APRENDIZAGEM EM FOCO

Prévia do material em texto

WBA0473_v1.0
SEGURANÇA E AUDITORIA 
EM BANCO DE DADOS 
APRENDIZAGEM EM FOCO
2
APRESENTAÇÃO DA DISCIPLINA
Autoria: Washington H. C. Almeida
Leitura crítica: Marcelo Ramillo
A disciplina de Segurança e Auditoria em Banco de Dados versa sobre 
aspectos fundamentais para garantia da operação dos bancos de 
dados e seu bom funcionamento. 
A segurança do banco de dados é um fator primordial para manter 
as informações de forma íntegra. Quando o assunto é segurança, 
é importante lembrar que não será apenas o suficiente garantir 
que ninguém possa invadir e coletar informações, mas também 
assegurar a possibilidade de recuperação do banco de dados 
o mais rápido possível após uma falha grave. Para garantir os 
recursos de disponibilidade, a segurança e a auditoria precisam 
estar perfeitamente alinhadas. Interrupções causam impactos nos 
negócios, perda de confiança do cliente, custos legais e multas 
regulatórias que poderão comprometer o destino de uma empresa.
Um papel importante dentro da organização é o DBA – administrador 
de base de dados. Nesta disciplina, entenderemos quais suas 
atribuições e responsabilidades. Além disso, será apresentada a 
importância de auditorias em banco de dados em seus inúmeros 
aspectos, com objetivo final de salvaguarda da informação de 
maneira efetiva.
Resumidamente, os tópicos trabalhados são: 
Tema 1: Gerenciamento de usuários e seus privilégios. 
Tema 2: Controle de bloqueios em transações: locks. 
Tema 3: Políticas de backup e recovery de banco de dados. 
3
Tema 4: Aplicação de auditorias em banco de dados.
O objetivo é prepará-lo para extrair os recursos que o SGDB oferece 
para criar uma forma de gerenciamento atuante e seguro. Na 
temática de gerenciamento de usuários e privilégios, são definidos 
mecanismos e controles atinentes à gestão e ao controle de acesso, 
visando a garantia da segurança da informação nos seus três (3) 
aspectos primordiais, que são a confidencialidade, integridade e 
disponibilidade.
No tema de controle de transações, são apresentadas características 
dos SGBD relacionais e as propriedades de uma transação, além 
de demonstrar os cenários e tipos de bloqueios que podem ser 
implementados. Na disciplina, também serão apresentados os 
temas de backup e recovery e a importância da definição de políticas 
de backups para sobrevivência de uma instituição nos cenários de 
falhas. E para finalizar nossos estudos, demonstraremos a relevância 
das auditorias e como elas podem ser importantes em diversos 
cenários que acabam por ocorrer nas organizações no dia a dia. 
 
