3015-50 - PROJETO INTEGRADO MULTIDISCIPLINAR III

Prévia do material em texto

2
UNIVERSIDADE PAULISTA
Nome: Daniele Angelica Gonçalves Lemos R.A: 0579378
PIM III – Relatório de Consultoria de Segurança da Informação
Barueri/SP
2022
UNIVERSIDADE PAULISTA
Nome: Daniele Angelica Gonçalves Lemos R.A: 0579378
PIM III – Relatório de Consultoria de Segurança da Informação
Projeto Integrado Multidisciplinar III para obtenção do título de Tecnólogo em Segurança da Informação apresentado à Universidade Paulista – UNIP 
Orientador: Gislaine Stachissini.
Barueri/SP
2022
RESUMO
Através dos estudos em Administração de Banco de Dados e Redes de Dados e Comunicação analisar e buscar as melhores formas de uso desse serviço em nuvem, com o objetivo de interligar os centros de doação de sangue público no território brasileiro em uma mesma rede e com interação em tempo real, aprimorando o sistema e dando segurança a informação. Por meio dos estudos em Matemática para Computação, apresentar a eficiência que pode ser alcançada ao seguir o modelo de estrutura proposto no trabalho. Por fim estabelecer um programa que Segurança da Informação para que não ocorra um vazamento de dados ou minimizar a chance de incidentes. 
Palavra-chave: administração de banco de dados, segurança da informação, matemática para computação, redes de dados e comunicação. 
ABSTRACT
Through studies in Database Administration and Data and Communication Networks, analyze and seek the best ways to use this cloud service, with the objective of interconnecting public blood donation centers in the Brazilian territory in the same network and with interaction in real time, improving the system and providing information security. Through studies in Mathematics for Computing, to present the efficiency that can be achieved by following the structure model proposed in the work. Finally, establish an Information Security program so that data leakage does not occur or minimize the chance of incidents.
Keywords: database administration, information security, mathematics for computing, data and communication networks.
Sumário
1.	INTRODUÇÃO	6
2.	ADMINISTRAÇÃO DE BANCO DE DADOS	7
2.1.	Tipo de banco de dados proposto	7
2.2.	Serviço de banco de dados em nuvem proposto	8
2.3.	Tipo de nuvem proposto	8
2.4.	Beneficios do banco de dados em nuvem	8
2.5.	Empresas que fornecem o serviço de nuvem e banco de dados:	9
3.	MATEMATICA PARA COMPUTAÇAO	10
4.	REDE DE DADOS E COMUNICAÇÃO	11
4.1.	Componentes básicos para que ocorra a comunicação na rede são:	11
4.2.	Classificação da rede proposta	12
4.3.	Principais dispositivos usados em uma rede WAN:	14
4.4.	Principais fornecedoras de serviços de telecomunicação:	14
5.	SEGURANÇA DA INFORMAÇÃO	15
5.1.	Os três princípios básicos de segurança da informação:	15
5.2.	Terminologias em segurança da informação:	15
5.3.	Como ataques realmente funcionam:	16
5.4.	Segurança logica:	16
5.5.	Segurança física	17
5.6.	Segurança administrativa	17
5.7.	Auditoria nos sistemas proposto	17
5.8.	LGPD	18
6.	CONCLUSÃO	19
7.	REFERÊNCIAS	19
1. INTRODUÇÃO
A empresa PIM III tem como objetivo trazer um relatório de consultoria de segurança da informação para os centros públicos de doação de sangue no território brasileiro, através da proposta apresentada será possível analisar como a melhoria pode ser alcançada com o uso da tecnologia quando implementada de forma correta. 
Antigamente para que um negócio conseguisse armazenar seus dados era necessário investir em um Centro de processamento de dados, em uma rede complexa, ambiente e espaço físico para alocação desse centro, Hardware e sua manutenção, fora a preocupação com a segurança física e logica desse ambiente. 
Levando esses itens em consideração a tecnologia tem avançado a um nível que agora é possível terceirizar esse serviço, ao contratar uma provedora de serviços em nuvem é possível alcançar uma variedade de produtos operacionais, manutenção e administração da estrutura e atualização em tempo real.
Os centros públicos de doação de sangue exercem um importante tarefa humana, manter a segurança física e logica no local é de extrema importância, com a proposta de unificação em uma única base de dados conseguiremos melhorar a qualidade de execução dessa tarefa sem que os centros de doação precisem administrar isso diretamente. 
Ao polpar tempo e esforça das equipes locais, ganhasse mais desempenho dos funcionários e mais agilidade nos processos de coletas e tratamento de insumos. 
