, usado pelos reguladores da UE e do Reino Unido como referência e adotado por muitas empresas como sua principal estrutura de referência de segurança.

Serviços de segurança cibernética?

Autoridade de Conduta Financeira

FCA

O regulador de serviços financeiros do Reino Unido, responsável por supervisionar cerca de 50.000 empresas, incluindo bancos, seguradoras, empresas de investimento e prestadores de serviços de pagamento. Do ponto de vista tecnológico e de segurança, o FCA espera que as empresas mantenham a resiliência operacional, gerenciem a terceirização e o risco de terceiros, protejam os dados dos clientes e relatem prontamente incidentes operacionais relevantes. As expectativas do FCA se sobrepõem significativamente às do DORA para empresas que operam nas jurisdições do Reino Unido e da UE, embora as duas estruturas tenham requisitos e cronogramas distintos.

Serviços de Auditorias e Compliance?

Registro de Risco

Um registro documentado dos riscos identificados de uma organização, incluindo sua probabilidade, impacto potencial, proprietário e tratamento planejado. Os registros de risco são um requisito fundamental do ISO 27001, NIS2, DORA e da maioria das estruturas de conformidade. Um registo de riscos eficaz é um documento vivo, revisto e atualizado regularmente, em vez de ser produzido uma vez para uma auditoria. Ele permite que as organizações priorizem a remediação com base na exposição, demonstrem uma abordagem baseada no risco aos auditores e acompanhem se os controles estão reduzindo o risco ao longo do tempo.

Serviços de Auditorias e Compliance?

Auditoria Interna

Uma revisão independente e estruturada dos controles, processos e riscos de uma organização, realizada por uma equipe interna ou contratada, e não por um organismo de certificação externo. As auditorias internas são um requisito fundamental do ISO 27001 e da maioria das estruturas de conformidade, proporcionando à gestão a garantia de que os controles estão operando de forma eficaz entre as avaliações externas. Um programa de auditoria interna eficaz abrange um escopo definido, testes baseados em evidências, conclusões claras com classificações de risco e um plano de remediação monitorado. Para organizações que se preparam para certificação externa, uma revisão interna pré-auditoria reduz significativamente o risco de descobertas inesperadas.

Serviços de Auditorias e Compliance?

Teste de penetração

Um ataque autorizado e simulado aos sistemas, redes ou aplicações de uma organização, realizado por especialistas em segurança para identificar vulnerabilidades antes que atacantes reais possam explorá-las. Ao contrário da verificação automatizada de vulnerabilidades, os testes de penetração envolvem tentativas ativas de exploração e pensamento criativo para encadear os pontos fracos. O resultado é um relatório priorizado de descobertas com orientações para remediação. O teste de penetração é necessário para conformidade com o PCI DSS e recomendado como parte de qualquer programa de segurança maduro.

Serviços de segurança cibernética?

Avaliação de vulnerabilidade

Uma revisão sistemática dos sistemas, redes e aplicações de uma organização para identificar pontos fracos de segurança conhecidos, sem tentar explorá-los. Os resultados são categorizados por gravidade e apresentados com recomendações de correção. As avaliações de vulnerabilidade são normalmente mais rápidas e menos invasivas que os testes de penetração e são adequadas para verificações regulares e programadas. Eles são um requisito do Cyber ​​Essentials, ISO 27001 e PCI DSS.

Serviços de segurança cibernética?

Informações de segurança e gerenciamento de eventos

SIEM

Uma plataforma de segurança que agrega e analisa dados de log do ambiente de TI de uma organização em tempo real. As ferramentas SIEM correlacionam eventos de múltiplas fontes, como firewalls, endpoints, provedores de identidade e serviços em nuvem, para detectar padrões que indicam ameaças. Eles geram alertas para equipes de segurança e fornecem dados forenses para investigações de incidentes. O monitoramento contínuo por meio de um SIEM é necessário ou explicitamente recomendado em NIS2, ISO 27001 e PCI DSS.

Serviços de segurança cibernética?

