O documento discute diversas medidas de segurança para bancos de dados, incluindo segurança física e lógica, configuração da rede e do sistema operacional, autenticação e autorização de usuários, políticas de senhas, backup e restauração de dados, monitoramento e atualizações.
7. Segurança da Informação
• Falta de prioridade: Mais de metade (59%)
dos respondentes dizem que a sua
organização não considera privacidade e
segurança de informações pessoais uma
prioridade da empresa. No Brasil esse número
sobre para 78%. Com relação ao cumprimento
da legislação vigente neste tema, 40% dos
entrevistados no mundo têm certeza de que
isso é feito, e no Brasil, apenas 21%
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 7
8. Segurança da Informação
• Falta de recursos: No Brasil, 81% acreditam
que a sua organização não tem a experiência,
treinamento ou tecnologia para proteger
informações pessoais, e 73% dizem não contar
com os recursos adequados. No mundo, os
número são, respetivamente, 62% e 54%.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 8
9. Segurança da Informação
• Falta de Transparência: Apenas 26% dos
entrevistados brasileiros acreditam que a sua
empresa é transparente sobre o que faz com as
informações de clientes e de funcionários, em
contraste com os 44% globalmente. No que diz
respeito à rapidez para responder a queixas de
consumidores e de órgãos regulatórios, no Brasil,
77% informam que sua organização não é
eficiente e, no mundo, 42% dos respondentes
não estão satisfeitos.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 9
10. Segurança da Informação
• Estudo relalizado por Eldemam Privacy Rick
Index, 2013, disponível em
http://www.edelman.com.br/news/privacy-risk/
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 10
11. O que é Segurança da Informação
• A segurança da informação trata da proteção
da informação e dos sistemas de informação
contra situações não autorizadas de: acesso,
uso, divulgação, sabotagem, modificação ou
destruição
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 11
12. O que é Segurança da Informação
• Existem vários sinônimos para a segurança da
informação, tais como Segurança de Redes,
Segurança de Computadores, etc., mas todos
são relacionados e compartilham o mesmo
objetivo primário da segurança da informação,
que é a proteção da confidencialidade,
integridade e disponibilidade da informação
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 12
13. O que é Segurança da Informação
• Segurança da Informação: Atua na garantia da
confidencialidade, integridade e
disponibilidade dos dados não importando a
forma que eles se apresentem, seja em
formato eletrônico, papel, ou outros formatos.
(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 13
14. Característica que compõem a
Segurança da Informação
• Segurança da Informação: Atua na garantia da
confidencialidade, integridade e
disponibilidade dos dados não importando a
forma que eles se apresentem, seja em
formato eletrônico, papel, ou outros formatos.
(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 14
15. Característica que compõem a
Segurança da Informação
• Confidencialidade: é a capacidade de
prevenir o vazamento de informações
para indivíduos e sistemas não
autorizados.
• Exemplo: O sistema do site de comércio
eletrônico tem que ter a capacidade de
assegurar a confidencialidade dos dados
do cartão do comprador.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 15
16. Característica que compõem a
Segurança da Informação
• Integridade é capacidade de garantir que um
dado não seja modificado sem autorização. A
integridade é quebrada quando por ações
maliciosas ou por erros de operação, os dados
são modificados, gerando resultados errôneos
e incorretos.
• Por exemplo, um funcionário que modifica o
valor do seu salário sem autorização no
sistema de RH, ou um vírus modifica arquivos
em um computador;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 16
17. Característica que compõem a
Segurança da Informação
• Disponibilidade é capacidade de a
informação estar disponível no momento em
que ela for necessária.
• Sistemas de alta disponibilidade permitem
um aumento do grau de disponibilidade da
informação, através do uso de controles que
previnam a falta de energia elétrica, falha de
hardware, falhas de software e ataques
contra a disponibilidade da informação.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 17
18. Característica que compõem a
Segurança da Informação
• Autenticação é a capacidade de estabelecer
ou confirmar se algo, ou alguém, é autêntico.
• O processo envolve a confirmação da
identidade de um usuário ou sistema.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 18
19. Característica que compõem a
Segurança da Informação
• Autorização é a capacidade de validar após a
autenticação, em uma lista de acesso pré-definida,
se algo, ou alguém, possui
permissões para realizar ações com dados em
um sistema da informação.
• A autorização sempre ocorre após a
autenticação.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 19
20. Característica que compõem a
Segurança da Informação
• Não Repúdio é a capacidade de garantir que
um usuário ou sistema realmente realizou
uma operação em um sistema da informação,
não permitindo a existência de dúvidas ou
questionamentos sobre a sua realização.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 20
21. Análise e Gerenciamento de Riscos
• Quando queremos tartar Segurança da
Informação, é necessário avaliar os riscos;
• Não há sistema 100% seguro;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 21
22. Análise e Gerenciamento de Riscos
• A análise e gerenciamento de riscos é a
capacidade de identificar, analisar e monitorar
os riscos de quebra da confidencialidade,
integridade e disponibilidade em um sistema
da informação, priorizando as situações de
alta criticidade com o objetivo de minimizar o
impacto e a probabilidade de ocorrências de
eventos não desejados.
