3016-50 - PROJETO INTEGRADO MULTIDISCIPLINAR IV

Prévia do material em texto

UNIVERSIDADE PAULISTA - UNIP
Segurança da Informação
Projeto de Consultoria de Segurança da Informação 
UNIVERSIDADE PAULISTA
2020
UNIP EAD
PROJETO INTEGRADO MULTIDISCIPLINAR
SEGURANÇA DA INFORMAÇÃO
Projeto de Consultoria de Segurança da Informação
O objetivo desse trabalho é propor solução segura em forma de projeto que ligue todos os centros de doação de sangue públicos do Brasil.
Ricardo Ferreira dos Santos
2086495
Rodrigo Moreira da Silva
0554251
Rafael Policante Rodrigues
2088994
Evam Baste Apolinário de Souza Lopes de Oliveira
0552583
 Cindy Karol Pires Borges
 2022343
 Edu da Silveira Barroso Júnior
0571262
Segurança da Informação - 1/2° Semestre
UNIVERSIDADE PAULISTA 
9
2020
	
	
	
Resumo
 Propor solução segura em forma de projeto que interligue todos os 6 postos fixos de doação\coleta de sangue do instituto Pró Sangue na região metropolitana do estado de São Paulo. Lista de itens a serem observados: Propor solução para redes e comunicação para interligar os centros de doação de sangue de forma a proteger os dados. Propor uma única estrutura de banco de dados em computação em nuvem para manter as informações do banco de sangue atualizadas em tempo real, sem esquecer a segurança das informações. Por meio de funções matemáticas demonstrar eficiência que a unificação das bases de dados trará ao sistema. Estabelecer um programa de segurança da informação para assegurar as informações dos dados cadastrais dos doadores.
Palavras chave: Sistemas Computacionais, bancos de sangue, estratégia.
Abstract
 Propose a safe solution in the form of a project that connects all 6 fixed blood donation / blood collection points of the Instituto Pró Sangue in the metropolitan region of the state of São Paulo. List of items to be observed: Propose a solution for networks and communication to connect blood donation centers in order to protect data. Propose a single database structure in cloud computing to keep blood bank information updated in real time, without forgetting information security. Through mathematical functions, demonstrate efficiency that the unification of the databases will bring to the system. Establish an information security program to ensure donor registration data information.
Key Words: Computer system, blood banks, strategy.
Sumário
Introdução	6
DESENVOLVIMENTO DO TRABALHO	7
1.1 Projeto de consultoria de segurança da informação	7
2. Administração de banco de dados:	9
3. Matemática para computação	11
4. Rede de comunicação e dados:	12
5. Segurança da informação	14
6. Conclusão	16
7. Referências Bibliográfica	17
Introdução
 A informação sempre foi um ativo importante para todos os segmentos da sociedade. Porém, até meados do século passado, havia grande dificuldade em acessar, capturar, em tratar e em disseminar informações. Naquele momento, o risco de se tomar uma decisão errada era muito alto, uma vez que as informações que deveriam dar suporte às decisões eram escassas, de precisão duvidosa e ainda de baixa disponibilidade. Hoje, em grande parte devido à evolução tecnológica, a geração, o acesso e a disseminação de informações têm sido algo muito mais simples e mais rápido. Como consequência, o volume de informações disponíveis tem alcançado patamares tão elevados que um dos grandes problemas deste século, ao contrário dos séculos passados, deverá ser a superabundância de informações.
 Ter a informação certa, na hora certa, pode dar o direcionamento certo às organizações é fator fundamental para a definição de estratégia.
 Está levantamento abordou o valor da informação e o balanceamento entre a tecnologia, pessoas e processos, visando subsidiar ações primordiais de segurança da informação.
DESENVOLVIMENTO DO TRABALHO
1.1 Projeto de consultoria de segurança da informação 
 A Fundação Pró-Sangue é uma instituição pública ligada à Secretaria de Estado da Saúde e ao Hospital das Clínicas da Faculdade de Medicina da Universidade de São Paulo, mantendo com a referida Universidade estreito laço de cooperação acadêmica e técnico-científica.
