SEGURANÇA-EM-BANCO-DE-DADOS-1

Prévia do material em texto

1 
 
 
SEGURANÇA EM BANCO DE DADOS 
1 
 
 
SUMÁRIO 
 
TECNOLOGIA DIGITAL ............................................................................................. 3 
BANCO DE DADOS ................................................................................................... 4 
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ................................................... 5 
SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) ................................. 10 
AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS .................................. 11 
SEGURANÇA EM BANCO DE DADOS ................................................................... 15 
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO E 
DOS DADOS ............................................................................................................ 18 
TIPOS DE SEGURANÇA ......................................................................................... 19 
A SEGURANÇA E O DBA ........................................................................................ 20 
SEGURANÇA EM APLICAÇÕES WEB ................................................................... 21 
CONTROLE DE FLUXO .......................................................................................... 24 
CRIPTOGRAFIA ...................................................................................................... 25 
BACKUPS ................................................................................................................ 26 
USUÁRIOS .............................................................................................................. 26 
DOMÍNIO DE SEGURANÇA .................................................................................... 27 
PRIVILÉGIOS .......................................................................................................... 27 
CONTROLE DE ACESSO OBRIGATÓRIO E PARA SEGURANÇA MULTI-NÍVEL 28 
CONTROLE DE ACESSO BASEADO EM PAPÉIS ................................................. 29 
CONTROLE DE ACESSO UTILIZANDO TRIGGERS .............................................. 30 
CONTROLE DE ACESSO UTILIZANDO VIEWS ..................................................... 30 
REFERENCIAS ........................................................................................................ 31 
 
 
 
2 
 
 
 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empresários, 
em atender à crescente demanda de alunos para cursos de Graduação e Pós-
Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo 
serviços educacionais em nível superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação 
no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. 
Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que 
constituem patrimônio da humanidade e comunicar o saber através do ensino, de 
publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
3 
 
 
TECNOLOGIA DIGITAL 
 
O avanço da Tecnologia da Informação(TI) dentro do ambiente organizacional 
tem colocado em evidência o valor que o bem informação tem em relação aos 
objetivos da empresa. Em contraponto, busca-se proteger e garantir a segurança para 
sua efetiva utilização com a finalidade de atender as necessidades de gestores. 
Segundo Fontes (2006), define-se como segurança da informação o conjunto 
de orientações, normas, procedimentos, políticas e demais ações para que o recurso 
informação esteja protegido. A segurança da informação existe com a finalidade de 
diminuir o risco que um determinado negócio apresenta em relação à dependência 
do seu uso para o funcionamento da organização. 
De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal 
forma que se possa verificar a integridade e garantir que os dados estejam protegidos. 
A auditoria constitui-se como uma forma eficiente de manter um ambiente seguro. 
Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser 
compreendida como a atribuição responsável pela fiscalização dos processos, tendo 
como função verificar se eles estão sendo executados de forma constante e correta 
e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos, a 
auditoria verifica e garante que o objeto auditado está de acordo com o estipulado. 
Na área de TI, todos os processos podem e devem ser auditados, desde a 
decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas, 
integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e 
tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais, 
legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, 
haja vista que, hoje, muitas organizações param de operar pelo fato de a tecnologia 
de TI adotadas deixar de funcionar. 
Com base no conceito de auditoria em Tecnologia da Informação e tendo em 
vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada 
aos principais aspectos de segurança em ambientes web, através da análise de 
vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus 
4 
 
 
serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da 
qual se propôs as adequações necessárias para a correção das falhas encontradas. 
 
BANCO DE DADOS 
 
No passado, as empresas armazenavam as informações em arquivos físicos, 
o que causava grande acúmulo de papel e dificultava a organização, atualização e 
acesso a essas informações. Porém, com o surgimento e evolução das tecnologias 
computacionais, as empresas passaram a investir na aquisição de computadores e 
as informações passaram a ser armazenadas em bancos de dados digitais. 
De acordo com Date (2003, p. 10), “um banco de dados é uma coleção de 
dados persistentes, usada pelos sistemas de aplicação de uma determinada 
empresa”. Um banco de dados apresenta algumas propriedades através das quais 
indica que sua abrangência vai muito além de uma mera coleção de dados. A primeira 
propriedade de um banco de dados refere-se a este ser um conjunto lógico e 
ordenado de dados com significado. Não será considerado banco de dados uma 
coleção de dados aleatória, sem uma finalidade ou objetivo (MACHADO, 2008). 
Construído e povoado com dados, o banco de dados possui um determinado 
objetivo e simboliza um minimundo ou universo de discurso onde são consideradas 
as propriedades de objetos que interessam aos usuários para fins de processamento 
computacional (ELMASRI; NAVATHE, 2011). Um banco de dados tem tamanho e 
complexidade distintas. 
O celular é um exemplo de device que pode conter um ou mais banco de dados 
de pequeno porte e baixa complexidade. Como exemplos de grandes bancos de 
dados podem ser considerados os da Amazon.com e Alibaba.com, empresas 
multinacionais com atuação mundializada e que comercializam produtos – livros, 
jogos, eletrônicos, roupas etc. – provenientes de diversos pontos do planeta junto a 
consumidores igualmente distribuídos ao redor do globo terrestre. 
5 
 
 
 
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO 
 
A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como 
sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e 
minimizando o risco do negócio. 
Um banco de dados pode conter informações muito valiosas para a empresa 
ou até mesmo paraas pessoas. A divulgação de informações não autorizadas pode 
afetar a empresa de diversas formas, como levar a perda de clientes ou de mercado, 
ou até mesmo a ações judiciais. A segurança da informação, segundo Alves (2006, 
p. 1), “[...] visa proteger a informação de forma a garantir continuidade dos negócios, 
minimizando os danos e maximizando o retorno dos investimentos e as oportunidades 
de negócios”. 
Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da 
informação é adquirida a partir da implantação de um conjunto de controles 
apropriados, incluindo políticas, processos, procedimentos, estruturas 
organizacionais e funções de software e hardware. Estes controles precisam ser 
estabelecidos, implantados, monitorados, analisados criticamente e melhorados, 
onde necessário, para garantir que os objetivos do negócio e de segurança da 
organização sejam atingidos. 
Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de 
informação não foram projetados para serem seguros. A segurança da informação 
que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma 
gestão e por procedimentos adequados. A identificação de controles a serem 
implantados requer um planejamento cuidadoso e uma atenção aos detalhes. 
Segurança da informação segundo Beal (2005), é o processo de proteção da 
informação das ameaças a sua integridade, disponibilidade e confidencialidade. 
Sêmola (2003), define segurança da informação como uma área do conhecimento 
dedicada à proteção de ativos da informação contra acessos não autorizados, 
alterações indevidas ou sua indisponibilidade. 
6 
 
