PIM III - Copia

Prévia do material em texto

UNIP
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Plano para integração de informações sobre hemocentros públicos
Novo Gama/GO
2021
UNIP
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Plano para integração de informações sobre hemocentros públicos
Gabriel Azevedo Costa
0417502
Segurança da Informação
Primeiro Semestre
Novo Gama/GO
2021
RESUMO:
A FAZER
ABSTRACT 
A FAZER
SUMÁRIO
A FAZER
1 INTRODUÇÃO 
	Este trabalho se inicia ressaltando a grande importância do compartilhamento seguro de informações, principalmente, no que se refere a dados acerca de disponibilidade sanguínea nos bancos de sangue públicos de todo o território nacional. Tais informações podem ser cruciais para reduzir significativamente a taxa de natalidade dentre a população brasileira, proporcionando transferências rápidas de acordo com às necessidades de cada unidade da federação, podendo assim, salvar inúmeras vidas. Ressalta-se, inclusive, a importância de um rígido sistema de segurança, como proteção a ataques de negação de serviço (DoS), assegurando a disponibilidade das informações, inserção de dados somente por profissionais devidamente treinados e autenticados, garantindo assim a autenticidade dos dados, e por fim, a confidencialidade de dados sensíveis, para que não prejudique nenhum cidadão brasileiro. Portanto, será abordado os temas referentes a Redes de Dados e Comunicações, Matemática para Computação, Banco de Dados em computação em nuvem, e, finalmente, será abordado temas de Segurança da Informação, afim de assegurar os princípios basilares: Autenticidade, confidencialidade e disponibilidade.
DESENVOLVIMENTO 
REDES DE DADOS E COMUNICAÇÕES
A rede proposta para o uso é a de comutação por célula, a mais moderna. Esta rede possuí baixa taxa de erros dos seus meios de transmissão, que hoje são baseados em fibra óptica. O uso de células de tamanho fixo nessa tecnologia de banda é alocado de forma dinâmica, garantindo o suporte a aplicações de taxa constante, tais como serviços de voz e vídeos em tempo real e serviços de dados com taxa variável, por exemplo.
Fibra Óptica
	A comunicação por fibras ópticas consiste na transmissão de um feixe de luz modulado pela informação que se pretenda transmitir. Esse feixe é gerado por uma fonte de luz (transmissor óptico) e é recebido por um detector (receptor óptico). O meio físico que se utiliza é uma fibra de vidro, proporcionando uma transmissão a partir do princípio da reflexão da luz, através de aparelhos que transformam sinais elétricos em pulsos de luz – que na sua nomenclatura técnica é conhecido como fótons -. Cada fóton representa um código binário – 1 ou 0. Como a tendência é a comunicação entre os bancos sanguíneos por todo o território nacional, o tipo de Fibra Óptica a ser utilizada será a monomodo, pois apresenta um único caminho possível de propagação e é a mais utilizada em transmissão a longas distâncias devido a baixas perdas de informação. Dentre as vantagens do uso da Fibra Óptica, estão a baixa perda de transmissão, imunidade à interferência a outros sinais e ruídos e isolamento elétrico.
Segurança De Rede
	Propostas de segurança para o tráfego das informações na rede, está o uso de uma Virtual Private Network (VPN), para que os dados trafeguem por um tipo de tunelamento, e sobre tudo, no caso de interceptação desses dados, o atacante obteria estes criptografados, garantindo assim, a confidencialidade de tais dados. Outra ótima opção é uma solução de firewalls tanto em forma de software quanto em hardware, configurados por especialistas, nos computadores de origem e de destino das informações, reduzindo a chance destas máquinas serem invadidas por crackers.
SOLUÇÕES EM BANCO DE DADOS
	Nessa unidade serão apresentados os principais conceitos de Banco de Dados propostos para este projeto. Também será mostrado sua importância e aplicação para os sistemas de informação, comunicação e processos de automação. E, por conseguinte, estabelecer a relação de banco de dados, computação em nuvem e segurança da informação.
Integração de dados com PowerBI
Começaremos com a explicação do que é o PowerBI. Essa ferramenta criada pela empresa Microsoft, permite a integração de informações advindas de diversas fontes diferentes como: Pastas, Excel, SQL, ERP, Web, etc. O que foi inicialmente criada para BI (business intelligence) ou traduzido para o português inteligência de negócios, poderá ser uma relevante ferramenta para a integração dos dados em nuvem de forma segura, pois essa é a proposta apresentada por sua empresa desenvolvedora. A imagem abaixo mostrará o processo tradicional do PowerBI, sendo seu entendimento fundamental para compreendermos o fluxo do processo de BI.