Zero Trust

Um modelo de segurança baseado no princípio de nunca confiar, sempre verificar. Em vez de conceder acesso amplo após um único evento de autenticação, o Zero Trust exige verificação contínua de identidade, integridade do dispositivo e direitos de acesso para cada solicitação, independentemente de ela ter origem dentro ou fora do perímetro da rede. É particularmente relevante em ambientes de trabalho híbrido e que priorizam a nuvem, onde não existe mais um limite de rede tradicional, e é endossado como uma abordagem arquitetônica pelo NCSC do Reino Unido e pelo CISA.

Serviços de segurança cibernética?

Ransomware

Software malicioso que criptografa os arquivos ou sistemas da vítima e exige pagamento em troca da chave de descriptografia. Os ataques modernos de ransomware, muitas vezes chamados de dupla extorsão, também envolvem a exfiltração de dados, com os invasores ameaçando publicar publicamente os dados roubados se o pagamento não for efetuado. As organizações de saúde e de serviços financeiros estão entre os setores mais frequentemente visados ​​devido à sensibilidade dos dados que detêm e às consequências operacionais do tempo de inatividade.

Serviços de segurança cibernética?

Autenticação multifator

MFA

Um método de autenticação que exige que os usuários forneçam dois ou mais fatores de verificação antes de acessar um sistema ou aplicativo. Os fatores se enquadram em três categorias: algo que você sabe (uma senha), algo que você possui (um aplicativo autenticador ou token de hardware) e algo que você é (biometria). O MFA reduz significativamente o risco de comprometimento da conta por phishing e roubo de credenciais. É um requisito fundamental do Cyber ​​Essentials, PCI DSS e das estruturas de segurança mais modernas.

Serviços de segurança cibernética?

Phishing

Um ataque de engenharia social em que os invasores se fazem passar por uma entidade confiável para induzir os indivíduos a divulgar credenciais, clicar em links maliciosos ou transferir fundos ou dados. O spear phishing tem como alvo indivíduos específicos com mensagens personalizadas, enquanto o whaling se concentra em executivos seniores. Phishing é o vetor de acesso inicial mais comum em violações de dados. A mitigação eficaz combina filtragem de e-mail, MFA e treinamento regular de conscientização sobre segurança em toda a organização.

Serviços de segurança cibernética?

Resposta a Incidentes

O processo estruturado que uma organização segue para detectar, conter, investigar e se recuperar de um incidente de segurança. Um plano eficaz de resposta a incidentes define funções, caminhos de escalonamento, modelos de comunicação e procedimentos de recuperação, e deve ser testado através de exercícios práticos regulares. No GDPR, as organizações devem notificar sua autoridade supervisora ​​sobre certas violações dentro de 72 horas. No NIS2, incidentes significativos devem ser relatados dentro de 24 horas (notificação inicial) e 72 horas (relatório completo).

Serviços de segurança cibernética?

Superfície de Ataque

O conjunto total de potenciais pontos de entrada através dos quais um invasor pode tentar obter acesso não autorizado aos sistemas ou dados de uma organização. Isso inclui aplicativos externos, contas de usuário, APIs, serviços em nuvem, integrações de terceiros e pontos de acesso físico. Compreender e reduzir a superfície de ataque é um elemento fundamental de qualquer programa de segurança, alcançado através de inventário de ativos, segmentação de rede, controle de acesso e descomissionamento de sistemas não utilizados.

Serviços de segurança cibernética?

Ataque à cadeia de suprimentos

Um ataque cibernético que atinge indiretamente uma organização, comprometendo um fornecedor terceirizado confiável, um fornecedor de software ou um provedor de serviços. Os invasores exploram a confiança e o acesso que os fornecedores têm no ambiente de um alvo para obter uma posição que não conseguiriam obter por meio de um ataque direto. Os incidentes SolarWinds e MOVEit são exemplos proeminentes. O gerenciamento de risco de terceiros é um requisito específico do Anexo A do NIS2 e ISO 27001.

Serviços de segurança cibernética?

Violação de dados

Um incidente em que dados pessoais são acedidos, divulgados, alterados ou destruídos sem autorização, seja como resultado de um ataque cibernético, erro humano ou falha do sistema. De acordo com o GDPR, as organizações devem notificar a sua autoridade supervisora ​​dentro de 72 horas após tomarem conhecimento de uma violação que possa resultar em risco aos direitos e liberdades dos indivíduos. Os indivíduos afetados também devem ser notificados sem demora injustificada sempre que a violação possa resultar em alto risco. As violações podem resultar em multas regulatórias, ações civis e danos duradouros à reputação.

