Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 SEGURANÇA EM BANCO DE DADOS 1 SUMÁRIO TECNOLOGIA DIGITAL ............................................................................................. 3 BANCO DE DADOS ................................................................................................... 4 DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ................................................... 5 SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) ................................. 10 AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS .................................. 11 SEGURANÇA EM BANCO DE DADOS ................................................................... 15 APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO E DOS DADOS ............................................................................................................ 18 TIPOS DE SEGURANÇA ......................................................................................... 19 A SEGURANÇA E O DBA ........................................................................................ 20 SEGURANÇA EM APLICAÇÕES WEB ................................................................... 21 CONTROLE DE FLUXO .......................................................................................... 24 CRIPTOGRAFIA ...................................................................................................... 25 BACKUPS ................................................................................................................ 26 USUÁRIOS .............................................................................................................. 26 DOMÍNIO DE SEGURANÇA .................................................................................... 27 PRIVILÉGIOS .......................................................................................................... 27 CONTROLE DE ACESSO OBRIGATÓRIO E PARA SEGURANÇA MULTI-NÍVEL 28 CONTROLE DE ACESSO BASEADO EM PAPÉIS ................................................. 29 CONTROLE DE ACESSO UTILIZANDO TRIGGERS .............................................. 30 CONTROLE DE ACESSO UTILIZANDO VIEWS ..................................................... 30 REFERENCIAS ........................................................................................................ 31 2 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós- Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 3 TECNOLOGIA DIGITAL O avanço da Tecnologia da Informação(TI) dentro do ambiente organizacional tem colocado em evidência o valor que o bem informação tem em relação aos objetivos da empresa. Em contraponto, busca-se proteger e garantir a segurança para sua efetiva utilização com a finalidade de atender as necessidades de gestores. Segundo Fontes (2006), define-se como segurança da informação o conjunto de orientações, normas, procedimentos, políticas e demais ações para que o recurso informação esteja protegido. A segurança da informação existe com a finalidade de diminuir o risco que um determinado negócio apresenta em relação à dependência do seu uso para o funcionamento da organização. De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal forma que se possa verificar a integridade e garantir que os dados estejam protegidos. A auditoria constitui-se como uma forma eficiente de manter um ambiente seguro. Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser compreendida como a atribuição responsável pela fiscalização dos processos, tendo como função verificar se eles estão sendo executados de forma constante e correta e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos, a auditoria verifica e garante que o objeto auditado está de acordo com o estipulado. Na área de TI, todos os processos podem e devem ser auditados, desde a decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas, integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais, legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, haja vista que, hoje, muitas organizações param de operar pelo fato de a tecnologia de TI adotadas deixar de funcionar. Com base no conceito de auditoria em Tecnologia da Informação e tendo em vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada aos principais aspectos de segurança em ambientes web, através da análise de vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus 4 serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da qual se propôs as adequações necessárias para a correção das falhas encontradas. BANCO DE DADOS No passado, as empresas armazenavam as informações em arquivos físicos, o que causava grande acúmulo de papel e dificultava a organização, atualização e acesso a essas informações. Porém, com o surgimento e evolução das tecnologias computacionais, as empresas passaram a investir na aquisição de computadores e as informações passaram a ser armazenadas em bancos de dados digitais. De acordo com Date (2003, p. 10), “um banco de dados é uma coleção de dados persistentes, usada pelos sistemas de aplicação de uma determinada empresa”. Um banco de dados apresenta algumas propriedades através das quais indica que sua abrangência vai muito além de uma mera coleção de dados. A primeira propriedade de um banco de dados refere-se a este ser um conjunto lógico e ordenado de dados com significado. Não será considerado banco de dados uma coleção de dados aleatória, sem uma finalidade ou objetivo (MACHADO, 2008). Construído e povoado com dados, o banco de dados possui um determinado objetivo e simboliza um minimundo ou universo de discurso onde são consideradas as propriedades de objetos que interessam aos usuários para fins de processamento computacional (ELMASRI; NAVATHE, 2011). Um banco de dados tem tamanho e complexidade distintas. O celular é um exemplo de device que pode conter um ou mais banco de dados de pequeno porte e baixa complexidade. Como exemplos de grandes bancos de dados podem ser considerados os da Amazon.com e Alibaba.com, empresas multinacionais com atuação mundializada e que comercializam produtos – livros, jogos, eletrônicos, roupas etc. – provenientes de diversos pontos do planeta junto a consumidores igualmente distribuídos ao redor do globo terrestre. 5 DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e minimizando o risco do negócio. Um banco de dados pode conter informações muito valiosas para a empresa ou até mesmo paraas pessoas. A divulgação de informações não autorizadas pode afetar a empresa de diversas formas, como levar a perda de clientes ou de mercado, ou até mesmo a ações judiciais. A segurança da informação, segundo Alves (2006, p. 1), “[...] visa proteger a informação de forma a garantir continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócios”. Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da informação é adquirida a partir da implantação de um conjunto de controles apropriados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implantados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atingidos. Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma gestão e por procedimentos adequados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. Segurança da informação segundo Beal (2005), é o processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade. Sêmola (2003), define segurança da informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. 6 A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define segurança da informação como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos definir segurança da informação como a área do conhecimento que visa à proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade e autenticidade, a fim de garantir a continuidade do negócio e minimizar os riscos, Figura 1. Atualmente o conceito de segurança da informação está padronizado pela norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões de segurança da informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos. Figura 1: Pilares da Segurança da informação Fonte: ABNT NBR ISSO-IEC 27001:2006 Confidencialidade Para Beal (2005), a confidencialidade é a garantia de que o acesso à informação é restrito aos seus usuários legítimos, ou seja, quando uma informação representa uma vantagem de mercado, um diferencial competitivo, diz-se que a informação possui um valor de restrição, a ser mantido por meio de preservação de sua confidencialidade. 7 No âmbito da administração pública federal, o decreto nº 4.553/2002 classifica os documentos públicos em 4 categorias sendo um deles de confidencias, que são aqueles que, no interesse do Poder Executivo e das partes, devem ser de conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do estado. Segundo Ferreira (2003), a informação dever ser protegida, independente da mídia que a mesma esteja contida, como por exemplo, documentos impressos ou mídia digital. Que além de cuidar da informação como uma todo também deve-se preocupar com a proteção de partes de informação que podem ser utilizadas para interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da informação quanto aos requisitos de confidencialidade mostrado no Figura 2. Figura 2: Classificação da confidencialidade da informação Fonte: Beal, 2005. Integridade Garantia da criação legítima e da consistência da informação ao longo do seu ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não autorizada de dados e informações. A integridade consiste em proteger a informação contra modificação sem a permissão explícita do proprietário. “Proprietário da informação é o executivo de negócio ou gerente de uma determinada área responsável pelos ativos da informação da organização.” (Ferreira, 2003, pg. 25). 8 Dados e informações perdem sua integridade em tentativas de fraudes, quanto maior for o impacto para a organização da perda de integridade de uma informação, maior o investimento a ser feito em controles para prevenir, detectar e corrigir a produção errada ou a alteração indevida de informações. (Beal, 2005, pg. 67). A integridade pode ser definida como de: alta exigência de integridade, que é a criação com erro ou alteração indevida e assim comprometer as operações e objetivos da organização, acarretando em descumprimentos de leis, prazos e normas, levando a mesma ter prejuízos; de média exigência de integridade, onde a criação com erro ou alteração indevida das informações não compromete as operações nem traz impactos muitos grandes, apenas pode causar algum tipo de prejuízo; e de baixa exigência de integridade é a criação com erro ou indevida, que é facilmente detectada e os riscos que oferece são praticamente desprezíveis. Autenticidade Para Ferreira (2003), o serviço de autenticação em um sistema deve assegurar ao usuário que recebe a informação, que a mensagem é realmente procedente da origem informada em seu conteúdo. A verificação da autenticidade faz-se necessário após todo processo de identificação, seja do sistema para o usuário, do usuário para o sistema ou do sistema para outro sistema. O objetivo da autenticidade é englobado pelo de integridade, quando se assume que este visa garantir não só que as informações permaneçam completas e precisas, mais também que a informação capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuída unicamente ao seu autor legítimo. A implementação para o processo de autenticidade geralmente é implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005), cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de armazenamentos, controle de acesso, controles e recuperação de serviços, assim aplica os controles adequados conforme o nível de proteção requerido por cada segmentação. Disponibilidade 9 Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo da disponibilidade, o controle de acesso que permite identificar os usuários legítimos da informação para então liberar o acesso solicitado. Quando analisado a disponibilidade é considera-se questões como: “quanto custa para produzir”, “quanto custa para recuperar” e quais consequências gera para a organização se a informação não está mais disponível. Conclui-se que a falta de informações pode afetar a organização e o que deve ser considerado é quanto tempo levaria para superar esse impacto. Desta forma a classificação das informações e a ordem de prioridade de recuperação em caso de indisponibilidade são muito importantes e a organização deve atribuir a cada categoria as informações conforme o grau de importância do ativo para a organização. Essa ordem de importância é expressa por Beal (2005), começando pelas mais importantes categoria 1 e menos importantes categoria 6, conforme Figura 3. Figura 3: Categorias e tempo para disponibilidade Fonte: Beal, 2005. Considera-seque pode abranger as categorias 1 e 2 informações que exigem recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe informações com exigência de recuperação em médio espaço de tempo, sendo que as indisponibilidades temporárias não afetam o desempenho dos processos críticos, porém que ao longo período de tempo pode causar atrasos ou decisões erradas. 