 
2. ADMINISTRAÇÃO DE BANCO DE DADOS
Um banco de dados pode ser descrito como um repositório de informações, um conjunto de dados que são armazenados de formar ordenada para que quando necessário possam ser consultados, manipulados e alterados. Esses dados sozinhos podem não representar grande coisa, mas a junção desses dados pode gerar inovações gigantescas em um sistema e para sua organização.
Os Bancos de dados tornaram-se itens indispensáveis tanto para organizações quanto para indivíduos comuns, existem diferentes modelos de bancos de dados para atender as diversas necessidades, a busca para manter as informações seguras e acessíveis em tempo real, recuperar informações, poder analisá-las e extrair resultados fez com que esse mecanismo sofresse evoluções extraordinárias ao longo dos anos. 
Uma das inovações mais utilizada hoje em dia é o banco de dados em nuvem, através do contrato com uma provedora é possível criar um banco de dados, implementar, acessar o ambiente tudo diretamente em nuvem, esse ambiente em nuvem dispensa que o contratante tenha que montar toda uma estrutura em espaço físico e investimento com Hardware, equipe dedicada e segurança, a administração do ambiente fica a total responsabilidade da empresa provedora. 
2.1. Tipo de banco de dados proposto
Banco de dados Relacional: é o mais utilizado no mundo, sua forma de apresentação de dados é mais intuitiva, feita através de tabelas, linhas e colunas, os bancos de dados relacionais garantem consistência de dados e permite que várias instancias de banco tenham os mesmos dados em todo o tempo, evitando assim o conflito de informação.
Esse tipo possui quatro propriedades cruciais: 
Atomicidade; identifica todos os elementos que compõem uma transação completa do banco de dados.
Consistência; define as regras para manter os pontos de dados no estado correto após uma operação.
Isolamento; torna o efeito de uma transação invisível para outros até que ela seja confirmada para evitar confusão.
Durabilidade: garante que as alterações de dados sejam permanentes após a conclusão da transação.
2.2. Serviço de banco de dados em nuvem proposto 
Banco de dados como serviço (DBaaS): no banco de dados como serviço a empresa contrata o serviço por meio de assinatura, esse tipo serviço de banco de dados é executado diretamente na infraestrutura do provedor, que também oferece tarefas como manutenção e gerenciamento. Esse modelo dispensa a necessidade de contratar uma equipe especialista e se preocupar com o segurança, otimização e atualizações. 
2.3. Tipo de nuvem proposto
Publica: A nuvem pública é o ambiente disponível em uma rede aberta para uso público, com recursos não fornecidos diretamente pela data center da empresa, mas disponibilizados por meio de algum outro data center espalhado pelo mundo via rede WAN. Dessa forma, o acesso é público e pode ser feito pela internet (WAN), mas são necessárias as credenciais para estabelecer a conexão externa.
2.4. Beneficios do banco de dados em nuvem 
Os serviços em nuvem oferecem diversas vantagens, a nuvem acaba sendo mais segura do que um ambiente interno alocado na empresa, as implementações na nuvem são realizadas pelos melhores especialistas do mercado. Ao optar por um serviço em nuvem podemos adquirir as seguintes vantagens. 
Redução de custos: ao contratar um serviço em nuvem a empresa se desprende da responsabilidade em investir em segurança física e logica, preocupação com manutenção, atualização do sistema, espaço físico para equipamentos, hardware e mão de obra especializada, em caso de desastres e imprevistos osdados e informações estão seguros e podem ser resgatados. 
Garantia de Segurança: através de recursos como firewalls, criptografia, backups, restrição de acesso, processos e controle de segurança internos, datas center em estrutura auditada e certificada, tolerantes a falhas, com disponibilidade, resistente a ataques brutos. 
Acesso colaborativo: através da integração de acesso de outros funcionários é possível melhorar a produtividade, o compartilhamento de informações, aumento de desempenho. 
Uso de acordo com a necessidade: o uso de processamento pode ser escalado de acordo com a necessidade do cliente, nem sempre o processamento de dados é em grande quantidade e através da nuvem o nível de processamento pode ser ajustado.
Adaptações: o sistema conta com a flexibilidade de modificar rapidamente a sua infraestrutura de tecnologia para atender as necessidades do cliente, é um serviço que está constantemente se adequando as tendencias e necessidades de mercado.