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira 
direta e assertiva, os principais conceitos inerentes à temática 
abordada na disciplina. Além disso, também pretende provocar 
reflexões que estimulem a aplicação da teoria na prática profissional. 
Vem conosco!
TEMA 1
Gerenciamento de usuários e 
seus privilégios
______________________________________________________________
Autoria: Washington Henrique Carvalho Almeida
Leitura crítica: Marcelo Ramillo
5
DIRETO AO PONTO
O gerenciamento de usuários e seus privilégios são conceitos 
relevantes relativos à segurança de bancos de dados. Ressalta-se a 
importância dos princípios da segurança da informação elencados 
que são: integridade, confidencialidade e disponibilidade.
A confidencialidade garante, de forma eficiente, acesso às 
informações somente a pessoas autorizadas.
A integridade relaciona-se à alteração da informação, isto é, ela 
somente pode ser modificada por pessoas que se apresentam 
autorizadas.
Por fim, a disponibilidade garante que a informação apresentar-
se-á sempre disponível para as pessoas que estão autorizadas, 
isto é, tenham acesso a ela sempre que necessário.
Esses princípios são inerentes às questões que a segurança de 
dados tenta solucionar: questões éticas, sociais e políticas.
Figura 1 – CID – Confidencialidade, integridade 
e disponibilidade
Fonte: elaborada pela autora.
6
No esquema anterior, demostramos a importância dos princípios 
da segurança da informação: confidencialidade, integridade e 
disponibilidade.; 
Referências bibliográficas
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. 
Rio de Janeiro: Elsevier, 2003.
PARA SABER MAIS
Aqui neste tópico, é demonstrada a importância da segurança de 
dados nas empresas e organizações. Os ataques à segurança da 
informação, muitas vezes, têm o intuito de obter dados sigilosos 
por pessoas más intencionadas que podem, por exemplo, fazer: 
abertura de conta bancária, compra de bens, utilização dos dados 
para golpes, compras com cartão de crédito, etc. Esses são alguns 
exemplos que acontecem quando uma pessoa não autorizada 
obtém informações sigilosas.
Como já dizia o velho ditado: “Quem tem conhecimento/
informação/dados tem poder”, imaginemos agora quem está com 
esse banco de dados imenso e o que pode realizar com essas 
informações.
Por isso são necessários conhecimentos técnicos para a 
administração do banco de dados e dos comandos SQL 
adequados, pois as aplicações consultam base de dados e, por 
consequência, os dados são administrados por esses softwares 
chamados SGBD. Os principais comandos estudados são o GRANT 
e o REVOKE. O Quadro 2 apresenta alguns detalhes desses 
comandos.
7
Quadro 2 – Comandos GRANT e REVOKE
Comando Objetivo Sintaxe
GRANT Conceder privilégios 
sobre uma tabela para 
um usuário ou uma lista 
de usuários.
GRANT {PRIVILÉGIOS | 
ALL PRIVILEGES}
ON { TABELA | VISÃO | 
ROTINA}
TO { USUÁRIOS }
[WITH GRANT OPTION] 
– esse comando entre 
[] é opcional, passa os 
privilégios do usuário 
que está dando as 
permissões para o 
usuário ao qual está 
sendo concedida, 
assim ele poderá, 
futuramente, conceder 
privilégios nos objetos 
do banco que possui 
permissão de acesso.
REVOKE Remove privilégios 
sobre uma tabela para 
um usuário ou uma lista 
de usuários.
REVOKE { PRIVILÉGIOS 
| ALL PRIVILEGES } ON 
{ TABELA | VISÃO | 
ROTINA} 
FROM { USUÁRIOS }
Fonte: elaborado pelo autor.
 