 
A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define 
segurança da informação como “a proteção da informação de vários tipos de ameaças 
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o 
retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos 
definir segurança da informação como a área do conhecimento que visa à proteção 
da informação das ameaças a sua integridade, disponibilidade e confidencialidade e 
autenticidade, a fim de garantir a continuidade do negócio e minimizar os riscos, 
Figura 1. 
Atualmente o conceito de segurança da informação está padronizado pela 
norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS 
7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões de 
segurança da informação, incluindo a complementação ao trabalho original do padrão 
inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 
17799:2005 para fins históricos. 
Figura 1: Pilares da Segurança da informação 
 
Fonte: ABNT NBR ISSO-IEC 27001:2006 
Confidencialidade 
Para Beal (2005), a confidencialidade é a garantia de que o acesso à 
informação é restrito aos seus usuários legítimos, ou seja, quando uma informação 
representa uma vantagem de mercado, um diferencial competitivo, diz-se que a 
informação possui um valor de restrição, a ser mantido por meio de preservação de 
sua confidencialidade. 
7 
 
 
No âmbito da administração pública federal, o decreto nº 4.553/2002 classifica 
os documentos públicos em 4 categorias sendo um deles de confidencias, que são 
aqueles que, no interesse do Poder Executivo e das partes, devem ser de 
conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos 
ou acarretar dano à segurança da sociedade e do estado. 
Segundo Ferreira (2003), a informação dever ser protegida, independente da 
mídia que a mesma esteja contida, como por exemplo, documentos impressos ou 
mídia digital. Que além de cuidar da informação como uma todo também deve-se 
preocupar com a proteção de partes de informação que podem ser utilizadas para 
interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da 
informação quanto aos requisitos de confidencialidade mostrado no Figura 2. 
Figura 2: Classificação da confidencialidade da informação 
 
Fonte: Beal, 2005. 
 
Integridade 
Garantia da criação legítima e da consistência da informação ao longo do seu 
ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não 
autorizada de dados e informações. A integridade consiste em proteger a informação 
contra modificação sem a permissão explícita do proprietário. “Proprietário da 
informação é o executivo de negócio ou gerente de uma determinada área 
responsável pelos ativos da informação da organização.” (Ferreira, 2003, pg. 25). 
8 
 
 
Dados e informações perdem sua integridade em tentativas de fraudes, quanto 
maior for o impacto para a organização da perda de integridade de uma informação, 
maior o investimento a ser feito em controles para prevenir, detectar e corrigir a 
produção errada ou a alteração indevida de informações. (Beal, 2005, pg. 67). 
A integridade pode ser definida como de: alta exigência de integridade, que é 
a criação com erro ou alteração indevida e assim comprometer as operações e 
objetivos da organização, acarretando em descumprimentos de leis, prazos e normas, 
levando a mesma ter prejuízos; de média exigência de integridade, onde a criação 
com erro ou alteração indevida das informações não compromete as operações nem 
traz impactos muitos grandes, apenas pode causar algum tipo de prejuízo; e de baixa 
exigência de integridade é a criação com erro ou indevida, que é facilmente detectada 
e os riscos que oferece são praticamente desprezíveis. 
Autenticidade 
Para Ferreira (2003), o serviço de autenticação em um sistema deve assegurar 
ao usuário que recebe a informação, que a mensagem é realmente procedente da 
origem informada em seu conteúdo. A verificação da autenticidade faz-se necessário 
após todo processo de identificação, seja do sistema para o usuário, do usuário para 
o sistema ou do sistema para outro sistema. 
O objetivo da autenticidade é englobado pelo de integridade, quando se 
assume que este visa garantir não só que as informações permaneçam completas e 
precisas, mais também que a informação capturada do ambiente externo tenha sua 
fidedignidade verificada e que a criada internamente seja produzida apenas por 
pessoas autorizadas e atribuída unicamente ao seu autor legítimo. 
A implementação para o processo de autenticidade geralmente é 
implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005), 
cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de 
aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de 
armazenamentos, controle de acesso, controles e recuperação de serviços, assim 
aplica os controles adequados conforme o nível de proteção requerido por cada 
segmentação. 
Disponibilidade 
9 
 
 
Garantia de que a informação e os ativos associados estejam disponíveis para 
os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo da 
disponibilidade, o controle de acesso que permite identificar os usuários legítimos da 
informação para então liberar o acesso solicitado. 
Quando analisado a disponibilidade é considera-se questões como: “quanto 
custa para produzir”, “quanto custa para recuperar” e quais consequências gera para 
a organização se a informação não está mais disponível. Conclui-se que a falta de 
informações pode afetar a organização e o que deve ser considerado é quanto tempo 
levaria para superar esse impacto. 
Desta forma a classificação das informações e a ordem de prioridade de 
recuperação em caso de indisponibilidade são muito importantes e a organização 
deve atribuir a cada categoria as informações conforme o grau de importância do ativo 
para a organização. Essa ordem de importância é expressa por Beal (2005), 
começando pelas mais importantes categoria 1 e menos importantes categoria 6, 
conforme Figura 3. 
 
 
Figura 3: Categorias e tempo para disponibilidade 
 
Fonte: Beal, 2005. 
Considera-seque pode abranger as categorias 1 e 2 informações que exigem 
recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um 
curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe 
informações com exigência de recuperação em médio espaço de tempo, sendo que 
as indisponibilidades temporárias não afetam o desempenho dos processos críticos, 
porém que ao longo período de tempo pode causar atrasos ou decisões erradas. 
10 
 
 
Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a 
indisponibilidade variada. E a categoria 6 não possui exigência de tempo para 
recuperação, pois a perda ou indisponibilidade por períodos longos não traz 
consequências negativas consideráveis, seja pela pouca relevância da informação ou 
pela facilidade de recuperação da mesma. 
 
SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) 
 
Como desdobramento evolutivo da tecnologia de banco de dados surge o 
sistema gerenciador de banco de dados (SGBD) ou Database Management System 
(DMS). O SGBD é uma composição de softwares responsáveis pelo gerenciamento 
do banco dados. De acordo com Alves (2009, p. 23), “um sistema de gerenciamento 
de banco de dados (SGBD) é uma coleção de ferramentas e programas que permitem 
aos usuários a criação e manutenção do próprio banco de dados”. 
Exemplos de SGBDs mais comuns são: Oracle, MySQL, PostgreSQL e SQL 
Server. Um SGBD facilita o processo de definição, construção, manipulação e 
compartilhamento do banco de dados e aplicações. Um SGBD contém, dentre suas 
funções significativas, um subsistema de segurança que protege o banco de dados 
contra acessos não autorizados. 
O Administrador do Banco de Dados ou Database Administrator (DBA) utiliza 
esse subsistema para decidir quais usuários podem acessar o banco de dados e os 
tipos de operações que poderão efetuar, por exemplo: ler, atualizar, adicionar e/ou 
apagar (ELMASRI; NAVATHE, 2011). O DBA é responsável pela segurança geral de 
um sistema de banco de dados. 
 Ele é a autoridade máxima e utiliza uma conta conhecida como superusuário 
ou conta do sistema para desempenhar suas funções como, por exemplo, decidir os 
privilégios dos usuários. Segundo Ramakrishnan & Gehrke (2008, p. 18), “o DBA é 
responsável por assegurar que o acesso não autorizado aos dados não seja 
permitido. Em geral, nem todos devem ser capazes de acessar todos os dados”. 
11 
 
 
 
AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS 
 
Para Neto e Solonca (2007), a crescente utilização de soluções informatizadas 
nas distintas áreas de serviços exige maior exposição dos valores e das informações, 
além de níveis de segurança adequados. O avanço da tecnologia da informação, 
migrando de um ambiente centralizado para um ambiente distribuído, interligando 
redes internas e externas, adicionada à revolução da Internet, modificou a forma de 
se fazer negócios. Isto fez com que as empresas se preocupassem mais com o 
controle de acesso às suas informações bem como a proteção dos ataques, tanto 
internos quanto externos. 
Ainda para Neto e Solonca (2007), com o advento dos computadores pessoais 
e das redes de computadores que são capazes de conectar o mundo inteiro, os 
aspectos de segurança atingiram tal complexidade que há a necessidade de 
desenvolvimento de equipes cada vez mais especializadas para a sua gerência. 
Paralelamente, os sistemas de informação também adquiriram uma suma 
importância para a sobrevivência da maioria das organizações modernas, uma vez 
que, sem computadores e redes de comunicação, a prestação de serviços de 
informação pode se tornar impraticável. Um exemplo prático da afirmação acima é 
citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente 
com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e 
de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de 
determinação legal ou por se tratar de informações de natureza pessoal, que 
inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer 
danos, caso elas sejam levadas a público. 
Ainda concluem que, independente do setor da economia em que a empresa 
atue, as informações estão relacionadas com seu processo de produção e de 
negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o 
meio físico em que as informações estão armazenadas, elas são de valor incalculável 
não só para a empresa que as gerou, como também para seus concorrentes. Em 
último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes 
12 
 
 
elas estão relacionadas às atividades diárias da empresa que, sem elas, poderia ter 
complicações. 
Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma 
revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação 
que suportam os processos de negócio. A atividade da auditoria de TI tem como 
intuito ajudar a organização por meio da identificação e avaliação de exposições ao 
risco que sejam significativas, bem como contribuir para o avanço dos mecanismos 
de gestão de risco e de controle dos sistemas de informação. 
No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade 
dos controles dos sistemas de informação para resguardar a organização contra as 
ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são 
pouco prováveis de causar danos significativos à organização e às suas partes 
interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria 
mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador 
e à área envolvida. 
No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a 
forma de abordagem. 
 
Fonte: Neto e Solonca (2007) 
No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a 
quanto ao órgão fiscalizador. 
13 
 
 
 
Fonte: Neto e Solonca (2007) 
No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a 
quanto a área envolvida. 
14 
 
 
 
Fonte: Neto e Solonca (2007) 
Neto e Solonca (2007) afirmam que dependendo da área que será averiguada, 
a auditoria pode compreender todo o ambiente de informática ou a organização do 
departamento de informática. Além disso, podem considerar os controles sobre 
15 
 
 
bancos de dados, redes de comunicação e de computadores, além de controles sobre 
aplicativos. 
Desta forma, sob o entendimento dos tipos de controles identificados por Neto 
e Solonca (2007), os autores também afirmam que a auditoria pode ser separada em 
duas grandes áreas: 
 Auditoria de segurança de informações: este tipo de auditoria em 
ambientes informatizados decide a postura ou a situação da empresa em relação à 
segurança das informações. Ela avalia a política de segurança da informação e 
também os controles relacionados a aspectos de segurança e controles que 
influenciam o bom funcionamento dos sistemas da organização. Tais controles estão 
descritos a seguir: 
- Avaliação da política de segurança; 
- Controles de acesso lógico; 
- Controles de acesso físico; 
 - Controles ambientais; 
- Plano de contingência e continuidade de serviços; 
- Controles organizacionais; - Controles de mudanças; 
- Controle de operação dos sistemas; 
- Controles sobre os bancos de dados; 
- Controles sobre computadores; 
- Controles sobre ambiente cliente-servidor. 
 
 Auditoria de aplicativos: este tipo de auditoria está direcionado para a 
segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte 
da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, 
RH, etc. A auditoria de aplicativos compreende: 
- Controles sobre o desenvolvimento de sistemas e aplicativos; 
- Controles de entrada, processamento e saída de dados; 
- Controles sobre o conteúdo e funcionamento doaplicativo com 
relação à área por ele atendida. 
 
 
SEGURANÇA EM BANCO DE DADOS 
 
Os bancos de dados são utilizados para armazenar diversos tipos de 
informações, desde dados sobre uma conta de e-mail até dados importantes da 
Receita Federal. A segurança do banco de dados herda as mesmas dificuldades que 
16 
 
 
a segurança da informação enfrenta, que é garantir a integridade, a disponibilidade e 
a confidencialidade. Um Sistema gerenciador de banco de dados deve fornecer 
mecanismos que auxiliem nesta tarefa. 
Os bancos de dados SQL implementam mecanismos que restringem ou 
permitem acessos aos dados de acordo com papeis ou roles fornecidos pelo 
administrador. O comando GRANT concede privilégios específicos para um objeto 
(tabela, visão, seqüência, banco de dados, função, linguagem procedural, esquema 
ou espaço de tabelas) para um ou mais usuários ou grupos de usuários. 
A preocupação com a criação e manutenção de ambientes seguros se tornou 
a ocupação principal de administradores de redes, de sistemas operacionais e de 
bancos de dados. Pesquisas mostram que a maioria dos ataques, roubos de 
informações e acessos não- autorizados são feitos por pessoas que pertencentes à 
organização alvo. 
Por esse motivo, esses profissionais se esforçam tanto para criar e usar 
artifícios com a finalidade de eliminar os acessos não-autorizados ou diminuir as 
chances de sucesso das tentativas de invasão (internas ou externas). Os controles 
de acesso em sistemas de informação devem certificar que todos os acessos diretos 
ao sistema ocorramexclusivamente de acordo com as modalidades e as regras pré-
estabelecidas, e observadas por políticas de proteção. 
De modo geral, os mecanismos de segurança referem-se às regras impostas 
pelo subsistema de segurança do SGBD, que verifica todas as solicitações de acesso, 
comparando-as com as restrições de segurança armazenadas no catálogo do 
sistema. Entretanto existem brechas no sistema e ameaças externas que podem 
resultar em um servidor de banco de dados comprometido ou na possibilidade de 
destruição ou no roubo de dados confidenciais. 
As ameaças aos bancos de dados podem resultar na perda ou degradação de 
alguns ou de todos os objetivos de segurança aceitos, são eles: integridade, 
disponibilidade, confidencialidade. A integridade do banco de dados se refere ao 
requisito de que a informação seja protegida contra modificação imprópria. 
A disponibilidade do banco de dados refere-se a tornar os objetos disponíveis 
a um usuário ou a um programa ao qual eles têm um direito legitimo. A 
17 
 