10 Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a indisponibilidade variada. E a categoria 6 não possui exigência de tempo para recuperação, pois a perda ou indisponibilidade por períodos longos não traz consequências negativas consideráveis, seja pela pouca relevância da informação ou pela facilidade de recuperação da mesma. SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) Como desdobramento evolutivo da tecnologia de banco de dados surge o sistema gerenciador de banco de dados (SGBD) ou Database Management System (DMS). O SGBD é uma composição de softwares responsáveis pelo gerenciamento do banco dados. De acordo com Alves (2009, p. 23), “um sistema de gerenciamento de banco de dados (SGBD) é uma coleção de ferramentas e programas que permitem aos usuários a criação e manutenção do próprio banco de dados”. Exemplos de SGBDs mais comuns são: Oracle, MySQL, PostgreSQL e SQL Server. Um SGBD facilita o processo de definição, construção, manipulação e compartilhamento do banco de dados e aplicações. Um SGBD contém, dentre suas funções significativas, um subsistema de segurança que protege o banco de dados contra acessos não autorizados. O Administrador do Banco de Dados ou Database Administrator (DBA) utiliza esse subsistema para decidir quais usuários podem acessar o banco de dados e os tipos de operações que poderão efetuar, por exemplo: ler, atualizar, adicionar e/ou apagar (ELMASRI; NAVATHE, 2011). O DBA é responsável pela segurança geral de um sistema de banco de dados. Ele é a autoridade máxima e utiliza uma conta conhecida como superusuário ou conta do sistema para desempenhar suas funções como, por exemplo, decidir os privilégios dos usuários. Segundo Ramakrishnan & Gehrke (2008, p. 18), “o DBA é responsável por assegurar que o acesso não autorizado aos dados não seja permitido. Em geral, nem todos devem ser capazes de acessar todos os dados”. 11 AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS Para Neto e Solonca (2007), a crescente utilização de soluções informatizadas nas distintas áreas de serviços exige maior exposição dos valores e das informações, além de níveis de segurança adequados. O avanço da tecnologia da informação, migrando de um ambiente centralizado para um ambiente distribuído, interligando redes internas e externas, adicionada à revolução da Internet, modificou a forma de se fazer negócios. Isto fez com que as empresas se preocupassem mais com o controle de acesso às suas informações bem como a proteção dos ataques, tanto internos quanto externos. Ainda para Neto e Solonca (2007), com o advento dos computadores pessoais e das redes de computadores que são capazes de conectar o mundo inteiro, os aspectos de segurança atingiram tal complexidade que há a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua gerência. Paralelamente, os sistemas de informação também adquiriram uma suma importância para a sobrevivência da maioria das organizações modernas, uma vez que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar impraticável. Um exemplo prático da afirmação acima é citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de determinação legal ou por se tratar de informações de natureza pessoal, que inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer danos, caso elas sejam levadas a público. Ainda concluem que, independente do setor da economia em que a empresa atue, as informações estão relacionadas com seu processo de produção e de negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o meio físico em que as informações estão armazenadas, elas são de valor incalculável não só para a empresa que as gerou, como também para seus concorrentes. Em último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes 12 elas estão relacionadas às atividades diárias da empresa que, sem elas, poderia ter complicações. Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação que suportam os processos de negócio. A atividade da auditoria de TI tem como intuito ajudar a organização por meio da identificação e avaliação de exposições ao risco que sejam significativas, bem como contribuir para o avanço dos mecanismos de gestão de risco e de controle dos sistemas de informação. No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade dos controles dos sistemas de informação para resguardar a organização contra as ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são pouco prováveis de causar danos significativos à organização e às suas partes interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador e à área envolvida. No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a forma de abordagem. Fonte: Neto e Solonca (2007) No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a quanto ao órgão fiscalizador. 13 Fonte: Neto e Solonca (2007) No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a quanto a área envolvida. 14 Fonte: Neto e Solonca (2007) Neto e Solonca (2007) afirmam que dependendo da área que será averiguada, a auditoria pode compreender todo o ambiente de informática ou a organização do departamento de informática. Além disso, podem considerar os controles sobre 15 bancos de dados, redes de comunicação e de computadores, além de controles sobre aplicativos. Desta forma, sob o entendimento dos tipos de controles identificados por Neto e Solonca (2007), os autores também afirmam que a auditoria pode ser separada em duas grandes áreas: Auditoria de segurança de informações: este tipo de auditoria em ambientes informatizados decide a postura ou a situação da empresa em relação à segurança das informações. Ela avalia a política de segurança da informação e também os controles relacionados a aspectos de segurança e controles que influenciam o bom funcionamento dos sistemas da organização. Tais controles estão descritos a seguir: - Avaliação da política de segurança; - Controles de acesso lógico; - Controles de acesso físico; - Controles ambientais; - Plano de contingência e continuidade de serviços; - Controles organizacionais; - Controles de mudanças; - Controle de operação dos sistemas; - Controles sobre os bancos de dados; - Controles sobre computadores; - Controles sobre ambiente cliente-servidor. Auditoria de aplicativos: este tipo de auditoria está direcionado para a segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, RH, etc. A auditoria de aplicativos compreende: - Controles sobre o desenvolvimento de sistemas e aplicativos; - Controles de entrada, processamento e saída de dados; - Controles sobre o conteúdo e funcionamento doaplicativo com relação à área por ele atendida. SEGURANÇA EM BANCO DE DADOS Os bancos de dados são utilizados para armazenar diversos tipos de informações, desde dados sobre uma conta de e-mail até dados importantes da Receita Federal. A segurança do banco de dados herda as mesmas dificuldades que 16 a segurança da informação enfrenta, que é garantir a integridade, a disponibilidade e a confidencialidade. Um Sistema gerenciador de banco de dados deve fornecer mecanismos