Referências bibliográficas
FLORENTINO, P. T. Gerenciamento e desenvolvimento em 
banco de dados. Londrina: Editora e Distribuidora Educacional 
S.A., 2018.
8
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você vai assumir a função de 
DBA em uma organização e dentro de suas atribuições está o 
controle de acesso aos usuários do banco de dados. Como expert 
no assunto, você conhece todos os comandos SQL necessários, 
mas, além disso, como você organizaria os usuários pensando 
que se trata de uma instituição que presta serviços com alta 
rotatividade dos profissionais e, basicamente, existem três 
tipos de colaboradores: funcionários da casa, terceirizados e 
estagiários? Qual a melhor forma de estabelecer critérios para 
solução de acessos a estes profissionais? Na sua visão, como 
deveriam ser concedidos os privilégios em um banco de dados? As 
permissões deverão ser de níveis discricionários ou obrigatórios?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Recomenda-se a leitura dos capítulos 1 e 2 do livro Gerenciamento 
e desenvolvimento em banco de dados, que descrevem uma 
análise técnica sobre como o controle de acesso em sistemas 
gerenciadores de banco de dados são implantados, quais suas 
vantagens e vulnerabilidades e como atendem às necessidades de 
uma política de segurança. O trabalho inicia com o levantamento 
sobre os princípios da segurança da informação, em seguida, 
apresenta os detalhes sobre o controle de acesso em banco 
Indicações de leitura
9
de dados. Apesar de o trabalho ser realizado tomando como 
base o padrão SQL, o autor foca no assunto da leitura digital, 
isto é, nos princípios da segurança da informação: integridade, 
confidencialidade e disponibilidade, e, principalmente, nos 
controles de acesso em SGBD e privilégios (concessão e revogação 
de privilégios), controle de acessobaseado em papéis (grupos ou 
perfis de usuários), controle de acesso obrigatório e controle de 
acesso discricionário)
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e 
busque pelo título da obra. 
FLORENTINO, P. T. Gerenciamento e desenvolvimento em 
banco de dados. Londrina: Editora e Distribuidora Educacional 
S.A., 2018.
Indicação 2
O capítulo 17 – “Segurança de banco de dados” do livro Introdução 
a sistemas de banco de dados, do professor C. J. Date, traz uma 
visão sucinta dos recursos SQL, demonstrando a importância dos 
aspectos independente do SQL que se apresentam envolvidos; 
são eles o mecanismo da visão, que tem como objetivo esconder 
dados de usuários não autorizados, e o subsistema de autorização 
gerencia as permissões aos usuários específicos, concedendo 
de forma seletiva e dinâmica ou revogando assim quando achar 
necessário. Também mostra definições de GRANT e REVOKE.
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra. 
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio 
de Janeiro: Elsevier, 2003.. 
10
Lorem ipsum dolor sit amet
Autoria: Nome do autor da disciplina
Leitura crítica: Nome do autor da disciplina
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. A segurança de dados, ou o termo mais amplo segurança 
da informação, tem princípios básicos, sendo que a quebra 
de um deles gera um incidente de segurança e pode 
comprometer todo um banco de dados. Quais são esses 
princípios? 
a. Predição, competitividade, confidencialidade.
b. Integridade, disponibilidade, confidencialidade.
c. Legalidade, competitividade, disponibilidade.
d. Integridade, legalidade, confidencialidade.
e. Autoridade, controle e gestão.
2. Os bancos de dados ou os sistemas gerenciadores de banco de 
dados – SGBD implementam medidas de controles citadas por 
diversos autores referências na área. Quais são esses tipos de 
controle? 
a. Controle semântico, de objeto, de fluxo e criptografia de 
dados.
11
b. Controle de acesso, de inferência, de objeto e criptografia de 
dados.
c. Controle de acesso, de inferência, de fluxo e auditoria.
d. Controle de acesso, de inferência, auditoria e criptografia de 
dados.
e. Controle de acesso, de inferência, de fluxo e criptografia de 
dados.
GABARITO
Questão 1 - Resposta B
Resolução: São três princípios da segurança de dados: 
integridade, disponibilidade e confidencialidade. Segue a 
definição de cada um: 
Confidencialidade: garantir que a informação se apresente 
acessível somente as pessoas que possuem autorização para 
acessá-la.
Integridade: somente as pessoas autorizadas podem alterar 
a informação.
Disponibilidade: garantir que as pessoas autorizadas 
tenham acesso àquela informação quando quiserem, isto é, 
quando acharem necessário a qualquer tempo. 
Questão 2 - Resposta E
Resolução: Elmasri e Navathe (2006) cita que são 
basicamente quatro tipos de medidas de controle que 
possuem o objetivo de fornecer segurança nos bancos 
de dados: controle de acesso, de inferência, de fluxo e 
criptografia de dados
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. 
ed. São Paulo: Pearson, 2011.
TEMA 2
Controle de bloqueio em 
transações: locks