 Criada em 1984, tem sua sede no 1º andar do Prédio dos Ambulatórios do Hospital das Clínicas, na avenida Dr. Enéas Carvalho de Aguiar, 155. Possui seis postos fixos de coleta para doação de sangue na Região Metropolitana de São Paulo: no Hospital das Clínicas, no Complexo Hospitalar do Mandaqui, no Instituto Dante Pazzanese de Cardiologia, no Hospital Regional de Osasco, no Hospital Municipal de Barueri e no Hospital Stella Maris.
 A Fundação Pró-Sangue está entre os cinco maiores bancos de sangue da América Latina e é centro de referência da Organização Pan-Americana de Saúde e da Organização Mundial da Saúde.
 Mensalmente, coleta e processa aproximadamente 10.000 bolsas de sangue destinadas para o atendimento de mais de 100 instituições públicas de saúde da rede estadual, entre elas o Hospital das Clínicas, o Instituto do Coração, o Instituto do Câncer de São Paulo e o Hospital Dante Pazzanese.
 Com estoques de sangue caindo 40% na Cidade de São Paulo durante a pandemia, devido ao medo dos doadores de serem contaminados pelo novo corona vírus. O tipo sanguíneo mais críticos são os negativos. A Fundação Pró-Sangue criou uma possibilidade de um sistema novo de agendamento online, onde haverá mais agilidade e aglomerações poderão ser evitadas, esse agendamento pode ser realizado pelo próprio site da Fundação. 
 Os cadastros realizados pelo site exigem mais atenção por parte do setor da segurança da informação, por conta da quantidade de informações pessoais que serão armazenadas no servidor da Fundação Pró-Sangue.
 Desenvolvemos nesta apresentação, o projeto de Segurança da informação que tem como objetivo:
 Interligação dos postos fixos de coleta no Brasil;
 Sistema de banco de dados em nuvem unificado com objetivo de proporcionar informações disponibilizadas em tempo real;
 Programa de política de segurança da informação com objetivo de proteger os dados dos doadores;
2. Administração de banco de dados:	
 O conceito de banco de dados se aplica em um conjunto de arquivos que se comunicam entre si, armazenando uma grande quantidade de dados divididos em nomes, documentos, endereços e lista de clientes e etc, que são atualizados e configurados através de linguagens de programação. Vale destacar que sempre que for possível agrupar informações que se relacionam e tratam do mesmo assunto é considerado um banco de dados.
 Importância da aplicação de bancos de dados para o gerenciamento do sistema de informação:
 Os sistemas de banco de dados têm um papel fundamental dentro dos bancos de sangue, é de suma importância que seu gerenciamento esteja alinhado em seu perfeito funcionamento, com isso os processos de logística e comunicação entre doadores ficam mais rápidos, proporcionando rapidez aos pacientes de maior urgência. Atualizações e revisões precisam ser feitas periodicamente para melhoria da segurança, com a emissão de relatórios de manutenção semanais. 
 O banco de dados é extremamente importante para compreender comportamentos de mercado identificando tendências, podendo ser atualizados a todo momento com informações de melhorias passiveis de futuras comparações.
 Com o vasto crescimento tecnológico fica evidente que as empresas de diversos setores cada vez mais vão precisar investir em infraestrutura tecnológica para cumprir grandes demandas e agilizar processos logísticos para reduzir eventuais custos e sanções judiciais.
 Sistema será desenvolvido em banco de dados em nuvem denominado Banco de dados como serviço (DBaaS). O provedor de serviços oferece uma variedade de tarefas operacionais, de manutenção, administrativas e de gerenciamento de banco de dados em tempo real para o usuário final. O banco de dados é executadona infraestrutura do provedor de serviços. Esse modelo de uso geralmente inclui a automação nas áreas de provisionamento, backup, dimensionamento, alta disponibilidade, segurança, patches e monitoramento de integridade. 
 
 No quesito segurança, o fato de estar em nuvem aumenta o nível de segurança da informação pois por tratar se de ambiente virtual, backup, criptografia dos dados e plano de contingencia já estariam inclusos uma vez e que o backup é realizado diariamente bastando em caso de desastre a restauração da máquina virtual o que pode ser feito em poucas horas evitando desta maneira prejuízo por indisponibilidade.