2.5. Empresas que fornecem o serviço de nuvem e banco de dados:
· Amazon Web Services (AWS)Adaptações
· Google Cloud Platform
· Microsoft Azure
· IBM Cloud
· Oracle Cloud
· CloudStigma
· GoDaddy
· VMware
· DigitalOcean
· Hyve
3. MATEMATICA PARA COMPUTAÇAO
Através da matemática podemos analisar e tomar decisões no nosso dia a dia de forma logica para chegar a algum resultado ou resposta desejada, assim com uma organização pode fazer uso desse estudo para encontrar uma proposta que se encaixe melhor em suas necessidades. 
Analisando a solução de banco de dados em nuvem que foi proposta pela empresa PIM III, podemos perceber os tipos de benefícios que seriam alcançados aos centros de doação de sangue públicos no território nacional. 
Por meio dos benefícios especificados sobre a melhoria em um banco de dados em nuvem, pode se perceber que mesmo que os centros de doação de sangue precisem investir em uma estrutura em nuvem que tem um custo mais elevado, o retorno desse investimento tende a ser proporcional, se não maior que seu investimento.
Haverá um corte de custos futuro com a estrutura de cada centro de doação, com a quantidade de profissionais de TI que seriam necessários para manter um datacenter sob manutenção, com uma equipe responsável por manter a segurança física e logica de forma mais especializada, a manutenção da rede interna. 
Podemos citar também a economia de insumos em cada centro, e uma melhor distribuição e armazenamento de sangue, uma vez que uma banco de dados esteja funcionando de forma eficiente e supervisionada por especialistas, as informações extraídas tendem a gerar uma melhoria em processos de estoque, coleta e distribuição.
Ampliando essas melhorias a nível de regiões brasileiras conectados, a qualidade na melhora de tratamentos e o resultado positivo com a população necessitada dos insumos gerados nos centros, fica claro o ganho e o retorno que esse investimento trará.
4. REDE DE DADOS E COMUNICAÇÃO
A rede de dados e comunicação nas organizações são extremamente importantes, os componentes que formam a rede devem ser bem estudados e muito bem implementados, pois, através de sua estrutura interna irá ocorrer toda a troca de dados da organização, é nesse momento ataques e erros podem surgir.
Uma rede de dados bem estruturada oferece benefícios como acessibilidade, rapidez no envio e recebimento de informações, redução de custos, compartilhamento, segurança entre outros. Da mesma forma que uma rede mal administrada e com brechas pode acarretar custos e impactos ao negócio. 
Uma de rede de computadores é formada por hardware, meios de comunicação, protocolos e mensagens. Os protocolos são as linguagens usadas pelas máquinas conectadas a rede para se comunicar. As linguagens usadas para comunicação são: aplicação, transporte, rede e enlace. 
4.1. Componentes básicos para que ocorra a comunicação na rede são:
Mensagem: a mensagem a ser transmitida pode ser em formato de números, textos, imagens, áudio ou vídeo. 
Transmissor (TX): estes é o dispositivo que envia a mensagem contendo os dados, pode ser qualquer dispositivo conectado à rede. 
Receptor (RX): este é o dispositivo a receber a mensagem com os dados, também pode ser qualquer dispositivo conectado à rede. 
Meio de Transmissão: o meio de transmissão é o caminho por onde as enviadas pelo transmissor trafegam até chegar ao seu destino que é o receptor.
Protocolo: os protocolos são as linguagens das máquinas, o conjunto das regras que governa sua comunicação. 
Imagem 1 – troca de informações
Fonte: medium.com
4.2. Classificação da rede proposta
As redes são classificadas de acordo com sua abrangência, existem diferentes tipos de classificação de redes e também podem variar de acordo com seu propósito, para a proposta do PIM III utilizaremos as duas redes listadas abaixo explicando suas características e funcionamento. 
Local Area Network (LAN): é uma rede local com a abrangência de alguns metros, pode ser a rede de um escritório ou até mesmo a rede de um prédio. Devido ao tamanho dessa rede os dispositivos são conectados por meio de um switch, sua administração pode ser feita por uma única pessoa, também possui uma largura de banda de alta velocidade. 
· Transmissão: Cabos de Par Trançado UTP e rede sem fio Wi-Fi predominam.
Imagem 2 - rede LAN
Fonte: bosontreinamentos.com.br
Principais dispositivos usados em uma rede LAN: 
· Repetidores (Repeaters)
· Hub
· Bridges
· Switch
· Roteador
· Trasceiver
· Roteador
Wide Area Network (WAN): é uma rede ampla com a abrangência de quilômetros, esse tipo de rede é utilizado para fazer a interconexão entre redes LAN que estão espalhadas em áreas geográficas distantes, como exemplo de cidade a cidade, estado a estados. Diferente de redes LAN a WAN possui uma velocidade mais lenta, sua administração é feita por diversos prestadores de serviços. 