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 22
23. Niveis de Segurança
• SEGURANÇA FÍSICA
– Relacionado ao ambiente onde os servidores das
empresas estão hospedados.
– Inclui controle de acesso aos servidores, como
portas com senhas; programação de acesso ao
local físico, histórico das pessoas que acessam o
local, cameras de vigilância etc;
– Controle de temperatura; alarme contra incêndio;
desabamento; relâmpagos; alagamento;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 23
24. Níveis de Segurança
• SEGURANÇA LÓGICA
– Relacionado ao acesso lógico aos dados, sendo o
banco de dados um desses ambientes;
– Tem preocupação com outras ameaças, como
virus de computador, acessos remotos indevidos
pela rede de computadores, violação de senhas,
backup desatualizados;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 24
25. Sistema Operacional e Rede
• Isolamento do Banco de Dados em servidores
dedicados;
• Segurança do Sistema Operacional;
• Devida configuração da rede de dados;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 25
26. Sistema Operacional e Rede
• Utilização no host do Banco de Dados de
firewall, antivírus e filtros de pacotes;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 26
27. Tipo de Autenticação
• No caso do SQL Server, existe a opção de ser
Mista ou Autenticação Windows;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 27
28. Protocolos
• Desabilitar protocolos desnecessários do
SGBD, deixando somente os protocolos
utilizados ativos;
• Em conjunto com o Administrador de redes,
alterar a porta Padrão utilizada pelo SGBD;
• Se possível, não expor o número IP do
servidor de SGBD;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 28
29. Usuário Administrador
• Não compartilhar o uso do usuário
administrador;
• Não utilizar o usuário administrador para
todas as tarefas;
• Desabilitar acesso remoto do usuário
administrador e utilizar personificação;
• Conceder falso poder de Administrador
(retirando o acesso a objetos);
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 29
30. Usuário do Banco de Dados
• Prefira gerenciar grupos de usuários à usuários
(facilidade na administração de permissões à
objetos);
• Criar seu devido login e/ou usuário para cada
usuário usuário do banco de dados;
• Não compartilhar usuário e senhas entre
usuários;
• Conceder permissão de objetos para os grupos
de usuários e/ou usuários sob demanda;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 30
31. Política de Senhas
• Utilize Políticas de Senhas fortes;
• Force a troca de senhas a pelo menos a 60
dias;
• Preferir autenticação pelo Sistema
Operacional (caso tenha o recurso)
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 31
32. Política de Senhas
• Utilize Políticas de Senhas fortes;
• Force a troca de senhas a pelo menos a 60
dias;
• Preferir autenticação pelo Sistema
Operacional (caso tenha o recurso)
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 32
33. Objetos do Banco de Dados
• Dê preferencia a utilizar Procedimentos
Armazenados, Funções e Visões para acesso e
manipulação de dados. (ao invés de permitir
que usuários acessem diretamente as tabelas)
• Conceder permissões aos devidos usuários
para os objetos que acessam dados;
• Utilize criptografia nos objetos criados de
acesso a dados;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 33
34. Objetos do Banco de Dados
• Dê preferencia a utilizar Procedimentos
Armazenados, Funções e Visões para acesso e
manipulação de dados. (ao invés de permitir
que usuários acessem diretamente as tabelas)
• Conceder permissões aos devidos usuários
para os objetos que acessam dados;
• Utilize criptografia nos objetos criados de
acesso a dados;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 34
35. Particionamento de Tabelas
• Verifique se existe dados de login e senha na
mesma tabela; Particione essa única tabela
em 2 (ou quantas forem necessárias), tendo
relacionamento de 1:1, deixando o login em
uma tabela e a senha em outra (podendo
utilizer até outra base de dados)
• Dê preferencia a utilizer os hash’s já existentes
ao invés de criar um próprio;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 35
36. Backup
• Crie politicas de Backup dos bancos de dados
de dados e bancos de dados do Sistema;
• Teste com frequência a restauração de dados;
• Verifique a validade das unidades de fitas para
armazenamento de dados;
• Armazenar em cofre forte fitas de backup (ou
caso tenha possibilidade, contratação de
serviços em núvem)
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 36
37. Backup
• Verifique possibilidade de criptografar os
arquivos de backup;
• Faça planos de contingência e recuperação
das bases de dados;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 37
38. Dados do Sistema
• Verifique e restrinja quais grupos de usuários
e/ou usuários podem fazer acesso aos banco
de dados de sistemas ou as tabelas de
Sistema;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 38
39. Monitoramento
• Ative e avalie de tempos em tempos logs de
auditoria de acesso permitido e negado nos
objetos do banco de dados;
• Avalie também o consumo de disco,
processador e memória RAM;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 39
40. Atualizações
• Antes de instalar os Service Pack’s e Patches
de Correção, testar em ambientes teste;
• Verificar no site do fabricante a documentação
sobre os Service Pack’s e Patches;
• Não deixar no modo automático as
atualizações do Sistema Operacional e do
SGBD;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 40
41. Documentação
• Mantenha a documentação de usuários e seus
devidos acessos a objetos do banco de dados;
Prof. Rodrigo Kiyoshi Saito
rodrigok@anchieta.br 41