 
confidencialidade do banco de dados se refere à proteção dos dados contra a 
exposição não autorizada. O impacto da exposição não autorizada de informações 
confidenciais pode resultar em perda de confiança pública, constrangimento ou ação 
legal contra a organização. 
Abaixo segue os três (3) princípios da segurança da informação, explicando 
assim seus conceitos correspondentes. 
Controle de redundância 
A redundância é caracterizada por conter uma informação de forma duplicada. 
O controle de redundância por sua vez, não permite inserir dois registros com a 
mesma chave primária ou excluir algum registro que esteja relacionado com outras 
tabelas, para que assim não haja inconsistência de dados. Mas para isso, o SGBD 
(Sistema Gerenciador de Banco de Dados) deve oferecer este recurso. 
Controle de concorrência 
Quando transações SQL são executadas concorrentemente, ou seja, ao 
mesmo tempo, pode se haver uma violação na consistência da base de dados, 
mesmo que cada operação tenha sido feita individualmente correta. 
Hoje, os sistemas desenvolvidos utilizam-se da multiprogramação “que permite 
a execução de transações visando o compartilhamento do processador” (AZEVEDO, 
CASTRO e SERRÃO, s.d., s.p.). Por isso, existe a necessidade de controlar a 
interação dessas transações, através do controle de concorrência, por meio de 
mecanismos especializados. 
Restrições de integridade 
As restrições de integridade servem exatamente para evitar danos acidentais 
em um Banco de Dados, garantindo assim que alterações realizadas por usuários 
autorizados não resultem na inconsistência de dados. Outra utilização é assegurar 
que um valor que está em uma relação de um conjunto de atributos também esteja 
para certo conjunto de atributos em outra relação. 
18 
 
 
 
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA 
INFORMAÇÃO E DOS DADOS 
 
A gestão de dados é o planejamento, desenvolvimento e execução de políticas 
e procedimentos de segurança para proporcionar a devida autenticação, autorização 
e acesso nos ativos de dados e informações (Seções da ISO IEC 27002). Seu objetivo 
é proteger os ativos de Informação em alinhamento com as regulamentações de 
privacidade e confidencialidade e requisitos do negócio. Em uma organização existem 
muitas fontes de informações que não ficam à disposição da gerência para tomadas 
de decisões, fazendo-se necessário a aplicação dos processos de auditorias da 
Informação, e para ORNA (1990) entre essas fontes estão: 
• Registros de clientes; 
• Informação sobre fornecedores; 
• Informações sobre orçamentos operacionais; 
• Resultados financeiros; 
 Relatórios de operações externas; 
• Informação dos concorrentes: como eles estão fazendo 
financeiramente, o que eles estão produzindo; 
• A informação que a própria empresa produz, para o mundo exterior, e 
para o público interno; 
• Informações sobre seu mercado, seu público-alvo ou de seus clientes; 
• Informações sobre áreas de importância, por exemplo: a produção ou 
indústria de serviço que pertence o sistema de educação, ciência e tecnologia; 
processos, materiais, instalações ou equipamentos; 
• Informações sobre o ambiente em que opera: a economia, 
regulamentos comunitários governamentais, legislação, etc. 
 
E é justamente por existir muitas fontes de informações que a organização 
deve atentar-se para a sua segurança, pois há uma exposição maior quando é 
realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK 
(2012), gestão de qualidades de dados é sinônimo de qualidade da informação e 
19 
 
 
considera que a falta de qualidade nos dados resulta em informação imprecisa e um 
desempenho fraco de negócio. 
Desta forma faz-se necessário ter qualidade para prover uma solução 
econômica e melhorar a qualidade e integridade dos dados. Para a efetiva realização 
da segurança da informação na organização, são utilizados vários métodos como 
controles, políticas, processos e procedimentos, geralmente definidos por uma 
política de segurança da Informação Baars et al.,(2009). 
Atualmente as organizações entendem que segurança não está mais apenas 
nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o 
fator humano. E as organizações muitas vezes por insegurança em expor as 
informações existentes, dificultam a realização das auditorias, conforme aponta Orna 
no livro “Practical Information Polices” (1990), muitas empresas desnecessariamente 
dificultam seu trabalho, não deixando que informações externas sejam mostradas 
internamente e vice versa. Johnson (2012), em sua pesquisa apresenta as iniciativas 
de segurança da informação presente nas organizações e o nível de maturidade dos 
mesmos, baseado no modelo de maturidade genérico proposto pelo Capability 
Maturity Model Integration (CMMI) e as atividades definidas para cada processo. 
TIPOS DE SEGURANÇA 
 
A segurança em banco de dados refere-se a um assunto bem extenso, que 
envolve algumas questões: 
 Questões legais e éticas referentes ao acesso a certas informações, em 
que são classificadas como privadas, e só podem ser acessadas por 
pessoas autorizadas. 
 Questões do sistema, por exemplo, se as funções de segurança devem 
ser implementadas no nível de hardware, nível de sistema ou no nível 
de SGBD. Onde existem também classificaçõesda importância dos 
dados - altamente secreto, secreto, não secreto. 
Existem ameaças aos bancos de dados que resultam na perda dos seguintes 
itens: integridade, disponibilidade e confiabilidade. No entendimento de Elmasri e 
Navathe (2006) a integridade do banco refere-se à exigência que a informação esteja 
20 
 
 
assegurada de modificações impróprias, incluindo a criação, a inclusão, a alteração 
e a exclusão. Caso ocorra a perda da integridade dos dados e não for corrigida, 
podem causar imprecisão, acarretando em tomadas de decisões equivocadas. 
Já a confiabilidade está ligada à proteção dos dados, algo importantíssimo, já 
que a exposição de certas informações pode ter como consequências o 
constrangimento dos envolvidos, a perda da confiança ou numa ação contra a 
instituição. 
Neste contexto, para proteger o banco de dados contra essas ameaças, o 
SBGD deve oferecer mecanismos que restrinja certos usuários ou grupos de 
acessarem partes específicas de um banco de dados. Tudo isso é de grande 
importância quando se refere a um grande volume de dados acessadospor muitos 
usuários diferentes de uma organização. Atualmente são utilizados dois tipos de 
mecanismos de segurança, são eles: 
 Mecanismos de acesso discricionário: utilizados para conceder 
privilégios a usuários (leitura, inclusão, exclusão e atualização). 
 Mecanismos de acesso obrigatório: implementados para estabelecer 
níveis de acesso classificando os dados e os usuários, baseando-se no 
conceito de papéis e conforme as políticas de segurança da empresa. 
 