Aqui podemos ver que todo processo começa sempre na base de dados (OLTP – Online Transaction Processing). A partir desta informação, realizaremos a ETL (extração, transformação e carga) e enviaremos para a Data Warehouse (OLAP – Online Analitycal Processing). Os dados poderão vir de diversas fontes como pastas Excel, SQL, ERP, Web etc. Sendo a ideia do Data Warehouse (DW) armazenar um grande volume de dados, deixando-os melhor condicionados e possibilitando as análises desses que são coletados dos sistemas transacionais (OLTP).
Segurança dos dados no PowerBI
	A segurança dos dados no PowerBI conta com a mesma infraestrutura de segurança global que são exigidos pelas principais organizações mundiais. A proteção de dados no PowerBI é chamada de persistente, pois funciona dentro e fora da organização, pode também realizar uma rápida resposta a incidentes com o monitoramento realizado em tempo real, relatórios de adoção, governança fácil e proteção inteligente de dados além de poder maximizar quaisquer investimentos em segurança com a melhor segurança de acesso à nuvem, proteção de informações e gerenciamento de ponto de extremidade unificado. Outros recursos de segurança disponíveis é a disposição de um líder confiável da indústria para a criptografia de dados desde o locatário até todos os outros níveis, identificação e análise de padrões de comportamentos arriscados com recursos de supervisão no próprio PowerBI e no portal do Microsoft Cloud app Security, serviços de segurança do Azure, melhor atendimento aos requisitos de privacidade e regulamentação com a supervisão de dados confidenciais por meio de BYOK (bring your own key), conformidade com mais de 100 padrões e certificações, que incluem IL6, FedRamp, HIPAA, dentre outras, e, finalmente, reduzir o risco de invasões de rede usando controles de permissão fortes e isolamento de rede com suporte à Rede Virtual, criar e compartilhar insights de análise com confiança, sabendo que os dados estão protegidos de ponta a ponta com criptografia dupla além de estabelecer e definir rótulos de confidencialidade que continuam a proteger os dados na exportação com a Proteção de Informações da Microsoft.
Banco de Dados Relacional
	O modelo de banco de dados proposto para ser usado neste projeto será o modelo Relacional. Um banco de dados relacional é um tipo de banco de dados que armazena e fornece acesso a pontos de dados relacionados entre si. Bancos de dados relacionais são baseados no modelo relacional, uma maneira intuitiva e direta de representar dados em tabelas. Em um banco de dados relacional, cada linha na tabela é um registro com uma ID exclusiva chamada chave. As colunas da tabela contêm atributos dos dados e cada registro geralmente tem um valor para cada atributo, facilitando o estabelecimento das relações entre os pontos de dados. O modelo relacional significa que as estruturas de dados lógicas: tabelas de dados, exibições e índices são separadas das estruturas de armazenamento físico. Essa separação significa que os administradores de banco de dados podem gerenciar o armazenamento dedados físicos sem afetar o acesso a esses dados como uma estrutura lógica. Por exemplo, a renomeação de um arquivo de banco de dados não renomeia as tabelas armazenadas nele. A distinção entre lógico e físico também se aplica às operações do banco de dados, que são ações claramente definidas que permitem aos aplicativos manipular os dados e as estruturas do banco de dados. As operações lógicas permitem que um aplicativo especifique o conteúdo necessário e as operações físicas determinam como esses dados devem ser acessados e, em seguida, executa a tarefa. Para garantir que os dados sejam sempre precisos e acessíveis, os bancos de dados relacionais seguem determinadas regras de integridade. Por exemplo, uma regra de integridade pode especificar que linhas duplicadas não são permitidas em uma tabela para eliminar o potencial de informações errôneas que entram no banco de dados.
Com o tempo, outra força do modelo relacional surgiu quando os desenvolvedores começaram a usar a linguagem de consulta estruturada (SQL) para criar e consultar dados em um banco de dados. Por muitos anos, a SQL tem sido amplamente utilizada como a linguagem para consultas de banco de dados. Com base na álgebra relacional, a SQL fornece uma linguagem matemática internamente consistente que facilita a melhoria do desempenho de todas as consultas ao banco de dados. Em comparação, outras abordagens devem definir consultas individuais.