3. Matemática para computação
As funções possuem diversas aplicações no cotidiano, sempre relacionando grandezas, valores, índices, variações entre outras situações. Por exemplo, a inflação é medida através da função que relaciona os preços atuais com os preços anteriores, dentro de um determinado período, caso ocorra variação para mais dizemos que houve inflação, e havendo variação para menos, denominamos deflação. A distância percorrida por um veículo depende da quantidade de combustível presente no tanque. Ciências como a Física, a Química e a Biologia utilizam em seus cálculos as propriedades das funções para demonstrarem a ocorrência de determinados fenômenos. Dessa forma, é muito importante obter o conhecimento adequado sobre as propriedades e definições das funções matemáticas. 
Definimos função como a relação entre dois ou mais conjuntos, estabelecida por uma lei de formação, isto é, uma regra geral. Os elementos de um grupo devem ser relacionados com os elementos do outro grupo, através dessa lei. 
Com a integração das bases de dados dos centros de coletas, teremos um banco de dados unificado, capaz através de funções matemáticas, de realizar consultas em diferentes unidades, conectando, assimilando e selecionando informações de forma mais precisa e eficaz para cada situação.
Tirando como exemplo uma unidade de coleta que envia para seu sistema informações de novas coletas, os sistemas SGBD poderiam utilizar um algoritmo de função para encontrar dentro dessa base unificada, um receptor paciente na região que está na fila para o mesmo tipo sanguíneo:
No plano cartesiano é possível observar com mais clareza que os elementos de A estão ligados a pelo menos um elemento de B, então podemos dizer que essa relação é uma função. 
Podemos ainda através de relação formada pela base de dados, formar uma funçao em imagem para melhor distribuição das coletas para as respectivas unidades de acordo com a nescessidade de cada uma, Dado um conjunto A do numero de coletas e tipo sanguineos de cada undiade e um conjunto B das demandas nescessarias para cada unidade de doação, denominamos uma funçao para cada quantidade em A -> B:
4. Rede de comunicação e dados:
 Com o sistema baseado em nuvem, implantaremos uma VPN criptografada ponta a ponta utilizando servidores Firewalls em cada posto com proxy transparente controlando pacotes de dados de entrada e saída e também os acessos à internet dos colaboradores dos postos evitando desta maneira uso desnecessário de internet e permitindo desta forma maior aproveitamento do link para tráfego de informações essenciais e como resultado deixando de forma mais eficiente a disponibilização as informações relacionadas a doadores e estoque que se encontram no banco de dados.
A infraestrutura para operação do sistema necessária abaixo:
· Link de internet dedicado com IP fixo;
· Link de internet dedicado com IP fixo de provedor diferente para ser utilizado como redundância;
· Roteador load balance com controle de banda para utilização dos 2 links simultaneamente;
· Servidor dedicado com 3 placas de rede para que seja configurado como Firewall e ativando o serviço de Proxy transparente com o objetivo de controle de acesso à internet;
· Servidor dedicado com 2 placas de rede para que seja configurado como controlador de domínio e ativando o serviço de Active directory com objetivo de implantar política de segurança através de GPOs permitindo desta maneira imposição de regras quando a acessos e utilização de mídias removíveis e desta forma protegendo o sistema;
· Terminal completo de aceso a internet e utilização do sistema de cadastro de usuários para utilização na recepção do posto de coleta;
· Terminal de acesso para ser utilizado após a triagem e execução da coleta e alimentação das informações no sistema de estoque.
Abaixo um modelo feito em Diagrama de como será a infraestrutura da rede:
5. Segurança da informação
 Será implantada a política de segurança da informação a fim de proteger a integridade, confiabilidade e a disponibilidade dos dados relacionados aos doadores e também as informações que são inseridas no sistema de controle de estoque onde só pessoas autorizadas podem acessar.