______________________________________________________________
Autoria: Washington Henrique de Carvalho Almeida
Leitura crítica: Marcelo Ramillo
13
DIRETO AO PONTO
Caro aluno, o direto ao ponto desta seção visa explorar o assunto 
controle e bloqueio de transações.
Você deve estar se perguntando em qual situação esta 
funcionalidade se apresenta na sua vida profissional ou até mesmo 
pessoal.
Você partirá das seguintes situações: em uma compra, adquirindo 
o produto, será necessário realizar um update na tabela estoque, 
efetuando a baixa do produto que você adquiriu. Mas qual seria 
a reação do SGDB caso houvesse apenas um item no estoque e 
estivessem sendo realizadas duas vendas ao mesmo tempo para 
este mesmo produto? Qual transação terá prioridade? Você, como 
DBA, como responderia a esta pergunta?
Abordaremos aqui os conceitos de cada uma das propriedades 
citadas, a saber:
• Atomicidade: todas as alterações são realizadas (incluídas 
no banco de dados) ou nenhuma alteração é realizada no 
banco. Explicando de forma mais simples, não há meio-
termo nessa propriedade, é tudo ou nada, não há inclusão 
de parte da alteração concernente à transação, ou inclui 
tudo no banco ou não inclui nada.
• Consistência: após todas as alterações realizadas no banco 
de dados, este continua consistente.
• Durabilidade: após a confirmação, isto é, o commit, as 
alterações realizadas pela transação devem permanecer no 
banco de dados de maneira durável, ou seja, os dados nunca 
serão perdidos.
14
• Isolamento: quando existe uma transação, ela é invisível 
para as demais, sendo isolada com o intuito de que essas 
alterações sejam realizadas com sucesso.
Figura 1 – Propriedades da transação
Fonte: elaborada pelo autor.
A figura mostra a definição sucinta de cada propriedade 
da transação; sem essas propriedades, possivelmente, as 
atualizações/alterações da transação não ocorreriam com sucesso 
e falhas graves no SBGD seriam comuns.
Referências bibliográficas
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de 
Janeiro: Elsevier, 2003. 
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São 
Paulo: Pearson, 2011.
15
PARA SABER MAIS
Ressalto que o assunto: controle de concorrência entre transações 
em banco de dados tem como objetivo controlar o acesso aos dados, 
isso significa que, se a mesma informação for acessada por vários 
usuários diferentes no BD, deve ser realizado o controle entre as 
transações.
Outro ponto a ressaltar aqui é a importância das propriedades da 
transação atinente ao assunto controle de bloqueio em transações:
• Atomicidade.
• Consistência.
• Durabilidade.
• Isolamento.
A definição tanto do controle binário como do controle exclusivo e 
compartilhado, iremos definir os controles citados anteriormente, a 
saber:
• Controle binário: esse controle possui dois estados, 
bloqueado e desbloqueado. Quando bloqueado, o 
item solicitado não pode ser acessado, ao contrário do 
desbloqueado, que pode ser acessado se solicitado. As 
operações desse controle são: lock_item (X) e unlock_item (X) 
• Controle compartilhado: sucintamente falando, o controle 
compartilhado é utilizado para leitura por meio da operação 
read lock.
• Controle exclusivo: resumindo de forma simples, o controle 
exclusivo é utilizado para gravação por meio da operação 
write lock.
16
Referências bibliográficas
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de 
Janeiro: Elsevier, 2003. 
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: imagine um sistema de 
conta corrente, em que são realizadas inúmeras transações 
por segundo. Como ocorreriam essas transações caso não 
fossem utilizadas técnicas de bloqueio ou características de 
um SGBD relacional, que garante o Acid (lembra dessa sigla?)? 
Nunca o esqueça, pois, se no seu dia a dia, na realização 
de transferências bancárias, o dinheiro a ser transferido é 
sacado de uma conta e depois depositado em outra, isso é 
garantido por essas características. Pense, então, como seriam 
os bloqueios necessários para garantir que vários saques de 
uma conta e transferências não acabassem por deixar o saldo 
final da conta inconsistente por problemas na atomicidade da 
transação, por exemplo.
Para conhecer a resolução comentada proposta pelo professor, 
acesse a videoaula deste Teoriaem Prática no ambiente de 
aprendizagem.
17
LEITURA FUNDAMENTAL
Indicação 1
O capítulo 22 – “Técnicas de controle de concorrência”, 
especificamente o item 22.1 – “Técnicas de bloqueio em duas fases 
para controle de concorrência”, demostra a conceituação dos tipos 
de bloqueio: binário compartilhado e exclusivo, bem como usa 
importância, ademais, esse item trata das operações relacionadas a 
cada tipo de bloqueio.
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque 
pelo título da obra. 
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São 
Paulo: Pearson, 2011.
Indicação 2
Outro livro de suma importância para quem quer aprender banco de 
dados é o Introdução a sistemas de banco de dados, especificamente o 
item 15.3 – “Recuperação de transação”. Neste item, o autor explica 