que auxiliem nesta tarefa. Os bancos de dados SQL implementam mecanismos que restringem ou permitem acessos aos dados de acordo com papeis ou roles fornecidos pelo administrador. O comando GRANT concede privilégios específicos para um objeto (tabela, visão, seqüência, banco de dados, função, linguagem procedural, esquema ou espaço de tabelas) para um ou mais usuários ou grupos de usuários. A preocupação com a criação e manutenção de ambientes seguros se tornou a ocupação principal de administradores de redes, de sistemas operacionais e de bancos de dados. Pesquisas mostram que a maioria dos ataques, roubos de informações e acessos não- autorizados são feitos por pessoas que pertencentes à organização alvo. Por esse motivo, esses profissionais se esforçam tanto para criar e usar artifícios com a finalidade de eliminar os acessos não-autorizados ou diminuir as chances de sucesso das tentativas de invasão (internas ou externas). Os controles de acesso em sistemas de informação devem certificar que todos os acessos diretos ao sistema ocorramexclusivamente de acordo com as modalidades e as regras pré- estabelecidas, e observadas por políticas de proteção. De modo geral, os mecanismos de segurança referem-se às regras impostas pelo subsistema de segurança do SGBD, que verifica todas as solicitações de acesso, comparando-as com as restrições de segurança armazenadas no catálogo do sistema. Entretanto existem brechas no sistema e ameaças externas que podem resultar em um servidor de banco de dados comprometido ou na possibilidade de destruição ou no roubo de dados confidenciais. As ameaças aos bancos de dados podem resultar na perda ou degradação de alguns ou de todos os objetivos de segurança aceitos, são eles: integridade, disponibilidade, confidencialidade. A integridade do banco de dados se refere ao requisito de que a informação seja protegida contra modificação imprópria. A disponibilidade do banco de dados refere-se a tornar os objetos disponíveis a um usuário ou a um programa ao qual eles têm um direito legitimo. A 17 confidencialidade do banco de dados se refere à proteção dos dados contra a exposição não autorizada. O impacto da exposição não autorizada de informações confidenciais pode resultar em perda de confiança pública, constrangimento ou ação legal contra a organização. Abaixo segue os três (3) princípios da segurança da informação, explicando assim seus conceitos correspondentes. Controle de redundância A redundância é caracterizada por conter uma informação de forma duplicada. O controle de redundância por sua vez, não permite inserir dois registros com a mesma chave primária ou excluir algum registro que esteja relacionado com outras tabelas, para que assim não haja inconsistência de dados. Mas para isso, o SGBD (Sistema Gerenciador de Banco de Dados) deve oferecer este recurso. Controle de concorrência Quando transações SQL são executadas concorrentemente, ou seja, ao mesmo tempo, pode se haver uma violação na consistência da base de dados, mesmo que cada operação tenha sido feita individualmente correta. Hoje, os sistemas desenvolvidos utilizam-se da multiprogramação “que permite a execução de transações visando o compartilhamento do processador” (AZEVEDO, CASTRO e SERRÃO, s.d., s.p.). Por isso, existe a necessidade de controlar a interação dessas transações, através do controle de concorrência, por meio de mecanismos especializados. Restrições de integridade As restrições de integridade servem exatamente para evitar danos acidentais em um Banco de Dados, garantindo assim que alterações realizadas por usuários autorizados não resultem na inconsistência de dados. Outra utilização é assegurar que um valor que está em uma relação de um conjunto de atributos também esteja para certo conjunto de atributos em outra relação. 18 APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO E DOS DADOS A gestão de dados é o planejamento, desenvolvimento e execução de políticas e procedimentos de segurança para proporcionar a devida autenticação, autorização e acesso nos ativos de dados e informações (Seções da ISO IEC 27002). Seu objetivo é proteger os ativos de Informação em alinhamento com as regulamentações de privacidade e confidencialidade e requisitos do negócio. Em uma organização existem muitas fontes de informações que não ficam à disposição da gerência para tomadas de decisões, fazendo-se necessário a aplicação dos processos de auditorias da Informação, e para ORNA (1990) entre essas fontes estão: • Registros de clientes; • Informação sobre fornecedores; • Informações sobre orçamentos operacionais; • Resultados financeiros; Relatórios de operações externas; • Informação dos concorrentes: como eles estão fazendo financeiramente, o que eles estão produzindo; • A informação que a própria empresa produz, para o mundo exterior, e para o público interno; • Informações sobre seu mercado, seu público-alvo ou de seus clientes; • Informações sobre áreas de importância, por exemplo: a produção ou indústria de serviço que pertence o sistema de educação, ciência e tecnologia; processos, materiais, instalações ou equipamentos; • Informações sobre o ambiente em que opera: a economia, regulamentos comunitários governamentais, legislação, etc. E é justamente por existir muitas fontes de informações que a organização deve atentar-se para a sua segurança, pois há uma exposição maior quando é realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK (2012), gestão de qualidades de dados é sinônimo de qualidade da informação e 19 considera que a falta de qualidade nos dados resulta em informação imprecisa e um desempenho fraco de negócio. Desta forma faz-se necessário ter qualidade para prover uma solução econômica e melhorar a qualidade e integridade dos dados. Para a efetiva realização da segurança da informação na organização, são utilizados vários métodos como controles, políticas, processos e procedimentos, geralmente definidos por uma política de segurança da Informação Baars et al.,(2009). Atualmente as organizações entendem que segurança não está mais apenas nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o fator humano. E as organizações muitas vezes por insegurança em expor as informações existentes, dificultam a realização das auditorias, conforme aponta Orna no livro “Practical Information Polices” (1990), muitas empresas desnecessariamente dificultam seu trabalho, não deixando que informações externas sejam mostradas internamente e vice versa. Johnson (2012), em sua pesquisa apresenta as iniciativas de segurança da informação presente nas organizações e o nível de maturidade dos mesmos, baseado no modelo de maturidade genérico proposto pelo Capability