· Transmissão: Cabos coaxiais, tecnologias de comunicação wireless (redes celulares / WiMAX) e fibras ópticas.
Imagem 2 - rede WAN
Fonte: bosontreinamentos.com.br
4.3. Principais dispositivos usados em uma rede WAN:
· Modem
· CSU/DSU (Channel Service Unit/Data Service Unit)
· Servidor de acesso
· Switch WAN
· Roteador
· Roteador de backbone
A proposta de uso dessas redes é que cada centro público de doação de sangue deverá ter sua rede local com acesso à internet e com equipamentos básicos que compõe uma rede LAN, pois através dessa rede será acessado o sistema web através de um link dedicado que armazenara os dados coletados de doadores, funcionários, estoques etc. 
A topologia física em estrela é a recomenda para esse ambiente, onde todos os dispositivos se comunicaram com um ponto focal que fica ao centro dessa rede, esse dispositivo pode ser um Hub ou um Switch. 
Existente no mínimo quatro centros públicos de doação de sangue em cada uma das regiões Sul, Sudestes, Norte, Nordeste e Centro-Oeste do Brasil, para conectar essas redes LAN espalhadas geograficamente faremos uso da rede WAN, que tem essa capacidade de abrangência. 
O gerenciamento das redes WAN é feito por ISPs que são fornecedores de serviços de internet, existente três tipos:
· Nível 1 responsáveis pelas conexões nacionais e internacionais
· Nível 2 responsáveis por serviços regionais, aqui são vendidos serviços de rede WAN.
· Nível 3 responsáveis por prover serviços locais, para usuários domésticos. 
4.4. Principais fornecedoras de serviços de telecomunicação:
· Operadora Vivo Fibra
· Operadora Claro NET Internet
· Operadora TIM Internet
· Operadora Oi Internet
· Operadora Algar Internet
5. SEGURANÇA DA INFORMAÇÃO
A segurança da informação necessita de software, hardware de qualidade para funcionar bem, mas nem o melhor dos softwares ou hardware podem impedir que os erros humanos ocorram, é de extrema importância que em qualquer que seja o local de trabalho haja conscientização e instrução sobre como as pessoas devem acessar e cuidar de seus acessos a rede. O fator humano é provavelmente o maior risco a uma rede e ao vazamento de informações. 
5.1. Os três princípios básicos de segurançada informação:
Confidencialidade – Apenas destinatário da mensagem tem acesso a ela, é possível mitigar os problemas de confidencialidade através de criptografia. 
Integridade – Uma forma de garantir essa integridade é através de mecanismos como a soma de integração ou CRC. 
Disponibilidade – A infraestrutura precisa estar disponível quando precisarmos dela, uma forma de mitigar comprometimento é através de monitoramento e manutenção de Hardware e Software. 
5.2. Terminologias em segurança da informação:
Ameaça - qualquer coisa com potência de comprometer a segurança como vírus, e-mail fake, site falso. 
Vulnerabilidade - brecha de segurança, um sistema com falha e pendente de atualização
Evento - Qualquer ocorrência que viola a normas e políticas estabelecidas. 
Incidente - Coletânea de eventos
Ataque - tentativas de sobrecarregar a máquina para gerar algum tipo de falha no sistema, e-mail com vírus
Comprometimento – resulta de um ataque bem-sucedido 
5.3. Como ataques realmente funcionam: 
Credencias – uma pessoa não autorizada que tenha acesso a longo e senha de alguém autorizado. 
Exploração da vulnerabilidade – um atacante sabendo que houve uma falha que ainda não foi corrigida e tentando obter dados. 
Negação de serviço: sobrecarga de serviços em um servidor ou roteador, o atacante envia cargas que o sistema não pode suportar congestiona o sistema. 
5.4. Segurança logica: 
Sistema de detecção e prevenção de intrusos: esse sistema busca por padrões, analisando eventos, o sistema pode ser configurado para emitir alertas a esses determinados eventos que podem ser sinais de intrusos. 
Firewall: Sistema de filtragem de pacotes, o tráfego entra e é aplicado um filtro, se o acesso for legitimo ou parecer legitimo é permitido seguir o tráfego.
Criptografia: Na simétrica a chave que criptografa é a mesma chave que desencriptografa. Assimétrica possui duas chaves, uma publica e uma privada, a publica só criptografa e a publica descriptografa. 
Senha: pode ser configurada para não permitir senhas fracas como poucos caracteres. Através de algoritmo Hash você pode salvar as senhas do usuário com um número que é grado no banco de dados. Caso o banco de dados seja comprometido o atacante não terá acesso as senhas reais. 