as quatro propriedades da transação (atomicidade, isolamento, 
consistência e durabilidade), bem como a importância dessas 
propriedades.
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e busque 
pelo título da obra.
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio de 
Janeiro: Elsevier, 2003. 
Indicações de leitura
18
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho da 
questão.
1. Qual operação está relacionada ao controle compartilhado 
de transação? 
a. Write lock.
b. Create lock.
c. Read lock.
d. Unlock.
e. Lock.
2. _______________: esse controle possui dois estados, 
bloqueado e desbloqueado. Quando bloqueado, o item 
solicitado não pode ser acessado, ao contrário do estado 
________, que pode ser acessado se solicitado. As operações 
desse controle são: ____________ 
a. Controle binário; desbloqueado; lock_item (X) e write_item (X)
b. Controle compartilhado; desbloqueado; lock_item (X) e 
unlock_item (X)
19
c. Controle exclusivo; desbloqueado; lock_item (X) e unlock_
item (X)
d. Controle exclusivo; desbloqueado; read_item (X) e unlock_
item (X)
e. Controle binário; desbloqueado; lock_item (X) e unlock_item 
(X)i
GABARITO
Questão 1 - Resposta C
Resolução: A operação que se relaciona com o bloqueio 
compartilhado é read lock.
Questão 2 - Resposta E
• Resolução: Controle binário: esse controle possui dois 
estados, bloqueado e desbloqueado. Quando bloqueado, o 
item solicitado não pode ser acessado, ao contrário do estado 
desbloqueado, que pode ser acessado se solicitado. As 
operações desse controle são: lock_item (X) e unlock_item (X) 
TEMA 3
Políticas de backup e recovery 
de banco de dados
______________________________________________________________
Autoria: Washington Henrique de Carvalho Almeida
Leitura crítica: Marcelo Ramillo
21
DIRETO AO PONTO
A importância da política de backup e sua operacionalização de 
maneira sistemática e precisa trazem a garantia da possibilidade 
de recuperação em casos de desastres ou incidentes de segurança 
da informação. Deve-se lembrar que o objetivo principal da 
política é mitigar os riscos concernentes à perda de dados. 
O tratamento de riscos também é uma temática interessante, pois, 
na classificação da informação, várias estratégias de tratamento 
podem ser implementadas, já que o dispêndio de recursos 
financeiros para evitar um incidente pode ser muito alto e o valor 
da informação a ser preservada muita das vezes é menor que o 
custo de efetivação dos controles.
Não podemos esquecer que há muitas perguntas a se fazer 
para ser garantido o sucesso de uma boa política de cópia de 
segurança, pois o custo financeiro de armazenar dados é alto. 
Algumas perguntas podem ser feitas para realizar uma política de 
backup efetiva:
• Que dados a organização quer armazenar?
• Com que frequência a cópia de segurança será realizada?
• Qual a periodicidade da verificação dos backups?
• Qual tipo de backup será realizado?
• Quem são os responsáveis?
• O armazenamento será na nuvem ou físico?
Essas perguntas servem de base para a definição de diretrizes e 
elucidação do cenário a ser enfrentado.
22
Figura 1 – Insumos para uma boa política de backup
Fonte: elaborado pelo autor.
No esquema anterior, são apresentados alguns insumos básicos 
representativos para uma boa política de backup; nela precisa 
constar informações que busquem suprimir as questões norteadoras 
apresentadas, pois elas servirão de guia para a construção de um 
plano factível. Além disso outras informações relevantes podem e 
devem ser adicionadas a essa política, levando em consideração o 
contexto da organização, neste Direto ao Ponto, apresentamos um 
conjunto mínimo para nortear um bom planejamento.
Referências bibliográficas
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio 
de Janeiro: Elsevier, 2003. 
RODRIGUES, W. F. Análise dos procedimentos de backup dos 
institutos federais. 2017. Dissertação de Mestrado em Ciência da 
Computação. Universidade Federal de Pernambuco.
23
PARA SABER MAIS
Para que seja entendida a importância das políticas de backup e 
a recuperação de banco de dados, vamos recordar o atentado às 
torres do World Trade Center (conhecido no Brasil como Torres 
Gêmeas). 
Em 11 de setembro de 2001, houve um atentado terrorista 
com vários ataques contra os Estados Unidos da América, 
especificamente ao Pentágono e às Torres Gêmeas. No prédio 
conhecido como Torres Gêmeas estavam hospedadas grandes 
empresas, como Morgan Stanley, Deutsche Bank AG, Cantor 
Fitzgerald entre outras.
A Morgan Stanley era um banco de investimento que possuía, na 
época, aproximadamente 25 andares somados nas duas torres e 
cerca de 3.500 empregados. 
Imagine agora quantos dados eram gerados por essas empresas, 
será que elas realizavam backups? Qual a frequência desses 
backups (diário, semanal, quinzenal ou mensal)? Onde as cópias 
de segurança eram realizadas (na outra torre, ou no mesmo local, 
ou no prédio da esquina)? Quais os dados que eram copiados ( 