Maturity Model Integration (CMMI) e as atividades definidas para cada processo. TIPOS DE SEGURANÇA A segurança em banco de dados refere-se a um assunto bem extenso, que envolve algumas questões: Questões legais e éticas referentes ao acesso a certas informações, em que são classificadas como privadas, e só podem ser acessadas por pessoas autorizadas. Questões do sistema, por exemplo, se as funções de segurança devem ser implementadas no nível de hardware, nível de sistema ou no nível de SGBD. Onde existem também classificaçõesda importância dos dados - altamente secreto, secreto, não secreto. Existem ameaças aos bancos de dados que resultam na perda dos seguintes itens: integridade, disponibilidade e confiabilidade. No entendimento de Elmasri e Navathe (2006) a integridade do banco refere-se à exigência que a informação esteja 20 assegurada de modificações impróprias, incluindo a criação, a inclusão, a alteração e a exclusão. Caso ocorra a perda da integridade dos dados e não for corrigida, podem causar imprecisão, acarretando em tomadas de decisões equivocadas. Já a confiabilidade está ligada à proteção dos dados, algo importantíssimo, já que a exposição de certas informações pode ter como consequências o constrangimento dos envolvidos, a perda da confiança ou numa ação contra a instituição. Neste contexto, para proteger o banco de dados contra essas ameaças, o SBGD deve oferecer mecanismos que restrinja certos usuários ou grupos de acessarem partes específicas de um banco de dados. Tudo isso é de grande importância quando se refere a um grande volume de dados acessadospor muitos usuários diferentes de uma organização. Atualmente são utilizados dois tipos de mecanismos de segurança, são eles: Mecanismos de acesso discricionário: utilizados para conceder privilégios a usuários (leitura, inclusão, exclusão e atualização). Mecanismos de acesso obrigatório: implementados para estabelecer níveis de acesso classificando os dados e os usuários, baseando-se no conceito de papéis e conforme as políticas de segurança da empresa. A SEGURANÇA E O DBA O administrador de banco de dados (DBA) é a autoridade máxima, onde suas funções são incluir concessão de privilégios, classificação de usuários e dados de acordo com as políticas de acesso da empresa. Também conhecido como superusuário, o DBA concede e revoga privilégios a usuários específicos e/ou a grupos de usuários, digitando comandos para as seguintes situações: Criação de contas: cria contas para novos usuários ou grupos para assim habilitar o acesso ao banco. Concessão de privilégios: é a ação em que se concedem novos privilégios a determinadas contas. 21 Revogação de privilégios: consiste em cancelar certos privilégios antes concedidos a algumas contas. Dessa forma, o DBA é o responsável por garantir que os dados estejam seguros de qualquer ameaça externa. SEGURANÇA EM APLICAÇÕES WEB Aplicações web são constantes alvos de ataques, onde invasores buscam aproveitar vulnerabilidades encontradas para o roubo de informações confidenciais. Seja no ambiente corporativo ou mesmo no âmbito pessoal, os ataques podem vir a gerar prejuízos não somente pelo vazamento de informações, mas também pelos danos potenciais de uma aplicação inoperante em um determinado período de tempo. Estar vulnerável não somente significa a existência de uma falha de implementação ou erros na aplicação. O invasor pode se utilizar de algo concreto, como a relação estabelecida entre servidor e cliente para, a partir desse ponto, burlar a segurança. A seguir, serão elencadas as vulnerabilidades mais comuns em aplicações web. Cross Site Scripting ou XSS Utiliza a relação de confiança entre o servidor da aplicação e o navegador para transporte de código malicioso, que geralmente é escrito em javascript, a fim de conseguir dados sensíveis, como o identificador da sessão do usuário. Segundo OWSAP(2016), muitas aplicações permitem a postagem de conteúdo por parte de seus usuários. O XSS está ligado a esse conteúdo, que pode ser utilizado para solicitar informações ao usuário dentro da aplicação e o direcionar para fora dela. Como o navegador da vítima não consegue identificar o que corresponde ao trecho de código malicioso, este será executado assim que for detectado pelo navegador. O ataque pode ser feito utilizando também os mecanismos de busca. Se a aplicação não possuir tratamento para tal, executará o código malicioso. Outra forma de fazer o ataque é inserindo no meio da página original aplicação, escrita em HTML, trechos de códigos a fim de se obter as informações desejadas. Para tornar o código 22 ilegível e burlar mecanismos que se baseiam em tags para proteção, como por exemplo (script) ou (alert) os códigos são escritos em hexadecimal. Essa vulnerabilidade está ligada a falta de tratamento dos dados e conteúdo postado pelo usuário. A execução do código é imperceptível ao usuário infectado, já que é executada pelo navegador de forma transparente. Injeção de SQL Uma outra vulnerabilidade diz respeito a injeção de códigos com comando em Structured Query Language (SQL) para obter dados diretamente do banco. SQL corresponde a linguagem para gerenciamento dos dados utilizada pelos principais bancos de dados estruturados na modelagem relacional. Um estudo feito pela Owasp (2013) sobre vulnerabilidades em aplicações web apontou o Structured Query Language Injection, ou SQL Injection como a técnica mais utilizada no meio virtual para obtenção de dados de forma mal intencionada. O ataque visa utilizar os dados de entrada do cliente no aplicativo para conseguir dados confidenciais, modificar, excluir ou atualizar registros. Conforme Owasp (2016), a técnica afeta um número grande de aplicações disponíveis atualmente, pois a arquitetura de grande parte se baseia em banco de dados SQL. Em geral, a forma como as aplicações web constroem os comando SQL envolvem a sintaxe escrita pelos programadores com parâmetros informados pelos usuários. Dessa forma, há a possibilidade de o usuário explorar os parâmetros informados para obter dados do banco. Conforme cita OWASP(2016), esses ataques ainda podem ser classificados em 3 diferentes classes: ● Inband: os dados são extraídos usando o mesmo canal que é usado para injetar o código; ● Out-of-band: os dados são recuperados em um outro canal, como por exemplo enviados para um e mail informado; ● Inferencial: não a transferência real dos dados, porém é possível reconstruir as informações através de solicitações particulares. 