A SEGURANÇA E O DBA 
 
O administrador de banco de dados (DBA) é a autoridade máxima, onde suas 
funções são incluir concessão de privilégios, classificação de usuários e dados de 
acordo com as políticas de acesso da empresa. Também conhecido como 
superusuário, o DBA concede e revoga privilégios a usuários específicos e/ou a 
grupos de usuários, digitando comandos para as seguintes situações: 
 Criação de contas: cria contas para novos usuários ou grupos para 
assim habilitar o acesso ao banco. 
 Concessão de privilégios: é a ação em que se concedem novos 
privilégios a determinadas contas. 
21 
 
 
 Revogação de privilégios: consiste em cancelar certos privilégios 
antes concedidos a algumas contas. 
Dessa forma, o DBA é o responsável por garantir que os dados estejam 
seguros de qualquer ameaça externa. 
 
SEGURANÇA EM APLICAÇÕES WEB 
 
Aplicações web são constantes alvos de ataques, onde invasores buscam 
aproveitar vulnerabilidades encontradas para o roubo de informações confidenciais. 
Seja no ambiente corporativo ou mesmo no âmbito pessoal, os ataques podem vir a 
gerar prejuízos não somente pelo vazamento de informações, mas também pelos 
danos potenciais de uma aplicação inoperante em um determinado período de tempo. 
Estar vulnerável não somente significa a existência de uma falha de 
implementação ou erros na aplicação. O invasor pode se utilizar de algo concreto, 
como a relação estabelecida entre servidor e cliente para, a partir desse ponto, burlar 
a segurança. A seguir, serão elencadas as vulnerabilidades mais comuns em 
aplicações web. 
Cross Site Scripting ou XSS 
Utiliza a relação de confiança entre o servidor da aplicação e o navegador para 
transporte de código malicioso, que geralmente é escrito em javascript, a fim de 
conseguir dados sensíveis, como o identificador da sessão do usuário. 
Segundo OWSAP(2016), muitas aplicações permitem a postagem de conteúdo 
por parte de seus usuários. O XSS está ligado a esse conteúdo, que pode ser utilizado 
para solicitar informações ao usuário dentro da aplicação e o direcionar para fora dela. 
Como o navegador da vítima não consegue identificar o que corresponde ao trecho 
de código malicioso, este será executado assim que for detectado pelo navegador. 
O ataque pode ser feito utilizando também os mecanismos de busca. Se a 
aplicação não possuir tratamento para tal, executará o código malicioso. Outra forma 
de fazer o ataque é inserindo no meio da página original aplicação, escrita em HTML, 
trechos de códigos a fim de se obter as informações desejadas. Para tornar o código 
22 
 
 
ilegível e burlar mecanismos que se baseiam em tags para proteção, como por 
exemplo (script) ou (alert) os códigos são escritos em hexadecimal. 
Essa vulnerabilidade está ligada a falta de tratamento dos dados e conteúdo 
postado pelo usuário. A execução do código é imperceptível ao usuário infectado, já 
que é executada pelo navegador de forma transparente. 
 
 
Injeção de SQL 
Uma outra vulnerabilidade diz respeito a injeção de códigos com comando em 
Structured Query Language (SQL) para obter dados diretamente do banco. SQL 
corresponde a linguagem para gerenciamento dos dados utilizada pelos principais 
bancos de dados estruturados na modelagem relacional. Um estudo feito pela Owasp 
(2013) sobre vulnerabilidades em aplicações web apontou o Structured Query 
Language Injection, ou SQL Injection como a técnica mais utilizada no meio virtual 
para obtenção de dados de forma mal intencionada. 
O ataque visa utilizar os dados de entrada do cliente no aplicativo para 
conseguir dados confidenciais, modificar, excluir ou atualizar registros. Conforme 
Owasp (2016), a técnica afeta um número grande de aplicações disponíveis 
atualmente, pois a arquitetura de grande parte se baseia em banco de dados SQL. 
Em geral, a forma como as aplicações web constroem os comando SQL 
envolvem a sintaxe escrita pelos programadores com parâmetros informados pelos 
usuários. Dessa forma, há a possibilidade de o usuário explorar os parâmetros 
informados para obter dados do banco. Conforme cita OWASP(2016), esses ataques 
ainda podem ser classificados em 3 diferentes classes: 
● Inband: os dados são extraídos usando o mesmo canal que é usado 
para injetar o código; 
● Out-of-band: os dados são recuperados em um outro canal, como por 
exemplo enviados para um e mail informado; 
● Inferencial: não a transferência real dos dados, porém é possível 
reconstruir as informações através de solicitações particulares. 
23 
 
 
Como a exemplo do XSS, o SQL Injection consegue ser neutralizado se os 
formulários, campos de pesquisa, URLs, tiverem tratamento para os dados 
informados pelo usuário na aplicação. 
Cross Site RequestForgery 
Utiliza a relação de confiança entre o aplicativo e seu usuário legítimo. 
Geralmente fazendo uso de engenharia social, para explorar essa vulnerabilidade, o 
atacante necessita que a vítima esteja com uma sessão ativa na aplicação alvo. 
Nesse momento, o ataque pode ser concluído com sucesso caso o usuário receba 
um link ou acesse, no mesmo navegador, o aplicativo malicioso. Dessa forma, a 
aplicação maliciosa ou link inclui uma requisição ao aplicativo alvo, carregando os 
parâmetros necessário para a conclusão da transação. 
Os aplicativos vulneráveis são aqueles em que as requisições são feitas de 
maneira estática, ou seja, sempre enviando os mesmos parâmetros para fazer a 
requisição. Uma alternativa para tratar as requisições do CSRF é o Synchronizer 
Token Pattern. Diz respeito a enviar um token como um dos parâmetros da requisição. 
Com isso, tem-se a garantia de que a requisição está sendo feita, de forma que 
o token enviado seja comparado ao token armazenado na sessão do usuário, é 
gerado um novo token para armazenamento na sessão. Se o token for diferente, a 
requisição deve ser descartada pelo servidor. 
Referência direta a objetos 
Uma referência direta a um objeto expõe os dados de um sistema aos usuários. 
Seja um arquivo, diretório ou a chave de uma tabela, a referência direta permite que 
um usuário acesse dados aos quais não tem permissão. A fragilidade encontra-se na 
ideia de que o usuário sempre irá seguir os caminhos preestabelecidos pela 
aplicação. 
Na própria aplicação são visualizados parâmetros que referenciam objetos 
internos. O usuário seaproveita dessa fragilidade para, alterando os parâmetros para 
ter acesso a outros dados da aplicação. Como prevenção, deve-se verificar se o 
usuário tem permissão para acesso ao objeto ao qual está requisitando. 
Broken Autenticação e Gestão de Sessões 
24 
 