Guia de conformidade GDPR?

Gerenciamento de identidade e acesso

EU SOU

A disciplina de gerenciar quem pode acessar quais sistemas, dados e recursos dentro de uma organização e sob quais condições. O IAM abrange provisionamento e desprovisionamento de usuários, controle de acesso baseado em função, gerenciamento de acesso privilegiado, autenticação multifator e logon único. O IAM deficiente é uma das causas mais comuns de violações: credenciais comprometidas, contas com privilégios excessivos e acesso órfão de ex-funcionários criam pontos fracos exploráveis. Os controles IAM são necessários no ISO 27001, Cyber ​​Essentials, PCI DSS e na maioria das outras estruturas de segurança.

Serviços de segurança cibernética?

Gestão de riscos de terceiros

O processo de identificação, avaliação e gerenciamento dos riscos de segurança e conformidade introduzidos por fornecedores, fornecedores, provedores de nuvem e outras partes externas com acesso aos sistemas ou dados de uma organização. O gerenciamento de riscos de terceiros é explicitamente exigido em NIS2, DORA, ISO 27001 e PCI DSS. Um programa eficaz abrange a devida diligência do fornecedor durante a aquisição, requisitos contratuais de segurança, acordos de processamento de dados onde dados pessoais estão envolvidos e monitoramento contínuo de fornecedores críticos. Os ataques à cadeia de abastecimento tornaram o risco de terceiros uma das áreas de foco regulatório de crescimento mais rápido.

Serviços de segurança cibernética?

Engenharia Social

A manipulação psicológica de indivíduos para que executem ações ou divulguem informações confidenciais, em vez de explorar vulnerabilidades técnicas. As formas comuns incluem phishing, pretexting (fabricar um cenário para ganhar confiança), vishing (phishing de voz por telefone) e isca. A engenharia social é o vetor inicial na maioria das violações de dados porque visa o comportamento humano e não os sistemas. Os controlos técnicos por si só não podem evitá-lo; treinamento regular de conscientização sobre segurança e procedimentos internos claros são as principais defesas.

Serviços de segurança cibernética?

Centro de operações de segurança

SOC

Uma equipe ou função centralizada responsável por monitorar, detectar, analisar e responder continuamente a eventos de segurança cibernética em todo o ambiente de uma organização. Um SOC normalmente opera 24 horas por dia usando uma plataforma SIEM, manuais definidos e feeds de inteligência de ameaças para investigar alertas, conter incidentes e coordenar respostas. As organizações sem um SOC interno geralmente usam um provedor de serviços de segurança gerenciados (MSSP) para fornecer cobertura de monitoramento equivalente. O monitoramento contínuo por meio de um SOC ou recurso equivalente é recomendado no NIS2 e ISO 27001.

Serviços de segurança cibernética?

Exercício de mesa

Uma simulação estruturada e baseada em discussões, na qual as principais partes interessadas trabalham em um cenário hipotético de incidente para testar o plano de resposta a incidentes, a tomada de decisões e a comunicação de uma organização sob pressão. Ao contrário de um exercício técnico ao vivo, um exercício de mesa é conduzido em formato de reunião, tornando-o acessível a participantes técnicos e não técnicos, incluindo a alta administração. Os exercícios revelam lacunas nos planos de resposta, esclarecem funções e desenvolvem memória muscular antes que ocorra um incidente real. Exercícios regulares de mesa são exigidos pelo DORA e recomendados pelo ISO 27001 e pelo NHS DSPT.

Serviços de segurança cibernética?

Biblioteca de infraestrutura de TI

ITIL

Uma estrutura mundialmente reconhecida de melhores práticas para gerenciamento de serviços de TI, cobrindo todo o ciclo de vida dos serviços de TI, desde a estratégia e design até a operação e melhoria contínua dos serviços. ITIL v4, a versão atual, introduz uma abordagem mais flexível e focada em valor, construída em torno de uma cadeia de valor de serviço, quatro dimensões de gerenciamento de serviços e um conjunto de princípios orientadores. As certificações ITIL são mantidas por profissionais de TI em funções de service desk, gerenciamento de mudanças e operações em todo o mundo.

Serviços de gerenciamento de TI?