O acesso a dados envolve muitas ações repetitivas. Por exemplo, uma consulta simples para obter informações de uma tabela de dados pode precisar ser repetida centenas ou milhares de vezes para produzir o resultado desejado. Essas funções de acesso a dados requerem algum tipo de código para acessar o banco de dados. Os desenvolvedores de aplicativos não querem criar um novo código para essas funções a cada aplicativo novo. Felizmente, os bancos de dados relacionais permitem procedimentos armazenados, que são blocos de código que podem ser acessados com uma simples chamada de aplicativo. Por exemplo, um único procedimento armazenado pode fornecer identificação de registro consistente para usuários de vários aplicativos. Os procedimentos armazenados também podem ajudar os desenvolvedores a garantir que determinadas funções de dados no aplicativo sejam implementadas de uma maneira específica.
O software usado para armazenar, gerenciar, consultar e recuperar dados armazenados em um banco de dados relacional é chamado de sistema de gerenciamento de banco de dados relacional (RDBMS). O RDBMS fornece uma interface entre usuários e aplicativos e o banco de dados, além de funções administrativas para gerenciar armazenamento, acesso e desempenho de dados.
SEGURANÇA DA INFORMAÇÃO
Gerenciamento e Avaliação dos Riscos
Gerir os riscos nada mais é do que identificá-los e tratá-los de forma sistemática e contínua. Este processo de gestão de risco é responsável por identificar, avaliar e implementar medidas de proteções necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informações. O risco pode ser definido pela combinação da probabilidade de um evento e sua consequência.
Sistema de Gestão de Risco
Pode-se dizer que o sistema de gestão de risco é o ato de administrar o risco criando mecanismos para identificar, analisar, tratar e comunicar as decisões sobre as melhores formas de gerir esses riscos, alinhados com a estratégia da organização. Os benefícios do uso de um programa de gestão de risco são evidentes, pois, quando implantado e seguido com eficácia, além de priorizar os riscos e suas ações, pode-se conhecer melhor os riscos e tomar conhecimento de quais mecanismos têm o consenso administrativo. Desse modo, terão maior embasamento para adotar proteções e terão uma métrica com indicadores de resultados realmente eficazes.
Segurança Física do Ambiente de Administração
Levando em consideração a realidade brasileira, na qual não há registros de ataques terroristas, há a possibilidade de manifestações públicas serem realizadas próximo a lugares importantes e ocasionalmente ocorre a interrupção de fornecimento de serviços básicos, as principais medidas de segurança física a serem tomadas, dentre outras, destacam-se: Iluminação, campo de visão, evitar pontos de esconderijo, modos de prever os movimentos, vigilância natural, manutenção e a localidade das instalações. 
Segurança Lógica 
Uma das formas de segurança lógica que considero eficiente, é a chamada segurança por obscuridade, essa parte do princípio de que um ativo de informação só pode ser atacado se alguém souber de sua existência. Então, ocultar as informações que poderiam ser possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança como um todo. 
Alguns dos elementos básicos que podem ser úteis para proteger a comunicação com a nuvem ou entre as principais redes da organização incluem: roteadores de borda, firewalls, NAT (Network Address Translation) VPN (Virtural Private Network), Bastion Host, Perímetro Lógico, IDS (Intrusion Detection System), IPS (Intrusion Prevention System)
Segurança dos Softwares
	Nesse nível de segurança, além da instalação e configuração de um antivírus eficiente, afim de sempre estar realizando varredura no sistema em busca de vulnerabilidades, bloquear possíveis ataques advindos de crackers, e implementar a proteção juntos aos outros dispositivos de segurança, é primordial a elaboração de um programa de treinamento ao usuário final, sendo esse, muitas vezes, o elo mais fraco no que se refere a segurança da informação. De nada adianta um programa de segurança física e lógica eficiente se o próprio usuário realiza a instalação de malwares nas máquinas, sendo muita das vezes, por falta de conhecimento técnico. Podendo ainda, ser vítima de um ataque de Engenharia Social. Esse tipo de ataque é voltado diretamente para o usuário final, e a melhor forma de preveni-lo é com a elaboração de um eficiente programa de capacitação, orientando-o como identificar e como agir diante de tal situação. 
Manter um integrante da equipe de TI responsável pela atualização dos principais softwares da empresa, também é uma excelente prática. 
Outra forma de proporcionar o princípio da confidencialidade das informações é implementar controles de acesso em três formas: baseado no que você é (como impressão digital), no que você sabe (como senhas) e no que você tem (como cartões de acesso). O tipo de controle de acesso a ser estabelecido dependerá tanto do ambiente a ser acessado, quanto no grau de confidencialidade da informação a ser acessada.