23 Como a exemplo do XSS, o SQL Injection consegue ser neutralizado se os formulários, campos de pesquisa, URLs, tiverem tratamento para os dados informados pelo usuário na aplicação. Cross Site RequestForgery Utiliza a relação de confiança entre o aplicativo e seu usuário legítimo. Geralmente fazendo uso de engenharia social, para explorar essa vulnerabilidade, o atacante necessita que a vítima esteja com uma sessão ativa na aplicação alvo. Nesse momento, o ataque pode ser concluído com sucesso caso o usuário receba um link ou acesse, no mesmo navegador, o aplicativo malicioso. Dessa forma, a aplicação maliciosa ou link inclui uma requisição ao aplicativo alvo, carregando os parâmetros necessário para a conclusão da transação. Os aplicativos vulneráveis são aqueles em que as requisições são feitas de maneira estática, ou seja, sempre enviando os mesmos parâmetros para fazer a requisição. Uma alternativa para tratar as requisições do CSRF é o Synchronizer Token Pattern. Diz respeito a enviar um token como um dos parâmetros da requisição. Com isso, tem-se a garantia de que a requisição está sendo feita, de forma que o token enviado seja comparado ao token armazenado na sessão do usuário, é gerado um novo token para armazenamento na sessão. Se o token for diferente, a requisição deve ser descartada pelo servidor. Referência direta a objetos Uma referência direta a um objeto expõe os dados de um sistema aos usuários. Seja um arquivo, diretório ou a chave de uma tabela, a referência direta permite que um usuário acesse dados aos quais não tem permissão. A fragilidade encontra-se na ideia de que o usuário sempre irá seguir os caminhos preestabelecidos pela aplicação. Na própria aplicação são visualizados parâmetros que referenciam objetos internos. O usuário seaproveita dessa fragilidade para, alterando os parâmetros para ter acesso a outros dados da aplicação. Como prevenção, deve-se verificar se o usuário tem permissão para acesso ao objeto ao qual está requisitando. Broken Autenticação e Gestão de Sessões 24 O invasor utiliza-se de falhas da aplicação no gerenciamento de sessão ou na autenticação, como por exemplo, contas expostas, senhas, IDs de sessão, para representar um usuário legítimo. De acordo com Owasp (2017) deve-se verificar as seguintes diretrizes: ● As credenciais de autenticação de usuário não são protegidas quando armazenadas usando hash ou criptografia. ● As credenciais podem ser adivinhadas ou substituídas por funções de gerenciamento de contas fracas (por exemplo, criação de contas, alteração de senha, recuperação de senha, IDs de sessão fracas). ● IDs de sessão são expostos na URL (por exemplo, reescrita de URL). ● IDs de sessão são vulneráveis a ataques de fixação de sessão . ● IDs de sessão não timeout, ou sessões de usuário ou tokens de autenticação, particularmente single sign-on (SSO) tokens, não são devidamente invalidados durante logout. ● Os IDs de sessão não são rodados após o login bem-sucedido. ● Senhas, IDs de sessão e outras credenciais são enviadas através de conexões não criptografadas. Por exemplo, se alguém utiliza um computador público para acesso a uma determinada aplicação e, ao invés de fazer logout, apenas fecha o navegador, corre o risco de ter deixado a sessão ativa por um tempo, deixando aberta a possibilidade de que uma outra pessoa utilize-se dessa conta para obter dados. CONTROLE DE FLUXO É um mecanismo que previne que as informações fluam por canais secretos e violem a política de segurança ao alcançarem usuários não autorizados. Ele regula a distribuição ou fluxo de informação entre objetos acessíveis. Um fluxo entre o objeto A e o objeto B ocorre quando um programa lê valores de A e escreve valores em B. Os controles de fluxo têm a finalidade de verificar se informações contidas em alguns objetos não fluem explicita ou implicitamente para objetos de menor proteção. Dessa maneira, um usuário não pode obter indiretamente em B aquilo que ele ou ela não puder obter diretamente de A. 25 O controle de fluxo controla o fluxo das informações entre objetos. Conforme afirmaram ELMASRI e NAVATHE (2006, p. 538), “os controles de fluxo verificam se informações contidas em alguns objetos não fluem explicita ou implicitamente para objetos de menor proteção”. Uma política de fluxo mais simples utiliza-se de duas classificações para as informações: confidencial (C) e não confidencial (NC). Esse método na maioria das situações resolve o problema, por exemplo, de quando se contém dados dos clientes, onde alguns deles são de caráter sigiloso. Segundo ELMASRI e NAVATHE (2006), as técnicas de controle de fluxo devem garantir que só fluxos autorizados, explícitos e implícitos, sejam executados. Canais secretos Um canal secreto seria a permissão de uma transação de dados que infrinja as regras de segurança. Então, ele permite que uma informação de nível alto passe para um nível mais baixo, de maneira ilegal. Especialistas dizem que a melhor forma de se evitar essa prática é bloquear o acesso dos programadores a informações pessoais de clientes, como salário ou saldo bancário, por exemplo. CRIPTOGRAFIA A criptografia é uma das melhores soluções para se armazenar ou transferir dados, suponha que alguma informação caia em mãos erradas, se ela estiver cifrada, ou seja, que tenha sido usado um algoritmo de criptografia, a pessoa que a obteve terá dificuldades em conseguir encontrar o significado real, pois a criptografia mascara a informação trocando os caracteres por outros, disfarçando o sentido das palavras. É uma medida de controle final, utilizada para proteger dados sigilosos que são transmitidos por meio de algum tipo de rede de comunicação. Ela também pode ser usada para oferecer proteção adicional para que partes confidenciais de um banco de dados não sejam acessadas por usuários não autorizados. Para isso, os dados são codificados através da utilização de algum algoritmo de codificação. Assim, um usuário não autorizado terá dificuldade para decifrá-los, mas os usuários autorizados receberão chaves para decifrar esses dados. A criptografia permite o disfarceda 26 mensagem para que, mesmo com o desvio da transmissão, a mensagem não seja revelada. BACKUPS O backup de dados é algo de extrema importância, até porque imagine o tamanho do transtorno caso uma empresa perca os seus dados, o que pode ocorrer por diversos motivos, queda de energia, vírus no servidor, falha humana, entre outros. Uma das soluções é o uso de mídias ópticas (CD ou DVD) ou de um HD externo. Você pode criar rotinas diárias ou semanais, para a cópia de arquivos do seu servidor ou computador. Existe outra bem utilizada que o uso de servidores espelhados, onde eles trabalham ao mesmo tempo. “Os HDs são configurados para serem “espelhos” um do outro, ou seja, os arquivos gerados no HD principal são automaticamente gravados nos demais HDs espelhados” (A IMPORTÂNCIA de backup, s.d; s.p.). Assim, se ocorrer do servidor principal falhar por algum motivo, o servidor secundário passa a ser o primário. USUÁRIOS Abrange usuários e esquema do banco de dados onde cada banco de dados Oracle tem uma lista de nomes de usuários. Para acessar um banco de dados, um usuário deve usar um aplicativo desse tipo e tentar uma conexão com um nome de usuário valido. Cada nome tem uma senha associada para evitar o uso sem autorização. Devem ser implementados ainda diferentes perfis de usuário para diferentes tarefas no Oracle, tendo em vista que cada aplicação/usuário tem a sua necessidade de acesso. Existe ainda a possibilidade de proteger os perfis com senha, o que é uma excelente medida. Além dessas medidas, o uso de cotas aumenta a restrição de espaço em disco a ser utilizado por usuários/aplicativos. 