 
O invasor utiliza-se de falhas da aplicação no gerenciamento de sessão ou na 
autenticação, como por exemplo, contas expostas, senhas, IDs de sessão, para 
representar um usuário legítimo. De acordo com Owasp (2017) deve-se verificar as 
seguintes diretrizes: 
● As credenciais de autenticação de usuário não são protegidas quando 
armazenadas usando hash ou criptografia. 
● As credenciais podem ser adivinhadas ou substituídas por funções de 
gerenciamento de contas fracas (por exemplo, criação de contas, alteração de 
senha, recuperação de senha, IDs de sessão fracas). 
● IDs de sessão são expostos na URL (por exemplo, reescrita de URL). 
● IDs de sessão são vulneráveis a ataques de fixação de sessão . 
● IDs de sessão não timeout, ou sessões de usuário ou tokens de 
autenticação, particularmente single sign-on (SSO) tokens, não são 
devidamente invalidados durante logout. 
● Os IDs de sessão não são rodados após o login bem-sucedido. 
● Senhas, IDs de sessão e outras credenciais são enviadas através de 
conexões não criptografadas. 
 
Por exemplo, se alguém utiliza um computador público para acesso a uma 
determinada aplicação e, ao invés de fazer logout, apenas fecha o navegador, corre 
o risco de ter deixado a sessão ativa por um tempo, deixando aberta a possibilidade 
de que uma outra pessoa utilize-se dessa conta para obter dados. 
 
CONTROLE DE FLUXO 
 
É um mecanismo que previne que as informações fluam por canais secretos e 
violem a política de segurança ao alcançarem usuários não autorizados. Ele regula a 
distribuição ou fluxo de informação entre objetos acessíveis. Um fluxo entre o objeto 
A e o objeto B ocorre quando um programa lê valores de A e escreve valores em B. 
Os controles de fluxo têm a finalidade de verificar se informações contidas em alguns 
objetos não fluem explicita ou implicitamente para objetos de menor proteção. Dessa 
maneira, um usuário não pode obter indiretamente em B aquilo que ele ou ela não 
puder obter diretamente de A. 
25 
 
 
O controle de fluxo controla o fluxo das informações entre objetos. Conforme 
afirmaram ELMASRI e NAVATHE (2006, p. 538), “os controles de fluxo verificam se 
informações contidas em alguns objetos não fluem explicita ou implicitamente para 
objetos de menor proteção”. Uma política de fluxo mais simples utiliza-se de duas 
classificações para as informações: confidencial (C) e não confidencial (NC). 
Esse método na maioria das situações resolve o problema, por exemplo, de 
quando se contém dados dos clientes, onde alguns deles são de caráter sigiloso. 
Segundo ELMASRI e NAVATHE (2006), as técnicas de controle de fluxo devem 
garantir que só fluxos autorizados, explícitos e implícitos, sejam executados. 
Canais secretos 
Um canal secreto seria a permissão de uma transação de dados que infrinja 
as regras de segurança. Então, ele permite que uma informação de nível alto passe 
para um nível mais baixo, de maneira ilegal. Especialistas dizem que a melhor forma 
de se evitar essa prática é bloquear o acesso dos programadores a informações 
pessoais de clientes, como salário ou saldo bancário, por exemplo. 
 
CRIPTOGRAFIA 
 
A criptografia é uma das melhores soluções para se armazenar ou transferir 
dados, suponha que alguma informação caia em mãos erradas, se ela estiver cifrada, 
ou seja, que tenha sido usado um algoritmo de criptografia, a pessoa que a obteve 
terá dificuldades em conseguir encontrar o significado real, pois a criptografia 
mascara a informação trocando os caracteres por outros, disfarçando o sentido das 
palavras. 
É uma medida de controle final, utilizada para proteger dados sigilosos que são 
transmitidos por meio de algum tipo de rede de comunicação. Ela também pode ser 
usada para oferecer proteção adicional para que partes confidenciais de um banco 
de dados não sejam acessadas por usuários não autorizados. Para isso, os dados 
são codificados através da utilização de algum algoritmo de codificação. Assim, um 
usuário não autorizado terá dificuldade para decifrá-los, mas os usuários autorizados 
receberão chaves para decifrar esses dados. A criptografia permite o disfarceda 
26 
 
 
mensagem para que, mesmo com o desvio da transmissão, a mensagem não seja 
revelada. 
 
BACKUPS 
 
O backup de dados é algo de extrema importância, até porque imagine o 
tamanho do transtorno caso uma empresa perca os seus dados, o que pode ocorrer 
por diversos motivos, queda de energia, vírus no servidor, falha humana, entre outros. 
Uma das soluções é o uso de mídias ópticas (CD ou DVD) ou de um HD 
externo. Você pode criar rotinas diárias ou semanais, para a cópia de arquivos do seu 
servidor ou computador. 
Existe outra bem utilizada que o uso de servidores espelhados, onde eles 
trabalham ao mesmo tempo. “Os HDs são configurados para serem “espelhos” um do 
outro, ou seja, os arquivos gerados no HD principal são automaticamente gravados 
nos demais HDs espelhados” (A IMPORTÂNCIA de backup, s.d; s.p.). Assim, se 
ocorrer do servidor principal falhar por algum motivo, o servidor secundário passa a 
ser o primário. 
 