informações estratégicas, informações gerenciais ou informações 
operacionais ou todas as informações)? 
Percebe quantas perguntas podem ser feitas nesse caso 
emblemático? Assim é perceptível a importância de uma política 
de backup de banco de dados somente neste exemplo, pois 
poderiam ser elencados inúmeros outros, até mesmo casos 
brasileiros, como a explosão da Base de Alcântara no Maranhão, 
local de operação do programa espacial brasileiro, um caso trágico 
que resultou na morte de toda a equipe do projeto.
24
O fato curioso neste triste episódio do World Trade Center 
foi que a maioria das empresas que trabalhavam em uma 
torre realizavam suas cópias de segurança no edifício ao lado. 
Especialistas de TI dizem que esse atentado foi um caso atípico, 
pois quem imaginaria a destruição dos dois pre´diosem ataques 
coordenados num curto espaço de tempo? Assim, as empresas 
que realizavam suas cópias de segurança no imóvel ao lado 
perderam todas as suas informações e muitas acabaram indo à 
falência
Referências bibliográficas
DATE, C. J. Introdução a sistemas de banco de dados. 8. ed. Rio 
de Janeiro: Elsevier, 2003. 
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. 
São Paulo: Pearson, 2011.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você precisa definir uma 
política de backup para uma base de dados que é atualizada 
apenas uma vez por ano, esse caso é típico de um sistema 
para planejamento orçamentário, em que o trabalho é feito no 
começo do ano fiscal, que é definido entre o período de janeiro a 
março, além disso, após o fechamento do orçamento, os dados 
são enviados para outra base de dados externa e não é mais 
necessário ter na base local do sistema orçamentário o históricodos orçamentos dos anos anteriores, basta ser arquivada a 
proposta do ano vigente. Nesse cenário, qual seria a melhor 
política de backup a ser implementada na base de dados? Seria 
25
necessária a retenção desse dado em mídias magnéticas para 
recuperação futura?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
No capítulo 23, tópico 7 – “Backup de recuperação de banco de 
dados contra falhas catastrófica”, é discorrido acerca da principal 
técnica utilizada para lidar com as falhas, que é o backup de 
banco de dados; nele são estabelecidos premissas que devem ser 
seguidas e casos em que as políticas devem ser implementadas.
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e 
busque pelo título da obra. 
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. 
São Paulo: Pearson, 2011.
Indicação 2
Outra opção de leitura é para os que gostam de meter a mão na 
massa. Nesta indicação é utilizado o banco de dados MySQL e, 
especificamente no seu capítulo 10, o aluno aprenderá a criar, 
exportar, importar banco de dados na prática, entendendo, assim, 
como são operacionalizadas as políticas de backup.
Indicações de leitura
26
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e 
busque pelo título da obra.
CARVALHO, V. MySQL. Comece com o principal banco de dados 
open source do mercado. São Paulo: Casa do código, 2017.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Conforme estudado na aula, qual o tipo de backup em que os 
arquivos novos e modificados são atualizados, evitando todo o 
reprocessamento de dados de uma base? 
a. Total.
b. Completo.
c. Full.
d. Incremental.
e. Diferencial.
2. Em caso de uma falha ______________ do sistema, a cópia de 
_______ mais recente pode ser recarregada da fita para o disco, 
e o sistema, reiniciado.
27
a. Catastrófica incremental; log.
b. Catastrófica; log.
c. Não catastrófica; backup.
d. Não catastrófica; log.
e. Catastrófica; backup.
GABARITO
Questão 1 - Resposta E
Resolução: O backup incremental é o tipo de backup em que 
são atualizados somente os arquivos novos ou/e alterados.
Questão 2 - Resposta E
Resolução: No caso de uma falha catastrófica do sistema, a 
cópia de backup mais recente pode ser recarregada da fita 
para o disco, e o sistema, reiniciado.
TEMA 4
Aplicação de auditoria 
em banco de dados
______________________________________________________________
Autoria: Washington Henrique de Carvalho Almeida
Leitura crítica: Marcelo Ramillo
29
DIRETO AO PONTO
Um ponto interessante abordado neste tema são os comandos 
descritos na linguagem do banco de dados no padrão SQL, tanto da 
Linguagem de Manipulação de Dados – DML como da Linguagem de 
Definição de Dados – DDL.
Realizar auditoria por meio das regras é uma das formas mais 
simples para tornar o trabalho do auditor efetivo. Regras podem ser 
criadas e registradas no banco de dados por meio de tabela física. 
Esse tipo de auditoria pode ser utilizado com linguagem DDL e DML.
O intuito é demonstrar exemplos dos principais operações 
das linguagens de banco de dados. Como já vimos na aula 
os exemplos dos comandos da Linguagem de Definição de 
Dados, agora partiremos para a demonstração da Linguagem de 
Manipulação de Dados – DML.
Primeiro, conceda permissões a um usuário específico no banco de 
dados e depois execute esses comandos.
• INSERT 
 