27 DOMÍNIO DE SEGURANÇA Onde cada usuário tem um domínio de segurança, um conjunto de propriedades que determinam coisas como ações (privilégios e papeis) disponíveis para o usuário; cota de tablespaces (espaço disponível em disco) do usuário; limites de recursos de sistema do usuário. As tabelas (tablespaces) do sistema, como a system, devem ser protegidas de acessos de usuários diferentes dos usuários de sistema. A liberação de escrita e alteração de dados em tais tabelas é muito comum em ambientes de teste, onde os programadores e DBAs tomam tal atitude para evitar erros de aplicação por falta de privilégios. Porém, em ambientes de produção, tal medida é totalmente desaconselhável. PRIVILÉGIOS Os privilégios são permissões únicas dadas a cada usuário ou grupo. Eles definem permissões para tipos de autorização. Pelos privilégios é possível autorizar o usuário a modificar ou alcançar determinado recurso do Banco de Dados. Os privilégios também são armazenados em catálogos do próprio Banco de Dados, visto que os grupos de autoridade por já possuírem grupos predefinidos de privilégio concedem implicitamente privilégios a seus membros. Tipos de privilégios discricionários O SGBD deve oferecer acesso seletivo a cada relação do banco de dados baseando-se em contas específicas. As operações também podem ser controladas; assim, possuir uma conta não necessariamente habilita o possuidor a todas as 28 funcionalidades oferecidas pelo SGBD. Informalmente existem dois níveis para a atribuição de privilégios para o uso do sistema de banco de dados: O nível de conta: Nesse nível, o DBA estabelece os privilégios específicos que cada conta tem, independente das relações no banco de dados. O nível de relação (ou tabela): Nesse nível, o DBA pode controlar o privilégiopara acessar cada relação ou visão individual no banco de dados. Revogação de privilégios Em alguns casos, interessa conceder um privilégio temporário a um usuário. Por exemplo, o proprietário de uma relação pode querer conceder o privilégio SELECT a umusuário para uma tarefa específica e depois revogar aquele privilégio quando a tarefa estiver completada. Por isso, é necessário um mecanismo para a revogação de privilégios. Em SQL, um comando REVOKE é introduzido com o intento de cancelar privilégios. CONTROLE DE ACESSO OBRIGATÓRIO E PARA SEGURANÇA MULTI-NÍVEL Neste método, o usuário não tem um meio termo, ou ele tem ou não tem privilégios, sendo utilizado normalmente em BD que classificam dados de usuários, onde é necessário um nível a mais de segurança. A maioria dos SGBDs não oferecem esse tipo de controle de acesso obrigatório, ficando com os controles discricionários 29 ditos anteriormente. Normalmente são utilizados em sistemas governamentais, militares ou de inteligência, assim como industriais e corporativas. As classes de segurança típicas são altamente sigilosas (top secret, TS), secreta (secret, S), confidenciais (confidential) (C) e não Classificada (unclassified, U), em que TS é o nível mais alto e U é o mais baixo. De uma forma geral, os mecanismos de controle de acesso obrigatório impõem segurança multinível, pois exigem a classificação de usuários e de valores de dados em classes de segurança e impõem as regras que proíbem o fluxo de informação a partir dos níveis de segurança mais altos para os mais baixos. CONTROLE DE ACESSO BASEADO EM PAPÉIS É uma abordagem para restringir o acesso a usuários autorizados e uma alternativa aos sistemas de controles de acesso do tipo MAC e DAC. O conceito de controle de acesso baseado em papéis surgiu com os primeiros sistemas computacionais multiusuários interativos. A idéia central do RBAC é que permissões de acesso são associadas a papéis, e estes papéis são associados a usuários. Papéis são criados de acordo com os diferentes cargos em uma organização, e os usuários são associados a papeis de acordo com as suas responsabilidades e qualificações. Vários indivíduos podem ser designados para cada papel. Os privilégios de segurança comuns a um papel são concedidos ao nome dele, e qualquer indivíduo designado para esse papel automaticamente teria esses privilégios concedidos. Os usuários podem ser facilmente remanejados de um papel para outro. Mudanças no ambiente computacional, como instalação de novos sistemas e remoção de aplicações antigas, modificam apenas o conjunto de permissões atribuídas aos diferentes papeis, sem envolver diretamente o conjunto de usuários. A separação de tarefas é um requisito importante em diversos SGDBs. É necessária para impedir que um usuário realize sozinho o trabalho que requer o envolvimento de outras pessoas. A exclusão mútua de papéis é um método que pode ser implementado com sucesso. 30 Outro aspecto relevante nos sistemas RBAC são as restrições temporais possíveis que podem existir nos papéis, como o tempo e a duração das ativações de papéis e o disparo temporizado de um papel por uma ativação de outro papel. O uso se um modelo RBAC é um objetivo altamente desejado pela para solucionar os principais requisitos de segurança das aplicações baseadas na web. CONTROLE DE ACESSO UTILIZANDO TRIGGERS Com a utilização das Triggers é possível criar mecanismos de segurança mais complexos que podem ser disparados cada vez que um evento é chamado. O comando Insert na tabela é exemplo de um evento que pode ser usado para disparar uma Triggers, além disso, as mesmas podem ser disparadas antes ou depois de comando especificado com o objetivo de prover maior rigor no controle de segurança. Se o comando executado pelo usuário não for validado pela Triggers, um erro é sinalizado do corpo da própria Triggers para impedir que a tabela seja modificada indevidamente. CONTROLE DE ACESSO UTILIZANDO VIEWS As views constituem um outro método de controle de acesso, normalmente utilizadas para restringir o acesso direto aos dados. Com a view é possível permitir acesso de usuário concedendo privilégios, ocultar linhas e colunas de informações confidenciais ou restritas residentes na tabela original das indicações do SQL. Os privilégios e concessões são definidos somente na view e não afetam a tabela base sendo o acesso dos usuários delimitado pela view, a qual é gerada criando um subconjunto de dados na tabela referenciada. A opção With Verification provê maior segurança porque não permite ao usuário modificar as linhas de tabela sem ter privilégios de leitura dentro da view. 31 REFERENCIAS ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799. Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005. Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT, 2008. ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 Tecnologia da informação – código de prática para gestão da Segurança da Informação. Rio de Janeiro, 2005. ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro, 2006. ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora FCA, 2007. ALVES, Gustavo A. Segurança da informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência Moderna, 2006. ALVES, William P. Banco de dados: teoria e desenvolvimento. 1. ed. São Paulo: Érica, 2009. ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia da Informação. Rio de Janeiro: Fundação CECIERJ, 2010. AZEVEDO, Arthur Henrique; CASTRO, Edkarla Andrade de; SERRÃO, Paulo Roberto de Lima. Segurança em banco de dados, s.d. Disponível em: acesso em: 15 abr. 2014. AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de la gestión estratégica de la información. En: El profesional de la información, 2003, jul.-agosto, v.12,n.4 pp.261-268. 32 BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of information Security – A Pratical Handbook. Newton Translations, the Netherlands, 2009. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 2005. BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri, Pretoria, v. 53, p. 23-38, 2003. CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa: Editora FCA, 2004. CEDROM –SNI. The strategic information audit: a powerful tool to prevent chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012. CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information Management Journal, p. 46-53, 2004. DANTE, G. P. Gestión de Información em las organizaciones: princípios, conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança da Informação. Disponível em: < http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013. DATE, Christopher J. Introdução a sistemas de banco de dados. 8. ed. Rio de Janeiro: Elsevier, 2003.ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011. EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015 ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 4 ed. São Paulo: Pearson Addison Wesley, 2006. 527p. FILHO, Clóvis Luiz de Amorim; CAVALCANTI, Paulo Diego de Oliveira Bezerra e FILHO, Marcello Benigno de Barros Borges, SQL Injection em ambientes Web. Disponível em: < http://www.devmedia.com.br/sql-injection-em- ambientesweb/9733#ixzz32CidD8Xc > acesso em: 19 maio 2019. FERREIRA, Fernando N. F. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. p.161. FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação: Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência Moderna, 2006. p.177. 33 FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna LTDA, 2008 HENCZEL, S. The information audit as a first step towards effective knowledge management: an opportunity for special librarians. HOTEK, Mike. SQL Server 2008: passo a passo. Porto Alegre: Bookman, 2010. 287 p. INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies of the traditional approach to information security and the requirements for a new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995. IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005. p.197. IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information Technology Controls. Florida: Inc. 2005. ISACA, Information Systems Audit and Control Association. ISACA Introduces Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015. INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel Security; Mcafee, 2015. JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos processos de Segurança da informação com base na norma ABNT NBR ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná, Curitiba, 2012. JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology: draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acesso em; 07 jan, 2013. LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de informações gerenciais. 7. ed., São Paulo: Pearson, 2007. MACHADO, Felipe N. R. Banco de Dados: projeto e implementação. 2. ed. São Paulo: Érica, 2008. MICROSOFT. O que é malware?. novembro de 2015. MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano | Resumo Executivo. Intel Security; Mcafee, 2015. MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição. Technics Publications. U.S.A. 2012. 34 MACÊDO, Diego. Conceitos sobre Segurança em Banco de Dados, 2011. Disponível em: acesso em: 14 abr. 2019. MEDEIROS, Marcelo. Banco de dados para sistemas de informação. Florianópolis: Visual Books, 2006. 116 p. NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação: fatores que influenciam sua adoção em pequenas e médias empresas. Revista de Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397. Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE. Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª edição; Palhoça: Unisul Virtual, 2007. PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição; Boston: Elsevier Butterworth-Heinemann, 2008. SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições substantivas para uma auditoria financeira. 2011. RAMAKRISHNAN, Raghu; GEHRKE, Johannes. Sistemas de gerenciamento de banco de dados. 3. ed. São Paulo: McGraw-Hill, 2008. ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015 RIBEIRO, Leandro, A importância do Backup na administração de sistemas. 2009. Disponível em: < http://imasters.com.br/artigo/11174/linux/a-importancia- dobackup-na-administracao-de-sistemas/> acesso em: 16 abr. 2019. ROCHA, Luciano Roberto, Concessão e revogação de Privilégios. Disponível em: acesso em: 15 abr. 2019. SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida digital – Rio de Janeiro: Campus, 2001. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – Rio de Janeiro: Campus, 2003. TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39 VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010. VITOR, Joaquim & MORAES, Márcio Lucena & COSTA, Rafaello. Visão geral de Segurança em Bancos de Dados, s.d. Disponível em: acesso em: 14 abr. 2019. 35
Compartilhar