Segurança em banco de dados

Segurança em Banco de Dados
Segurança Lógica
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 1

Segurança da Informação

• Falta de prioridade: Mais de metade (59%)
dos respondentes dizem que a sua
organização não considera privacidade e
segurança de informações pessoais uma
prioridade da empresa. No Brasil esse número
sobre para 78%. Com relação ao cumprimento
da legislação vigente neste tema, 40% dos
entrevistados no mundo têm certeza de que
isso é feito, e no Brasil, apenas 21%

• Falta de recursos: No Brasil, 81% acreditam
que a sua organização não tem a experiência,
treinamento ou tecnologia para proteger
informações pessoais, e 73% dizem não contar
com os recursos adequados. No mundo, os
número são, respetivamente, 62% e 54%.

• Falta de Transparência: Apenas 26% dos
entrevistados brasileiros acreditam que a sua
empresa é transparente sobre o que faz com as
informações de clientes e de funcionários, em
contraste com os 44% globalmente. No que diz
respeito à rapidez para responder a queixas de
consumidores e de órgãos regulatórios, no Brasil,
77% informam que sua organização não é
eficiente e, no mundo, 42% dos respondentes
não estão satisfeitos.

• Estudo relalizado por Eldemam Privacy Rick
Index, 2013, disponível em
http://www.edelman.com.br/news/privacy-risk/

O que é Segurança da Informação
• A segurança da informação trata da proteção
da informação e dos sistemas de informação
contra situações não autorizadas de: acesso,
uso, divulgação, sabotagem, modificação ou
destruição

• Existem vários sinônimos para a segurança da
informação, tais como Segurança de Redes,
Segurança de Computadores, etc., mas todos
são relacionados e compartilham o mesmo
objetivo primário da segurança da informação,
que é a proteção da confidencialidade,
integridade e disponibilidade da informação

• Segurança da Informação: Atua na garantia da
confidencialidade, integridade e
disponibilidade dos dados não importando a
forma que eles se apresentem, seja em
formato eletrônico, papel, ou outros formatos.
(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)

Característica que compõem a
• Segurança da Informação: Atua na garantia da
confidencialidade, integridade e
disponibilidade dos dados não importando a
forma que eles se apresentem, seja em
formato eletrônico, papel, ou outros formatos.
(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)

• Confidencialidade: é a capacidade de
prevenir o vazamento de informações
para indivíduos e sistemas não
autorizados.
• Exemplo: O sistema do site de comércio
eletrônico tem que ter a capacidade de
assegurar a confidencialidade dos dados
do cartão do comprador.

• Integridade é capacidade de garantir que um
dado não seja modificado sem autorização. A
integridade é quebrada quando por ações
maliciosas ou por erros de operação, os dados
são modificados, gerando resultados errôneos
e incorretos.
• Por exemplo, um funcionário que modifica o
valor do seu salário sem autorização no
sistema de RH, ou um vírus modifica arquivos
em um computador;

• Disponibilidade é capacidade de a
informação estar disponível no momento em
que ela for necessária.
• Sistemas de alta disponibilidade permitem
um aumento do grau de disponibilidade da
informação, através do uso de controles que
previnam a falta de energia elétrica, falha de
hardware, falhas de software e ataques
contra a disponibilidade da informação.

• Autenticação é a capacidade de estabelecer
ou confirmar se algo, ou alguém, é autêntico.
• O processo envolve a confirmação da
identidade de um usuário ou sistema.

• Autorização é a capacidade de validar após a
autenticação, em uma lista de acesso pré-definida,
se algo, ou alguém, possui
permissões para realizar ações com dados em
um sistema da informação.
• A autorização sempre ocorre após a
autenticação.

• Não Repúdio é a capacidade de garantir que
um usuário ou sistema realmente realizou
uma operação em um sistema da informação,
não permitindo a existência de dúvidas ou
questionamentos sobre a sua realização.

Análise e Gerenciamento de Riscos
• Quando queremos tartar Segurança da
Informação, é necessário avaliar os riscos;
• Não há sistema 100% seguro;

Análise e Gerenciamento de Riscos
• A análise e gerenciamento de riscos é a
capacidade de identificar, analisar e monitorar
os riscos de quebra da confidencialidade,
integridade e disponibilidade em um sistema
da informação, priorizando as situações de
alta criticidade com o objetivo de minimizar o
impacto e a probabilidade de ocorrências de
eventos não desejados.