USUÁRIOS 
 
Abrange usuários e esquema do banco de dados onde cada banco de dados 
Oracle tem uma lista de nomes de usuários. Para acessar um banco de dados, um 
usuário deve usar um aplicativo desse tipo e tentar uma conexão com um nome de 
usuário valido. Cada nome tem uma senha associada para evitar o uso sem 
autorização. 
Devem ser implementados ainda diferentes perfis de usuário para diferentes 
tarefas no Oracle, tendo em vista que cada aplicação/usuário tem a sua necessidade 
de acesso. Existe ainda a possibilidade de proteger os perfis com senha, o que é uma 
excelente medida. Além dessas medidas, o uso de cotas aumenta a restrição de 
espaço em disco a ser utilizado por usuários/aplicativos. 
27 
 
 
 
DOMÍNIO DE SEGURANÇA 
 
Onde cada usuário tem um domínio de segurança, um conjunto de 
propriedades que determinam coisas como ações (privilégios e papeis) disponíveis 
para o usuário; cota de tablespaces (espaço disponível em disco) do usuário; limites 
de recursos de sistema do usuário. 
As tabelas (tablespaces) do sistema, como a system, devem ser protegidas de 
acessos de usuários diferentes dos usuários de sistema. A liberação de escrita e 
alteração de dados em tais tabelas é muito comum em ambientes de teste, onde os 
programadores e DBAs tomam tal atitude para evitar erros de aplicação por falta de 
privilégios. Porém, em ambientes de produção, tal medida é totalmente 
desaconselhável. 
 
PRIVILÉGIOS 
 
Os privilégios são permissões únicas dadas a cada usuário ou grupo. Eles 
definem permissões para tipos de autorização. Pelos privilégios é possível autorizar 
o usuário a modificar ou alcançar determinado recurso do Banco de Dados. 
Os privilégios também são armazenados em catálogos do próprio Banco de 
Dados, visto que os grupos de autoridade por já possuírem grupos predefinidos de 
privilégio concedem implicitamente privilégios a seus membros. 
 
 
Tipos de privilégios discricionários 
O SGBD deve oferecer acesso seletivo a cada relação do banco de dados 
baseando-se em contas específicas. As operações também podem ser controladas; 
assim, possuir uma conta não necessariamente habilita o possuidor a todas as 
28 
 
 
funcionalidades oferecidas pelo SGBD. Informalmente existem dois níveis para a 
atribuição de privilégios para o uso do sistema de banco de dados: 
 O nível de conta: Nesse nível, o DBA estabelece os privilégios 
específicos que cada conta tem, independente das relações no banco 
de dados. 
 O nível de relação (ou tabela): Nesse nível, o DBA pode controlar o 
privilégiopara acessar cada relação ou visão individual no banco de 
dados. 
Revogação de privilégios 
Em alguns casos, interessa conceder um privilégio temporário a um usuário. 
Por exemplo, o proprietário de uma relação pode querer conceder o privilégio 
SELECT a umusuário para uma tarefa específica e depois revogar aquele privilégio 
quando a tarefa estiver completada. Por isso, é necessário um mecanismo para a 
revogação de privilégios. Em SQL, um comando REVOKE é introduzido com o intento 
de cancelar privilégios. 
 
 
CONTROLE DE ACESSO OBRIGATÓRIO E PARA SEGURANÇA 
MULTI-NÍVEL 
 
Neste método, o usuário não tem um meio termo, ou ele tem ou não tem 
privilégios, sendo utilizado normalmente em BD que classificam dados de usuários, 
onde é necessário um nível a mais de segurança. A maioria dos SGBDs não oferecem 
esse tipo de controle de acesso obrigatório, ficando com os controles discricionários 
29 
 
 
ditos anteriormente. Normalmente são utilizados em sistemas governamentais, 
militares ou de inteligência, assim como industriais e corporativas. 
As classes de segurança típicas são altamente sigilosas (top secret, TS), 
secreta (secret, S), confidenciais (confidential) (C) e não Classificada (unclassified, 
U), em que TS é o nível mais alto e U é o mais baixo. 
De uma forma geral, os mecanismos de controle de acesso obrigatório impõem 
segurança multinível, pois exigem a classificação de usuários e de valores de dados 
em classes de segurança e impõem as regras que proíbem o fluxo de informação a 
partir dos níveis de segurança mais altos para os mais baixos. 
 
CONTROLE DE ACESSO BASEADO EM PAPÉIS 
 
É uma abordagem para restringir o acesso a usuários autorizados e uma 
alternativa aos sistemas de controles de acesso do tipo MAC e DAC. O conceito de 
controle de acesso baseado em papéis surgiu com os primeiros sistemas 
computacionais multiusuários interativos. A idéia central do RBAC é que permissões 
de acesso são associadas a papéis, e estes papéis são associados a usuários. Papéis 
são criados de acordo com os diferentes cargos em uma organização, e os usuários 
são associados a papeis de acordo com as suas responsabilidades e qualificações. 
Vários indivíduos podem ser designados para cada papel. Os privilégios de segurança 
comuns a um papel são concedidos ao nome dele, e qualquer indivíduo designado 
para esse papel automaticamente teria esses privilégios concedidos. 
Os usuários podem ser facilmente remanejados de um papel para outro. 
Mudanças no ambiente computacional, como instalação de novos sistemas e 
remoção de aplicações antigas, modificam apenas o conjunto de permissões 
atribuídas aos diferentes papeis, sem envolver diretamente o conjunto de usuários. 
A separação de tarefas é um requisito importante em diversos SGDBs. É 
necessária para impedir que um usuário realize sozinho o trabalho que requer o 
envolvimento de outras pessoas. A exclusão mútua de papéis é um método que pode 
ser implementado com sucesso. 
30 
 
 
Outro aspecto relevante nos sistemas RBAC são as restrições temporais 
possíveis que podem existir nos papéis, como o tempo e a duração das ativações de 
papéis e o disparo temporizado de um papel por uma ativação de outro papel. O uso 
se um modelo RBAC é um objetivo altamente desejado pela para solucionar os 
principais requisitos de segurança das aplicações baseadas na web. 
 
CONTROLE DE ACESSO UTILIZANDO TRIGGERS 
 
Com a utilização das Triggers é possível criar mecanismos de segurança mais 
complexos que podem ser disparados cada vez que um evento é chamado. O 
comando Insert na tabela é exemplo de um evento que pode ser usado para disparar 
uma Triggers, além disso, as mesmas podem ser disparadas antes ou depois de 
comando especificado com o objetivo de prover maior rigor no controle de segurança. 
Se o comando executado pelo usuário não for validado pela Triggers, um erro 
é sinalizado do corpo da própria Triggers para impedir que a tabela seja modificada 
indevidamente. 
CONTROLE DE ACESSO UTILIZANDO VIEWS 
 
As views constituem um outro método de controle de acesso, normalmente 
utilizadas para restringir o acesso direto aos dados. Com a view é possível permitir 
acesso de usuário concedendo privilégios, ocultar linhas e colunas de informações 
confidenciais ou restritas residentes na tabela original das indicações do SQL. 
Os privilégios e concessões são definidos somente na view e não afetam a 
tabela base sendo o acesso dos usuários delimitado pela view, a qual é gerada 
criando um subconjunto de dados na tabela referenciada. 
A opção With Verification provê maior segurança porque não permite ao 
usuário modificar as linhas de tabela sem ter privilégios de leitura dentro da view. 
 