INSERT INTO nome_tabela VALUES (lista_dados) 
 
INSERT INTO aluno (Codigo, Idade, Nome, Disciplina) 
VALUES(1,27,”Washington Almeida”, “Segurança em Banco de 
Dados”); 
 
Obs. Lembrar que criamos uma tabela Aluno com os campos 
(Codigo, Idade, Nome do Aluno e Disciplina.
30
• UPDATE 
 
UPDATE nome_tabela 
 
SET CAMPO = “novo_valor” 
 
WHERE CONDIÇÃO; 
 
 
UPDATE aluno 
 
SET Disciplina = “XXXXXX” 
 
WHERE ID = 1;
• DELETE 
 
DELETE FROM nome_tabela 
 
WHERE condição 
 
 
DELETE FROM aluno 
 
WHERE ID = 1
No MySQL, você pode consultar as permissões dos usuários no 
banco de dados chamado “mysql”, procure a tabela “tables_priv”. 
Para acessar o MySQL, você pode usar software como o HeidiSQL 
ou o Workbench, além do próprio console. Basta acessar o banco 
de dado “mysql” usando o comando USE mysql; e usar o comando 
SELECT para consultar os dados da tabela em questão, ficaria assim o 
comando: SELECT * from tables_priv.
31
Referências bibliográficas
SILVA, L. A. et al. Mineração de dados em logs de auditoria como 
recurso no processo de ensino-aprendizagem em aulas práticas de 
banco de dados. In: CONGRESSO BRASILEIRO DE INFORMÁTICA NA 
EDUCAÇÃO, 5., 2016, Uberlândia. Anais [...]. Uberlândia: 2016. p. 901.
PARA SABER MAIS
Mais uma vez, demonstra-se que a auditoria de banco de dados 
realizada de forma correta pode proporcionar vários benefícios, 
como efetivo controle das operações e responsabilização, além 
da possibilidade de verificação dos usuários responsáveis pelas 
atividades desempenhadas no SGBD.
Essa é a tendência, as empresas investirem na segurança em 
banco de dados e, por conseguinte, também em auditoria. Os 
temas de banco de dados, segurança em banco de dados e 
auditoria em dados são intimamente ligados.
A segurança em banco de dados controla o acesso e o uso de 
banco de dados, já a auditoria verifica se os usuários estão 
fazendo o que devem fazer.
A auditoria garante que os usuários autorizados não estejam 
acessando dados com intuito de executar operações que possam 
comprometer a organização. Muitos estudos demonstram que os 
incidentes de segurança da informação mais prejudiciais a uma 
instituição são os realizados por pessoas da própria organização 
que possuem acessos privilegiados e, por inúmeros motivos, como 
má-fé, usam desses privilégios para executar operações indevidas 
e até mesmos ilegais. Por isso a segregação de funções, algo 
32
simples de ser implementado, é uma boa prática e até exigência 
legal em alguns ramos de mercado. 
Em resumo, ela prega que uma só pessoa não detenha totais 
privilégios para executar todas as operações, enquanto um 
concede privilégios em um banco, por exemplo, outro DBA audita 
se os privilégios concedidos seguiram as normas estabelecidas e 
se realmente foram liberados conforme registrado nas demandas.
Uma das opções no mercado é a contratação de serviços 
na nuvem, onde os controles de auditoria são facilmente 
implementados pelas empresas fornecedoras. Procure sobre o 
tema nos sites das empresas Amazon e da Oracle.
Referências bibliográficas
RORATTO, R.; DIAS, E. D. Security information in production and 
operations: a study on audit trails in database systems. São 
Paulo: JISTEM-Journal of Information Systems and Technology 
Management, v. 11, n. 3, p. 717-734, 2014. Disponível em: https://doi.
org/10.4301/S1807-17752014000300010. Acesso em: 6 nov. 2020.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você precisa realizar auditoria 
em bancos de dados de forma a registrar as operações sobre uma 