5.5. Segurança física 
Mesmo com os dados mantidos em um banco de dados em nuvem, é importante presar pela segurança física no centro de doação por meio dos seguinte 
Restrição de acesso: gerenciar os acessos a locais com equipamentos e acesso a rede para evitar comprometimento. 
Portas com leitor de biometria: cadastro apenas de funcionários e acesso apenas para funcionário que tem alguma tarefa no local.
Crachá: para identificação dos funcionários com chip de autenticação para liberação em catracas.
Câmeras: manter o ambiente monitorado por um vigilante etc. 
5.6. Segurança administrativa 
A administração do centro de doação tem como responsabilidade organizar campanhas de conscientização sobre uso indevido das ferramentas no local de trabalho, senha ou anotações importantes soltas em cima da mesa, definir padrões de comportamento quando incidentes ocorreram, como previr que esses incidentes ocorram. De nada vale a empresa investir em segurança em tecnologia e deixar de lados os treinamentos para funcionários.
5.7. Auditoria nos sistemas proposto
uma técnica contábil que, através de procedimentos que lhe são peculiares, objetiva obter elementos de convicção que permitam julgar se os registros contábeis foram efetuados de acordo com os princípios fundamentais e normas de contabilidade e se as demonstrações contábeis refletem adequadamente a situação econômico-financeira da empresa, num determinado período (CASSARO, 1997, p. 21).
Todo sistema pode conter falhas, brechas, vulnerabilidades, para que o sistema minimize a quantidade de ocorrências dessas falhas, e necessário elabora um passo a passo para buscar formas de encontrar essas falhas. A auditoria em sistema é de extrema importância para o negócio, através de relatórios podem ser documentados erros que podem servidor de modelo para implementação de melhorias no ambiente. Em sistema pode haver uma gama gigantesca de inconsistência, e a auditória tem por objetivos encontrar essas inconsistências e apontar as melhores práticas para corrigi-las. 
5.8. LGPD
A LGPD - Lei Geral de Proteção de Dados Pessoais, monitora as atividades envolvendo tratamentos de dados pessoais dispostos em meio físico ou digital. O descumpridor das normais e procedimentos estipulados pela lei, podem ser multados em quantias consideráveis, podem sofrer com a exposição pelo tratamento indevido, o que pode prejudicar a imagem do negócio. A lei se aplica até mesmo para os indivíduos que trataram dados oriundos do território brasileiro, mas que não estejam aqui, como por exemplo uma provedora de serviços fora do país e que solicite dados de clientes que estão no brasil. 
6. CONCLUSÃO
Com base na matéria de administração de banco de dados foi proposta uma solução de unificação das bases de dados de centros públicos de doçam de sangue em um único bando de dados em nuvem, por meio dessa proposta foi possível identificar os benefícios que esse tipo de sistema pode trazer ao negócio. 
Com base na matéria de matemática para computação foi possível entender o quanto a implementação de um projeto pode exigir e o quanto ela pode te oferecer, quais benefícios uma inovação pode trazer.
 Por meio da matéria de rede de dados e comunicação e segurança de informação podemos observas como os dados de uma organização seja ela pública ou provada podem ser tão significantes. A elaboração do projeto mostrou o quanto é importante a função de área de segurança da informação e a proteção e armazenamento de dados.
7. REFERÊNCIAS
Banco de dados em nuvem https://learn.microsoft.com/pt-br/azure/azure-sql/database/sql-database-paas-overview?view=azuresql acessado em 10/10/2022
Banco de dados em nuvem https://www.oracle.com/br/database/what-is-database/ acessado em 10/10/2022
Banco de dados como serviço https://www.youtube.com/watch?v=tFEHQLX3wXY acessado em 11/10/2022
Banco de Dados Relacional em Nuvem https://www.youtube.com/watch?v=6SVwygschaM&t=694s acessado em 11/10/2022
Conceitos de rede de dados https://www.crtrj.gov.br/redes-de-comunicacao-de-dados-principais-conceitos/#:~:text=A%20palavra%20rede%20(network)%20tem,unir%20e%20compartilhar%20seus%20recursos. acessado em 16/10/2022
Doação de sangue https://www.gov.br/saude/pt-br/composicao/saes/sangue acessado em 10/10/2022 
Nuvem https://www.telcomanager.com/blog/ambiente-na-nuvem-sua-rede-esta-preparada/ acessado em 15/10/2022
Rede de dados http://www.bosontreinamentos.com.br/redes-computadores/qual-a-diferenca-entre-lan-man-e-wan-em-redes-de-dados/ acessado em 16/10/2022