31 
 
 
REFERENCIAS 
 
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002, 
Tecnologia da informação – Técnicas de segurança – Código de prática para a 
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 
 
ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799. 
Tecnologia da informação - Técnicas de segurança - Código de prática para a 
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 
 
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005. 
Tecnologia da informação – Técnicas de segurança – Gestão de riscos de 
segurança da informação. Rio de Janeiro: ABNT, 2008. 
 
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 
27002:2005 Tecnologia da informação – código de prática para gestão da 
Segurança da Informação. Rio de Janeiro, 2005. 
 
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 
27001: Tecnologia da informação – Técnicas de segurança — Sistemas de gestão 
de segurança da informação — Requisitos. Rio de Janeiro, 2006. 
 
 
 ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e 
Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora 
FCA, 2007. 
 
ALVES, Gustavo A. Segurança da informação: uma visão inovadora da gestão. 
Rio de Janeiro: Ciência Moderna, 2006. 
 
ALVES, William P. Banco de dados: teoria e desenvolvimento. 1. ed. São Paulo: 
Érica, 2009. 
 
 ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B 
 
ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia 
da Informação. Rio de Janeiro: Fundação CECIERJ, 2010. 
 
AZEVEDO, Arthur Henrique; CASTRO, Edkarla Andrade de; SERRÃO, Paulo 
Roberto de Lima. Segurança em banco de dados, s.d. Disponível em: acesso em: 
15 abr. 2014. 
 
 AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de 
la gestión estratégica de la información. En: El profesional de la información, 
2003, jul.-agosto, v.12,n.4 pp.261-268. 
 
32 
 
 
BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of 
information Security – A Pratical Handbook. Newton Translations, the Netherlands, 
2009. 
 
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para 
a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 
2005. 
 
BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri, 
Pretoria, v. 53, p. 23-38, 2003. 
 
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa: 
Editora FCA, 2004. 
 
CEDROM –SNI. The strategic information audit: a powerful tool to prevent 
chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012. 
 
CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information 
Management Journal, p. 46-53, 2004. 
 
DANTE, G. P. Gestión de Información em las organizaciones: princípios, 
conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança 
da Informação. Disponível em: < 
http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna
nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013. 
 
DATE, Christopher J. Introdução a sistemas de banco de dados. 8. ed. Rio de 
Janeiro: Elsevier, 2003.ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 6. ed. 
São Paulo: Pearson, 2011. 
 
EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015 
 
ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 4 ed. 
São Paulo: Pearson Addison Wesley, 2006. 527p. 
 
FILHO, Clóvis Luiz de Amorim; CAVALCANTI, Paulo Diego de Oliveira Bezerra e 
FILHO, Marcello Benigno de Barros Borges, SQL Injection em ambientes Web. 
Disponível em: < http://www.devmedia.com.br/sql-injection-em-
ambientesweb/9733#ixzz32CidD8Xc > acesso em: 19 maio 2019. 
 
FERREIRA, Fernando N. F. Segurança da informação. Rio de Janeiro: Ciência 
Moderna, 2003. p.161. 
 
FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação: 
Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência 
Moderna, 2006. p.177. 
 
33 
 
 
FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia 
prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna 
LTDA, 2008 
 
HENCZEL, S. The information audit as a first step towards effective knowledge 
management: an opportunity for special librarians. 
 
HOTEK, Mike. SQL Server 2008: passo a passo. Porto Alegre: Bookman, 2010. 
287 p. 
 
INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies 
of the traditional approach to information security and the requirements for a 
new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995. 
 
IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005. 
p.197. 
 
IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information 
Technology Controls. Florida: Inc. 2005. 
 
ISACA, Information Systems Audit and Control Association. ISACA Introduces 
Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015. 
 
INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel 
Security; Mcafee, 2015. 
 
JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos 
processos de Segurança da informação com base na norma ABNT NBR 
ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da 
Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná, 
Curitiba, 2012. 
 
JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology: 
draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acesso em; 
07 jan, 2013. 
 
LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de informações gerenciais. 7. 
ed., São Paulo: Pearson, 2007. 
 
MACHADO, Felipe N. R. Banco de Dados: projeto e implementação. 2. ed. São 
Paulo: Érica, 2008. 
 
MICROSOFT. O que é malware?. novembro de 2015. 
 
MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano | 
Resumo Executivo. Intel Security; Mcafee, 2015. 
 
MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para 
o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição. 
Technics Publications. U.S.A. 2012. 
34 
 
 
 
MACÊDO, Diego. Conceitos sobre Segurança em Banco de Dados, 2011. 
Disponível em: acesso em: 14 abr. 2019. 
 
MEDEIROS, Marcelo. Banco de dados para sistemas de informação. 
Florianópolis: Visual Books, 2006. 116 p. 
 
NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação: 
fatores que influenciam sua adoção em pequenas e médias empresas. Revista de 
Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397. 
Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE. 
Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012. 
 
NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª 
edição; Palhoça: Unisul Virtual, 2007. 
 
 
PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição; 
Boston: Elsevier Butterworth-Heinemann, 2008. 
 
SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições 
substantivas para uma auditoria financeira. 2011. 
 
RAMAKRISHNAN, Raghu; GEHRKE, Johannes. Sistemas de gerenciamento de 
banco de dados. 3. ed. São Paulo: McGraw-Hill, 2008. 
 
ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015 
 
RIBEIRO, Leandro, A importância do Backup na administração de sistemas. 
2009. Disponível em: < http://imasters.com.br/artigo/11174/linux/a-importancia-
dobackup-na-administracao-de-sistemas/> acesso em: 16 abr. 2019. 
 
ROCHA, Luciano Roberto, Concessão e revogação de Privilégios. Disponível em: 
acesso em: 15 abr. 2019. 
 
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida 
digital – Rio de Janeiro: Campus, 2001. 
 
 
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – 
Rio de Janeiro: Campus, 2003. 
 
TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39 
 
VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de 
dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor 
Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010. 
 
VITOR, Joaquim & MORAES, Márcio Lucena & COSTA, Rafaello. Visão geral de 
Segurança em Bancos de Dados, s.d. Disponível em: acesso em: 14 abr. 2019. 
35