Acordo de Nível de Serviço

SLA

Um acordo formal entre um provedor de serviços e um cliente que define o nível de serviço esperado, incluindo metas de disponibilidade, tempos de resposta, tempos de resolução e horas de suporte. Os SLAs estabelecem uma responsabilidade clara pelo desempenho do serviço e formam a base para medir se a TI está atendendo às necessidades de negócios. Para ambientes de TI gerenciados, os SLAs normalmente distinguem entre o tempo de resposta (tempo para reconhecer um problema) e o tempo de resolução (tempo para corrigi-lo), geralmente divididos em níveis de prioridade.

Serviços de gerenciamento de TI?

Objetivo de tempo de recuperação

RTO

O período de tempo máximo aceitável que um sistema, aplicativo ou função de negócios pode ficar offline após uma interrupção antes que o impacto se torne inaceitável para os negócios. O RTO é um parâmetro fundamental no planejamento de continuidade de negócios e recuperação de desastres e informa decisões sobre arquitetura de redundância, mecanismos de failover e procedimentos de recuperação. Diferentes sistemas terão diferentes requisitos de RTO e estes devem ser documentados e revisados ​​regularmente.

Serviços de gerenciamento de TI?

Objetivo do ponto de recuperação

RPO

A quantidade máxima de perda de dados que uma organização pode tolerar em caso de falha, expressa como uma janela de tempo. Um RPO de quatro horas significa que até quatro horas de transações ou alterações podem ser perdidas. O RPO determina a frequência com que os backups devem ser feitos e informa diretamente as escolhas tecnológicas sobre replicação, registro em diário e backup externo. As organizações com requisitos de RPO muito baixos, como bancos ou sistemas de saúde, normalmente necessitam de soluções de proteção de dados quase contínuas.

Serviços de gerenciamento de TI?

Serviços Gerenciados

Um acordo no qual um fornecedor externo assume a responsabilidade contínua pelo gerenciamento de funções, sistemas ou processos de TI específicos em nome de uma organização, governado por um SLA. A cobertura comum inclui gerenciamento de endpoint, monitoramento de rede, backup e recuperação, suporte de helpdesk e gerenciamento de patches. Os serviços gerenciados permitem que as organizações acessem conhecimentos especializados consistentes e custos previsíveis sem a sobrecarga de desenvolver capacidade interna equivalente.

Serviços de gerenciamento de TI?

Gerenciamento de patches

O processo de identificação, aquisição, teste e implantação de atualizações de software para solucionar vulnerabilidades de segurança, corrigir bugs e manter a compatibilidade. O gerenciamento eficaz de patches é um dos cinco controles principais exigidos pelo Cyber ​​Essentials e um requisito do ISO 27001 e PCI DSS. Os sistemas sem patches estão consistentemente entre as causas mais comuns de ataques cibernéticos bem-sucedidos, incluindo muitos incidentes de ransomware, tornando o gerenciamento de patches um controle de segurança fundamental.

Serviços de gerenciamento de TI?

Estratégia de TI

Um plano que define como a tecnologia apoiará e promoverá os objetivos de negócios de uma organização durante um período definido, normalmente de três a cinco anos. Uma estratégia de TI abrange investimento em infraestrutura, adoção da nuvem, decisões sobre ferramentas, relacionamento com fornecedores, desenvolvimento de habilidades e gerenciamento de custos. Sem uma estratégia, os gastos com TI tendem a ser reativos, fragmentados e difíceis de justificar no nível do conselho.

Serviços de gerenciamento de TI?

Governança, Risco e Conformidade

GRC

Uma abordagem estruturada para alinhar as operações de TI com os objetivos de negócios, gerenciar riscos e cumprir obrigações regulatórias de forma integrada. Em vez de tratar a governança, o gerenciamento de riscos e a conformidade como fluxos de trabalho separados, as estruturas GRC os reúnem em um único modelo. As atividades comuns do GRC incluem gerenciamento de políticas, registros de riscos, testes de controle e coleta de evidências de auditoria. As organizações com programas GRC maduros normalmente respondem mais rapidamente às auditorias e gastam menos em remediação.

Serviços de Auditorias e Compliance?

Computação em nuvem

A entrega de recursos de computação, incluindo servidores, armazenamento, bancos de dados, redes, software e análises, pela Internet, com base no pagamento conforme o uso. Os três principais modelos de serviço são Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) e Software como Serviço (SaaS). A adoção da nuvem pode reduzir despesas de capital e melhorar a escalabilidade, mas apresenta seus próprios desafios em relação ao gerenciamento de custos, configuração de segurança e conformidade de residência de dados.

Serviços de gerenciamento de TI?

Suporte de TI

A prestação de assistência técnica a usuários finais que enfrentam problemas de hardware, software, conectividade ou acesso. O suporte de TI normalmente é estruturado em níveis: a primeira linha lida com solicitações comuns e redefinições de senha, a segunda linha lida com questões mais complexas e a terceira linha envolve escalonamento de especialistas ou fornecedores. O suporte de TI eficaz é regido pelos SLAs, medido por meio de métricas de tickets e apoiado por uma base de conhecimento que reduz a repetição de incidentes ao longo do tempo.

Serviços de gerenciamento de TI?

Monitoramento de TI

A observação contínua de sistemas de TI, servidores, redes, aplicações e serviços para detectar problemas de desempenho, falhas e eventos de segurança em tempo real. Um bom monitoramento reduz o tempo médio para detecção (MTTD) e o tempo médio para resolução (MTTR) de incidentes e fornece os dados necessários para comprovar a conformidade do SLA. As ferramentas de monitoramento geram alertas, painéis e logs de auditoria. Para organizações regulamentadas, os registros de monitoramento também são necessários como evidência para estruturas de conformidade, incluindo ISO 27001 e NIS2.

Serviços de gerenciamento de TI?

Orçamento de TI

O processo de planejamento, previsão e gerenciamento de despesas de TI nas categorias de capital (CAPEX) e operacionais (OPEX). Um orçamento de TI eficaz considera ciclos de atualização de hardware, licenciamento de software, consumo de nuvem, contratos de suporte e custos de entrega de projetos. Muitas organizações gastam demais com licenças não utilizadas, recursos de nuvem subutilizados e trabalhos de emergência não planejados que um orçamento estruturado teria previsto. Um orçamento claro também permite que a empresa avalie o retorno do investimento em TI ao longo do tempo.

Serviços de gerenciamento de TI?

Infraestrutura de TI

O conjunto combinado de hardware, software, redes e instalações que sustentam o ambiente de TI de uma organização. A infraestrutura inclui servidores (físicos e virtuais), sistemas de armazenamento, dispositivos de rede, endpoints, data centers ou instalações de colocation e os serviços em nuvem que os estendem ou substituem. A infraestrutura deve ser gerenciada ativamente: corrigida, monitorada, planejada em termos de capacidade e revisada de acordo com os requisitos do negócio. A infraestrutura negligenciada é uma fonte comum de incidentes de segurança e de tempo de inatividade não planejado.

Serviços de gerenciamento de TI?

Recuperação de desastres

DR

Um plano documentado e um conjunto de procedimentos para restaurar sistemas e operações de TI após um evento perturbador, como um ataque de ransomware, falha de hardware, inundação ou queda de energia. Um plano de recuperação de desastres documenta as metas de RTO e RPO para cada sistema crítico, sequências de recuperação, responsabilidades da equipe e protocolos de comunicação. Os planos devem ser testados regularmente: procedimentos de recuperação não testados falham frequentemente em condições reais e a falha só é descoberta quando é mais importante.

Serviços de gerenciamento de TI?

Gerenciamento de ativos de TI

ITAM

O processo de rastreamento e gerenciamento dos ativos de TI de uma organização durante todo o seu ciclo de vida, desde a aquisição até o descomissionamento. ITAM cobre hardware, licenças de software, assinaturas de nuvem e ativos virtuais. Um registro completo de ativos é um pré-requisito para a certificação ISO 27001 e um controle de segurança fundamental, já que você não pode proteger ou corrigir o que não pode ver. O ITAM também identifica desperdícios de licenças, evita penalidades de auditoria de software e apoia decisões orçamentárias de TI mais precisas.

Serviços de gerenciamento de TI?

Plano de Continuidade de Negócios

BCP

Um plano documentado que define como uma organização manterá funções comerciais críticas durante e após um evento disruptivo, como um ataque cibernético, desastre natural, queda de energia ou perda de pessoas importantes. Um BCP cobre soluções alternativas operacionais, protocolos de comunicação, caminhos de escalonamento e prioridades de recuperação. Está intimamente relacionado, mas é distinto, de um plano de recuperação de desastres, que se concentra especificamente na restauração de sistemas de TI. O planejamento de continuidade de negócios é um requisito do ISO 27001, DORA e do NHS DSPT e só é eficaz se testado regularmente por meio de exercícios e simulações.

Serviços de gerenciamento de TI?

Análise de impacto nos negócios

BIA

Uma avaliação estruturada que identifica as funções críticas de negócios de uma organização, os sistemas e processos que as suportam e as consequências da interrupção ao longo do tempo. Uma BIA determina o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO) para cada função crítica e estabelece a ordem de prioridade para recuperação. É a contribuição fundamental para o planejamento da continuidade dos negócios e da recuperação de desastres. Sem uma BIA, os esforços de recuperação durante um incidente tendem a ser ad hoc e centrados na voz mais alta e não na mais alta prioridade do negócio.

Serviços de gerenciamento de TI?

Aprendizado de máquina

AM

Um ramo da inteligência artificial em que os sistemas aprendem com os dados para melhorar o seu desempenho numa tarefa sem serem explicitamente programados para cada cenário. Os modelos são treinados em dados históricos para identificar padrões, fazer previsões ou classificar entradas. Aplicações de negócios comuns incluem previsão de demanda, detecção de fraudes, previsão de rotatividade e detecção de anomalias. A qualidade dos resultados de um modelo depende diretamente da qualidade e representatividade dos dados nos quais ele é treinado.

Serviços de consultoria em IA?

Modelo de linguagem grande

LLM

Um tipo de modelo de IA treinado em grandes volumes de dados de texto para compreender e gerar linguagem humana. Os LLMs podem realizar uma ampla gama de tarefas linguísticas, incluindo resumo, redação, tradução, resposta a perguntas e geração de código. Eles formam a base de ferramentas como Microsoft Copilot, ChatGPT e aplicativos empresariais de IA semelhantes. A implantação segura de LLMs em um contexto de negócios requer controles sobre permissões de acesso a dados, validação de precisão de saída e conformidade com regulamentos aplicáveis, incluindo o EU AI Act.

Serviços de consultoria em IA?

IA generativa

Sistemas de IA que criam novos conteúdos, incluindo texto, imagens, código, áudio e vídeo, com base em padrões aprendidos a partir de dados de treinamento. As ferramentas de IA generativa passaram rapidamente para casos de uso empresarial na criação de conteúdo, atendimento ao cliente, desenvolvimento de software e análise de dados, e os ganhos de produtividade podem ser significativos. No entanto, as organizações devem abordar os riscos relacionados ao vazamento de dados, à precisão dos resultados, à propriedade intelectual e à conformidade regulatória antes de qualquer implantação na produção.

Serviços de consultoria em IA?

Processamento de Linguagem Natural

PNL

Um ramo da IA ​​que permite aos computadores compreender, interpretar e gerar linguagem humana. A PNL potencializa aplicativos, incluindo chatbots, classificação de documentos, análise de sentimentos, tradução automática e assistentes de voz. Grandes modelos de linguagem são uma forma recente e particularmente poderosa de PNL. Nos sectores regulamentados, a PNL é utilizada para automatizar a revisão de documentos, extrair dados de registos não estruturados e encaminhar comunicações com clientes, levantando questões sobre precisão, parcialidade e auditabilidade que os quadros de governação devem abordar.

Serviços de consultoria em IA?

Visão Computacional

Um campo da IA ​​que permite aos sistemas interpretar e agir com base em informações visuais de imagens, vídeos e câmeras. As aplicações incluem controle de qualidade, reconhecimento facial, detecção de objetos, digitalização de documentos e análise de imagens médicas. Nos setores regulamentados, as implantações de visão computacional exigem atenção cuidadosa às obrigações de proteção de dados, especialmente quando estão envolvidos dados biométricos ou imagens de pacientes. O EU AI Act classifica certas aplicações de visão computacional, incluindo vigilância biométrica em tempo real em espaços públicos, como proibidas ou de alto risco.

Serviços de consultoria em IA?

Automação Robótica de Processos

RPA

Software que automatiza tarefas digitais repetitivas e baseadas em regras, imitando como um ser humano interage com aplicativos: navegando em interfaces, copiando e colando dados, enviando formulários e acionando fluxos de trabalho. A RPA é eficaz para processos estruturados e previsíveis, mas não consegue lidar com exceções ou entradas não estruturadas sem lógica adicional. A combinação de RPA com aprendizado de máquina amplia seu alcance para trabalhos menos estruturados, uma combinação cada vez mais conhecida como automação inteligente. Os casos de uso comuns incluem processamento de faturas, entrada de dados, geração de relatórios e coleta de evidências de conformidade.

Serviços de consultoria em IA?

Segurança de IA

A prática de identificar e mitigar riscos de segurança específicos dos sistemas de IA e da infraestrutura que os suporta. A IA introduz vetores de ataque além da segurança de TI tradicional: injeção imediata (manipulação de resultados de modelos por meio de entradas elaboradas), envenenamento de modelos (corrompimento de dados de treinamento), extração de dados (recuperação de informações confidenciais por meio de consultas de modelos) e entradas adversárias projetadas para causar classificação incorreta ou resultados prejudiciais. As organizações que implementam IA na produção devem avaliar estes riscos, implementar controlos apropriados e incluir sistemas de IA nos seus programas mais amplos de testes de segurança e resposta a incidentes.

Serviços de consultoria em IA?

Governança de IA

As estruturas, políticas e controles que garantem que os sistemas de IA sejam desenvolvidos e usados ​​de forma responsável, segura e em conformidade com os padrões legais e éticos. A governação da IA ​​abrange avaliação de riscos, documentação de modelos, transparência, supervisão humana, responsabilização e gestão de preconceitos. É explicitamente exigido para sistemas de IA de alto risco sob o EU AI Act e é cada vez mais esperado como uma prática básica para qualquer organização que implemente IA em um contexto crítico para os negócios ou voltado para o cliente.

Serviços de governança de IA?

Governança de Dados

O conjunto de políticas, processos e responsabilidades atribuídas que garantem que os dados sejam gerenciados de forma consistente, precisa e de acordo com os requisitos regulamentares em uma organização. A governança de dados abrange propriedade, classificação, padrões de qualidade, cronogramas de retenção e controle de acesso dos dados. É um pré-requisito para conformidade com o GDPR, implantação eficaz de IA e qualquer iniciativa estratégica que dependa de dados confiáveis ​​e bem compreendidos. Sem ele, as organizações muitas vezes só descobrem problemas de qualidade e acesso aos dados quando tentam agir com base nos dados.

Serviços de consultoria em IA?

Alucinação de IA

A tendência de grandes modelos de linguagem gerarem resultados confiantes, fluentes, mas factualmente incorretos ou fabricados. As alucinações ocorrem porque os LLMs produzem texto baseado em padrões estatísticos aprendidos, em vez de conhecimento verificado, e não têm nenhum mecanismo inerente para distinguir factos de invenções aparentemente plausíveis. Em contextos empresariais regulamentados, os resultados utilizados para documentação de conformidade, análise jurídica, decisões financeiras ou comunicações com clientes devem ser validados antes da utilização. Os quadros de governação da IA ​​e os processos de supervisão humana devem abordar explicitamente o risco de alucinação como um controlo central.

Serviços de consultoria em IA?

Injeção imediata

Uma técnica de ataque na qual um ator mal-intencionado cria entradas projetadas para substituir ou manipular as instruções dadas a um grande modelo de linguagem, fazendo com que ele produza resultados não intencionais, contorne os controles de segurança ou divulgue informações confidenciais. A injeção imediata pode ocorrer diretamente por meio de interfaces voltadas ao usuário, como chatbots, ou indiretamente por meio de documentos, e-mails ou conteúdo da web que o modelo é instruído a processar. É um dos principais riscos de segurança em aplicativos baseados em IA e está listado no OWASP Top 10 para modelos de linguagem grande. As organizações que implementam LLMs em produção devem avaliar e testar a injeção imediata como parte do seu programa de segurança de IA.

Serviços de consultoria em IA?

Precisa de ajuda para navegar em tudo isso?

Nossa equipe trabalha em todas essas quatro áreas. Diga-nos a sua situação e diremos claramente o que você precisa fazer.

Fale com nossa equipe