 A política é extremamente necessária pois sob nenhuma hipótese pode haver o vazamento de informações ou inconsistências nas quantidades disponíveis em estoque o que pode afetar a todo o sistema e consequentemente podendo provocar a falta de sangue para quem necessita.
 No quesito segurança da informação, serão implantadas medidas de proteção físicas e logicas para garantir a integridade a fim de garantir que as informações sejam mantidas íntegras, sem modificações indevidas, acidentais ou propositais, confidencialidade a fim de garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas e disponibilidade a fim de garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las de maneira que em caso de desastre, possa ser dado uma rápida resposta com objetivo de restaurar os serviços em menor tempo possível e desta maneira não afetando o funcionamento dos postos de coleta.
Abaixo as medidas de segurança da informação que serão implantadas:
· Segurança lógica;
· Backup do banco de dados e da VM automático de modo que proporcione a rápida restauração da estrutura e dos dados;
· Servidores Firewall com 12 regras e proxy transparente com objetivo de monitorar pacotes da rede evitando dados maliciosos oriundos da internet e também não permitindo acesso à internet através dos terminais de acesso e desta maneira reduzindo o risco de vírus, ataques e utilização indevida de banda do link;
· Servidores controladores de domínio com GPOs configuradas com regras definidas para restrição de uso de mídias removíveis, acesso controlado aos mapeamentos da rede proporcionado maior segurança aos dados; 
· Solução antivírus gerenciado através do controlador de domínio com regras e monitoramento de tráfego da rede; 
· Controle biométrico no acesso as áreas mais sensíveis;
· Controle de monitoramento por câmeras em tempo real com gravação de imagens internas; 
· Controle de alarmes de intrusão nas portas e janelas;
· Controle de acesso de entrada e saída de pessoas e veículos realizado por câmeras e por profissionais de segurança na portaria e no estacionamento do local;
· Criptografia com medida de controle trata da proteção de dados confidenciais contra acesso não autorizado, sendo usada em muitas aplicações para proteger dados durante a transmissão por uma rede de comunicação, mas também pode ser usada para proteger dados confidenciais armazenados em um banco de dados. Assim mesmo que o acesso não autorizado seja feito não será possível efetivamente usar os dados pois eles estão criptografados em um banco de dados. Apenas os usuários autorizados teriam acesso à chave para descriptografar os dados e assim conseguir fazer uso deles.
6. Conclusão
 Após a revisão dos sobre os assuntos tratados neste trabalho, pôde-se chegar às seguintes conclusões:
· A informação estratégica tem adquirido importância tão elevada, a ponto de se tornar, na maioria das vezes, o principal ativo de uma organização.
· A informação precisa ser tratada de forma condizente com sua relevância,ser revestida de cuidados especiais e protegida adequadamente.
· A informação estará mais adequadamente protegida se os requisitos de proteção dela forem compatíveis com o seu valor. Para tanto, é fundamental que se estime o valor da informação antes de se definirem quais serão os recursos utilizados para protegê-la. É nesse sentido que o valor da informação pode fornecer importante subsídio no processo de gestão da segurança da informação.
· A informação estará mais bem protegida quando os requisitos de proteção forem definidos, levando-se em consideração o valor da informação e a implementação desses requisitos se der de forma a preservar o equilíbrio entre os pilares tecnologia, pessoas e processos.
7. Referências Bibliográfica
Banco de Dados. In Wikipedia, a enciclopédia livre, 
https://pt.wikipedia.org/wiki/Banco_de_dados (acesso em 24 de setembro de 2020).
Segurança da Informação. In Wikipedia, a enciclopédia livre,
https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o (acesso em 24 de setembro de 2020).
Boas Práticas de Segurança da Informação no Setor da Saúde, in Saúde Business, https://saudebusiness.com/ti-e-inovacao/as-boas-praticas-de-seguranca-da-informacao-no-setor-da-saude/ (25 de setembro de 2020).
Maria, Katia. Fundação Pro Sangue. Assessora de Imprensa. (26 de setembro de 2020)
Silva, Josenildo, BDII (SI587) Segurança em Bancos de Dados. Trabalho Conclusão de Curso IFF 2017.