Niveis de Segurança
• SEGURANÇA FÍSICA
– Relacionado ao ambiente onde os servidores das
empresas estão hospedados.
– Inclui controle de acesso aos servidores, como
portas com senhas; programação de acesso ao
local físico, histórico das pessoas que acessam o
local, cameras de vigilância etc;
– Controle de temperatura; alarme contra incêndio;
desabamento; relâmpagos; alagamento;

Níveis de Segurança
• SEGURANÇA LÓGICA
– Relacionado ao acesso lógico aos dados, sendo o
banco de dados um desses ambientes;
– Tem preocupação com outras ameaças, como
virus de computador, acessos remotos indevidos
pela rede de computadores, violação de senhas,
backup desatualizados;

Sistema Operacional e Rede
• Isolamento do Banco de Dados em servidores
dedicados;
• Segurança do Sistema Operacional;
• Devida configuração da rede de dados;

Sistema Operacional e Rede
• Utilização no host do Banco de Dados de
firewall, antivírus e filtros de pacotes;

Tipo de Autenticação
• No caso do SQL Server, existe a opção de ser
Mista ou Autenticação Windows;

Protocolos
• Desabilitar protocolos desnecessários do
SGBD, deixando somente os protocolos
utilizados ativos;
• Em conjunto com o Administrador de redes,
alterar a porta Padrão utilizada pelo SGBD;
• Se possível, não expor o número IP do
servidor de SGBD;

Usuário Administrador
• Não compartilhar o uso do usuário
administrador;
• Não utilizar o usuário administrador para
todas as tarefas;
• Desabilitar acesso remoto do usuário
administrador e utilizar personificação;
• Conceder falso poder de Administrador
(retirando o acesso a objetos);

Usuário do Banco de Dados
• Prefira gerenciar grupos de usuários à usuários
(facilidade na administração de permissões à
objetos);
• Criar seu devido login e/ou usuário para cada
usuário usuário do banco de dados;
• Não compartilhar usuário e senhas entre
usuários;
• Conceder permissão de objetos para os grupos
de usuários e/ou usuários sob demanda;

Política de Senhas
• Utilize Políticas de Senhas fortes;
• Force a troca de senhas a pelo menos a 60
dias;
• Preferir autenticação pelo Sistema
Operacional (caso tenha o recurso)

Objetos do Banco de Dados
• Dê preferencia a utilizar Procedimentos
Armazenados, Funções e Visões para acesso e
manipulação de dados. (ao invés de permitir
que usuários acessem diretamente as tabelas)
• Conceder permissões aos devidos usuários
para os objetos que acessam dados;
• Utilize criptografia nos objetos criados de
acesso a dados;

Particionamento de Tabelas
• Verifique se existe dados de login e senha na
mesma tabela; Particione essa única tabela
em 2 (ou quantas forem necessárias), tendo
relacionamento de 1:1, deixando o login em
uma tabela e a senha em outra (podendo
utilizer até outra base de dados)
• Dê preferencia a utilizer os hash’s já existentes
ao invés de criar um próprio;

Backup
• Crie politicas de Backup dos bancos de dados
de dados e bancos de dados do Sistema;
• Teste com frequência a restauração de dados;
• Verifique a validade das unidades de fitas para
armazenamento de dados;
• Armazenar em cofre forte fitas de backup (ou
caso tenha possibilidade, contratação de
serviços em núvem)

Backup
• Verifique possibilidade de criptografar os
arquivos de backup;
• Faça planos de contingência e recuperação
das bases de dados;

Dados do Sistema
• Verifique e restrinja quais grupos de usuários
e/ou usuários podem fazer acesso aos banco
de dados de sistemas ou as tabelas de
Sistema;

Monitoramento
• Ative e avalie de tempos em tempos logs de
auditoria de acesso permitido e negado nos
objetos do banco de dados;
• Avalie também o consumo de disco,
processador e memória RAM;

Atualizações
• Antes de instalar os Service Pack’s e Patches
de Correção, testar em ambientes teste;
• Verificar no site do fabricante a documentação
sobre os Service Pack’s e Patches;
• Não deixar no modo automático as
atualizações do Sistema Operacional e do
SGBD;

Documentação
• Mantenha a documentação de usuários e seus
devidos acessos a objetos do banco de dados;

Obrigado!

Segurança em banco de dados

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Segurança em banco de dados

Similar a Segurança em banco de dados (20)

Último

Último (9)

Segurança em banco de dados