determinada tabela que possui dados críticos, como você pode 
fazer isso? Qual recursos o SGBD pode oferecer para o registro de 
todas as operações em um certo conjunto de dados? O que você 
faria para implementar esse controle?
https://doi.org/10.4301/S1807-17752014000300010
https://doi.org/10.4301/S1807-17752014000300010
33
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Leia o artigo de Eder Pazinatto intitulado “Auditoria em bancode dados com utilização de regras”. Esse trabalho mostra que os 
sistemas de gerenciamento de banco de dados – SGDB possuem 
recursos para implementação de técnicas de auditoria. Ademais, a 
importância de regras e log no que concerne à auditoria de banco 
dados
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e 
busque pelo título da obra.
PAZINATTO, E. Auditoria em banco de dados com utilização de 
regras. Revista de Ciências Exatas e Tecnologia, Londrina, v. 5, 
n. 5, p. 91-100, 2010.
Indicação 2
Outro trabalho bem interessante sobre auditoria de banco de 
dados apresenta-se descrito no artigo intitulado “Mineração 
de dados em logs de auditoria como recurso no processo de 
ensino-aprendizagem em aulas práticas de banco de dados”, 
que apresenta como proposta o uso de técnicas de mineração 
Indicações de leitura
34
de dados em arquivos de log (onde a auditoria armazena os 
registros).
Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e 
busque pelo título da obra.
SILVA, L. A. et al. Mineração de dados em logs de auditoria como 
recurso no processo de ensino-aprendizagem em aulas práticas de 
banco de dados. In: CONGRESSO BRASILEIRO DE INFORMÁTICA NA 
EDUCAÇÃO, 5., 2016, Uberlândia. Anais [...]. Sociedade Brasileira 
de Computação – SBC Uberlândia: 2016. p. 901.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho 
da questão.
1. A auditoria em banco de dados possui grande importância 
para a organização. A maior parte das informações da 
organização está em banco de dados. Diante do exposto, qual 
alternativa define melhor a importância da auditoria de banco 
de dados?
35
a. Verificar o que os usuários estão fazendo por meio de um 
conjunto de procedimentos. 
b. Buscar melhoria no banco de dados.
c. Classificar os dados pela sua criticidade.
d. Armazenar informações dos computadores da 
organização.
e. Solucionar conflito entre o DBA e o usuário.
2. A auditoria, de um modo geral, é utilizada para garantir 
que seus atos sejam transparentes e estejam em 
conformidade com as suas normas. Diante do relato, 
auditar significa: 
a. Deduzir.
b. Questionar.
c. Induzir, atrapalhar.
d. Observar, questionar.
e. Examinar, certificar.
GABARITO
Questão 1 - Resposta A
Resolução: A importância de ter auditoria de banco de dados 
em uma organização é verificar o que os usuários estão 
fazendo por meio de um conjunto de procedimentos. 
Questão 2 - Resposta E
Resolução: A palavra auditoria significa examinar e certificar.
BONS ESTUDOS!
	Apresentação da disciplina
	Introdução
	TEMA 1
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 2
	Direto ao ponto
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 3
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 4
	Direto ao ponto
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	Botão TEMA 5: 
	TEMA 2: 
	Botão 158: 
	Botão TEMA4: 
	Inicio 2: 
	Botão TEMA 6: 
	TEMA 3: 
	Botão 159: 
	Botão TEMA5: 
	Inicio 3: 
	Botão TEMA 7: 
	TEMA 4: 
	Botão 160: 
	Botão TEMA6: 
	Inicio 4: 
	Botão TEMA 8: 
	TEMA 5: 
	Botão 161: 
	Botão TEMA7: 
	Inicio 5: