Logo Passei Direto
Buscar

SEGURANÇA EM BANCO DE DADOS

Ferramentas de estudo

Questões resolvidas

0 que é informação?

Material
páginas com resultados encontrados.
páginas com resultados encontrados.

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Questões resolvidas

0 que é informação?

Prévia do material em texto

ACESSE AQUI ESTE 
MATERIAL DIGITAL!
NADER GHODDOSI
SEGURANÇA EM 
BANCO DE 
DADOS
Coordenador(a) de Conteúdo 
Greisse Moser Badalotti
Projeto Gráfico e Capa
Arthur Cantareli Silva
Editoração
Isabella Santos Magalhães
Design Educacional
Amanda Peçanha
Curadoria
Elziane Vieira Alencar
Revisão Textual
Elias Jose Lascoski
Ilustração
Eduardo Aparecido Alves
Fotos
Shutterstock e Envato
Impresso por: 
Bibliotecária: Leila Regina do Nascimento - CRB- 9/1722.
Ficha catalográfica elaborada de acordo com os dados fornecidos pelo(a) autor(a).
Núcleo de Educação a Distância. GHODDOSI, Nader.
Segurança em Banco de Dados / Nader Ghoddosi. - Florianópolis, 
SC: Arqué, 2023.
224 p.
ISBN papel 978-65-6083-034-9
ISBN digital 978-65-6083-035-6
1. Dados 2. Segurança 3. EaD. I. Título. 
CDD - 005.72 
EXPEDIENTE
Centro Universitário Leonardo da Vinci.C397
FICHA CATALOGRÁFICA
557341
RECURSOS DE IMERSÃO
Utilizado para temas, assuntos ou con-
ceitos avançados, levando ao aprofun-
damento do que está sendo trabalhado 
naquele momento do texto. 
APROFUNDANDO
Uma dose extra de 
conhecimento é sempre 
bem-vinda. Aqui você 
terá indicações de filmes 
que se conectam com o 
tema do conteúdo.
INDICAÇÃO DE FILME
Uma dose extra de 
conhecimento é sempre 
bem-vinda. Aqui você 
terá indicações de livros 
que agregarão muito na 
sua vida profissional.
INDICAÇÃO DE LIVRO
Utilizado para desmistificar pontos 
que possam gerar confusão sobre o 
tema. Após o texto trazer a explicação, 
essa interlocução pode trazer pontos 
adicionais que contribuam para que 
o estudante não fique com dúvidas 
sobre o tema. 
ZOOM NO CONHECIMENTO
Este item corresponde a uma proposta 
de reflexão que pode ser apresentada por 
meio de uma frase, um trecho breve ou 
uma pergunta. 
PENSANDO JUNTOS
Utilizado para aprofundar o 
conhecimento em conteúdos 
relevantes utilizando uma lingua-
gem audiovisual.
EM FOCO
Utilizado para agregar um con-
teúdo externo.
EU INDICO
Professores especialistas e con-
vidados, ampliando as discus-
sões sobre os temas por meio de 
fantásticos podcasts.
PLAY NO CONHECIMENTO
PRODUTOS AUDIOVISUAIS
Os elementos abaixo possuem recursos 
audiovisuais. Recursos de mídia dispo-
níveis no conteúdo digital do ambiente 
virtual de aprendizagem.
4
151 U N I D A D E 3
CARACTERÍSTICAS DE UM BANCO DE DADOS 152
APLICAÇÃO DE SEGURANÇA EM BANCOS DE DADOS 178
OTIMIZAÇÃO DE BANCOS DE DADOS 202
7U N I D A D E 1
SEGURANÇA EM BANCO DE DADOS 8
ABORDAGEM SOBRE OS CONTROLES DE ACESSO E A SEGURANÇA DOS BANCOS DE 
DADOS 30
CAMADAS DE SEGURANÇA E A PROTEÇÃO DO BANCO DE DADOS 52
77U N I D A D E 2
AUDITORIA E MONITORAMENTO 78
AUTENTICAÇÃO E AUTORIZAÇÃO 104
SQL INJECTION E PROTEÇÃO 126
5
SUMÁRIO
UNIDADE 1
MINHAS METAS
SEGURANÇA EM BANCO DE DADOS
Compreender os principais conceitos relacionados com a segurança de banco de dados.
Diferenciar dados, informação e conhecimento.
Compreender os conceitos de segurança, riscos, vulnerabilidades e ataques. 
Reconhecer a importância da segurança do banco de dados com as boas práticas de segurança.
Identificar características que diferenciam dados de informação.
Analisar a importância dos pilares da segurança da informação para poder garantir a 
segurança do banco de dados. 
Compreender a importância da integridade e confiabilidade da informação.
T E M A D E A P R E N D I Z A G E M 1
8
INICIE SUA JORNADA
Você já parou para pensar em como proteger os seus dados pessoais? 
Primeiro, por mais que tentemos, é quase impossível não compartilhar in-
formações pessoais. Nós estamos a todo momento transferindo dados e infor-
mações, como por exemplo, quando fazemos encomendas de produtos em um 
site de compras ou até mesmo quando compartilhamos uma foto com a família. 
Então, proteger os nossos dados pessoais é essencial. Mas você faz ideia de como 
se proteger nas redes sociais?
As plataformas de mídia social são consideradas o ponto mais frágil na pre-
sença on-line de qualquer indivíduo. Você sabe que uma rápida olhada na mídia 
social pode fornecer muitas informações privadas, desde a sua localização até o 
seu trabalho. Por isso, é fundamental que você compreenda as configurações de 
privacidade de dados nas suas contas, e, de preferência, as defina como privadas. 
Outra maneira com a qual você pode proteger seus dados é utilizando senhas, 
mas é claro que é preciso criar senhas fortes para aumentar o nível de segurança.
VAMOS RECORDAR?
Vamos recordar alguns pontos importantes. Você já deve ter ouvido dizer que 
os conceitos de dados e informação têm uma interdependência, já que da-
dos retratam hipóteses, enquanto as informações trazem certezas. Isso mostra 
que são dois conceitos distintos, porém um depende do outro para que ocorra. 
Relembraremos o que é dado e informação no vídeo a seguir: https://www.you-
tube.com/watch?v=KErUUZuyFsY. Recursos de mídia disponíveis no con-
teúdo digital no ambiente virtual de aprendizagem.
DESENVOLVA SEU POTENCIAL 
ABORDAGEM SOBRE A INFORMAÇÃO
Informação significa lucro, já que as organizações que possuem informações 
de qualidade podem destacar-se no cenário global, garantindo maior agilidade, 
UNIASSELVI
9
https://www.youtube.com/watch?v=KErUUZuyFsY
https://www.youtube.com/watch?v=KErUUZuyFsY
TEMA DE APRENDIZAGEM 1
competitividade, eficiência, eficácia e dinamismo, favorecendo a tomada de de-
cisão. Porém é preciso que o banco de dados seja protegido para evitar ou mini-
mizar alterações, divulgações ou exclusões de algum dado sem autorização, pois 
isso pode acarretar prejuízos tanto para a organização quanto para seus usuários.
VOCÊ SABE RESPONDER?
O que é informação?
Iniciaremos por meio de um exemplo: considere que iremos analisar o “cliente” 
de uma determinada organização. Para cada cliente, temos inúmeras característi-
cas como nome, preferência por produtos, renda e estado civil. Esses dados pre-
cisam ser transformados em 
algo significativo, ou seja, um 
recurso de valor para organi-
zação. Esse processo de trans-
formação torna os dados em 
informação. Então, você pode 
perceber que, com os dados 
do exemplo, é possível traçar 
um perfil de consumo de um 
indivíduo e direcionar ações 
eficazes para atrair sua atenção.
Conforme Mascarenhas Neto e Araújo (2019, p. 17):
 “ A palavra informação deriva do latim informare, que significa dar 
forma ou aparência, criar, representar uma ideia ou noção de algo 
que é colocado em forma, em ordem. Comumente encontramos o 
emprego da palavra informação como o ato ou efeito de informar, 
comunicar-se, algo transmitido e dotado de propósitos. 
1
1
Então, os dados são considerados fatos brutos que apresentam as características 
de um determinado evento, ou seja, são registros que podem estar vinculados a 
algum evento. Isso significa que o dado é uma informação ainda não processada 
(MASCARENHAS NETO; ARAÚJO, 2019; MAZIERO, 2019).
Entretanto, informação são esses dados convertidos em contexto útil, ou seja, 
uma informação que a organização possa utilizar para tomada de decisão. A in-
formação, portanto, é um conjunto de dados com valor, que diminui a incerteza 
ou amplia o conhecimento (COUTINHO et al., 2017).
A informação é considerada a base para a fundamentação do conhecimento. 
Isso significa que o conhecimento se origina das informações absorvidas. Desse 
modo, o conhecimento é uma informação com uma utilidade ou um propósito 
(Figura 1) (MASCARENHAS NETO; ARAÚJO, 2019; MAZIERO, 2019).já que, com tais ferramentas, 
os documentos e os dados sensíveis de uma organização serão devidamente 
protegidos (MARQUES, 2018).
Desse modo, as organizações precisam adotar controles de segurança, ou seja, 
medidas de proteção que assegurem os dados, as informações e os conhecimen-
tos, considerando os riscos reais aos quais esses ativos estão sujeitos. 
Então, a Gestão de Segurança da Informação (GSI) é considerada um pro-
cesso administrativo com o objetivo de gerenciar a segurança da informação e 
de uma organização. Esse processo corresponde a um conjunto de políticas e 
procedimentos responsáveis por gerir, de modo sistemático, os dados e as infor-
mações sensíveis da organização (ULHÔA, 2010). 
É preciso compreender os componentes que serão gerenciados pelo sistema 
de segurança. Sendo assim, agora vamos compreender os componentes do sis-
tema de gerenciamento de banco de dados!
5
4
VISÃO GERAL SOBRE O SISTEMA DE GERENCIAMENTO DE 
BANCO DE DADOS (SGBD)
A quantidade de informações disponíveis na nossa sociedade está se intensifi-
cando, e o valor dos dados como ativo organizacional é reconhecido. Porém, os 
usuários precisam de ferramentas que auxiliem, de modo ágil, no gerenciamento 
dos dados e na extração da informação necessária. Caso isso não ocorra, os dados 
vão se tornar um passivo para a organização, cujo custo de manutenção, obtenção 
e gerenciamento excedem o próprio valor do dado.
Nesse sentido, um sistema de gerenciamento de banco de dados (SGBD) é um 
software desenvolvido para ajudar na manutenção e na utilização dos conjuntos 
de dados. A utilização de SGBD possui os seguintes benefícios:
BENEFÍCIO 1
Independência de dados: os programas aplicativos não devem ser expostos aos deta-
lhes de representação e armazenamento de dados.
BENEFÍCIO 2
Acesso eficiente aos dados: usa inúmeras técnicas para armazenar e recuperar dados 
de modo eficiente.
BENEFÍCIO 3
Integridade e segurança dos dados: mecanismos de controle de acesso que definem 
quais dados estão disponíveis a diferentes classes de usuários.
BENEFÍCIO 4
Administração de dados: centralização da administração dos dados oferecendo me-
lhorias contínuas.
UNIASSELVI
5
5
TEMA DE APRENDIZAGEM 3
O que você pode perceber é que o SGBD serve como intermediário entre o usuá-
rio e o banco de dados. Sua estrutura é armazenada como um conjunto de arqui-
vos, e o único modo de acessar os dados nesses arquivos é por meio do SGBD. 
Isso significa que o SGBD apresenta, ao usuário final, uma visualização única 
e integrada dos dados no banco. Para isso, o SGBD recebe todas as solicitações 
de aplicações e as traduz nas operações complexas necessárias para atendê-las. O 
SGBD oculta, dos aplicativos e dos usuários, boa parte da complexidade interna 
do banco de dados (ROB; CORONEL 2011).
Existem muitas opções quando se trata do tipo de banco de dados que uma 
organização pode querer implementar. Diante disso, na sequência, serão apre-
sentados os principais sistemas de gerenciamento de banco de dados:
BENEFÍCIO 5
Segurança física: os dados não podem estar ao alcance de usuários não autorizados.
BENEFÍCIO 6
Segurança lógica: os dados devem ser protegidos por meio de métodos lógicos de 
segurança, como as senhas.
BENEFÍCIO 7
Acesso concorrente e recuperação de falha: planeja o acesso concorrente aos dados 
de modo que os usuários possam achar que os dados estão sendo acessados somen-
te por um único usuário de cada vez. O SGBD disponibiliza mecanismos que garantem 
que a base de dados seja atualizada de modo correto.
BENEFÍCIO 8
Tempo reduzido de desenvolvimento de aplicativo: suporta funções que são comuns 
a inúmeros aplicativos que acessam dados no sistema.
5
1
 ■ Oracle Database (Oracle DB): é um sistema de gerenciamento de ban-
co de dados relacional da Oracle. Originalmente desenvolvido em 1977, 
é um dos mecanismos de banco de dados relacional mais confiáveis e 
amplamente utilizados no mundo. Por ser multiplataforma, pode ser exe-
cutado em vários sistemas operacionais diferentes.
 ■ SQL Server: é o sistema de gerenciamento de banco de dados da Microsoft. 
Ele funciona no modelo relacional, e suporta uma ampla variedade de 
aplicativos de processamento de transações, inteligência de negócios e 
análises em ambientes corporativos de TI.
 ■ MySQL: é um gerenciador de banco de dados de código aberto, razão pela 
qual é bastante popular. Ele trabalha com um modelo cliente-servidor: 
os computadores que instalam e executam o software são chamados de 
clientes.
 ■ PostgreSQL: é mais um sistema de banco de dados com código aberto, 
sendo reconhecido no mercado por ser o mais avançado entre esses.
 ■ Firebird DB: é um banco de dados relacional, também de código aberto, 
que oferece muitos recursos padrão com a linguagem SQL, os quais são 
executados no Linux, no Windows e em uma variedade de plataformas 
Unix. Esse sistema oferece alto desempenho e um dos melhores suportes 
a idiomas do mercado (FONTE: BANCO, 2020). 
ABORDAGEM DAS MEDIDAS DE SEGURANÇA DO BANCO DE 
DADOS E DAS INFORMAÇÕES
Em geral, as medidas de segurança são classificadas em duas grandes categorias: 
prevenção e proteção (Quadro 1). O que se pode observar é que a segurança é 
um processo complexo que envolve elementos tecnológicos e humanos. Então, 
uma infraestrutura de segurança mais simples compreende em um firewall, im-
plementado no perímetro da rede local de computadores (LAN). As medidas 
de segurança são classificadas em preventivas, detectivas e corretivas, conforme 
apresentado no Quadro 1. 
UNIASSELVI
5
1
TEMA DE APRENDIZAGEM 3
MEDIDAS DESCRIÇÃO
Preventivas
Evitam que os incidentes ocorram, garantindo a segurança por meio 
de mecanismos que estabeleçam a conduta e a ética na organi-
zação. As políticas de segurança são um exemplo destas medidas. 
Além disso, as ferramentas para implementação da política de 
segurança, tais como: firewall, antivírus, configurações adequadas de 
roteadores e dos sistemas operacionais, também são consideradas 
medidas preventivas.
Detectivas
Identificam as condições ou indivíduos causadores de ameaças 
evitando que os mesmos explorem vulnerabilidades. Por exemplo: 
sistemas de detecção de intrusão, alertas de segurança, câmeras de 
vigilância, entre outros.
Corretivas
Ações voltadas à correção de uma estrutura tecnológica e humana 
para que se adapte às condições de segurança estabelecidas pela 
organização ou voltadas à redução dos impactos.
Quadro 1 – Medidas de segurança / Fonte: Marcondes (2020).
As medidas de segurança são consideradas práticas, procedimentos e mecanis-
mos utilizados para proteger dados, informações e seus ativos. Essas medidas 
têm como propósito impedir que ameaças vasculhem as vulnerabilidades, o 
que isso limita ou evita os riscos. Entretanto, é necessário considerar que nem 
sempre é economicamente viável evitar um determinado risco. Conforme ISO/
IEC 13335 (1:2004), há casos em que o custo de implementação de medidas de 
segurança para evitar ou reduzir determinado risco é maior do que o valor da 
informação a ser protegida, sendo desaconselhado que essa ação seja efetuada. 
Nesses casos, deve-se avaliar a possibilidade de a empresa reter o risco, conviver 
com ele, compartilhá-lo ou terceirizá-lo, por exemplo, contratando um seguro.
Em geral, as medidas de segurança têm mais de uma característica, ou seja, 
quando implementado, um plano de continuidade de negócios é considerado 
uma ação preventiva e uma ação corretiva.
5
8
Agora, vamos entrar nos conceitos que fundamentam as medidas de segurança!
CAMADAS DE SEGURANÇA DOS DADOS E DA INFORMAÇÃO
As organizações precisam se preocupar com os aspectos tecnológicos, físicos e 
humanos que são essenciais para a segurança do negócio. A gestão da segurança 
é segmentada nas seguintes camadas:
 ■ Camada Física: ambiente onde o hardware está fisicamente instalado, 
ou seja, computadores, servidores, meios de comunicação. O controle de 
acesso aos recursos de TI, os equipamentos para fornecimentoininterrup-
to de energia e os firewalls são modos de gerir a segurança dessa camada.
 ■ Camada Lógica: caracterizada pelo uso de softwares, sendo responsá-
vel pela funcionalidade do hardware, pela realização de transações em 
base de dados organizacionais, criptografia de senhas e mensagens etc. 
Em nível lógico, a segurança se refere ao acesso que indivíduos têm às 
aplicações residentes em ambientes informatizados, não importando o 
tipo de aplicação. 
 ■ Camada Humana: formada por todos os recursos humanos presentes 
na organização, principalmente pelos que têm acesso aos recursos de TI, 
seja para manutenção ou uso. 
A segurança da informação integrada combina inúmeras tecnologias de seguran-
ça com compatibilidade de políticas, gerenciamento, serviço, suporte e pesquisa 
para proteger as informações (Quadro 2). Portanto, essa combinação de várias 
O sistema de gestão de segurança ISO 28000 tem como objetivo principal melho-
rar a segurança das cadeias logísticas. É uma norma de gestão de alto nível que 
permite que uma organização estabeleça um sistema de gestão de segurança 
da cadeia logística abrangente. Ele requer que a organização avalie o ambiente 
de segurança operante e determine se as adequadas medidas de segurança se 
encontram implantadas, bem como verifique se outros requisitos regulamentares 
já existentes são cumpridos pela organização.
APROFUNDANDO
UNIASSELVI
5
9
TEMA DE APRENDIZAGEM 3
funções possibilita uma proteção mais eficiente contra a grande variedade de 
ameaças, minimizando os efeitos dos ataques (SÊMOLA, 2014).
TECNOLOGIAS DESCRIÇÃO
FIREWALL
Controla todo o tráfego de dados verificando as in-
formações que entram e saem da rede assegurando 
para ocorrer acessos não autorizados.
DETECÇÃO DE INTRUSÃO
Identifica o acesso não autorizado e dispara alertas e 
relatórios.
FILTRAGEM DE CONTEÚDO
Identifica e elimina o tráfego de pacotes não deseja-
dos.
REDES PRIVADAS VIRTUAIS 
(VPN)
Permitem as conexões além do perímetro da rede 
local, assegurando que redes locais se comuniquem 
com segurança por meio da Internet.
GERENCIAMENTO DE VUL-
NERABILIDADE
Possibilitam a avaliação da posição de segurança da 
rede descobrindo falhas de segurança e sugerindo 
melhorias.
PROTEÇÃO ANTIVÍRUS
Protege contra vírus, worms, cavalos de tróia e outras 
pragas virtuais.
Quadro 2 – Segurança integrada das informações / Fonte: adaptado de Melo (2017).
 
TEORIA DO PERÍMETRO
É a estrutura de segmentação de ambientes físicos, sendo considerada uma es-
tratégia militar de defesa que tem a finalidade de assegurar os níveis de proteção 
dos dados. Desse modo, torna-se possível aplicar os controles em cada nível 
previamente estabelecido sem exceder as reais necessidades de proteção.
De acordo com Sêmola (2014, p. 52), 
1
1
 “ [...] além de o perímetro estar associado à compartimentalização de 
espaços físicos e lógicos, ele também cumpre o importante papel de 
alerta e de mecanismo de resistência distribuído por áreas, a fim de 
permitir que tentativas de acesso indevido e invasão gerem sinais 
de alerta e se deparem com a resistência que propiciará tempo para 
que medidas contingenciais sejam tomadas antes que a ação avance 
ainda mais em direção ao alvo.
A Figura 1 representa três segmentações de perímetro:
Figura 1 – Segmentação do perímetro / Fonte: https://colaborae.com.br/blog/2015/06/18/zonas-de-segu-
ranca-nucleo-perimetro-e-acesso/. Acesso em 20 set. 2023.
Descrição: desenho gráfico azul de três nuvens, da menor para a maior, da esquerda para a direita. Nuvem 1 – Rede 
Núcleo: Servidores de Missão Crítica;Servidores Web; Gerência de Segurança. Nuvem 2 – Rede de Perímetro: Filtro 
de Conteúdo; Auditagem de Segurança; Filtro de E-mail; Firewall; Servidor Proxy. Nuvem 3 – Rede de Acesso VPN: 
Clientes; Fornecedores; Distribuidores; Parceiros; Empregados móveis. Fim da descrição.
UNIASSELVI
1
1
https://colaborae.com.br/blog/2015/06/18/zonas-de-seguranca-nucleo-perimetro-e-acesso/
https://colaborae.com.br/blog/2015/06/18/zonas-de-seguranca-nucleo-perimetro-e-acesso/
TEMA DE APRENDIZAGEM 3
A Nuvem 1 – Rede Núcleo é o local das aplicações críticas de negócio e respec-
tivos sistemas de apoio, como os servidores de missão crítica, servidores web e 
gerência de segurança. 
A Nuvem 2 – Rede de Perímetro é o local dos recursos públicos, tais como: 
servidores Web e FTP, gateways de aplicação e sistemas que proporcionam fun-
ções de segurança especializadas.
A Nuvem 3 – Rede de Acesso pode ser uma rede privada, pública ou virtual, 
utilizada pelo exterior para acessar a rede e seus serviços e aplicativos.
BARREIRAS DA SEGURANÇA
As barreiras de segurança são importantes para reduzir os riscos e, por isso, pre-
cisam ser dimensionadas de modo adequado para assegurar a interação e a inte-
gração com os sistemas de segurança. O Quadro 3 apresenta os tipos de barreiras.
BARREIRAS DESCRIÇÃO
DESENCORAJAR
Responsável por desencorajar as ameaças, ou seja, 
ações desmotivadas pela presença de mecanismos 
físicos, tecnológicos ou humanos. Isso significa que a 
presença de uma câmera de vídeo ou de campanhas 
de divulgação da política de segurança, por exemplo, 
podem desmotivar a ação de invasores.
DIFICULTAR
O objetivo dessa barreira é a adoção efetiva dos 
controles que dificultarão o acesso indevido. Como 
exemplo, podemos mencionar dispositivos de con-
trole de acesso físico (detectores de metal e alarmes) 
ou dispositivos de acesso lógicos (leitores de cartão 
magnético, firewall).
1
1
Quadro 3 – Tipos de barreiras de segurança / Fonte: Marcondes (2020).
SEGURANÇA LÓGICA
A segurança lógica tem o objetivo de proteger os sistemas por meio de regras ou 
softwares para controle de acesso. Geralmente, é usada para proteção de ataques 
e vulnerabilidades, bem como assegurar os sistemas de erros não intencionais, 
ou ainda, fazer a remoção acidental de dados (SÊMOLA, 2014).
A proteção é garantida por meio de processos tecnológicos como: firewalls, 
antivírus, políticas de segurança e outros meios que auxiliam para a proteção do 
usuário. Então, agora, vamos compreender o funcionamento da segurança lógica.
DISCRIMINAR
Identificação e gerenciamento de acessos para definir 
os perfis e autorizar as permissões. Os sistemas são 
utilizados para monitorar e estabelecer limites de 
acesso aos serviços de telefonia, perímetros físicos, 
aplicações de computador e bancos de dados.
DETECTAR
Alertar e instrumentar os gestores da segurança na 
detecção de situações de risco, seja em uma tenta-
tiva de invasão, em uma possível contaminação por 
vírus ou no descumprimento da política de segurança 
da organização.
DETER
Impede que a ameaça alcance os ativos que supor-
tam o negócio da organização. O acionamento dessa 
barreira, ativando seus mecanismos de controle, é 
um sinal de que as barreiras anteriores não foram 
suficientes para conter a ação da ameaça.
DIAGNOSTICAR
Representa o elo com a primeira barreira, criando um 
movimento cíclico e contínuo.
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
FIREWALL
Um firewall é considerado um dispositivo de segurança da rede responsável por 
monitorar tanto o tráfego de rede de entrada quanto de saída. O monitoramento 
é responsável por permitir ou impedir tráfegos específicos, de acordo com um 
conjunto determinado de regras de segurança (LOPES, 2012; SÊMOLA, 2014).
Segundo Neto (2004, p. 10), “o firewall foi desenvolvido pela Bell Labs em meados 
de 1980, a pedido de uma das maiores empresas de telecomunicações do mundo 
a AT&T, o primeiro firewall do mundo foi desenvolvido com o objetivo de 'filtrar' 
informações que entravam e saiam da sua rede empresarial, de forma que fossem 
flexíveis para a manipulação seguindo especificações presentes as regras defini-
das pelos cientistas e desenvolvedores da Bell Labs”.
APROFUNDANDO
Desse modo, o firewall é considerado um equipamento essencial para garantir a 
segurança em redes de computadores, em que é realizada a filtragem de pacotes 
de redes de modo que o administradorfará a configuração conforme a necessi-
dade de controle. 
Existem algumas arquiteturas que servem como base para a implantação 
de um firewall, tais como: dual-homed host, screened host e screened subnet 
(Quadro 4).
ARQUITETURA DESCRIÇÃO
DUAL-HOMED HOST
Pode ser implementada por um host que apresenta 
duas interfaces de rede, uma para LAN e outra para 
a rede externa, tornando-se a única porta de entrada. 
Nessa arquitetura, o roteamento é desabilitado, fa-
zendo com que os pacotes não possam ser roteados 
entre as redes, garantindo o isolamento do tráfego.
1
4
Quadro 4 – Arquiteturas / Fonte: Adaptado de Weigert e Castilho Junior (2017).
SCREENED HOST
Formada por um filtro de pacotes que age em um 
primeiro nível de defesa, é responsável por restringir 
conexões externas que não sejam direcionadas a um 
host específico, chamado bastion host. Ou seja, os 
usuários externos que queiram acessar os sistemas 
internos deverão se conectar primeiramente com o 
bastion host.
SCREENED SUBNET
É um melhoramento da arquitetura screened host, já 
que adiciona uma camada extra de segurança que 
isola a rede interna de uma rede externa não confiá-
vel.
EU INDICO
Host é qualquer computador ou máquina conectado a uma rede, que conta com 
número de IP e nome definidos. Essas máquinas são responsáveis por oferecer 
recursos, informações e serviços aos usuários ou clientes. Por essa abrangência, 
a palavra pode ser utilizada como designação para diversos casos que envolvam 
uma máquina e uma rede, desde computadores pessoais até roteadores. 
Leia o artigo "O que é um host?". 
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de apren-
dizagem.
É importante destacar que as arquiteturas apresentadas no Quadro 4 são as mais 
usuais, servindo como orientação e referencial teórico. Agora, vamos estudar as 
tecnologias de firewalls mais usuais .
 ■ Filtros de pacote: são filtros que permitem ou negam pacotes, conforme 
regras. As regras podem ser elaboradas inserindo os endereços de rede 
de origem e de destino com as portas e os protocolos de controle de co-
nexão. A desvantagem desse tipo de filtro é a falta de controle do estado 
da conexão, abrindo brechas para softwares e agentes maliciosos, o que 
facilita a entrada de pacotes falsos com a técnica de IP spoofing.
UNIASSELVI
1
5
https://www.techtudo.com.br/noticias/2012/02/o-que-e-um-host.ghtml
TEMA DE APRENDIZAGEM 3
 ■ Proxies firewall: implementam gateway de aplicação e, conforme o seu 
funcionamento, são chamados de proxies de aplicação ou proxies em nível 
de aplicação. Um exemplo é quando uma máquina da intranet acessa a 
rede externa, tendo o seu fluxo de informações redirecionado para o gate-
way de aplicação, ou o contata diretamente, estabelecendo uma conexão. 
Posteriormente, o gateway de aplicação ganha as requisições do cliente, 
as analisa e, caso elas cumpram a política estabelecida, são direcionadas 
para o servidor destino.
 ■ Firewalls stateless: disponibilizam um recurso de avaliação de pacotes de 
modo independente, ou seja, cada pacote filtrado pelo firewall é avaliado 
pelas regras do próprio administrador, sendo uma conexão nova ou já 
existente. Entretanto, o firewall stateful corrige os problemas da primei-
ra geração, e os mecanismos de filtragem são orientados a conhecer as 
conexões. Desse modo, ele valida ou não um pacote.
No contexto da internet e das configurações de conexão, o termo gateway se re-
fere exatamente às ferramentas que funcionam como intermediário para troca de 
informações. Essa troca se dá entre dispositivos diferentes que se conectam por 
meio de uma rede.
Para servir como ponte de troca de informações, um gateway desempenha diver-
sas funções. As principais são: controlar o tráfego de dados (pacotes de informa-
ções); traduzir protocolos para decodificar informações de uma rede para outra; e 
fornecer recursos e camadas de segurança. Desse modo, os gateways são essen-
ciais para a interconexão entre redes e para a segurança das informações.
APROFUNDANDO
ROTEADORES
Os roteadores têm como objetivo distribuir o sinal de internet, ou seja, são impor-
tantes para o roteamento e a interligação de uma rede para outra. Atualmente, os 
roteadores têm antenas para que os dispositivos (incluindo os estáticos) consigam 
realizar conexão sem fios. Em determinados modelos, é preciso ter um adapta-
dor para captar o sinal wireless. A funcionalidade dos roteadores é transportar 
informações acondicionadas em pacotes de dados numa rede sem fios.
1
1
É preciso considerar que o roteador busca as melhores trajetórias para 
encaminhar e receber dados, priorizando não só as transmissões mais curtas, 
como as menos congestionadas. Apesar das configurações de segurança, os 
roteadores podem ser vulneráveis, tendo brechas para acessos não autorizados 
(TRINDADE, 2021). O Quadro 5 apresenta a relação de etapas para garantir a 
segurança dos dados e das informações.
ETAPAS DESCRIÇÃO
SENHAS ATUALIZADAS
É fundamental configurar o roteador com um código 
de segurança forte, ou seja, uma senha. Além disso, 
os caracteres de acesso precisam ser trocados após 
alguns meses de utilização, para sempre reforçar a 
segurança do aparelho.
ATUALIZAÇÃO DOS EQUI-
PAMENTOS
A maior parte das vulnerabilidades é observada em 
aparelhos recém lançados. Verificar as atualizações 
de segurança do firmware para que usuários mante-
nham os equipamentos seguros.
CRIPTOGRAFIA WPA2
O WPA2 é um protocolo de certificação que utiliza 
o AES (Advanced Encryption Standard), sistema de 
encriptação mais seguro e mais pesado do que o 
WPA original. 
REDE INVISÍVEL COM SSDI
O ajuste modifica a rede sem fio em um Wi-Fi in-
visível, deste modo, usuários não autorizados não 
conseguem localizar o roteador, dificultando uma 
possível invasão.
HD EXTERNO
Uma maneira de proteger a segurança é não utilizar 
o HD externo conectado no equipamento. Entretanto, 
caso não tenha como compartilhar as informações de 
outro modo, criptografar os arquivos salvos.
GERENCIAMENTO DO 
ROTEADOR
Alguns fabricantes disponibilizam aplicativos e sites, 
como o Tether, da TP-Link, para controlar o acesso ao 
roteador.
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 3
Quadro 5 – Etapas para garantir a segurança dos dados e das informações dos roteadores / Fonte: adaptado 
de Sêmola (2014).
ACESSO
O tipo de permissão para cada dispositivo é considerado o principal culpado pela 
segurança da informação. O controle de acesso tem como responsabilidade pro-
mover a proteção de softwares, aplicativos, bem como a alteração e a divulgação 
não autorizada da informação. É fundamental a manutenção da identificação 
do usuário por lD e senha, como também um sistema robusto com os logs de 
entrada e saída do usuário. Conforme Sêmola (2014, p. 58), 
 “ [...] o ato de estabelecer ou confirmar algo é chamado de autenti-
cação, para segurança da informação este processo pode ter várias 
camadas. Sabendo disso existem vários mecanismos de autenticação 
que compõem o processo estes são os principais: senhas, impressão 
digital, padrão de voz, assinatura, token, biometria, padrão ocular.
O processo de autenticação pode ser segmentado em:
 ■ Conhecimento: baseada em algo que a entidade conheça de modo ex-
clusivo.
 ■ Propriedade: baseada em algo que a entidade tenha de modo exclusivo.
 ■ Característica: baseada em característica física, humana ou comporta-
mental exclusiva.
 A senha é considerada um dos mecanismos mais usados, sendo um exemplo de 
autenticação do conhecimento. Segundo Sêmola (2014, p. 59):
DESLIGUE EM PERÍODOS 
LONGOS
É importante desligar o roteador nos períodos que ele 
não será utilizado, diminuindo as chances de ataques.
ANTIVÍRUS
Com os softwares, qualquer acesso suspeito é de-
tectado e removido da rede antes que infecte algum 
arquivo.
1
8
 “ O conceito básico de senha é que primeiramente ela é privada, ou 
seja, algo que apenas seu ID de login registrado deve saber. Se outra 
pessoa sabe sua senha ela já não é maisprivada e seus dados regis-
trados já não estão mais seguros. Um invasor mal-intencionado 
pode utilizar suas credenciais, se passar por você no universo on-
-line e trocar seus dados pelos deles, assim expandindo as possibi-
lidades de impacto e prejuízo.
As senhas são um mecanismo de autenticação muito usado, mas elas apresentam 
muitas fragilidades de segurança. Leia o artigo “Como criar senhas fortes e seguras”. 
Recurso de mídia disponível no conteúdo digital no ambiente virtual de aprendizagem.
ZOOM NO CONHECIMENTO
O Número de Identificação Pessoal (PIN) está ligado a parâmetros secretos ar-
mazenados tanto pelo usuário quanto pela entidade autenticadora. Esse meca-
nismo mistura credenciais de conhecimento e de propriedades, sendo usado 
para a autenticação de equipamentos perante servidores de acesso a redes de 
comunicações.
Um certificado digital é considerado uma Certifi-
cado digital é uma estrutura de dados que possui va-
lores de chave pública e um conjunto de informações 
de identificação da entidade à qual essa chave está 
ligada fazem parte de uma Infraestrutura de Chaves 
Públicas. Então, a confiabilidade do certificado é proveniente da assinatura rea-
lizada pela autoridade certificadora, que está presente no certificado.
O que você pode perceber é que os mecanismos de autenticação assegu-
ram que os usuários autorizados acessem suas informações de modo seguro. 
Outra maneira de criar uma barreira para o acesso indevido de informações é 
uma autenticação multifatorial. A autenticação multifatorial é considerada uma 
excelente barreira para prevenção, já que, geralmente, os usuários utilizam a 
mesma senha para todos os acessos na internet. Então, ao colocar uma segunda 
autenticação, será assegurada cuma maior proteção, dificultando a ação de ci-
bercriminosos. 
estrutura de dados 
que possui valores 
de chave pública
UNIASSELVI
1
9
TEMA DE APRENDIZAGEM 3
Ao falar sobre segurança da informação em sistemas computacionais, não se 
pode esquecer de mencionar a criptografia, um dos principais recursos utilizados 
em certificados de segurança da informação, chamado de certified information 
systems security professional (CISSP). Ele é de porte obrigatório para qualquer 
profissional CSO, segundo as normas da ISO 27002. 
EU INDICO
Saiba mais sobre criptografia no artigo disponível no conteúdo digital no ambiente 
virtual de aprendizagem.
Acesse e confira a aula referente a este tema.
Recursos de mídia disponível no conteúdo digital no ambiente virtual de aprendizagem.
EM FOCO
1
1
NOVOS DESAFIOS
O que você pode perceber é que, pelo fato de as organizações terem informações 
sigilosas, é essencial que elas tomem todas as medidas necessárias para a manu-
tenção da segurança de seus bancos de dados, evitando danos que podem ser 
irreparáveis. Pode-se dizer que cautela é a palavra-chave de um profissional de 
banco de dados, já que ele concede os privilégios aos usuários, devendo evitar 
evitando a concessão de privilégios indevidos a usuários e atuando de modo 
preventivo contra esse tipo de ataque.
Certamente, o armazenamento de dados e informações agrega valor aos ne-
gócios e aumenta a potencialidade de o banco de dados se tornar alvo de ataques. 
Desse modo, toda a organização deve priorizar uma atuação proativa e a adoção 
de medidas preventivas, além de realizar validações para evitar ataques. O pro-
fissional responsável pela segurança em banco de dados deve considerar o alto 
potencial dos dados e das informações, propiciando as condições necessárias à 
obtenção do diferencial e da vantagem competitiva, maximizando as potencia-
lidades para não se tornarem alvo de ataques.
UNIASSELVI
1
1
1. Certamente, o armazenamento de dados e informações agrega valor aos negócios e au-
menta a potencialidade de o banco de dados se tornar alvo de ataques. Então, um sistema 
de gerenciamento de banco de dados (SGBD) é um software desenvolvido para ajudar na 
manutenção e na utilização dos conjuntos de dados (ROB; CORONEL, 2011).
ROB, P.; CORONEL, C. Sistemas de banco de dados: projeto, implementação e gerenciamen-
to. São Paulo: Cengage Learning, 2011.
Diante das informações apresentadas sobre o sistema de gerenciamento de banco de dados 
(SGBD), avalie as afirmações a seguir:
I - O SGBD disponibiliza mecanismos que garantem que a base de dados é atualizada de 
modo correto.
II - O SGBD serve como intermediário entre o usuário e o banco de dados.
III - O SGBD recebe todas as solicitações de aplicações e as traduz nas operações complexas 
necessárias para atendê-las. 
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
2. A quantidade de informações disponíveis na nossa sociedade está se intensificando, e o 
valor dos dados como ativo organizacional é reconhecido. Porém, os usuários precisam 
de ferramentas que auxiliem, de modo ágil, no gerenciamento dos dados e na extração 
da informação necessária. Caso isso não ocorra, os dados se tornarão um passivo para a 
organização, cujo custo de manutenção, obtenção e gerenciamento excede o próprio valor 
do dado (ROB; CORONEL, 2011).
ROB, P.; CORONEL, C. Sistemas de banco de dados: projeto, implementação e gerenciamen-
to. São Paulo: Cengage Learning, 2011.
Considerando esse contexto, sobre o sistema de gerenciamento de banco de dados, é 
correto afirmar que: 
a) O MySQL é o sistema de gerenciamento de banco de dados da Microsoft. Ele funciona 
no modelo relacional e suporta uma ampla variedade de aplicativos de processamento 
de transações.
b) O Firebird DB é um banco de dados relacional, também de código aberto, que oferece 
muitos recursos padrão com a linguagem SQL que são executados no Linux, no Windows 
AUTOATIVIDADE
1
1
e em uma variedade de plataformas Unix.
c) O PostgreSQL L é um gerenciador de banco de dados de código aberto, razão pela qual 
é bastante popular.
d) O SQL Server é um sistema de gerenciamento de banco de dados relacional da Oracle.
e) O Oracle Database trabalha com um modelo cliente-servidor: os computadores que 
instalam e executam o software são chamados de clientes, e sempre que eles.
3. As medidas de segurança, geralmente, são classificadas em duas grandes categorias: 
prevenção e proteção. Então, uma infraestrutura de segurança mais simples compreende 
em um firewall implementado no perímetro da rede local de computadores (LAN) 
(MARCONDES, 2020).
MARCONDES, J. S. Sistema de Controle de Acesso: O que é? Definições e como funciona. 
Blog Gestão de Segurança Privada, 17 fev. 2020. Disponível em: HYPERLINK "https://ges-
taodesegurancaprivada.com.br/sistema-controle-de-acesso-definicoes-como-funciona/" 
https://gestaodesegurancaprivada.com.br/sistema-controle-de-acesso-definicoes-como-
-funciona/. Acesso em: 15 out. 2023.
Considerando esse contexto, sobre as medidas de segurança, pode-se afirmar que:
a) Detectivas ações voltadas à correção de uma estrutura tecnológica e humana para que 
se adapte às condições de segurança estabelecidas pela organização ou voltadas à 
redução dos impactos.
b) Preventivas evitam que os incidentes ocorram, garantindo a segurança por meio de 
mecanismos que estabeleçam a conduta e a ética na organização.
c) Preventivas voltadas à correção de uma estrutura tecnológica e humana para que se 
adapte às condições de segurança estabelecidas pela organização ou voltadas à redu-
ção dos impactos.
d) Corretivas identificam as condições ou indivíduos causadores de ameaças, evitando que 
os mesmos explorem vulnerabilidades.
e) Corretivas restringem o acesso a um usuário sem antes consultar o responsável pela 
organização.
AUTOATIVIDADE
1
1
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005: Tecnologia da In-
formação – Técnicas de segurança – Código de prática para a gestão da ISO/IEC 13335-1:2004. 
Disponível em: https://www.iso.org/standard/39066.html. Acesso em: 15 out. 2023.
LOPES, I. M. Adopção de políticas de segurança de sistemas deinformação na administração 
pública local em Portugal. Tese (Doutorado em Tecnologias e Sistemas de Informação, Enge-
nharia e Gestão de Sistemas de Informação) – Universidade do Minho, Braga, 2012.
MARCONDES, J. S. Sistema de Controle de Acesso: O que é? Definições e como funciona. Blog 
Gestão de Segurança Privada, 17 fev. 2020. Disponível em: https://gestaodesegurancaprivada.
com.br/sistema-controle-de-acesso-definicoes-como-funciona/. Acesso em: 15 out. 2023.
MARQUES, A. G. RGPD e a Segurança das Redes e Sistemas de Informação: manual de boas 
práticas - parte III - Segurança Física. Lisboa: Gabonite Nacional de Segurança, 2018. Disponível 
em: https://www.gns.gov.pt//docs/boas-praticas-iii.pdf. Acesso em: 15 fev. 2023.
MELO, P. H. A. D. Mecanismos de autenticação e controle de acesso para uma arquitetura de 
Internet do Futuro. 2017. 140 f. Dissertação (Mestrado em Ciência da Computação) – Programa 
de Pós-Graduação da Faculdade de Computação, Universidade Federal de Uberlândia, 
Uberlâdia, 2017
ROB, P.; CORONEL, C. Sistemas de banco de dados: projeto, implementação e gerenciamento. 
São Paulo: Cengage Learning, 2011.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Cam-
pus, 2 ed., 2014.
BANCO de dados para sistemas: o que é e os principais tipos. SkyOn, setembro de 2020. Dispo-
nível em: https://skyone.solutions/hub/banco-de-dados-sistemas-principais-tipos/. Acesso 
em: 15 out. 2023.
ULHÔA, R. S. Y. Implementação de 802 1X e RADIUS Integrado ao Active Directory e Network 
Access Protection no CAC/UFG 2010. 56 f. Projeto Final de Curso (Bacharelado em Ciência da 
Computação), –Universidade Federal de Goiás, Catalão, 2010.
WEIGERT, A.; CASTILHO JUNIOR, G. O. Utilização de firewall em aplicação de segurança e 
ferramentas gerenciais. 2017. 67 f. Trabalho de Conclusão de Curso Universidade (Tecnologia 
em Sistemas de Telecomunicações) – Departamento Acadêmico de Eletrônica, Universidade 
Tecnológica Federal do Paraná, Curitiba, 2017.
1
4
https://www.iso.org/standard/39066.html
https://www.iso.org/standard/39066.html
https://gestaodesegurancaprivada.com.br/sistema-controle-de-acesso-definicoes-como-funciona/
https://gestaodesegurancaprivada.com.br/sistema-controle-de-acesso-definicoes-como-funciona/
https://gestaodesegurancaprivada.com.br/sistema-controle-de-acesso-definicoes-como-funciona/
https://www.gns.gov.pt//docs/boas-praticas-iii.pdf
https://skyone.solutions/hub/banco-de-dados-sistemas-principais-tipos/
1. Opção E..
2. Opção B. O MySQL é um gerenciador de banco de dados de código aberto, razão pela qual 
é bastante popular. Ele trabalha com um modelo cliente-servidor: os computadores que 
instalam e executam o software são chamados de clientes. Oracle Database (Oracle DB) é 
um sistema de gerenciamento de banco de dados relacional da Oracle.
3. Opção B. Preventivas - Evitam que os incidentes ocorram, garantindo a segurança por meio 
de mecanismos que estabeleçam a conduta e a ética na organização. Detectivas - Identificam 
as condições ou indivíduos causadores de ameaças evitando que os mesmos explorem 
vulnerabilidades. Corretivas - Ações voltadas à correção de uma estrutura tecnológica e 
humana para que se adapte às condições de segurança estabelecidas pela organização ou 
voltadas à redução dos impactos.
GABARITO
1
5
UNIDADE 2
MINHAS METAS
AUDITORIA E MONITORAMENTO
Compreender o processo sistemático de auditoria.
Compreender a importância de identificar as ações suspeitas e fraudulentas para prote-
ger as informações dos bancos de dados.
Analisar o processo de auditoria de banco de dados.
Identificar as etapas de organização da auditoria.
Analisar o papel do usuário na segurança da informação.
Identificar as principais ferramentas para realizar auditoria de banco de dados.
Diferenciar as ferramentas generalistas, especializadas e utilidade geral.
T E M A D E A P R E N D I Z A G E M 4
1
8
INICIE SUA JORNADA
A nossa sociedade tem uma disponibilidade crescente de computadores e dis-
positivos móveis, e, com isso, tem-se mais dados sendo processados em curtos 
períodos de tempo. Além disso, com o surgimento dos sistemas computacio-
nais, as organizações confiam seus dados à área de tecnologia da informação. 
Por consequência, esta vem se tornando a responsável pela proteção e garantia da 
consistência dos dados. Agora, você sabe o que implica a segurança dos dados? 
Você já parou para imaginar a quantidade de informações e dados dos com-
putadores ou dispositivos móveis que ficam armazenados em um banco de da-
dos e como o profissional responsável pela segurança é fundamental? Por isso, é 
essencial que você compreenda que o que implica a segurança dos dados são os 
cuidados especiais na verificação da integridade e da garantia que dados sensíveis 
estejam protegidos. Mas como garantir a integridade dos dados?
Uma das atividades essenciais para garantir a integridade dos dados é a audi-
toria. A responsabilidade da auditoria inclui recomendar ações para extinguir 
ou minimizar as perdas, por meio da identificação de vulnerabilidades e riscos, 
determinando, assim, controles de segurança específicos. Então, o auditor, ou seja, 
o profissional responsável precisa ser capaz de analisar a organização em todos 
os seus processos para garantir a total segurança. Você percebe que o auditor 
precisa coletar dados íntegros e produzir análises imparciais para gerar pareceres 
objetivos e confiáveis em relação à segurança. 
Neste podcast, você será guiado a iniciar a reflexão sobre a importância da audi-
toria para segurança da informação e dos dados. Além disso, irá compreender a 
importância da ferramenta Cobit para as boas práticas de segurança para a prote-
ção dos dados. Recursos de mídia disponíveis no conteúdo digital do ambiente 
virtual de aprendizagem 
PLAY NO CONHECIMENTO
UNIASSELVI
1
9
TEMA DE APRENDIZAGEM 4
DESENVOLVA SEU POTENCIAL
UMA ABORDAGEM SOBRE A AUDITORIA
A auditoria tem como objetivo analisar toda a infraestrutura, verificar as pos-
sibilidades de violações de segurança e, ainda, examinar todo o controle interno 
dos sistemas de uma organização. Você já pode imaginar que a auditoria não é 
somente um processo burocrático, mas, sim, estratégico, já que os resultados 
auxiliam uma tomada de decisão mais segura, possibilitando a detecção de 
problemas na segurança do banco de dados. Conforme Neto (2012, p. 24):
 “ A auditoria compreende o processo sistemático de obtenção e ava-
liação de evidências com foco em afirmações sobre ações e eventos 
econômicos para avaliar o grau de correspondência entre estas afir-
mações e os critérios estabelecidos, para comunicação dos resulta-
dos aos usuários interessados.
A auditoria deve concentrar os seus esforços na análise e avaliação dos processos 
de planejamento, desenvolvimento, testes e aplicação de sistemas, bem como 
examinando a estrutura lógica, física, ambiental, organizacional de controle, se-
gurança e proteção de dados. A auditoria de informação, pode ser visualizada 
sob três aspectos, sendo:
VAMOS RECORDAR?
Para continuar os estudos, recordaremos alguns pontos importantes, como o que é 
a auditoria e a importância para a segurança das informações da organização. Além 
disso, você vai compreender a diferença entre auditoria interna e externa. Recursos 
de mídia disponíveis no conteúdo digital do ambiente virtual de aprendizagem 
8
1
• Com relação à gestão documental na organização, resultando no diagnóstico e 
plano de ação.
• Com relação à identificação com o cumprimento de políticas e procedimentos de 
gestão de documentos, resultando no aperfeiçoamento dos métodos e processos.
• Com relação à avaliação da efetividade dos recursos documentais da organização, 
de modo a reduzir o silêncio (não obtenção de informação relevante) e o ruído 
(obtenção de informação irrelevante) na satisfação das necessidades de informação 
da organização.
Uma das primeiras e mais importantes responsabilidades da auditoria é a identi-
ficaçãode ações suspeitas e fraudulentas por parte de um determinado usuário, 
coletando dados sobre suas atividades no banco de dados. As informações coleta-
das são verificadas para averiguar os problemas de segurança, e, principalmente, 
a sua origem. O serviço de auditoria proporciona armazenamento seguro e per-
manente dos registros de log, para que seja possível detectar falhas de segurança 
quando essas ocorrerem.
A identificação de quais foram as ações, bem 
como a determinação dos padrões suspeitos, são 
requisitos primordiais para a segurança do sistema. 
Além do que, a auditoria precisa ser efetuada de modo 
independente e transparente para que todas as infor-
mações relevantes sejam devidamente catalogadas.
Auditoria precisa ser 
efetuada de modo 
independente e 
transparente
UNIASSELVI
8
1
TEMA DE APRENDIZAGEM 4
Agora, vamos compreender alguns conceitos fundamentais relacionados 
com a auditoria:
CONTROLE
Ação de controlar ou de dominar; inspeção; fiscalização. Verificação de documentos 
ou serviços.
AUDITORIA INTERNA
Auxilia a equipe de gestão no seu desempenho de atribuições e responsabilidades, 
com base nas suas avaliações e recomendações.
AUDITORIA EXTERNA
Realizada por entidades que não pertencem à empresa auditada.
AUDITORIA TECNOLÓGICA
Tecnologias são analisadas devido ao seu grau de adequação aos objetivos da orga-
nização. Analisar as tecnologias que mais influenciam a formulação das estratégias e a 
respectiva competitividade.
MONITORAMENTO
O sistema de controle interno deve ter sua qualidade avaliada ao longo do tempo. A 
avaliação pode ser permanente, separada do processo normal ou, ainda, uma combi-
nação dos dois tipos.
ATIVIDADES DE CONTROLE
Auxiliam que ações sejam tomadas para mitigar riscos para que a organização alcance 
seus objetivos.
8
1
AUDITORIA DE BANCO DE DADOS
O processo de auditoria de banco de dados procura responder às seguintes per-
guntas: qual usuário acessou ou modificou um dado? Quando essa modificação 
ocorreu? Em qual computador? No entanto, para isso, os sistemas de gerencia-
mento de banco de dados possuem funcionalidades para elaborar registros de 
auditoria para transações no banco, modificações nas suas estruturas e eventos 
de sistema, por exemplo.
Você consegue perceber que a auditoria de banco de dados é realizada para 
evitar e identificar ações indevidas por parte do usuário por meio de seus acessos 
aos dados. Então, as informações sobre os acessos da base de dados são coletadas 
e analisadas para descobrir as possíveis falhas de segurança, mas, principalmente, 
a origem do problema.
AMBIENTE DE CONTROLE
Compreende integridade, valores éticos e competência das pessoas da organização, 
filosofia gerencial e estilo operacional, o modo como a administração delega auto-
ridade e responsabilidade, organiza e desenvolve as pessoas e a atenção e direção 
fornecida pelo conselho de administração.
UNIASSELVI
8
1
TEMA DE APRENDIZAGEM 4
A auditoria é uma funcionalidade do sistema de gerenciamento de banco 
de dados que possibilita que o administrador do banco de dados mantenha os 
registros da utilização dos recursos e privilégios do banco de dados. Quando a 
auditoria está habilitada, o sistema de gerenciamento de banco de dados man-
tém os registros de auditoria das operações do banco de dados, sendo que cada 
operação auditada fornece informações que identificam qual objeto foi afetado, 
qual usuário realizou a operação e quando. 
A auditoria é essencial para assegurar a segurança da informação, mas 
também melhora a performance do banco, identifica falhas de consultas e de 
sistema. Entretanto, é preciso considerar que a auditoria gera informações de 
auditoria que podem resultar em impacto na performance do sistema. Então, 
é fundamental definir um nível de granularidade da auditoria para armazenar 
somente informações necessárias. 
As informações de auditoria que geralmente são coletadas incluem: login e lo-
goff, reinício do servidor de banco de dados, comandos feitos por usuários com 
privilégios de administrador de sistema, tentativas de violação de integridade 
de dados, operações de inserção, alteração, deleção e seleção de dados, execução 
de stored procedures, tentativas de acessos ao banco de dados não permitidos, 
mudanças na estrutura. Agora vamos estudar o processo de organizar a auditoria!
COMO ORGANIZAR OS TRABALHO DE AUDITORIA
O processo de organização dos trabalhos de auditoria segue as seguintes es-
truturas didáticas: planejamento; escolha da equipe, programação da equipe; 
execução e documentação de trabalho; supervisão em campo; revisão dos papéis 
de trabalho, conclusão e emissão (follow-up) de relatórios; atualização do conhe-
cimento permanente e avaliação da equipe. Agora, vamos estudar cada um desses 
elementos da auditoria.
8
4
PLANEJAMENTO
O planejamento da auditoria é essencial para orientar o desenvolvimento dos 
trabalhos, bem como evitar surpresas que possam prejudicar os trabalhos dos 
auditores. Nessa etapa, deve ser construída uma “Matriz de Risco”, permanente-
mente atualizada, da seguinte maneira:
• Resultados obtidos nos testes e nas avaliações dos auditores.
• Impacto das mudanças ocorridas no negócio resultantes de alterações de 
estratégias empresariais.
• Evoluções tecnológicas.
• Alterações estatutárias, legislações.
Para completar o seus estudos, assista a um vídeo sobre dicas de como planejar 
uma auditoria! Recursos de mídia disponíveis no conteúdo digital do ambiente 
virtual de aprendizagem 
EU INDICO
ESCOLHA DA EQUIPE
Um planejamento completo e com base nas principais alterações do negócio in-
dicam o perfil básico da equipe de auditoria, o qual contempla o seguinte: perfil 
e histórico profissional; experiência acumulada por ramos de atividade; conhe-
cimentos específicos; apoio do grupo de especialização; formação acadêmica; 
línguas estrangeiras; disponibilidade para viagens.
UNIASSELVI
8
5
TEMA DE APRENDIZAGEM 4
O encarregado de auditoria deve programar a equipe para realizar os tra-
balhos. A programação de uma equipe de auditores com o perfil adequado para 
a execução do trabalho não é suficiente para garantir que todos os riscos de 
auditoria sejam mitigados pelos testes de auditoria. Para isso, é preciso observar 
as habilidades que possibilitam:
gerar programas de
trabalho que extraiam
dados corretos para
testes
selecionar
procedimentos mais
apropriados
incluir novos
procedimentos
classificar trabalhos
por visita
orçar tempo e
registrar o real
evidenciar
corretamente os
trabalhos realizados
gerar relatórios em
consonância com os
trabalhos efetuados
PAPÉIS E RESPONSABILIDADES 
Os treinamentos em segurança da informação precisam alcançar todos os 
funcionários de uma organização, através de palestras, workshops, seminá-
rios, cursos de extensão e especialização. O objetivo 
deve ser a conscientização sobre a importância da 
segurança da informação, bem como o exercício 
das atividades funcionais dentro dos requisitos de 
segurança estabelecidos pela organização. As orien-
tações gerais e específicas sobre segurança devem 
estar disponíveis para consulta.
Conscientização 
sobre a importância 
da segurança da 
informação
8
1
Além dos funcionários, os clientes, fornecedores, colaboradores e acionistas também 
precisam receber orientações sobre os procedimentos a serem adotados com 
relação à segurança da informação. As tarefas precisam ser efetuadas por auditores 
que tenham formação, experiência e treinamento no ramo de especialização. 
Dependendo da complexidade do ambiente operacional, aparente risco envol-
vido, os trabalhos serão desenvolvidos de acordo com a vivência profissional. A 
questão de supervisão é inerente ao processo de auditoria para garantir a qua-
lidade e certificar que as tarefas foram realizadas do modo correto e eficaz. Isso 
possibilita cobrir os riscos prováveis identificados. 
REVISÃO DOS PAPÉIS DE TRABALHOS
Como tarefa de atingir a qualidade exigida pelas práticas de auditoria, os papéis 
detrabalho são revisados pelos superiores. Eventualmente, em decorrência dos 
trabalhos de auditoria, falhas ou recomendações para melhorias são identificadas 
e limitam a conclusão do auditor, assim como determinados procedimentos que 
não tenham sido concluídos por restrições do próprio cliente.
No entanto, o revisor, não identificando outros passos de auditoria indepen-
dentes, poderá solicitar uma nova visita para completar os trabalhos. Contudo, 
para as pendências de revisão, deve ser analisado o reflexo do aumento ou alte-
ração do escopo, novos trabalhos, nova abordagem, impacto no parecer final, na 
carta de representação da gerência.
A fim de garantir a evolução e o aprimoramento técnico dos profissionais 
da equipe de auditoria, deve-se, para cada trabalho, emitir eletronicamente uma 
avaliação de desempenho já preenchida pelo superior. Isso é fundamental para 
nortear a promoção ou não do profissional.
UNIASSELVI
8
1
TEMA DE APRENDIZAGEM 4
ATUALIZAÇÃO DO CONHECIMENTO PERMANENTE
O conhecimento em auditoria é fundamental e serve como início para os 
próximos períodos. A manutenção adequada da documentação dos processos 
contribuem para a redução das horas de auditoria do período seguinte. Dentre 
as informações relevantes, destacam-se:
• Descrição do processo de negócio.
• Levantamento e avaliação do ambiente de controle.
• Documentação e conclusão sobre a avaliação dos controles dos processos 
relevantes.
• Matriz de risco que pontue riscos aparentes para todos os principais componentes 
da demonstração financeira.
• Exceções dos testes.
• Falhas ou fraquezas nos testes de controle internos.
• Programas de trabalho.
DOCUMENTAÇÃO DOS PAPÉIS DE TRABALHO
Os papéis de trabalho constituem um conjunto de formulários preenchidos lo-
gicamente no processo de auditoria de sistemas, com seus anexos que evidenciem 
os fatos relatados. Os papéis de trabalho sistêmicos são guardados em base de 
dados. Essas bases de papéis constituem informações de planejamento, execução, 
monitoramento e revisões, follow-up, controles do usuário do sistema e senhas 
e alguns recursos de auxílio ao usuário.
8
8
O PAPEL DO USUÁRIO NA SEGURANÇA DA INFORMAÇÃO E 
NA AUDITORIA
A informação é um ativo valioso e necessário. No en-
tanto, as pessoas são os principais atores responsáveis 
pela segurança da informação. A informação é essen-
cial para todas as organizações, que procuram sua 
disponibilidade de modo ágil, íntegro e confidencial.
Para que a tecnologia e os processos estejam disponíveis de modo adequado 
e possibilitem a integridade e confidencialidade da informação que rece-
bem, processam, armazenam e distribuem, existe um fator essencial, que são 
as pessoas, ou seja, os usuários. Caso estes não sigam o conjunto de regras ou 
práticas estabelecidas, corre-se o risco de produzir informações que irão levar a 
organização a tomar decisões incorretas.
Conforme Neto (2012, p. 22), “o usuário precisa ser sensibilizado para as 
questões de segurança, principalmente para os efeitos negativos que uma falha 
ou quebra de segurança pode ocasionar”. 
Um dos grandes problemas e ameaças observados na implementação de 
práticas e procedimentos na segurança da informação são os usuários. Por 
isso, é fundamental promover, dentro da organização, uma cultura de segu-
rança para garantir que as boas práticas sejam um componente natural do 
comportamento dos usuários.
Portanto, os usuários são considerados um dos 
elementos que provocam vulnerabilidades e even-
tuais danos aos sistemas, sendo pertinente verificar 
se estão sensibilizados para o uso de práticas adequa-
das e seguras no desempenho das suas tarefas.
A informação é 
um ativo valioso e 
necessário
Para você compreender a importância do usuário em todo o processo, leia essa 
reportagem sobre as principais práticas de segurança! Recursos de mídia dispo-
níveis no conteúdo digital do ambiente virtual de aprendizagem 
EU INDICO
Provocam 
vulnerabilidades e 
eventuais danos aos 
sistemas
UNIASSELVI
8
9
TEMA DE APRENDIZAGEM 4
PRINCIPAIS FERRAMENTAS PARA AUDITORIA DE BANCO 
DE DADOS 
As ferramentas de auditoria são instrumentos que o auditor tem para alcançar 
suas metas, definidas na etapa de planejamento de auditoria. As ferramentas de 
auditoria são, normalmente, classificadas em generalistas, especializadas e de 
utilidade geral.
FERRAMENTAS GENERALISTAS
São softwares que processam, simulam, realizam análises de amostras, geram 
dados estatísticos, identificam e apontam duplicidade no banco de dados ou, ainda, 
outras funções.
FERRAMENTAS ESPECIALIZADAS
São softwares que executam determinadas atividades em uma circunstância definida. 
Essa ferramenta pode ser criada pelo próprio auditor, pelos especialistas da organiza-
ção auditada ou por um terceiro contratado pelo auditor.
FERRAMENTAS DE UTILIDADE GERAL
São softwares utilitários usados para realizar algumas funções comuns de processa-
mento, tais como: selecionar arquivos de dados, sumarizar ou gerar relatórios, dentre 
outros. Essas ferramentas não foram desenvolvidas para realizar atividades de audi-
toria, por isso não possuem recursos como gravação das trilhas de auditoria. Então, 
você pode perceber que a vantagem dessa ferramenta é que ela pode ser usada 
como “quebra-galho”.
Agora, chegou o momento de conhecer as principais ferramentas para a realiza-
ção de auditoria do banco de dados.
A auditoria com triggers (gatilhos) é realizada com o desenvolvimento de ga-
tilhos disparados a cada modificação nos dados das tabelas por meio dos comandos 
INSERT, UPDATE ou DELETE (Figura 1). Segundo Nascimento (2012, p. 13):
9
1
 “ Geralmente, os dados armazenados pelas triggers são os valores da 
linha alterada, antes e depois da alteração, em uma tabela que espe-
lha a original e mantém dados adicionais como data de atualização, 
usuário que executou ou tipo de operação. Tendo as informações 
armazenadas pelos gatilhos, pode-se fazer consultas para recuperar 
os dados, saber das operações de cada usuário, dentre outros, de-
pendendo das informações armazenadas pelos gatilhos. 
tb_tabela
codigo
nomeempresa
nomecontato
tb_log
codigo
usuario
data
acao
Ação
Log de eventos
do windows
ALERTA
Trigger
Operador
Figura 1 - Representação de triggers (gatilhos) / Fonte: Devmedia (2006, on-line).
Descrição da Imagem: Na figura, estão dispostos dois quadros. O primeiro, à esquerda, está com o título “tb_ta-
bela” e três linhas com as descrições “codigo; nomeempresa; nomecontato” e abaixo, e na direção destas, há uma 
seta com a descrição “Ação” e desta mesma tabela, parte uma seta com a descrição “Trigger”, e deste título saem 
outras duas setas. A primeira direciona para o quadro “tb_log”, e quatro linhas com as descrições “codigo; usuario; 
data; e acao”; a segunda seta direciona para um balão com a descrição “Log de eventos do Windows”. Deste mesmo 
balão, parte uma seta em direção a um segundo balão com a descrição “Alerta” seguido da seta que direciona ao 
ícone de usuário com a descrição “Operador”. Fim da descrição.
O primeiro quadro o usuário faz uma ação inserindo, alterando ou excluindo 
dados de uma determinada tabela (quadro tb tabela). Uma flecha indica o trigger 
da ação em questão, insert, update ou delete, gera uma entrada na tabela de log 
(tb log), além de disparar a mensagem de erro que será capturada pelo alerta e 
direcionada ao operador.
UNIASSELVI
9
1
TEMA DE APRENDIZAGEM 4
As ferramentas third-party usam agentes que pretendem acessar a memória com-
partilhada do sistema de gerenciamento do banco de dados para adquirir as opera-
ções SQL executadas. Esse tipo de ferramenta, geralmente, possui funcionalidades 
como alertas em tempo real para que atividades suspeitas sejam rapidamente 
detectadas, tratadas e monitoradas pelos administradores de bancos de dados.
Assista ao vídeo para você compreender o que são triggers (gatilhos) e como criá-
-los em seu banco de dados. Os gatilhos podem facilitar seu trabalho, pois, por 
meio de ações como INSERT,UPDATE e DELETE em suas tabelas, pode-se disparar 
eventos e ações. Recursos de mídia disponíveis no conteúdo digital do ambien-
te virtual de aprendizagem 
EU INDICO
Você sabe o que significa dados third-party?
Os dados third-party são disponibilizados por provedores de dados que reúnem 
dados e informações de diferentes fontes (on-line ou off-line). Os third-party co-
brem toda a experiência do consumidor como, por exemplo, desde quando o in-
divíduo teve o desejo por determinado serviço até quando ele efetua a compra.
APROFUNDANDO
9
1
Um ponto importante a ser destacado é que os sistemas de gerenciamento de 
banco de dados possibilitam o armazenamento de informações das ações toma-
das no sistema em arquivos de log, como eventos de sistema, transações feitas no 
banco e mudanças de privilégios. Desse modo, esses arquivos podem ser usados 
para realizar a auditoria. Para ser realizar esse tipo de auditoria, costuma-se usar 
um software para análise dos logs gerados. Os logs devem estar configurados 
conforme as necessidades da auditoria e do software.
Então, você pode perceber que todos os bancos de dados têm logs associados 
a eles, sendo que esses logs mantêm registros das modificações do banco de da-
dos. Em situações que um banco de dados precise ser restaurado, os logs serão 
necessários para realizar rollforward dos dados até o ponto de falha. Isso signi-
fica que os registros efetuados nos logs são fontes de informação para o auditor, 
bem como para o cumprimento dos requisitos de segurança em banco de dados.
Entretanto, esses registros, geralmente, não são fáceis de serem analisados, 
por diversos fatores, como disponibilidade e complexidade do formato de log ou, 
ainda, volume de dados. Além do mais, cada sistema de gerenciamento de banco 
de dados tem seu próprio formato de log.
Você sabe o que é rollforward? 
O auditor pode realizar um teste conhecido como rollforward que consiste ave-
riguar a efetividade performada sobre a execução de um controle complementar 
ao período escopo da auditoria de modo a cobrir um período planejado.
APROFUNDANDO
Um ponto a ser considerado é que coleta inicial dos logs possui potencial para 
afetar a performance do banco de dados, mas a coleta remota dos logs tem menos 
probabilidades de prejudicar a performance do banco de dados. Para evitar os 
impactos sobre o desempenho do banco de dados no momento da coleta dos logs, 
é interessante realizar um agendamento das coletas para horários de baixo acesso. 
Agora, vamos entender os sistemas de banco de dados DB2, que dispo-
nibilizam um mecanismo de auditoria para ajudar na detecção de acesso des-
conhecida ou imprevista aos dados. A implementação da auditoria DB2 gera e 
UNIASSELVI
9
1
TEMA DE APRENDIZAGEM 4
possibilita a manutenção de uma trilha de auditoria para uma série de eventos 
predefinidos no banco de dados.
O sistema DB2 usa uma estrutura denominada DB2 data structures, tanto 
para organizar quanto para gerenciar bases de dados. A estrutura DB2 é formada 
por determinados objetos que são utilizados para manipular os dados de modo 
fácil, ágil e eficaz.
Assista ao vídeo que aborda porque você deve considerar o uso do DB2 como seu 
sistema de gerenciamento de banco de dados. O DB2 é uma escolha confiável e 
poderosa para empresas de todos os tamanhos. Recursos de mídia disponíveis 
no conteúdo digital do ambiente virtual de aprendizagem 
EU INDICO
Outra ferramenta importante é o Audit Command Language (ACL), que foi de-
senvolvido pela empresa canadense ACL Business Assurance. Esse software ajuda 
auditores internos e externos no cumprimento de testes em arquivos de dados. Essa 
ferramenta é considerada eficaz para extrair, tratar e analisar informações no banco 
de dados, com o objetivo de identificar erros e riscos gerais de uma organização 
relacionados a dados transacionais incompletos, imprecisos e inconsistentes.
Uma vantagem do ACL é a possibilidade de analisar populações inteiras de 
dados, identificando tendências ou exceções, bem como evidenciando as áreas 
potenciais de preocupação. Segundo Souza e Barbosa (2013, p. 4):
 “ O ACL é uma ferramenta totalmente dependente do conhecimento 
do usuário acerca da própria ferramenta e das particularidades do 
nicho em que se queira trabalhar. Isso exige um forte conhecimento 
dos dados disponíveis, inclusive conhecimentos adquiridos através 
dos resultados apurados em experiências passadas, projetando-os 
em expressões a serem utilizadas. 
9
4
COMPREENDENDO O QUE É TRILHA DE AUDITORIA
Uma trilha de auditoria é utilizada para garantir o fluxo preciso das transações 
em um sistema de gerenciamento de banco de dados. Isso representa que cada de-
talhe de uma fonte e entrada de um determinado documento ou transação precisa 
ser realizada considerando um relatório ou arquivo. Segundo Gabriel (2021, p. 16):
 “ As trilhas de auditoria, as quais também são chamadas de logs, são 
utilizadas com o objetivo de assegurar o fluxo preciso das ações 
executadas dentro de um sistema. Toda entrada, transação ou fonte 
de um determinado documento precisa ser feita e registrada em um 
relatório ou arquivo.
A importância de uma trilha de auditoria é que as informações estratégicas 
sejam confiáveis, tempestivas e, em ampla escala, possibilitem:
Identificar possíveis irregularidades, no
intuito de prevenir outras ocorrências;
elaborar cenários que auxiliem a execução
das atividades organizacionais
Prover informações necessárias para o
processo de controle e monitoramento
Permitir a produção tempestiva e
apropriada de conhecimento para a
tomada de decisão
Intensificar a celeridade e a exatidão
de decisões organizacionais
UNIASSELVI
9
5
TEMA DE APRENDIZAGEM 4
As trilhas de auditoria são classificadas de acordo com as informações extraídas 
dos temas trabalhados, podendo ser:
• Trilhas gerenciais: contextualizam informações, fornecendo indicadores para a 
gestão. Além disso, asseguram suporte ao planejamento e execução de auditorias 
ou inspeções.
• Trilhas operacionais: apresentam possíveis indícios de vulnerabilidades, 
evidenciando alertas de situações irregulares.
A trilha de auditoria desempenha um papel fundamental na garantia da precisão 
do fluxo de transações em um sistema de gerenciamento de banco de dados. 
Sua importância reside no fato de que ela registra todas as atividades realizadas 
no sistema, desde a criação de novos registros até a modificação ou exclusão de 
dados existentes. Essa trilha de auditoria é essencial para rastrear e monitorar o 
histórico de transações, permitindo que os administradores identifiquem qual-
quer atividade suspeita ou irregularidades. 
Além disso, a trilha de auditoria também é uma ferramenta valiosa para ga-
rantir a conformidade com regulamentos e políticas internas, pois fornece uma 
documentação detalhada de todas as ações realizadas no banco de dados. Em 
resumo, a trilha de auditoria é uma salvaguarda essencial para garantir a inte-
gridade e segurança dos dados, bem como para fornecer uma visão completa e 
precisa das atividades realizadas no sistema de gerenciamento de banco de dados.
Estudante, aguardo você na nossa videoaula para falarmos mais sobre assuntos 
pertinentes a este tema de aprendizagem. Vamos lá? Recursos de mídia disponí-
veis no conteúdo digital do ambiente virtual de aprendizagem 
EM FOCO
9
1
NOVOS DESAFIOS
A digitalização das organizações por meio da implementação de inúmeros 
recursos tecnológicos aos seus processos gerenciais acarreta inúmeras vanta-
gens competitivas, tais como a capacidade de processar um grande volume de 
dados e informações. Por consequência, aumenta a capacidade do atendimento 
de demandas, reduzindo, assim, as possibilidades de eventuais falhas ou, ainda, 
omissões relacionadas a processos manuais.
No entanto, todo esse processo gera novos riscos associados aos ativos da 
organização. Então, você pode perceber a importância de garantir a segurança, 
inviolabilidade e integridade das informações con-
tidas em um sistemade gerenciamento de banco de 
dados. A maneira mais comum de assegurar a prote-
ção dos dados e informações é por meio da auditoria, 
que tem por objetivo avaliar a efetividade e eficiência 
dos controles para mitigação dos riscos aos quais a 
organização possa estar exposta.
Você percebe a importância do profissional e como ele precisa possuir deter-
minadas habilidades e características para realizar uma auditoria adequada a 
cada organização. O profissional precisa ser analítico, detalhista e compreender 
as regras e diretrizes a serem auditadas. Agora, para se comunicar com o cliente 
ou com os membros da equipe, esses profissionais precisam ser comunicativos 
e ter habilidades interpessoais, mas, principalmente, os auditores devem ser 
capazes de solucionar e reconhecer problemas, porém oferecendo soluções. 
Garantir a 
segurança, 
inviolabilidade e 
integridade das 
informações
UNIASSELVI
9
1
1. A auditoria tem como objetivo analisar toda a infraestrutura, verificar as possibilidades de 
violações de segurança e, ainda, examinar todo o controle interno dos sistemas de uma 
organização.
Considerando esse contexto, sobre a auditoria, assinale a opção correta:
a) A auditoria deve concentrar os seus esforços principalmente na análise e testes, bem 
como examinando a estrutura lógica, física, ambiental, organizacional de controle, se-
gurança e proteção de dados.
b) Uma das principais e únicas responsabilidades da auditoria é a identificação de ações 
suspeitas e fraudulentas por parte de um determinado usuário, coletando dados sobre 
suas atividades no banco de dados.
c) A auditoria compreende o processo sistemático de obtenção e avaliação de evidências 
com foco em afirmações sobre ações e eventos econômicos para avaliar o grau de 
correspondência entre essas afirmações e os critérios estabelecidos, para comunicação 
dos resultados aos usuários interessados.
d) O serviço de auditoria proporciona armazenamento seguro e permanente dos registros 
de através de planejamento, organização, direção e controle das melhores práticas de 
segurança, visando somente à disponibilidade da informação.
e) A auditoria é um processo simples e rápido de implementação que envolve elementos 
tecnológicos e humanos. Então, a auditoria precisa ser efetuada de modo dependente e 
transparente para que todas as informações relevantes sejam devidamente catalogadas.
2 O processo de organização dos trabalhos de auditoria segue as seguintes estruturas didáti-
cas: planejamento; escolha da equipe, programação da equipe; execução e documentação 
de trabalho; supervisão em campo; revisão dos papéis de trabalho, conclusão e emissão 
(follow-up) de relatórios; atualização do conhecimento permanente e avaliação da equipe 
Considerando esse contexto sobre a organização dos trabalhos de auditoria, assinale a 
opção correta.
a) Na etapa de planejamento da auditoria, deve ser construída uma “Matriz de Impactos”, 
permanentemente atualizada, que se adapte às condições de segurança estabelecidas 
pela organização.
b) O planejamento da auditoria é essencial para orientar o desenvolvimento dos trabalhos, 
bem como evitar surpresas que possam prejudicar os trabalhos dos auditores.
c) Um planejamento completo e com base nas principais alterações do negócio indicam o 
perfil básico da equipe de auditoria, bem como nos indivíduos causadores de ameaças, 
evitando que estes explorem vulnerabilidades da auditoria.
AUTOATIVIDADE
9
8
d) A programação de uma equipe de auditores corretivos é suficiente para garantir que 
todos os riscos de auditoria sejam mitigados pelos testes de auditoria.
e) Os treinamentos em segurança da informação precisam alcançar os funcionários de alta 
hierarquia de uma organização por meio de palestras e workshops, entretanto é preciso 
consultar o responsável pela organização.
3. A auditoria é uma funcionalidade do sistema de gerenciamento de banco de dados que 
possibilita que o administrador do banco de dados mantenha os registros da utilização dos 
recursos e privilégios do banco de dados. Quando a auditoria está habilitada, o sistema de 
gerenciamento de banco de dados mantém os registros de auditoria das operações do 
banco de dados, sendo que cada operação auditada fornece informações que identificam 
qual objeto foi afetado, qual usuário realizou a operação e quando.
Considerando esse contexto sobre a auditoria de banco de dados, assinale a opção correta:
a) A auditoria é essencial para assegurar a segurança da informação, mas causa impactos 
na performance do banco, identificação de falhas de consultas e de sistema.
b) A auditoria gera informações de auditoria que podem resultar em impacto na perfor-
mance do sistema. Então, é fundamental definir um nível de granularidade da auditoria 
para armazenar somente informações necessárias.
c) As informações de auditoria que geralmente são coletadas incluem: login e logoff, rei-
nício do servidor de banco de dados, comandos feitos por usuários com privilégios de 
administrador de sistema e geração de dados de código aberto.
d) A auditoria é um sistema de gerenciamento de banco de dados relacional que executa 
o software de clientes.
e) Os sistemas de gerenciamento de banco de dados não possuem funcionalidades para 
elaborar registros de auditoria para transações no banco, modificações nas suas estru-
turas e eventos de sistema, por exemplo.
AUTOATIVIDADE
9
9
REFERÊNCIAS
DEVMEDIA. Auditoria usando Alertas no SQL Server 2000. 2006. Disponível em: https://www.
devmedia.com.br/auditoria-usando-alertas-no-sql-server-2000/4086. Acesso em: 21 ago. 
2006.
GABRIEL, D. B. Trilhas de auditoria com blockchain: uma análise de desempenho em algorit-
mos transacionais. Novo Hamburgo: Universidade Feevale, 2021.
NASCIMENTO, G. de M. do. Audilog: uma ferramenta para auditoria de banco de dados. 
Florianópolis: Universidade Federal de Santa Catarina, 2012.
NETO, F. X. F. Proposta de método de auditoria aos projetos de software baseados no proces-
so unificado. Centro Estadual de Educação Tecnológica Paula Souza. Mestrado em Tecnologia. 
São Paulo, maio 2012.
SOUZA, R. A. A. de; BARBOSA, L. F. de F. P. W. Utilização de software ACL (Audit Command Lan-
guage) para redução do índice de perdas comerciais em concessionárias de energia elétrica. 
VIII Encontro Latino Americano de Pós-Graduação. Anais [...]. Universidade do Vale do Paraíba, 
2004.
1
1
1
https://www.devmedia.com.br/auditoria-usando-alertas-no-sql-server-2000/4086
https://www.devmedia.com.br/auditoria-usando-alertas-no-sql-server-2000/4086
1. Opção C. A auditoria deve concentrar os seus esforços na análise e avaliação dos processos 
de planejamento, desenvolvimento, testes e aplicação de sistemas, bem como examinando a 
estrutura lógica, física, ambiental, organizacional de controle, segurança e proteção de dados.
Uma das primeiras e mais importantes responsabilidades da auditoria é a identificação de 
ações suspeitas e fraudulentas por parte de um determinado usuário, coletando dados sobre 
suas atividades no banco de dados.
O serviço de auditoria proporciona armazenamento seguro e permanente dos registros de 
log, para que seja possível detectar falhas de segurança quando estas ocorrerem.
A auditoria precisa ser efetuada de modo independente e transparente para que todas as 
informações relevantes sejam devidamente catalogadas.
2. Opção B. Na etapa de planejamento, deve ser construída uma “Matriz de Risco” permanen-
temente atualizada.
Um planejamento completo e com base nas principais alterações do negócio indicam o perfil 
básico da equipe de auditoria, o qual contempla o seguinte: perfil e histórico profissional; 
experiência acumulada por ramos de atividade; conhecimentos específicos; apoio do grupo 
de especialização; formação acadêmica; línguas estrangeiras; disponibilidade para viagens.
A programação de uma equipe de auditores com o perfil adequado para a execução do 
trabalho não é suficiente para garantir que todos os riscos de auditoria sejam mitigados 
pelostestes de auditoria.
Os treinamentos em segurança da informação precisam alcançar todos os funcionários 
de uma organização, por meio de palestras, workshops, seminários, cursos de extensão e 
especialização.
3. Opção B. A auditoria é essencial para assegurar a segurança da informação, mas também 
melhora a performance do banco, identifica falhas de consultas e de sistema.
As informações de auditoria que geralmente são coletadas incluem: login e logoff, reinício 
do servidor de banco de dados, comandos feitos por usuários com privilégios de adminis-
trador de sistema etc.
Os sistemas de gerenciamento de banco de dados possuem funcionalidades para elaborar 
registros de auditoria para transações no banco, modificações nas suas estruturas e eventos 
de sistema, por exemplo.
GABARITO
1
1
1
MINHAS ANOTAÇÕES
1
1
1
MINHAS ANOTAÇÕES
1
1
1
MINHAS METAS
AUTENTICAÇÃO E AUTORIZAÇÃO
Identificar os tipos de proteção da segurança física.
Compreender a importância de proteger as informações e dados.
Entender o funcionamento da criptografia.
Diferenciar autorização e autenticação.
Compreender a importância da biometria.
Identificar os diferentes tipos de privilégios.
Relacionar a importância da criptografia com a segurança dos dados.
T E M A D E A P R E N D I Z A G E M 5
1
1
4
INICIE SUA JORNADA
Não temos dúvidas de que a informação se tornou fundamental em nossas vi-
das, e, por isso, há preocupação crescente com a segurança dessa informação 
e com a vulnerabilidade dos sistemas computacionais que as armazenam, 
manipulam e gerenciam.
O que podemos perceber é que grande parte das atividades que cada um de 
nós realiza tanto nas atividades profissionais quanto pessoais envolvem a trans-
missão de informação sensível, como, por exemplo, quando você compra um 
produto e disponibiliza no site os dados do cartão de crédito. Então, essas infor-
mações precisam e devem ser protegidas. Mas o que significa um sistema seguro?
Essa resposta é variável, já que está relacionada ao nível de segurança que é 
necessário para proteger o sistema. Isso ocorre porque cada organização possui 
necessidades distintas de segurança para armazenar e comunicar a informação 
em meio eletrônico. Então, que ferramentas utilizar?
Atualmente, temos disponíveis no mercado aplicativos e equipamentos que 
proporcionam a segurança contra ataques de usuários não autorizados. A utili-
zação de software e de hardware adequado proporciona a proteção dos sistemas 
computacionais em diversos níveis. Todos esses conceitos e fundamentos serão 
melhor destrinchados ao longo deste tema de aprendizagem. Vamos lá!?
Neste podcast, você será guiado a iniciar a reflexão sobre a importância de levantar 
as vulnerabilidades de segurança dentro de uma organização. O que você poderá 
perceber é que as vulnerabilidades têm relação direta com os ataques. Recursos 
de mídia disponíveis no conteúdo digital do ambiente virtual de aprendizagem 
PLAY NO CONHECIMENTO
VAMOS RECORDAR?
Para relembrar, vamos conceituar o que é criptografia e a sua relação com as 
mensagens secretas. Recursos de mídia disponíveis no conteúdo digital do 
ambiente virtual de aprendizagem 
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 5
DESENVOLVA SEU POTENCIAL
SEGURANÇA FÍSICA DA INFORMAÇÃO
O número crescente de indivíduos que acessam a internet, o aumento da in-
formatização, o grande volume de dados gerados, bem como o grau de dados 
sensíveis armazenados nos bancos de dados estão 
aumentando de modo exponencial. Consequente-
mente, tem-se a necessidade de proteger esses dados 
para que não fiquem vulneráveis a acessos indevidos. 
Mas como fazer a segurança física desses dados?
Conforme Marques (2018, p. 3): “segurança física é 
a aplicação de medidas físicas, técnicas e procedimentais de proteção para impedir 
o acesso não autorizado a informação considerada sensível, onde se inclui aquela 
que contém dados pessoais”.
O objetivo da segurança física é assegurar a proteção sobre a informação 
sensível para que somente usuários autorizados tenham acesso a ela, sendo, 
por isso, importante:
• Garantir que os dados pessoais sejam utilizados e armazenados de modo correto.
• Dificultar ou negar a entrada de usuários não autorizados.
• Impedir, desestimular e detectar ações não autorizadas.
• Detectar de modo eficiente quebras de segurança.
A tomada de decisão em relação ao grau de segurança física precisa considerar 
os seguintes aspectos:
Proteger os dados 
para que não fiquem 
vulneráveis a 
acessos indevidos
1
1
1
 ■ Nível de criticidade da informação.
 ■ Quantidade e a forma das informações tratadas e armazenadas.
 ■ Princípio da necessidade de conhecer.
 ■ Avaliação da ameaça local.
De acordo com Marques (2018, p. 4):
 “ A combinação apropriada de medidas de segurança físicas a serem 
implementadas deve ser determinada com base no resultado da 
análise prévia do risco. A exigência das medidas deve ser propor-
cional ao risco identificado. Para novas instalações, os requisitos de 
segurança física devem ser incluídos na sua concepção, desde a fase 
inicial do projeto e como parte integrante do planejamento. Para 
instalações existentes, os requisitos de segurança física devem ser 
implementados na medida do possível, respeitando as prioridades 
de segurança previamente estabelecidas.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
A medidas de segurança física precisam atingir diversos níveis para assegurar a 
defesa em três tipos de profundidade, sendo:
O tipo de permissão para cada dispositivo é considerado o principal culpado 
da segurança da informação. O controle de acesso tem como responsabilidade 
promover a proteção dos softwares, aplicativos, bem como alteração e divulga-
ção não autorizada da informação. O controle de acesso lógico utiliza progra-
mas e softwares para combater a utilização de ferramentas não autorizadas. É 
fundamental a manutenção da identificação do usuário por lD e senha, como 
também um sistema robusto onde haja os logs de entrada e saída do usuário.
PRIVILÉGIOS E A SEGURANÇA NO DIA A DIA
Os privilégios podem ser denominados também de autorizações que repre-
sentam concessões únicas realizadas a usuários ou grupos de usuários e que 
delimitam o modo como deverá ser acessado determinado objeto. Isso significa 
que é processo que permite que um determinado indivíduo possa ou não fazer 
PRIMEIRA:
Define a zona a ser protegida e impede o acesso não autorizado à mesma.
SEGUNDA
Detecta o acesso não autorizado ou, ainda, as tentativas de acesso. Emite um alerta 
ao serviço de segurança ou às autoridades competentes.
TERCEIRA
Retarda os intrusos para assegurar a possibilidade de intervenção do serviço de segu-
rança, bem como das autoridades competentes.
1
1
8
algo. Na prática, a autorização delimita o acesso a arquivos, horas de acesso e, 
ainda, o total de espaço designado.
Desse modo, por meio dos privilégios, são conferidas as autorizações para 
alterar ou acessar determinados recursos disponibilizados no banco de dados. 
Um exemplo, para ficar mais evidente, é o processo de autorização para permitir 
que um usuário se conecte ao banco de dados e consiga realizar consultas nos 
registros de tabelas de outros escopos. É importante ressaltar que o próprio banco 
de dados armazena essas autorizações.
Existem inúmeros tipos de privilégios que podem ser concedidos, sendo:
 ■ Privilégios de sistema: receber privilégios de sistema permite ao usuá-
rio elaborar e modificar objetos no banco de dados, porém não possibilita 
o acesso aos objetos já existentes no banco de dados. Você pode perceber 
que os privilégios de sistema admitem que usuários realizem ações es-
pecíficas de sistema ou de um objeto. Esse tipo de privilégio é concedido 
somente aos administradores e desenvolvedores.
 ■ Privilégios de objeto: quando um determinado objeto é elaborado no 
banco de dados, quem desenvolve este objeto é o seu dono. Isso repre-
senta que somente o dono de um objeto tem a autorização para efetuar 
atividadesCONHECIMENTO
INFORMAÇÕES
DADOS
Figura 1 - Pirâmide dos conceitos de dados, informação e conhecimento / Fonte: o autor.
Descrição da Imagem: Na imagem, temos um esquema de um triângulo que representa os conceitos de dados, 
informações e conhecimento. Na base do triângulo, temos a representação dos dados, seguida das informações 
e, no topo do triângulo, conhecimento.Fim da descrição.
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
Segundo Lemos (2018 apud DIAS, 2021, p. 4):
 “ Alguns dos principais termos definidos pela Lei em seu Artigo 5º 
são: Dado Pessoal: qualquer dado relacionado a pessoa natural di-
retamente identificada ou identificável. Dado Pessoal sensível: dado 
genético, biométrico, de saúde, vida e orientação sexual, origem ra-
cial ou étnica; de convicção política, sindical, filosófica ou religiosa. 
Tratamento de Dados: qualquer operação que possa ser realizada 
nos dados. Ex.: coleta, armazenamento, utilização, transmissão, mo-
dificação, eliminação.
Segundo Fontes (2012, p. 16), “informação constitui o ato ou efeito de expedir 
ou de receber mensagens, ou o conteúdo da própria mensagem, em especial 
nos seus aspectos mais importantes de transmissão de conhecimento de uma 
pessoa para outra, de um sistema para outro, de um país para outro”. O autor 
acrescenta que, no âmbito da informática, “define uma instrução codificada de 
um emissor para um receptor, ou um dado com algum valor para uma solução 
ou conhecimento específicos.”
APROFUNDANDO
Você já ouviu falar da LGPD, que é a sigla para Lei Geral de Pro-
teção de Dados? Depois de muita polêmica envolvendo seu 
início e alguns adiamentos, a lei foi, finalmente, sancionada 
em 18 de setembro de 2020 . Isso significa que, a partir desse 
dia, ela começou a valer no Brasil. Acesse o link https://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.
htm e leia a lei na íntegra. Recursos de mídia disponíveis no 
conteúdo digital no ambiente virtual de aprendizagem.
EU INDICO
1
1
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
TIPOS DE CONHECIMENTO
É preciso avaliar se todas as informações são valiosas à organização, ou melhor, 
cada organização precisa definir quais informações são ativos intelectuais e 
baseadas em conhecimento. Geralmente, os ativos intelectuais e baseados no 
conhecimento são segmentados em duas categorias, sendo elas: explícito e tácito 
(Quadro 1) (MAZIERO, 2019).
TIPO DE CONHECIMENTO DESCRIÇÃO
EXPLÍCITO
Tudo o que pode ser documentado, arquivado, co-
dificado. Por exemplo: patentes, marcas, planos de 
negócios, listas de clientes, dentre outros.
TÁCITO
O conhecimento contido nos indivíduos, sendo um 
desafio descobrir como reconhecer, gerar, compar-
tilhar e gerenciar essa categoria de conhecimento.
Um dos grandes desafios das organizações está em saber extrair o conheci-
mento gerado e acumulado ao longo dos anos por um funcionário. Nesse senti-
do, o conceito de gestão do conhecimento surgiu no início da década de 1990, 
definido não mais como uma moda da eficiência operacional, mas, sim, como 
uma parte estratégica das organizações.
Pode ser aplicada em qualquer empresa, entretanto exige a criação de novos 
modelos organizacionais, com estruturas, processos, sistemas gerenciais e 
posições de liderança que permitam enfrentar qualquer barreira existente nos 
processos de transformação da organização.
A gestão do conhecimento consiste na administração dos ativos de conhe-
cimento de uma organização. É um processo sistemático de identificação, 
criação, renovação e aplicação dos conhecimentos estratégicos na vida de uma 
companhia. O conceito abrange um conjunto de metodologias e tecnologias 
que visam criar condições para identificar, integrar, capturar, recuperar e com-
partilhar o conhecimento existente nas organizações.
APROFUNDANDO
Quadro 1 - Tipos de conhecimento / Fonte: adaptado de Baltzan e Phillips (2012). 
UNIASSELVI
1
1
https://www.oconhecimento.com.br/gestao-do-conhecimento-e-sinonimo-de-vantagem-competitiva/
https://www.oconhecimento.com.br/passo-a-passo-para-implementar-a-gestao-do-conhecimento/
https://www.oconhecimento.com.br/ativos-intangiveis-a-importancia-do-conhecimento-de-uma-empresa/
https://www.oconhecimento.com.br/ativos-intangiveis-a-importancia-do-conhecimento-de-uma-empresa/
TEMA DE APRENDIZAGEM 1
UMA ABORDAGEM SOBRE BANCO DE DADOS
Antes de iniciar o assunto sobre segurança, é preciso que você compreenda o que 
é um banco de dados e, principalmente, qual sua função e importância dentro 
de uma organização. O dado é considerado um componente básico para compor 
um determinado arquivo. O registro dará uma informação completa, já que ele 
é formado por uma sequência de dados juntos (OLIVEIRA, 2017). Um exemplo 
prático para você compreender é o registro de um cliente em uma loja que com-
põe os seguintes dados: nome completo, CPF e endereço. Então, quando se tem 
muitos registros de inúmeros clientes, cria-se um arquivo denominado “pessoa”. 
O que você pode perceber é que o registro é composto, nesse exemplo, por 
quatro itens de dados (campos): nome completo, CPF, endereço e o código do 
cliente. No banco de dados, as fichas dos clientes formarão o arquivo “cliente”. 
Existem muitos tipos de banco de dados, e eles estão presentes na nossa rotina 
diária, como, por exemplo, uma agenda de contatos, ou, ainda, algo bem simples 
como o seu guarda-roupa. Mas, afinal, o que é um bando de dados?
Um banco de dados é considerado um sistema que coleta, guarda e disponi-
biliza informações de modo que possam ser acessadas. Então, no exemplo do 
guarda-roupa, quando você organiza as suas peças por tipo, cores e estações do 
ano, ficará mais fácil de utilizar e visualizar as suas roupas. Por isso, podemos 
dizer que um banco de dados representa um conjunto de arquivos relacionados 
entre si que armazenam informações sobre determinado indivíduo, situação ou 
produto, dentre outros.
Você ficou curioso para saber mais sobre o conhecimento? 
Veja o vídeo de uma palestra de Mario Sergio Cortella sobre 
Conhecimento para Encantar acessando o link: https://www.
youtube.com/watch?v=TEyf3YdOzWI. Recursos de mídia 
disponíveis no conteúdo digital no ambiente virtual de 
aprendizagem.
EU INDICO
1
4
https://www.youtube.com/watch?v=TEyf3YdOzWI
https://www.youtube.com/watch?v=TEyf3YdOzWI
Agora, vamos exemplificar os termos utilizados para banco de dados:
Confira o vídeo O que é banco de dados e porque interessa 
aprender sobre isso? Ele irá contribuir para que você com-
preenda o conceito de banco de dados e sua importância 
no gerenciamento das informações para tomada de de-
cisões: https://www.youtube.com/watch?app=desktop&v=X-
fO3TRvESBo. Recursos de mídia disponíveis no conteúdo 
digital no ambiente virtual de aprendizagem.
EU INDICO
ENTIDADES
São consideradas as tabelas do banco de dados. No exemplo de uma loja de cos-
méticos que deseja armazenar os dados dos clientes, a entidade é o cliente, no 
qual são inseridos seis atributos (dados do cliente).
ATRIBUTOS
São os campos das entidades, ou seja, correspondem a todas as características 
ou dados relacionados com a entidade a que se deseja guardar.
DOMÍNIOS
São considerados os valores possíveis de dados armazenados.
Você pode perceber que os bancos de dados representam o centro primordial 
da maioria dos sistemas de informação. Porém, o objetivo do banco de dados 
não é somente armazenar dados. É, também, tornar ágil o processo de consultas, 
alterações e exclusões de dados para que o banco de dados seja confiável, eficaz 
e eficiente no processo de tomada de decisões.
UNIASSELVI
1
5
https://www.youtube.com/watch?app=desktop&v=XfO3TRvESBo
https://www.youtube.com/watch?app=desktop&v=XfO3TRvESBocom esse objeto. Então, para que outros usuários possam usar 
esse objeto, é preciso que privilégios sejam concedidos.
Se você quiser descobrir mais tipos de privilégios, leia o artigo da IBM sobre este 
tema. Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem 
EU INDICO
VOCÊ SABE RESPONDER?
Agora, o que fazer para conceder ou revogar privilégios?
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 5
A concessão ou a revogação de privilégios é realizada pelo módulo funcional 
DCL (Data Control Language), que controla o acesso do banco de dados garan-
tindo, alterando ou revogando os acessos através de comandos estipulados que 
alteram o tipo de privilégio dos usuários.
O que você pode perceber é que a ferramenta DCL atua na segurança de 
bancos de dados, sendo os indivíduos os responsáveis pela segurança ao atribuir, 
ajustar e revogar os direitos de acesso de usuários do sistema a bancos de dados. 
Conforme Oliveira (2017, p. 58): 
 “ Os comandos realizarão exatamente aquilo que deles for demanda-
do, desde que esses comandos sejam sintaticamente corretos e quem 
os tente executar tenha os privilégios adequados para tais operações. 
Contudo, se os privilégios atribuídos a um usuário forem superiores 
aos que ele de fato tem direito, por exemplo, não podemos creden-
ciar os problemas daí provenientes à DCL, mas, sim, ao processo 
de segurança, que se mostra falho. 
A linguagem SQL padrão propõe a utilização dos comandos de concessão (grant) 
e revogação (revoke). Esses comandos padrão, por sua vez, incluem os privilégios 
de selecionar (select), inserir (insert), modificar (alter) e apagar (delete). Esses privi-
légios de concessão e revogação são verificados pelo controle de acesso e repre-
sentam a principal interface do usuário para controlar o subsistema de autorização 
ou privilégios (SANTOS, 2014).
APROFUNDANDO
VOCÊ SABE RESPONDER?
Você já parou para refletir sobre as diferenças entre autenticação e autorização?
A AUTENTICAÇÃO E A AUTORIZAÇÃO
1
1
1
Conforme Baltzan e Phillips (2012, p. 110):
 “ A autenticação é um método para confirmar as identidades dos 
usuários. Um vez que o sistema confirma a autenticação de um usuá-
rio, ele pode, assim, atribuir privilégios de acesso para o usuário. A 
autorização é o processo de permitir a alguém fazer ou ter algo.
Então a autenticação verifica as credenciais que um usuário disponi-
biliza com aquelas armazenadas em um sistema para averiguar que 
o usuário é realmente ele. Os métodos de autenticação podem ser:
AUTENTICAÇÃO DE FATOR ÚNICO
Usado em sistemas de menor risco, ou seja, o usuário somente utiliza um único fator 
para autenticar. Nesse caso, geralmente, são utilizadas as senhas.
AUTENTICAÇÃO DE DOIS FATORES
Corresponde a dois fatores de autenticação, sendo considerado mais seguro. Um 
exemplo é nome de usuário e senha adicionado de um SMS de telefone. Esse tipo de 
autenticação vem se tornando mais comum nos serviços on-line e, em muitas organi-
zações, é o método de autenticação usual.
AUTENTICAÇÃO MULTIFATOR
Proporciona maior proteção, já que o usuário indevido precisaria de uma combina-
ção de vários fatores “hackear” ou replicar. Esse modo de autenticação considera 
como base: algo que o usuário conheça (nome de usuário, por exemplo); algo que o 
usuário tenha (SMS de celular) e, ainda, algo que o usuário seja (impressão digital ou 
reconhecimento facial).
Uma dúvida muito comum é quanta informação é preciso autenticar, porém a 
resposta a essa pergunta é muito variável, já que tudo está vinculado ao nível 
de risco envolvido e a quais informações que o usuário pode acessar quando 
estiver na aplicação.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
A autorização verifica se o usuário possui permissão para acessar uma área de 
uma aplicação ou realizar atividades específicas, considerando determinados crité-
rios e condições estabelecidos pela aplicação. Sendo assim, a autorização pode con-
ceder ou negar permissão para realizar tarefas ou acessar áreas de uma aplicação.
O que você pode perceber é que, embora a autenticação e autorização 
sejam diferentes, cada uma delas tem um papel específico para garantir a inte-
gridade da aplicação ou sistema. Então, esses dois processos caminham juntos. 
Sem um, o outro acaba sem sentido.
CRIPTOGRAFIA E A SEGURANÇA DOS DADOS
Se você parar para refletir, verá que o homem, desde a antiguidade, apresentou 
diversas maneiras de disfarçar uma mensagem para que somente o destinatário 
correto pudesse acessá-la. Então, existem muitas técnicas para ocultar uma men-
sagem e transmiti-la de modo secreto. Mas, afinal, o que é criptografia?
1
1
1
Conforme Baltzan e Phillips (2012, p.112):
 “ A criptografia codifica a informação de uma forma alternativa, que 
requer uma chave ou uma senha para descriptografar as informa-
ções. Se houver violação da segurança da informação, e esta estiver 
criptografada, a pessoa que a roubou não conseguirá lê-la.
VOCÊ SABE RESPONDER?
Qual o objetivo da criptografia?
A criptografia tem por objetivo ocultar o conteúdo de uma determinada mensa-
gem, ou seja, torná-lo ininteligível para que qualquer usuário que não conheça o 
procedimento de descriptografar não consiga inverter o processo. Então, a crip-
tografia pode ser considerada como o estudo de técnicas matemáticas vinculadas 
a aspectos da segurança da informação, tendo como objetivos:
Confidencialidade:
assegurar que somente
usuários ou sistemas
autorizados possam
acessar à informação
Integridade dos
dados:
assegurar que o dado
não foi alterado de
modo malicioso por
um terceiro,
preservando-o em
seu estado original
Autenticação:
assegurar que o
usuário ou sistema é
quem ele diz ser
Não repúdio:
assegurar uma entidade
fez uma determinada
atividade ou enviou
uma mensagem,
mesmo que ela negue
As técnicas de segurança de criptografia podem ser classificadas em três gru-
pos, considerando o tipo de chave usada:
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
 ■ técnicas que não usam chaves;
 ■ técnicas que usam chaves simétricas: usam a mesma chave para encriptar 
e decriptar os dados, ou seja, apenas os interessados no dado criptogra-
fado conseguem acessar a chave.
 ■ técnicas que usam pares de chaves privadas e públicas ou assimétricas: 
usam a chave pública para encriptar e a chave privada para decriptar os 
dados. As chaves públicas são compartilhadas de modo livre, enquanto 
a chave privada deve ser de uso exclusivo.
As técnicas de criptografia precisam atender alguns critérios, sendo:
NÍVEL DE SEGURANÇA
Pode ser mensurado pela quantidade de operações necessárias para encontrar o 
significado dos dados criptografados, obtendo ou não a chave usada na encriptação 
dos dados.
FUNCIONALIDADE
Está relacionada com os objetivos de segurança da informação que são atingidos, 
bem como as operações e consultas que ela possibilita que sejam efetuadas sobre 
dados criptografados.
MÉTODOS DE OPERAÇÃO
Permitidos por meio das técnicas de criptografia que estimam a capacidade da técni-
ca de criptografia ao manipular diferentes conjuntos de entradas.
• Desempenho: mensurado nas operações básicas de elaboração de chaves, encripta-
ção e decriptação, bem como o tamanho dos dados criptografados que são gerados a 
partir da aplicação das técnicas.
• Facilidade de implementação: a agilidade de realizar na prática a técnica de 
criptografia.
O que você pode perceber é que a criptografia corresponde à técnica que emprega 
uma chave cifradora e decifradora para proteger a informação contra acesso não 
1
1
4
autorizado ao seu conteúdo. Assim sendo, as chaves de criptografia e o modo 
como são usadas influenciam significativamente a segurança da base de dados, 
por isso, é preciso considerar os seguintes aspectos:
 ■ Controle de acesso criptográfico: chaves diferentes para grupos dife-
rentes assegura que o usuário que tem a chave específica pode descrip-
tografar somente os objetos que pertencem ao seu grupo de segurança.
 ■ Armazenamento seguro de chaves: épreciso que as chaves de cripto-
grafia sejam mantidas de modo seguro, ou seja, não se deve armazenar 
as chaves no mesmo servidor do banco de dados.
 ■ Recuperação de chaves: quando as chaves criptográficas são perdidas 
ou danificadas, os dados criptografados são inúteis, logo, será preciso um 
modo de recuperação das chaves criptográficas.
Agora, vamos analisar um exemplo por meio da Figura 1.
Mensagem original
Mensagem criptografia
Figura 1 - Representação de uma chave criptográfica / Fonte: o autor.
Descrição da Imagem: Este exemplo trata-se de uma chave assimétrica, ou seja, uma chave única (C=3). As chaves 
para descriptografar são as mesmas para dois extremos de um canal de comunicação. A mensagem original é 
“HELLO”, e a chave para criptografar é o “3”, resultando na mensagem criptografada “KHOOR”. Isso significa que, 
para descriptografar, foi aplicada a mesma chave/lógica, que é a troca de cada letra para a terceira letra posterior 
a ela no alfabeto. E as duas partes precisam ter acesso a essa chave. Fim da descrição.
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 5
BIOMETRIA E A AUTENTICAÇÃO 
A biometria representa um exemplo de autenticação baseada em característica 
física. Então, esse tipo de autenticação garante que o indivíduo esteja presente no 
ponto de autenticação. É importante destacar que a autenticação de um usuário, 
sistema ou processo é fundamental para controlar o acesso, já que suas operações 
são efetuadas conforme uma entidade autêntica. De acordo com Albuquerque 
(2020, p. 46):
 “ O termo biometria pode ser compreendido, em um sentido amplo, 
como o estudo ou a medição de características inerentes aos seres 
vivos, entretanto essa definição é muito genérica. De maneira preci-
sa, a biometria pode ser compreendida como uma ciência baseada 
em mecanismos automáticos de análise de aspectos humanos que 
tem como objetivo realizar o reconhecimento de um indivíduo ou 
diferenciá-lo de seus semelhantes com base em características fisio-
lógicas e comportamentais.
A digitalização da íris é considerada um processo caro e intrusivo pela maioria 
dos indivíduos, mas a autenticação da impressão digital é menos intrusiva e de 
menor custo, porém não é 100% confiável. É preciso considerar, segundo Brenner 
e Bizarria (2011):
 “ As digitais possuem pequenos pontos chamados minúcias, que po-
dem ser pontos de finalização de linha, pontos de junção de linha, 
quantidade de vales e sulcos, bifurcações, no entanto essas caracte-
rísticas podem ser alteradas devido a fatores externos, como cortes, 
queimaduras ou por atrito, devido a atividades profissionais.
Chegou a hora de você aprofundar seus conhecimentos fazendo a leitura do artigo 
Leitor biométrico: saiba tudo sobre o conceito e a tecnologia necessária. Recursos 
de mídia disponíveis no conteúdo digital do ambiente virtual de aprendizagem 
EU INDICO
1
1
1
É importante considerar que as características biométricas devem atender aos 
seguintes requisitos:
UNIVERSALIDADE
Todos os usuários devem possuir a característica que será adotada.
SINGULARIDADE
A característica precisa mudar de um usuário para outro, para que ele seja identificado.
PERMANÊNCIA
A característica não pode mudar ao longo do tempo.
DESEMPENHO
Precisão e agilidade com que a característica é utilizada para processar a identificação 
do usuário.
ACEITABILIDADE
O dispositivo de leitura biométrica precisa ser aceito pelos usuários.
PROTEÇÃO
O dispositivo de leitura biométrica e o sistema de informação responsável pelo arma-
zenamento das credenciais deve possuir uma imunidade aceitável contra as violações 
do sigilo da credencial e da elaboração de cópias biométricas aceitáveis.
O que você pode perceber é que os mecanismos de autenticação asseguram 
que os usuários autorizados acessem suas informações de modo seguro. Outra 
maneira de criar uma barreira para acesso indevido de informações é por meio 
da autenticação multifatorial (Figura 2).
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 5
Figura 2 - Autenticação multifatorial / Fonte: https://pxhere.com/pt/photo/545993. Acesso em: 26 out. 2023.
Descrição da Imagem: a figura é uma fotografia de uma parte do teclado físico de um computador. Nesta é 
possível observar alguma teclas do teclado numérico, assim como a tecla "Enter" com as marcar das digitais de 
um dedo humano. Fim da descrição.
A autenticação multifatorial é considerada uma excelente barreira para pre-
venção, já que, geralmente, os usuários utilizam a mesma senha para todos os 
acessos na internet. Então, colocar uma segunda autenticação irá assegurar uma 
maior proteção, dificultando a ação de cibercriminosos. A autenticação multi-
fatorial pode ser utilizada, por exemplo, em:
• Acesso em conta bancária em um caixa eletrônico.
• Acesso à conta do Facebook, Google ou Microsoft a partir de um novo local ou 
dispositivo.
• Acesso ao dispositivo móvel.
Com o aumento de ameaças cibernéticas, é essencial adotar medidas adicio-
nais para proteger nossas informações pessoais e profissionais. A autenticação 
1
1
8
multifatorial adiciona uma camada extra de segurança ao exigir que o usuário 
forneça mais de uma forma de identificação para acessar uma conta ou sistema. 
Isso pode incluir algo que o usuário sabe, como uma senha, algo que ele possui, 
como um smartphone, ou algo que ele é, como uma impressão digital. 
A importância da autenticação multifatorial reside no fato de que ela torna 
muito mais difícil para os hackers acessarem nossas contas, mesmo que eles con-
sigam descobrir uma senha. Ao adicionar uma segunda, terceira ou até mesmo 
quarta forma de autenticação, estamos aumentando significativamente a segu-
rança de nossos dados. Portanto, é essencial que todos adotem essa prática em 
suas contas on-line e sistemas, para garantir a proteção adequada de suas infor-
mações pessoais e profissionais. 
Estudante, aguardo você na nossa videoaula para falarmos mais sobre assuntos 
pertinentes a este tema de aprendizagem. Vamos lá? Recursos de mídia disponí-
veis no conteúdo digital do ambiente virtual de aprendizagem.
EM FOCO
NOVOS DESAFIOS
As organizações precisam se preocupar tanto com a segurança física quanto 
lógica. Isso significa que precisam desenvolver uma segurança física adequada ao 
perfil da organização, realizando investimentos e definindo políticas de controle 
de acesso físico que se modelam ao modelo organizacional. Além disso, também 
devem controlar o acesso a aplicativos, dados e sistema operacionais, por meio 
de senhas, criptografia e biometria, evitando, assim, possíveis ataques.
O que percebemos é que a segurança lógica A segurança lógica possibilita que 
cada acesso considere necessidades específicas de cada usuário por meio da iden-
tificação de senha e login. Mas, para isso, é necessário 
sempre manter os sistemas e protocolos atualizados. 
Então, com toda certeza, o mercado atual percebe que 
a proteção do banco de dados é um grande desafio que 
previne riscos ao funcionamento das organizações.
Possibilita que cada 
acesso considere 
as necessidades 
específicas
UNIASSELVI
1
1
9
1. A segurança física é a aplicação de medidas físicas, técnicas e procedimentais de proteção 
para impedir o acesso não autorizado a informação considerada sensível, onde se inclui 
aquela que contém dados pessoais.
Considerando esse contexto, sobre a segurança física da informação, assinale a opção cor-
reta:
a) O objetivo da segurança física é assegurar a proteção sobre a informação sensível para 
que somente usuários autorizados tenham acesso a ela. 
b) A combinação apropriada de medidas de segurança físicas a serem implementadas 
deve ser determinada com base no resultado da análise dos setores administrativos.
c) Em situações de instalações existentes, os requisitos de segurança física devem ser 
implementados imediatamente, respeitando as prioridades de segurança previamente 
estabelecidas pelos setores administrativos.
d) Em situações de novas instalações, os requisitos de segurançafísica devem ser incluídos 
na sua concepção, como parte integrante do planejamento, respeitando as prioridades 
de segurança estabelecidas pelos setores administrativos.
e) O controle de acesso lógico utiliza programas e softwares para combater a utilização de 
ferramentas não autorizadas. É fundamental a manutenção da identificação do usuário 
somente por lD.
2. Os privilégios podem ser denominados autorizações, que representam concessões únicas 
realizadas a usuários ou grupos de usuários e que delimitam o modo como deverá ser aces-
sado determinado objeto. Isso significa que é processo que permite que um determinado 
indivíduo possa ou não fazer algo.
Diante das informações apresentadas sobre os privilégios e a segurança dos dados, avalie 
as afirmações a seguir:
I - Privilégios de sistema: receber privilégios de sistema permite ao usuário elaborar e 
modificar objetos no banco de dados, porém não possibilita o acesso aos objetos já 
existentes no banco de dados.
II - Privilégios de objeto: quando um determinado objeto é elaborado no banco de dados, 
quem desenvolve este objeto é o seu dono.
III - Privilégios de software: os privilégios de software admitem que usuários realizem ações 
específicas de sistema ou de um objeto. Esse tipo de privilégio é concedido somente a 
administradores e desenvolvedores.
AUTOATIVIDADE
1
1
1
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
3. A concessão ou a revogação de privilégios é realizada pelo módulo funcional DCL (Data 
Control Language), que controla o acesso do banco de dados garantindo, alterando ou 
revogando os acessos por meio de comandos estipulados que alteram o tipo de privilégio 
dos usuários.
Considerando esse contexto, sobre a concessão ou a revogação de privilégios, assinale a 
opção correta:
a) A ferramenta DCL atua na segurança de bancos de dados, sendo os indivíduos os res-
ponsáveis somente na atribuição do acesso de usuários do sistema a bancos de dados.
b) Os privilégios de concessão são verificados pelo controle de acesso físico e representam 
a principal interface do usuário para controlar todo o sistema de autorização ou privilé-
gios do software de aplicativos.
c) Os comandos realizarão exatamente aquilo que deles for demandado, desde que esses 
comandos sejam sintaticamente corretos e quem os tente executar tenha os privilégios 
adequados para tais operações.
d) Quando os privilégios atribuídos a um usuário forem superiores aos que ele de fato tem 
direito, por exemplo, pode-se credenciar o usuário dando a ele o acesso ao sistema de 
segurança.
e) A linguagem DCL padrão propõe a utilização dos comandos de concessão (grant) e revo-
gação (revoke). Esses comandos padrão, por sua vez, incluem os privilégios de selecionar 
(select), inserir (insert), modificar (alter) e apagar (delete).
AUTOATIVIDADE
1
1
1
REFERÊNCIAS
ALBUQUERQUE, S. L. Protocolo de autenticação contínua multimodal com uso de eletro-
cardiografia para ambientes de computação móvel em nuvem. [S. n.]: Distrito Federal, 2020.
BALTZAN, P.; PHILLIPS, A. Sistemas de informação. Porto Alegre: AMGH, 2012.
BRENNER, G. P. SILA e; BIZZARIA, W. Sistema de controle de acesso com biometria digital. VII 
Simpósio de excelência em gestão e tecnologia, 2011.
MARQUES, A. G. Manual de Boas Práticas. Segurança Física. 2018. Disponível em: https://gns.
gov.pt/docs/boas-praticas-iii.pdf. Acesso em: 10 out. 2023.
OLIVEIRA, R. F. de. Segurança de sistema de banco de dados. Londrina: Editora e Distribuidora 
Educacional, 2017.
SANTOS, D. L. Controle de acesso em sistema gerenciadores de banco de dados. Curitiba: 
Universidade Tecnológica Federal do Paraná, 2014.
1
1
1
1. Opção A. A combinação apropriada de medidas de segurança físicas a serem implementadas 
deve ser determinada com base no resultado da análise prévia do risco.
Para instalações existentes, os requisitos de segurança física devem ser implementados na 
medida do possível, respeitando as prioridades de segurança previamente estabelecidas
Para novas instalações, os requisitos de segurança física devem ser incluídos na sua con-
cepção, desde a fase inicial do projeto e como parte integrante do planejamento.
O controle de acesso lógico utiliza programas e softwares para combater a utilização de fer-
ramentas não autorizadas. É fundamental a manutenção da identificação do usuário por lD e 
senha, como, também, um sistema robusto onde haja os logs de entrada e saída do usuário.
2. Opção C. Privilégios de sistema: receber privilégios de sistema permite ao usuário elaborar 
e modificar objetos no banco de dados, porém não possibilita o acesso aos objetos já exis-
tentes no banco de dados. Você pode perceber que os privilégios de sistema admitem que 
usuários realizem ações específicas de sistema ou de um objeto. Esse tipo de privilégio é 
concedido somente aos administradores e desenvolvedores.
3. Opção C. A ferramenta DCL atua na segurança de bancos de dados, sendo os indivíduos os 
responsáveis pela segurança ao atribuir, ajustar e revogar os direitos de aceso de usuários 
do sistema a bancos de dados.
A linguagem SQL padrão propõe a utilização dos comandos de concessão (grant) e revogação 
(revoke). Esses comandos padrão, por sua vez, incluem os privilégios de selecionar (select), 
inserir (insert), modificar (alter) e apagar (delete).
Os privilégios de concessão e revogação são verificados pelo controle de acesso e represen-
tam a principal interface do usuário para controlar o subsistema de autorização ou privilégios.
Quando os privilégios atribuídos a um usuário forem superiores aos que ele de fato tem 
direito, por exemplo, não podemos credenciar os problemas daí provenientes à DCL, mas, 
sim, ao processo de segurança, que se mostra falho.
GABARITO
1
1
1
MINHAS ANOTAÇÕES
1
1
4
MINHAS ANOTAÇÕES
1
1
5
MINHAS METAS
SQL INJECTION E PROTEÇÃO
Identificar os principais comando da linguagem SQL.
Diferenciar os subconjuntos da linguagem SQL.
Reconhecer as vantagens e desvantagens da linguagem SQL.
Compreender a importância dos testes de invasão para a segurança do banco de dados.
Diferenciar as fases do teste de invasão.
Compreender o que é e os objetivos SQL Injection.
Diferenciar os principais tipos do SQL Injection.
T E M A D E A P R E N D I Z A G E M 6
1
1
1
INICIE SUA JORNADA
O processo de segurança na área da tecnologia da informação, é com certeza, um 
fator estratégico para as organizações. Os avanços tecnológicos da digitalização dos 
negócios, juntamente com a segurança dos dados, vem exigindo que as organizações 
adotem uma postura proativa. Mas como proteger os dados de uma organização?
Uma das maneiras de proteger o banco de dados é atacar o banco de dados da 
organização. Você deve estar pensando: como assim, atacar a própria organização?
Esse ataque ocorre por meio de um “hackeamento ético”, ou seja, é um teste de 
invasão que simula ataques não autorizados dos mais variados tipos para testar a 
segurança dos sistemas. Então, todo o processo é uma série de atividades analíticas 
que o profissional precisa estar atento para que seja efetuada de modo adequado.
Então, esses profissionais, na verdade, são “hackers éticos”, que dominam 
técnicas e tecnologias usadas pelos usuários malicio-
sos. O grande diferencial do profissional é a aplicação 
de seus conhecimentos de modo ético para testar e 
desafiar as medidas de proteção de uma organização.
Neste podcast, você será guiado a iniciar a reflexão sobre o avanço da segurança, 
bem como os ataques maliciosos. O que você poderá perceber é que os ataques, 
com o passar do tempo, se tornam mais elaborados. Recursos de mídia disponí-
veis no conteúdo digital do ambiente virtual de aprendizagem 
PLAY NO CONHECIMENTO
VAMOS RECORDAR?
Para relembrar, vamos conceituar o que são dados, o que são banco de dados, o 
que é o SQL, o que é uma query, e, ainda, termos fundamentais do SQL. Além disso, 
esse vídeo aborda as diferenças entre MySQL,SQL Serve, Oracle e POSTGRESQL. 
Recursos de mídia disponíveis no conteúdo digital do ambiente virtual de 
aprendizagem 
Esses profissionais, 
na verdade, são 
“hackers éticos”
UNIASSELVI
1
1
1
https://www.youtube.com/watch?v=ncgEQBONI_w
TEMA DE APRENDIZAGEM 6
DESENVOLVA SEU POTENCIAL
UMA ABORDAGEM SOBRE LINGUAGEM SQL
Antes de começarmos a compreender o assunto injeção de SQL em si, é importan-
te entender a linguagem SQL, que segundo Date (2000, apud FARIAS, 2009, p. 11):
 “ A Structured Query Language, ou SQL, é a linguagem padrão para 
interação com bancos de dados relacionais. Sua primeira versão foi 
definida em San Jose (California, Estados Unidos), no laboratório de 
pesquisa da IBM hoje conhecido como Centro de Pesquisa Almaden. 
Inicialmente chamada de SEQUEL, foi implementada como parte 
integrando do projeto Sistema R, nos primórdios da década de 1970. 
Desde então, a linguagem passou por diversas evoluções e seu nome, 
por uma corruptela, acabou tornando-se o hoje tão conhecido SQL.
O SQL possibilita a realização de consultas ao banco de dados, indicando diver-
sos parâmetros de linguagem, obtendo, assim, um grande volume de informa-
ções de fontes diferentes através de poucas intrusões. Essa linguagem tem outros 
subconjuntos de operações usadas para gerenciar e modificar as informações e 
o banco de dados, como a adição, modificação e eliminação de informações, ou 
a elaboração de novas tabelas, dentre outros.
1
1
8
SELECT
Usado para consultar registros de um banco de dados.
INSERT
Usado para inserir informações em um banco de dados, como, por exemplo, dados 
em uma determinada tabela. 
UPDATE
Usado para modificar informações em um banco de dados.
DELETE
Usado para excluir informações de um banco de dados.
ALTER
Usado para modificar tabelas adicionando campos e alterando a definição de campos.
CREATE
Usado para elaborar novas tabelas, campo e índices. A instrução utilizada de comando 
é bem simples, sendo “CREATE DATABASE cliente”.
DROP
Usado para apagar tabelas e índices.
Agora, vamos entender algumas instruções usadas para consultar, modificar, 
adicionar e excluir dados de uma base de dados, tendo como palavras-chave, ou 
seja, comandos básicos da linguagem SQL (FARIAS, 2009):
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 6
Além dos comandos básicos, é importante que você conheça também as cláusu-
las de linguagem SQL, sendo (FARIAS, 2009; GONÇALVES JUNIOR, 2013):
FROM
Usado para especificar a tabela na qual serão escolhidos os objetos.
WHERE
Usado para especificar as condições que reúnem os registros que serão selecionados.
GROUP BY
Usado para distinguir os registros selecionados em grupos específicos.
HAVING
Usado para especificar a condição que deve agradar a cada grupo.
ORDER BY
Usado para escolher os registros selecionados conforme uma ordem específica.
UNION
Usado para unir o resultado de duas consultas em um só resultado, ou seja, este co-
mando gera uma união de conjuntos.
Você deve imaginar que agora é preciso unir os comandos e as cláusulas, então, 
para uni-los, é necessário que se tenha os operadores para efetuar operações 
matemáticas, comparações, bem como expressões booleanas, sendo (FARIAS, 
2009; GONÇALVES JUNIOR, 2013):
1
1
1
> : maior que.
 : diferente de.
>= : maior ou igual a.
restrições e permissões para quem acessa o banco por meio dos coman-
dos GRANT e REVOKE.
DATA QUERY LANGUAGE (DQL)
Define o comando mais usual da linguagem, o SELECT. Esse comando é usado para 
consultar os dados armazenados no banco de dados.
DATA TRANSACTION LANGUAGE (DTL)
Define comandos utilizados para gerenciar transações efetuadas no banco de dados. 
O DTL viabiliza o início , a conformação e a eliminação de determinadas modificações. 
Os comandos são COMMIT, BEGIN e ROLLBACK.
1
1
4
VANTAGENS E DESVANTAGENS DA LINGUAGEM SQL 
Você deve estar se perguntando quais as vantagens e desvantagens da linguagem 
SQL. Então, agora, vamos analisar as principais vantagens e desvantagens dessa 
linguagem. 
Você ficou com dúvidas sobre a linguagem SQL, então, veja esse vídeo que abor-
da o mundo do SQL e conheça os conceitos básicos por trás dessa que é a lin-
guagem usada em banco de dados relacionais. Recursos de mídia disponíveis no 
conteúdo digital do ambiente virtual de aprendizagem 
EU INDICO
Padronização: o SQL é padronizado
disponibilizando uma variada
documentação e, quando o usuário
compreende a linguagem consegue
naturalmente lidar com diferentes
bancos de dados.
Rápido acesso aos dados: viabiliza a
recuperação de múltiplos registros
através de um comando único.
Portabilidade: pode ser utilizado em
diversas aplicações para inúmeras
plataformas;
Múltiplas visões de dados: define
diferentes visualizações da estrutura do
banco de dados para diferentes usuários;
Linguagem cliente/servidor: implementa
a arquitetura cliente-servidor.
Dificuldade com a interface: a interface
de um banco de dados SQL pode ser
difícil de manipular quando o usuário não
compreende a linhagem SQL.
 Custo: o custo operacional de alguns
serviços disponibilizados por bancos que
usam SQL é caro e atrapalha o acesso
dos desenvolvedores.
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 6
TESTES DE INVASÃO
O teste de invasão é uma solução para aumentar a segurança de um banco de 
dados, já que possibilita identificar as vulnerabilidades dentro do sistema. Isso é 
possível graças à realização de ataques cibernéticos controlados.
Desse modo, ocorre a validação dos mecanismos de defesa do sistema, e, ainda, 
a identificação das possíveis brechas de segurança. Segundo Carneiro (2017, p. 21):
 “ O teste de invasão está, portanto, em uma área de intersecção entre 
ataque e proteção, uma vez que diferentes técnicas de ataque são 
empregadas com o propósito de elevar o nível de resiliência dos 
sistemas que se deseja proteger, o que está associado à avaliação 
das configurações, dos controles técnicos, administrativos e ope-
racionais desses sistemas.
O que você pode perceber é que o teste de invasão é uma tentativa legal e auto-
rizada pela organização para encontrar e explorar sistemas de computadores de 
modo bem-sucedido, com o objetivo de tornar esses sistemas mais seguros. Os 
testes de invasão possuem as seguintes fases:
RECONHECIMENTO
Engloba a coleta de informações sobre o alvo e o levantamento dos seus endereços 
IP. Por exemplo, os servidores, IPs, servidores, portas, aplicações de segurança e da-
dos, ou seja, tudo representa o ambiente físico e digital da organização.
SCANNING
Pode ser de portas ou de vulnerabilidades, ou seja, encontra e identifica pontos fracos 
específicos nos softwares e nos serviços presentes.
1
1
1
É preciso considerar que há inúmeros modos para realizar teste de invasão, sendo 
que cada tipo utiliza técnicas diferentes, e, com isso, resultados distintos. Agora, 
vamos conhecer os principais testes de invasão:
EXPLORAÇÃO DE FALHAS
Corresponde ao ataque, o qual pode envolver inúmeras técnicas, ferramentas e códi-
gos diferentes até conseguir o controle completo sobre o alvo. O ataque é possível, já 
que foram identificados os pontos e foi realizada uma classificação da criticidade de 
cada indicador, isso resultando em um ataque direcionado e assertivo.
PÓS-EXPLORAÇÃO E PRESERVAÇÃO DO ACESSO
Elabora uma backdoor (“porta dos fundos”) para acesso permanente ao sistema invadido.
TESTES DE PENETRAÇÃO WHITE BOX (CAIXA BRANCA)
Considerados os mais completos, pois os profissionais que executam os testes de 
invasão recebem uma análise prévia da infraestrutura a ser invadida. Isso significa que os 
profissionais irão receber informações da organização como topografia de rede, logins, 
senhas, IPs, firewall e as medidas de segurança usadas pela organização. Com todos es-
ses dados, os profissionais vão atacar as defesas da organização para assegurar a eficácia 
do sistema de segurança do banco de dados sob condições extremas de um ataque real.
TESTES DE PENETRAÇÃO BLACK BOX (CAIXA PRETA)
Os profissionais não têm informações prévias sobre a estrutura organizacional, então, 
esses testes são os que mais se aproximam de ataques externos reais.
TESTE DE PENETRAÇÃO GREY BOX (CAIXA CINZA)
É considerado uma mistura dos dois tipos de testes anteriores, já que os profissionais 
terão acesso a determinadas informações sobre a organização, porém um acesso 
mais limitado do que no teste de penetração white box.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 6
O QUE É SQL INJECTION?
Quando uma aplicação de web é desenvolvida para acessar um banco de dados, 
ele pode estar propenso a um ataque de SQL Injection. Isso ocorre já porque, 
ao invés de colocar uma entrada válida, o atacante adiciona comandos de banco 
de dados nos campos de entrada, sendo que esses são analisados e efetivados 
pela aplicação. Desse modo, o SQL Injection é considerado um modo de ataque 
que explora as vulnerabilidades de segurança que se relacionam com o banco de 
dados. De acordo com Gonçalves (2016, p. 6):
 “ A Injeção SQL (Structure Query Language) é uma técnica para atacar 
uma base de dados de uma aplicação por meio de campos de usuário, 
senha e outros campos de interesse do atacante (formulário). Esse 
tipo de ataque, principalmente, ocorre em aplicações web, explorada 
por meio de uma falha na sintaxe do SQL escrita na aplicação. 
O que você pode perceber é que a injeção SQL é um ataque no qual um código 
mal-intencionado é adicionado em cadeias de caracteres que são repassados 
para uma instância do SQL Server para análise e execução. O modo principal 
de injeção SQL é a adição direta de código em variáveis de entrada de usuário, 
com comandos SQL.
VOCÊ SABE RESPONDER?
Mas, afinal, qual o objetivo da injeção SQL?
O objetivo do ataque de injeção é explorar uma vulnerabilidade na programação 
da instrução SQL para obter controle da base de dados da aplicação, comprome-
ter a aplicação ou ter o controle do servidor (CARNEIRO, 2017). 
1
1
8
Você pode perceber que, com isso, o agente malicioso irá realizar ações di-
retamente no banco de dados, podendo eliminar registros, tabelas ou, ainda, 
entrando no sistema sem a permissão devida. Em determinadas situações, é pos-
sível adicionar comandos maliciosos e ter acesso total ao servidor web em que o 
banco de dados está sendo executado.
Veja um vídeo sobre como elaborar SQL Injection na prática. Recursos de mídia 
disponíveis no conteúdo digital do ambiente virtual de aprendizagem 
EU INDICO
VOCÊ SABE RESPONDER?
Quais os impactos da injeção SQL? Conheça a seguir!
 ■ Confidencialidade: como as bases de dados SQL tem armazenados da-
dos confidenciais, a perda de confidencialidade é um problema recorrente 
com vulnerabilidades de injeção de SQL.
 ■ Controle de acesso by-pass do mecanismo de proteção: em situações 
em que forem usados comandos falhos de SQL para averiguar nomes de 
usuário e senha, poderá conectar-se a um sistema como outro usuário 
sem o devido conhecimento da senha.
 ■ By-pass do mecanismo de proteção: em situações em que as informa-
ções de autorização forem armazenadas em um banco de dados SQL, será 
possível modificar essas informações por meio da exploração bem-suce-
dida de uma vulnerabilidade de injeção de SQL.
 ■ Integridade: é possível realizar modificações ou mesmo exclusões de 
informações com um ataque de injeção SQL.
UNIASSELVI1
1
9
TEMA DE APRENDIZAGEM 6
TIPOS DE SQL INJECTION 
Agora, vamos conhecer os principais tipos de SQL:
SQL ÀS CEGAS
Modo de injeção SQL que supera a falta de mensagens de erro. Isso significa que sem 
as mensagens de erro o usuário malicioso elabora cadeias de entrada que exploram o 
alvo através de comandos SQL. O usuário malicioso determina se a sintaxe e a estrutu-
ra da injeção obtiveram sucesso, considerando se a consulta foi executada ou não.
EXECUÇÃO DE LINHA DE COMANDO
Um usuário malicioso utiliza métodos de injeção SQL padrão para adicionar dados na 
linha de comando para execução. Isso pode ser realizado de modo direto, através da 
utilização incorreta de diretivas, ou indiretamente, por meio da injeção de dados no 
banco de dados que seriam interpretados como comandos shell. Posteriormente, um 
aplicativo malicioso de back-end busca os dados injetados armazenados no banco 
de dados e utiliza esses dados como argumentos de linha de comando sem efetuar 
a validação adequada. Os dados maliciosos geram, então, novos comandos a serem 
executados no host (CARNEIRO, 2017).
INJEÇÃO DE MAPEAMENTO RELACIONAL DE OBJETO
Um usuário malicioso busca uma vulnerabilidade presente no código de camada de 
acesso a banco de dados com ajuda de uma ferramenta de mapeamento ou uma 
vulnerabilidade no modo como um desenvolvedor utilizou um framework para injetar 
seus próprios comandos SQL a serem executados no banco de dados subjacente.
SQL INJECTION ATRAVÉS DE ALTERAÇÃO DE PARÂMETROS SOAP
Um usuário malicioso altera os parâmetros da mensagem SOAP que é encaminhada 
do consumidor de serviços para o provedor de serviços para começar um ataque de 
injeção SQL. No provedor de serviços, a mensagem SOAP é verificada e os parâmetros 
não são validados de modo adequado antes de serem utilizados para acessar um 
banco de dados, possibilitando, assim, que o usuário malicioso controle a estrutura da 
consulta SQL executada.
1
4
1
CONTROLE EXPANDIDO SOBRE O SISTEMA OPERACIONAL A PARTIR DO 
BANCO DE DADOS
Um usuário malicioso pode aproveitar o acesso ao banco de dados para analisar ou 
até mesmo gravar dados no sistema de arquivos. Isso pode comprometer o sistema 
operacional, criando um túnel para acessar a máquina host e utilizar esse acesso 
para atacar outras máquinas na mesma rede em que está a máquina de banco de 
dados (CARNEIRO, 2017).
SOAP é um formato de mensagem XML usado nas interações de serviços da web. 
As mensagens SOAP são tipicamente enviadas através de HTTP ou JMS, mas ou-
tros protocolos de transporte podem ser utilizados (IBM, 2022).
Um host é qualquer máquina conectada a uma rede, que conta com número de 
IP e nome definidos, sendo responsáveis por fornecer recursos, informações e 
serviços aos usuários. Por essa abrangência, a palavra pode ser utilizada como 
designação para diversos casos que envolvam uma máquina e uma rede, desde 
computadores pessoais até roteadores (VIANA, 2012).
APROFUNDANDO
Agora, vamos entender os ataques de inserção de comando SQL por meio 
de um exemplo!
Vamos considerar que, geralmente, o ataque atua com a inserção de comando 
SQL em áreas não esperadas pelo sistema, sendo que este processa esses coman-
dos como se fossem verdadeiros. Considere que o ataque SQL funcione com a 
seguinte lógica, a seguir. 
Realizar a seleção de todos da tabela “usuarios”, sendo que é obrigatório o 
“usuario” digitado no formulário de login ser igual ao cadastrado no banco de 
dados e “senha” também igual a cadastrado no banco de dados. Sendo assim, as 
variáveis $usuario e $senha recebem tudo que for digitado nos campos de login 
através do método POST que é usado para solicitar que o servidor web aceite os 
dados enviado (HACKERSEC, 2023).
UNIASSELVI
1
4
1
TEMA DE APRENDIZAGEM 6
Ataque com comando SQL:
$usuario = $_POST [ ‘usuario’ ];
$senha = $_POST [ ‘senha’ ];
$sql = “SELECT * FROM usuarios WHERE
usuario = ‘ “ .$usuario.” ‘ AND senha =
‘ “ .$senha.” ‘ “;
$processa = mysql_query ($sql);
Caso não se tenha nenhuma validação de dados efetuada, o usuário malicioso 
consegue logar na aplicação sem mesmo ter o login, utilizando stringsr:
Ataque com comando SQL:
Username: ‘ or ‘1
Password: ‘ or ‘1
1
4
1
SQL AUTOMATIZADO
O processo de execução manual das técnicas de injeção de SQL é relativamente 
demorado, porém existem ferramentas que auxiliam o profissional de segurança. 
Então, vamos conhecer algumas ferramentas disponíveis no mercado, sendo elas:
SQLMAP
Ferramenta de injeção SQL desenvolvida em Python, com o intuito de identificar e 
explorar as vulnerabilidades de injeção SQL em aplicações ou sites web. Assim sendo, 
quando é identificado uma ou mais injeções de SQL em um alvo, o usuário pode sele-
cionar entre uma variedade de opções que o SQLMAP oferece para explorar os dados 
armazenados dentro do banco de dados (CARNEIRO, 2017).
SQLNINJA
Pode ser executado em plataformas Linux, FreeBSD e MacOS X, desde que um inter-
pretador Perl seja instalado, além de alguns módulos específicos da linguagem. Essa 
ferramenta executa inúmeros ataques, como: detecção de sistema de gerenciamento 
de banco de dados; identificação da conta usada pela aplicação; privilégios no sistema 
de gerenciamento de banco de dados e no sistema operacional; e envio de executá-
veis, dentre outros (CARNEIRO, 2017).
SQLBRUTE:
Extrai dados brutos de bancos de dados utilizando vulnerabilidades de injeção SQL 
às cegas (black box). Ele explora vulnerabilidades no Microsoft SQL Server baseadas 
em tempo e em erro, e exploits baseados em erro no Oracle. Ele é escrito em Python, 
usa multi-threading (multiprocessamento), dispensando bibliotecas não padronizadas 
(CARNEIRO, 2017).
HP WEBINSPECT
Destina-se a efetuar uma avaliação completa da segurança de um site web. Essa fer-
ramenta é considerada simples, já que não é necessário conhecimento técnico, e tem 
como vantagem uma verificação completa, testes de erros de configuração e vulnera-
bilidades no servidor de aplicativos e camadas de aplicativos web (CARNEIRO, 2017).
UNIASSELVI
1
4
1
TEMA DE APRENDIZAGEM 6
Com o uso de ferramentas de SQL automatizado, é possível agilizar e simplificar 
esse processo. Essas ferramentas permitem que os profissionais de segurança 
identifiquem e explorem vulnerabilidades de injeção de SQL de forma mais efi-
ciente, economizando tempo e recursos. Além disso, elas também podem ofere-
cer recursos adicionais, como a geração automática de relatórios e a detecção 
de diferentes tipos de injeção de SQL, sendo sempre recomendado que os pro-
fissionais de segurança utilizem essas ferramentas para melhorar sua eficiência 
e eficácia na identificação e mitigação de vulnerabilidades de injeção de SQL.
IBM SECURITY APPSCAN
Ferramenta comercial usada para avaliar a segurança de um site da web. O aplicativo 
identifica injeção SQL e vulnerabilidades de injeção SQL às cegas, mas não inclui uma 
ferramenta de exploração (CARNEIRO, 2017).
SQL POWER INJECTION
Ajuda o profissional a encontrar e explorar vulnerabilidades relativas a SQL Injection 
em uma página da web, tendo como principal vantagem a automação multiprocessa-
da da injeção, sendo muito útil na injeção SQL às cegas (CARNEIRO, 2017).
ABSINTHE
Disponibiliza uma interface gráfica de usuário acessível que satisfaz a maioria dos 
cenários de injeção e pode usar métodos de erro clássicos e métodos de inferência 
considerando as respostas para retiradas de dados (CARNEIRO, 2017).
1
4
4
NOVOS DESAFIOS
Toda organização precisa fazer uma análise de vulnerabilidades e testar os seus 
sistemas de segurança. Então, os testes de invasão realizam as auditorias de segu-
rança por meio de simulações onde os profissionais qualificados vão quantificar 
e qualificar as respostas das contramedidas de segurança. Além disso, cabe aos 
profissionais encontrar, identificar e explorar as brechas de segurança e expor os 
possíveis impactos que estas teriam sobre a organização se fosse um ataque real.
Os testes de invasão precisam se preocupar como SQL Injection, já que essa 
é uma técnica de ataque baseada na manipulação do 
código SQL. Esse ataque é considerado uma classe 
de ataque onde o invasor pode adicionar ou alterar 
consultas elaboradas pela aplicação, que são envia-
das diretamente para o banco de dados, ou seja, ele 
“engana” o formulário de login de uma aplicação.
Então, você pode perceber que os resultados desses testes precisam identifi-
car de maneira clara e objetiva as falhas e vulnerabilidades de modo a encontrar 
uma solução rápida e adequada ao sistema de segurança. Com isso, é possível 
adequar os investimentos em segurança considerando as verdadeiras prioridades 
elencadas com esse processo.
É uma técnica de 
ataque baseada na 
manipulação do 
código SQL
UNIASSELVI
1
4
5
1. A Structured Query Language, ou SQL, é a linguagem padrão para interação com bancos de 
dados relacionais. Sua primeira versão foi definida em San Jose (California, Estados Unidos), 
no laboratório de pesquisa da IBM hoje conhecido como Centro de Pesquisa Almaden. 
Inicialmente chamada de SEQUEL, foi implementada como parte integrando do projeto Sis-
tema R, nos primórdios da década de 1970. Desde então, a linguagem passou por diversas 
evoluções e seu nome, por uma corruptela, acabou tornando-se o hoje tão conhecido SQL.
Considerando esse contexto, sobre a segurança física da informação, assinale a opção cor-
reta:
a) O SQL possibilita a realização de consultas ao banco de dados indicando diversos pa-
râmetros de linguagem, obtendo, assim, um grande volume de informações de fontes 
diferentes através de poucas intrusões. 
b) Essa linguagem tem dois subconjuntos de operações usadas para gerenciar e modificar 
as informações e o banco de dados, como a adição, modificação e eliminação de infor-
mações, ou a elaboração de novas tabelas, dentre outros.
c) A linguagem SQL possui uma organização estrutural definida que segmenta seus coman-
dos em apenas um subconjunto, sendo esse o conjunto do objetivo específico.
d) O SQL é padronizado disponibilizando uma pequena documentação e, quando o usuá-
rio compreende a linguagem, consegue, naturalmente, lidar com diferentes bancos de 
dados
e) A interface de um banco de dados SQL pode ser muito simples de manipular quando o 
usuário não compreende a linguagem SQL.
2. O teste de invasão está em uma área de intersecção entre ataque e proteção, uma vez 
que diferentes técnicas de ataque são empregadas com o propósito de elevar o nível 
de resiliência dos sistemas que se deseja proteger, o que está associado à avaliação das 
configurações, dos controles técnicos, administrativos e operacionais desses sistemas.
Diante das informações apresentadas sobre os testes de invasão, avalie as afirmações a 
seguir:
I - O teste de invasão é uma solução para aumentar a segurança de um banco de dados, 
já que possibilita identificar as vulnerabilidades dentro do sistema.
II - O teste de invasão é uma tentativa legal e autorizada pela organização para encontrar e 
explorar sistemas de computadores de modo bem-sucedido, com o objetivo de tornar 
esses sistemas mais seguros.
III - É preciso considerar que há inúmeros modos para realizar teste de invasão, sendo que 
cada tipo utiliza técnicas diferentes, e, com isso, resultados distintos.
AUTOATIVIDADE
1
4
1
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
3. O teste de invasão é uma solução para aumentar a segurança de um banco de dados, já 
que possibilita identificar as vulnerabilidades dentro do sistema. Isso é possível graças à 
realização de ataques cibernéticos controlados.
Considerando esse contexto, sobre a concessão ou a revogação de privilégios, assinale a 
opção correta:
a) Os testes de penetração white box (caixa branca) são considerados os mais completos, 
pois os profissionais que executam os testes de invasão recebem uma análise prévia da 
infraestrutura a ser invadida. 
b) Nos testes de penetração white box (caixa branca), os profissionais não têm informações 
prévias sobre a estrutura organizacional, então, esses testes são os que mais se aproxi-
mam de ataques externos reais.
c) No teste de penetração black box (caixa preta), os profissionais terão acesso a deter-
minadas informações sobre a organização, porém um acesso mais limitado do que no 
teste de penetração grey box.
d) No teste de penetração white box (caixa branca), com acesso parcial dos dados, os pro-
fissionais vão atacar as defesas da organização para assegurar a eficácia do sistema de 
segurança do banco de dados sob condições extremas de um ataque real.
e) No teste de penetração black box (caixa preta), os profissionais irão receber informações 
da organização como topografia de rede, logins, senhas, IPs, firewall e as medidas de 
segurança usadas pela organização.
AUTOATIVIDADE
1
4
1
REFERÊNCIAS
CARNEIRO, A. S. L. Testes de invasão em aplicações web utilizando SQL injection: um estudo 
epistemológico . Brasília: Centro Universitário de Brasília, 2017.
FARIAS, M. B. Injeção de SQL em aplicações web: causas e prevenção. Porto Alegre: Universi-
dade Federal do Rio Grande do Sul, 2009.
GONÇALVES JUNIOR, A. C. Um estudo de segurança da informação: Injeção de SQL. Fundação 
Educacional do Município de Assis – FEMA – Assis, 2013.
GONÇALVES, E. L. O. Segurança Ofensiva em Aplicações Web. Apostila de Laboratório. Versão 
1.1, 2016.
HACKERSEC. Explorar sites usando SQL Injection. 2023. Disponível em: ackersec.com/invadir-
-sites-usando-sql-injection/. Acesso em: 10 out. 2023.
IBM. O que é SOAP? 2022. Disponível em: https://www.ibm.com/docs/pt-br/integra-
tion-bus/10.0?topic=services-what-is-soap. Acesso em: 10 out. 2023.
VIANA, G. O que é um host? 2012. Disponível em: https://www.techtudo.com.br/noti-
cias/2012/02/o-que-e-um-host.ghtml. Acesso em: 10 out. 2023.
1
4
8
https://www.ibm.com/docs/pt-br/integration-bus/10.0?topic=services-what-is-soap
https://www.ibm.com/docs/pt-br/integration-bus/10.0?topic=services-what-is-soap
https://www.techtudo.com.br/noticias/2012/02/o-que-e-um-host.ghtml
https://www.techtudo.com.br/noticias/2012/02/o-que-e-um-host.ghtml
1. Opção A. Essa linguagem tem outros subconjuntos de operações usadas para gerenciar e 
modificar as informações e o banco de dados, como a adição, modificação e eliminação de 
informações, ou a elaboração de novas tabelas, dentre outros.
A linguagem SQL possui uma organização estrutural definida que segmenta seus comandos 
em subconjuntos, sendo que cada um desses conjuntos tem objetivos específicos.
O SQL é padronizado disponibilizando uma variada documentação e, quando o usuário 
compreende a linguagem, consegue naturalmente lidar com diferentes bancos de dados.
A interface de um banco de dados SQL pode ser difícil de manipular quando o usuário não 
compreende a linguagem SQL.
2. Opção E.
3. Opção A. Testes de penetração white box (caixa branca): considerados os mais completos, 
pois os profissionais que executam os testes de invasão recebem uma análise prévia da 
infraestrutura a ser invadida. Isso significa que os profissionais irão receber informações da 
organização como topografia de rede, logins, senhas, IPs, firewall e as medidas de segurança 
usadas pela organização. Com todos esses dados, os profissionais vão atacar as defesas 
da organização para assegurar a eficácia do sistema de segurança do banco de dados sob 
condições extremas de um ataque real.
Testes de penetração black box (caixa preta): os profissionais não têm informações prévias 
sobre a estrutura organizacional, então, esses testes são os que mais se aproximam de 
ataques externos reais.
Teste de penetração grey box (caixa cinza): é considerado uma mistura dos dois tipos de 
testes anteriores, já que os profissionais terão acesso a determinadas informações sobre 
a organização, porém um acesso mais limitado do que no teste de penetração white box.
GABARITO
1
4
9
UNIDADE 3
MINHAS METAS
CARACTERÍSTICAS DE UM BANCO 
DE DADOS
Conhecer a importânciade um banco de dados.
Conhecer os principais conceitos de sistemas gerenciadores de bancos de dados.
Aprender as principais características de bancos de dados.
Analisar as principais ameaças a bancos de dados.
Entender quais são as aplicações para bancos de dados.
Conhecer as principais características de segurança para bancos de dados. 
Conhecer as principais características de disponibilidade e backup de bancos de dados.
T E M A D E A P R E N D I Z A G E M 7
1
5
1
INICIE SUA JORNADA
Começando com alguns questionamentos: qual a importância de utilizar bancos 
de dados? Como manter bancos de dados em segurança? Como realizar backups?
Esses são alguns questionamentos que devem ser levados em consideração por qual-
quer empresa ou organização que precise armazenar seus dados em algum local. Atual-
mente, existem muitas ameaças à segurança da informação, e elas podem comprometer 
a confidencialidade, a integridade e a disponibilidade dos dados. Sendo assim, manter 
dados em arquivos como planilhas ou mesmo escritos à mão em cadernos pode ser ex-
tremamente prejudicial aos negócios caso esses materiais sejam danificados ou perdidos. 
Algumas empresas podem até utilizar uma simples planilha; porém, em determinado 
momento de sua expansão, processos terão de ser automatizados, sistemas precisarão ser 
implantados e um sistema gerenciador de banco de dados deverá ser utilizado. 
Ao utilizar um banco de dados, a empresa ou a organização mantém seus dados 
com acesso mais eficiente, sendo possível ter consistência e integridade, e as aplica-
ções podem ser facilmente acessadas. Com a utilização de um banco de dados, regras 
para que registros não sejam duplicados podem ser facilmente aplicadas, assim como 
pode-se vincular uma tabela de cliente a uma outra tabela que armazena dados de 
compras, permitindo gerar relatórios ou acessar consultas na tela de algum sistema.
No entanto, bancos de dados (ou parte deles) podem ser danificados por 
várias ameaças; nesse sentido, aplicar mecanismos de segurança da informação é 
essencial. Um dos principais mecanismos de segurança para bancos de dados é o 
backup. Dependendo da necessidade e da importância dos dados, você pode até 
realizar um experimento criando um banco de dados e configurar um agenda-
mento para backups diários ou semanais. Você perceberá que, caso algum arquivo 
corromper, os dados estarão intactos até o backup anterior.
Sabendo desses detalhes sobre bancos de dados, entendeu o porquê da importân-
cia desse assunto? Quer aprender mais sobre bancos de dados? Então continue aqui.
Neste podcast, você será guiado a iniciar uma reflexão sobre bancos de dados. 
Além disso, você compreenderá as características de segurança para a proteção 
de bancos de dados. Vamos ouvir!
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de aprendizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
5
1
TEMA DE APRENDIZAGEM 7
DESENVOLVA SEU POTENCIAL
BANCOS DE DADOS
Banco de dados (BD) é uma coleção organizada de dados que são estruturados 
e armazenados e podem ser recuperados por meio de consultas, assim como 
podem ser manipulados. É possível armazenar diferentes tipos de informações 
em bancos de dados, como textos, números, imagens, arquivos, dentre outros. 
A ideia por trás de um banco de dados é realizar o armazenamento de dados 
de maneira que seja possível recuperá-los ou manipulá-los, conforme a neces-
sidade das aplicações.
Iniciamos a abordagem de bancos de dados entendendo algumas de suas aplica-
ções. Um banco de dados pode ser utilizado para armazenar informações sobre 
produtos, clientes, pedidos e dados de pagamentos em um sistema de gerencia-
mento de vendas. Também pode ser utilizado em uma companhia aérea, cujo 
VAMOS RECORDAR?
Vamos recordar alguns pontos importantes.
Você já deve ter ouvido falar em banco de dados. Utilizado pela maioria dos 
sistemas e APIs de aplicativos, ele serve justamente para armazenar os dados 
enviados pelas aplicações, sendo possível recuperá-los em uma consulta. Assista 
ao vídeo “O que é Banco de Dados e porque interessa aprender isso?”
Recurso de mídia disponível no conteúdo digital no ambiente virtual 
de aprendizagem.
VOCÊ SABE RESPONDER?
Qual a diferença entre banco de dados e sistema gerenciador de banco de dados?
1
5
4
De acordo com Laudon e Laudon (2014, p. 183), “um banco de dados é um 
conjunto de arquivos relacionados entre si com registros sobre pessoas, lugares 
ou coisas”. Conforme essa descrição, banco de dados (BD) é a parte essencial de 
alguma aplicação computacional, o qual disponibiliza os dados armazenados 
para usuários de sistemas ou aplicativos.
Segundo Elmasri e Navathe (2011, p. 4), 
 “ [...] definir um banco de dados envolve especificar os tipos, es-
truturas e restrições dos dados a serem armazenados. A defi-
nição ou informação descritiva do banco de dados também é 
armazenada pelo SGBD na forma de um catálogo ou dicionário, 
chamado de metadados.
sistema pode armazenar detalhes sobre voos, assentos disponíveis, horários, entre 
outras informações, permitindo a reserva de voos. Como último exemplo, pode-
mos citar uma rede social, a qual utiliza bancos de dados para armazenar dados 
de perfis de usuários, postagens nos feeds, interações, dentre outros.
UNIASSELVI
1
5
5
TEMA DE APRENDIZAGEM 7
Já um sistema gerenciador de banco de dados (SGBD):
 “ [...] é uma coleção de programas que permite aos usuários criar e 
manter um banco de dados. O SGBD é um sistema de software de 
uso geral que facilita o processo de definição, construção, manipula-
ção e compartilhamento de bancos de dados entre diversos usuários 
e aplicações (ELMASRI; NAVATHE, 2011, p. 3-4).
Segundo Elmasri e Navathe (2011, p. 12), "[...] um SGBD deve oferecer um subsis-
tema de segurança e autorização, que o DBA utiliza para criar contas e especificar 
suas restrições. Então, o SGBD deve impor essas restrições automaticamente".
Conforme Brown e Stallings (2014, p. 98), 
 “ [...] um administrador de segurança mantém um banco de dados 
de autorização que especifica qual tipo de acesso a quais recursos é 
permitido para esse usuário. A função de controle de acesso consul-
ta esse banco de dados para determinar se concede ou não o acesso.
Nesse contexto, manter o controle de registros de acessos de usuários aos recursos 
do sistema e definir as permissões de usuários são fortes mecanismos de segurança:
 ■ Os registros de acessos permitem a verificação e o acompanhamento 
de ações que estão sendo realizadas, assim como a análise de processos 
envolvendo o banco. 
 ■ Já as permissões de usuários garantem que usuários realizem apenas as 
ações que possuam permissão no banco de dados, como consultar, inserir 
novos registros, excluir etc.
De acordo com Laudon e Laudon (2014, p. 190) os BD devem: 
 “ [...] contemplar outras informações, como uso; proprietário (quem, 
dentro da organização, é responsável pela manutenção dos dados); 
autorização; segurança; e os indivíduos, as funções empresariais, os 
programas e os relatórios que usam cada elemento de dado.
1
5
1
Já para Ferreira (2017, p. 79), 
 “ [...] a segurança da informação é obtida por meio da implantação de 
um conjunto de medidas que envolvem pessoas, processos e tecno-
logias, visando garantir a disponibilidade, integridade, confidenciali-
dade, autenticidade e irretratabilidade ou não repúdio da informação. 
Além disso, o autor acrescenta que “essas características são conhecidas tam-
bém como atributos de uma informação segura ou princípios de segurança da 
informação” (FERREIRA, 2017, p. 79). Assim, é importante destacar alguns de-
talhes sobre cada uma dessas características:
DISPONIBILIDADE
É a qualidade de a informação estar sempre acessível e em condições de ser utilizada 
pelo usuário autorizado.
INTEGRIDADE
É a garantia de que a informação não foi alterada, mantendo suas características 
originais.
UNIASSELVI
1
5
1
TEMA DE APRENDIZAGEM 7
SEGURANÇA EM BANCO DE DADOS
Agora que você jásabe o que é um banco de dados, vamos conhecer questões 
de segurança de banco de dados. Afinal, não basta armazenar os dados em um 
local que não seja seguro, pois eles podem ser danificados ou disponibilizados 
para pessoas sem autorização, certo?
Por exemplo, se você realizar uma compra com cartão de crédito em algum 
site, você não quer que os dados de seu cartão de crédito fiquem disponíveis para 
que outras pessoas consultem.
Nesse sentido, a segurança em banco de dados é essencial para realizar a proteção 
de informações confidenciais, pessoais e sensíveis, as quais estão armazenadas em 
sistemas de gerenciamento de banco de dados (SGBD). A violação de dados pode 
ter sérias repercussões, incluindo roubo de identidade, perda financeira e danos à 
reputação. 
CONFIDENCIALIDADE
É a propriedade de que a informação será acessada somente por usuários autoriza-
dos, evitando seu conhecimento ou sua divulgação a pessoas sem permissão.
AUTENTICIDADE
É a garantia de que a informação foi originada na fonte anunciada, ou seja, que a infor-
mação foi produzida por quem diz tê-la produzido.
IRRETRATABILIDADE OU NÃO REPÚDIO
É a característica de não poder negar ações referentes à informação, isto é, o usuário 
não conseguir negar que enviou a informação, ou a acessou, ou a modificou, ou a 
copiou, ou a destruiu, etc. (FERREIRA, 2017, p. 79-80).
1
5
8
Outra reflexão importante sobre esse tema é pensar se existe algum processo 
que deve ser realizado de forma sequencial e que proporcione segurança nas 
informações, inclusive no BD. 
A resposta é que isso depende, pois realizar a Segurança da Informação 
e de Comunicações (SIC) em uma empresa ou uma organização não é tarefa 
simples nem rápida. 
O primeiro passo é reconhecer e definir o valor da informação para a empresa. 
Isso pode ser feito realizando a gestão de riscos em todos os processos que envol-
vam dados, sistemas e recursos, a fim de que as vulnerabilidades ou as fraquezas 
desse processo sejam definidas. Além disso, pode-se identificar como as ameaças 
e as vulnerabilidades podem ser exploradas e, assim, causar danos, perdas ou 
ataques às informações (FERREIRA, 2017).
 
Pilares de segurança para bancos de dados
Ameaças a bancos de dados podem ocasionar a perda ou a degradação de alguns 
ou de todos os objetivos de segurança de um banco de dados, que são a integri-
dade, a disponibilidade e a confidencialidade.
UNIASSELVI
1
5
9
TEMA DE APRENDIZAGEM 7
PERDA DE INTEGRIDADE
A integridade do banco de dados se refere ao requisito de que a informação seja pro-
tegida contra modificação imprópria. A modificação de dados inclui criação, inserção, 
atualização, mudança de status dos dados e exclusão. A integridade é perdida se 
mudanças não autorizadas forem feitas nos dados por atos intencionais ou acidentais. 
Se a perda da integridade do sistema ou dos dados não for corrigida, o uso continuado 
do sistema contaminado ou de dados adulterados poderia resultar em decisões im-
precisas, fraudulentas ou errôneas.
PERDA DE DISPONIBILIDADE
A disponibilidade do banco de dados se refere a tornar os objetos disponíveis a um 
usuário humano ou a um programa ao qual ele tenha direito legítimo.
PERDA DE CONFIDENCIALIDADE
A confidencialidade do banco de dados se refere à proteção dos dados em relação a 
exposições não autorizadas. O impacto de informações confidenciais sofrerem uma 
exposição não autorizada pode variar desde a violação do Data Privacy Act até o com-
prometimento da segurança nacional. A exposição não autorizada, não antecipada ou 
não intencional poderia resultar em perda de confiança pública, constrangimento ou 
ação legal contra a organização.
Práticas de segurança para bancos de dados
Levando em consideração a segurança em banco de dados, temos algumas prá-
ticas essenciais que permitem garantir a segurança:
 ■ Controle de acesso: implementação de autenticação forte para garantir 
que apenas usuários autorizados possam ter acesso ao banco de dados, 
definindo permissões específicas para diferentes usuários (ou grupos de 
usuários) e limitando as ações que eles podem realizar no banco de dados.
 ■ Criptografia: a criptografia dos dados armazenados e durante trans-
missões ajuda na proteção das informações caso alguém consiga acessar 
os dados físicos ou interceptar comunicações entre o cliente e o servidor. 
Nesse sentido, utilizar técnicas de criptografia como SSL/TLS é essencial 
1
1
1
para proteger as comunicações entre aplicativos e o banco de dados. A 
criptografia converte dados em um formato ilegível (texto cifrado), o qual 
pode ser revertido para seu formato original (texto original) apenas por 
meio de chaves de criptografia específicas.
 ■ Backup e recuperação: contempla realizar backups regulares dos dados 
de bancos de dados e verificar se backups são armazenados de forma 
segura, em locais isolados e protegidos. Deve-se testar regularmente os 
procedimentos de recuperação para garantir que estejam funcionando.
 ■ Monitoramento e auditoria: implementação de sistemas de monitora-
mento para acompanhar atividades suspeitas ou incomuns em bancos de 
dados, registrando eventos de auditoria, como logins, acessos e modifica-
ções de dados. Permite rastrear quem fez o que e quando.
 ■ Patches e atualizações: atualização de software do banco de dados e sis-
temas operacionais com patches de segurança mais recentes, o que evita 
vulnerabilidades conhecidas.
 ■ Testes de segurança: realização regular de testes de penetração e ava-
liações de vulnerabilidade para identificar pontos fracos no sistema e 
corrigi-los antes que sejam explorados por atacantes.
 ■ Políticas de senhas: exigência de senhas fortes e complexas para acessar 
o banco de dados, incentivando a troca periódica.
 ■ Firewalls e redes seguras: configuração de firewalls para proteção do 
banco de dados contra acessos não autorizados.
 ■ Prevenção contra injeção de SQL: sanitização e validação de todas as 
entradas de usuários para prevenir ataques de injeção de SQL, o que pode 
comprometer a integridade dos dados. 
 ■ Gestão de riscos: identificação e avaliação dos riscos associados à se-
gurança em banco de dados, desenvolvendo planos de contingência e 
resposta a incidentes, com o intuito de estar preparado.
Nesse sentido, Ferreira (2017) aponta que os seguintes tipos de segurança devem 
ser adotados:
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
SEGURANÇA FÍSICA
Preocupa-se em evitar o acesso físico às instalações e às informações da organização 
por indivíduos não autorizados ou estranhos à empresa.
SEGURANÇA LÓGICA
Visa garantir que o acesso à informação eletrônica seja feito dentro dos princípios da 
SIC. É implementado através de senhas, níveis de acesso, privilégios etc.
SEGURANÇA DA REDE
Consiste em estratégias e políticas implementadas por softwares, hardwares e proce-
dimentos e que são adotadas para impedir o acesso não autorizado, o uso indevido, a 
modificação ou a negação de serviço durante a transmissão da informação pela rede.
SEGURANÇA NO ARMAZENAMENTO
É um conjunto de medidas que visa preservar a informação que estiver guardada, en-
volvendo cópias de segurança (backup), dispositivos de armazenamento (fitas, discos, 
cartões SD, nuvem, CD/DVD) e redundância de dados (FERREIRA, 2017, p. 81).
Outro aspecto de um SGBD para que ele atenda a um sistema multiusuário é que 
ele permita mecanismos que possam gerenciar os acessos ao sistema em todos 
os seus níveis. 
Por exemplo, informações confidenciais ou sigilosas, como valores dos sa-
lários dos funcionários, análises de desempenho e atestados médicos, são sensí-
veis e requerem controles de acesso aos usuários do sistema de BD (ELMASRI; 
NAVATHE, 2011).
MECANISMOS DE SEGURANÇA DISCRICIONÁRIOS 
São usados para conceder privilégios aos usuários, incluindo a capacidade de acessar 
arquivos de dados, registros ou campos específicos em um modo especificado (como 
leitura, inserção, exclusão ou atualização).
1
1
1
DISPONIBILIDADE E BACKUP DE BANCO DEDADOS
A segurança da informação é composta por princípios como disponibilidade, 
integridade, confidencialidade, autenticidade e não repúdio. A partir daqui, você 
conhecerá como garantir a disponibilidade de bancos de dados por meio de 
recursos de segurança que mantêm os dados disponíveis para serem solicitados.
Um sistema ou um banco de dados pode ficar indisponível. Segundo 
Nakamura (2016, p. 12), “ataques clássicos que comprometem a disponibilidade 
são a negação de serviço, com o DoS (Denial of Service) e o DDoS (Distributed 
Denial of Service)”, pois “nesses ataques, que podem ocorrer com a aplicação 
de diversas técnicas, que vão desde o nível de rede quanto o nível de aplicação, 
os serviços se tornam indisponíveis, com o comprometimento do acesso à 
informação” (NAKAMURA, 2016, p. 12-13).
MECANISMOS DE SEGURANÇA OBRIGATÓRIOS 
São usados para impor a segurança multinível pela classificação de dados e usuários 
em várias classes (ou níveis) de segurança e, depois, pela implementação da política 
de segurança apropriada da organização. Por exemplo, uma política de segurança 
usual é permitir que usuários com certo nível de classificação (ou liberação) vejam 
apenas os itens de dados classificados no seu próprio nível de classificação (ou infe-
rior). Uma extensão disso é a segurança baseada em papéis, que impõe políticas e 
privilégios com base no conceito de papéis organizacionais.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
Atualmente, a segurança para banco de dados. Um exemplo de quebra de segu-
rança foi a matéria escrita sobre o laboratório de cibersegurança da PSafe, o qual, 
em janeiro de 2021, identificou um provável vazamento de dados de mais de 220 
milhões de pessoas. 
EU INDICO
Saiba mais a partir da leitura do artigo “Vazamento expõe dados pessoais de mi-
lhões de brasileiros”.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de 
aprendizagem 
De acordo com Baars et al. (2018, p. 36), 
 “ [...] para se proteger desses ataques, apenas os serviços e portas 
necessárias devem estar disponíveis nos sistemas, e sistemas de 
detecção de intrusão (Intrusion Detection Systems – IDS) devem 
monitorar o tráfego da rede e a atividade das máquinas. 
Também é válido mencionar que “certas configurações de roteadores e firewalls 
também podem reduzir a ameaça de ataques DoS e possivelmente impedi-los de 
acontecer” (BAARS et al., 2018, p. 36).
Conforme Reynolds e Stair (2015, p. 210), 
 “ [...] como as empresas de hoje têm muitos elementos, eles devem 
ser organizados em dados para que possam ser utilizados mais efe-
tivamente. O BD deve ser projetado para guardar todos os dados 
relevantes para o negócio, proporcionar rápido acesso e qualquer 
modificação facilmente. 
Dessa forma, ao construir um BD, alguns pontos devem ser considerados, tais 
como:
1
1
4
CONTEÚDO
Quais dados devem ser coletados e a que preço?
ACESSO
Que dados devem ser fornecidos para quais clientes e quando?
ESTRUTURA LÓGICA
Como os dados devem ser organizados para que façam sentido para determinado 
cliente?
ORGANIZAÇÃO FÍSICA
Onde os dados devem ficar localizados fisicamente? (REYNOLDS; STAIR, 2015, p. 210).
A partir desse levantamento, será possível mapear e identificar ameaças e vul-
nerabilidades, incluindo o planejamento dos recursos necessários para prover a 
segurança física, lógica, de redes e de armazenamento.
A gestão (e o armazenamento) de dados é tal que o risco de perder infor-
mações seja mínimo.
O dado é, por exemplo, armazenado em um disco de rede, não no disco 
rígido do PC.
Os procedimentos de backup são estabelecidos. Os requisitos legais do 
período pelo qual os dados devem ser armazenados são levados em conta. A 
localização do backup é separada fisicamente do negócio, a fim de garantir dis-
ponibilidade nos casos de emergência.
Os requisitos legais sobre quanto tempo os dados devem ser mantidos ar-
mazenados variam de país para país na União Europeia, nos EUA e em outros 
lugares. Para requisitos específicos, é importante checar as agências reguladoras 
individuais do governo.
Tudo o que verificamos até o momento é relacionado à disponibilidade de 
sistemas e informações diante dos cenários de incertezas que podem surgir. 
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 7
A disponibilidade também é associada ao recurso de backup. É mencionar que, 
a partir de uma situação inesperada, seja por falha de equipamento técnico ou 
por falha operacional, o backup é extremamente importante.
A empresa precisa se organizar em relação à segurança e dispor de planos 
que permitam a rápida retomada dos sistemas e informações. Esses planos 
“concentram-se primordialmente em questões técnicas relacionadas à preservação 
do funcionamento dos sistemas, tais como os arquivos que devem ter backup e 
a manutenção de sistemas de computador reservas (backup) ou de serviços de 
recuperação de desastres” (LAUDON; LAUDON, 2014, p. 273).
Entretanto, muitas empresas, infelizmente, só percebem a importância do backup 
quando passam por uma situação inesperada, ou seja, quando os dados já foram 
perdidos ou comprometidos e n ão se pode fazer mais nada para recuperá-los. 
A Cartilha de Segurança para Internet (COMITÊ GESTOR DA INTERNET 
NO BRASIL, 2012, p. 52) apresenta os seguintes procedimentos como essenciais:
 ■ Proteção de dados: você pode preservar seus dados para que sejam recu-
perados em situações como falha de disco rígido, atualização malsucedida 
do sistema operacional, exclusão ou substituição acidental de arquivos, 
ação de códigos maliciosos/atacantes e furto/perda de dispositivos. 
 ■ Recuperação de versões: você pode recuperar uma versão antiga de 
um arquivo alterado, como uma parte excluída de um texto editado ou a 
imagem original de uma foto manipulada. 
1
1
1
 ■ Arquivamento: você pode copiar ou mover dados que deseja ou que 
precisa guardar, mas que não são necessários no seu dia a dia e que rara-
mente são alterados.
Segundo Baars et al. (2018, p. 114),
 “ “[...] o propósito de fazer backups, ou cópias reservas, é manter a 
integridade e a disponibilidade da informação e das instalações 
computacionais. As consequências da perda de informação de-
pendem da idade da informação que pode ser recuperada a partir 
do backup”.
Oliveira e Piva (2010, p. 124) informam que: 
 “ [...] a partir de uma estratégia adequada de backup e restore, um 
plano de manutenção define uma série de tarefas que devem ser exe-
cutadas no banco de dados para garantir o seu bom funcionamento 
e desempenho, bem como a disponibilidade das informações. 
Ainda complementam que “no plano de manutenção podemos prever tanto ta-
refas de backup para evitar a perda de informações, quanto de verificação da 
integridade dos objetos do banco de dados” (OLIVEIRA; PIVA, 2010, p. 124).
CONTROLE DE REDUNDÂNCIA
Segundo Macêdo (2011), a redundância consiste no armazenamento de uma 
mesma informação em locais diferentes, gerando inconsistências. Em um banco 
de dados as informações se encontram armazenadas em um único local, não 
havendo duplicação descontrolada dos dados. 
Quando existem replicações dos dados, elas são decorrentes do processo de 
armazenagem típica do ambiente Cliente-Servidor, totalmente sob controle do 
banco de dados.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
Mais especificamente sobre evitar a redundância e a inconsistência de dados, Cayres 
(2015, p. 2) afirma que “[...] um sistema de banco de dados teria de ter a capacida-
de de reduzir ao máximo, ou mesmo eliminar, a redundância da informação em 
lugares diferentes, muito comum nos Sistemas de Arquivos existentes até então”.
O autor também observa que “um dos problemas da redundância é que podemos 
atualizar um determinado dado de um arquivo e essa atualização não ser feita em 
todo o sistema – esse problema é chamado de inconsistência” (CAYRES, 2015, p. 2).
Assim, com a utilização de um sistema de gerenciamento de banco de dados 
(SGBD), os processos de segurança e de controle de redundância são atingíveis.TEMA DE APRENDIZAGEM 1
A SEGURANÇA DE DADOS E INFORMAÇÃO
Para que um banco de dados se torne uma ferramenta para tomada de decisões, é 
fundamental que ele seja seguro e confiável. Desse modo, um ponto importante a 
ser destacado é que nem todos os usuários do sistema de banco de dados devem 
ser capazes de acessar todos os dados. A segurança dos dados é imprescindível 
para proteger os dados contra usuários que não tenham a devida autorização, 
visto que tratar os dados organizacionais de modo eficiente, eficaz e seguro 
pode proporcionar a descoberta de novos mercados ou de novos caminhos para 
obter clientes (BALTZAN; PHILLIPS, 2012; COUTINHO et al., 2017). Segundo 
Baltzan e Phillips (2012, p. 144):
 “ A crescente demanda por informações em tempo real decorre da 
necessidade das empresas tomarem decisões mais rápidas e eficazes, 
manterem estoques menores, operarem com mais eficiência e 
controlarem o desempenho com mais cuidado.
Você pode perceber que um banco de dados pode conter informações muito 
valiosas para as organizações ou até mesmo para os indivíduos. A divulgação de 
informações não autorizadas pode afetar de modo significativo uma organização 
de diversos modos, como levar à perda de clientes ou de mercado, ou até mesmo 
a ações judiciais. A segurança da informação é uma área de conhecimento que 
protege a informação por meio de ações e normas que precisam ser cumpridas. 
Desse modo, Fontes (2012, p. 11) define:
 “ A segurança da informação é definida como um conjunto de orien-
tações, normas, procedimentos, políticas e demais ações que têm 
por objetivo proteger o recurso à informação, possibilitando que o 
negócio da organização e a sua missão seja alcançada. A segurança 
existe para minimizar os riscos do negócio em relação à depen-
dência do uso dos recursos de informação para o funcionamento 
da organização.
1
1
A norma ISO/IEC 17799 caracteriza a informação da seguinte maneira:
Para aprofundar o seu conhecimento sobre o conceito de 
disponibilidade, leia o artigo O que é alta disponibilidade em 
nuvem? https://kivalitaconsulting.com/integridade-de-da-
dos-data-integrity/. Recursos de mídia disponíveis no 
conteúdo digital no ambiente virtual de aprendizagem.
EU INDICO
CONFIDENCIALIDADE
Acesso a indivíduos com autorização. Isso significa que a informação será divul-
gada com prévia autorização, então, é preciso adotar métodos que assegurem a 
confidencialidade das informações. Os requisitos de confiabilidade são manipula-
dos de acordo com o nível das informações.
INTEGRIDADE
Exatidão das informações para assegurar que os dados e as informações proces-
sadas e transmitidas pelos sistemas de informação são íntegros. Por essa razão, 
qualquer modificação pode comprometer a integridade de um grande volume de 
dados e informações, gerando prejuízos.
DISPONIBILIDADE
Acesso a uma informação no momento desejado. Então, é essencial o 
funcionamento da rede e do sistema de modo ágil. As medidas de segurança 
precisam permitir acesso às informações no momento necessário.
LEGALIDADE
A informação foi gerada em conformidade com a lei.
UNIASSELVI
1
1
https://kivalitaconsulting.com/integridade-de-dados-data-integrity/
https://kivalitaconsulting.com/integridade-de-dados-data-integrity/
TEMA DE APRENDIZAGEM 1
A segurança em banco de dados deve ser alcançada considerando as seguintes 
metas: confiabilidade, integridade e disponibilidade. Esses são os três pilares da 
segurança, que são primordiais para a proteção dos dados, possibilitando um 
bom funcionamento das infraestruturas.
A confidencialidade assegura que somente os indivíduos autorizados possam 
acessar, visualizar e alterar o banco de dados, ou seja, garantir a confidencialidade 
é um dos princípios básicos da segurança da informação e, por consequência, da 
segurança de dados (CAMPOS, 2018). Você percebe que a falha desse requisito 
pode trazer impactos negativos para a organização.
A integridade é assegurar que os dados no banco de dados estejam corretos. 
Conforme Campos (2018, p. 36):
 “ O Sistema Gerenciador de Banco de Dados deve assegurar a veri-
ficação das restrições de integridade a fim de manter os dados váli-
dos, de modo que seja reduzida ao mínimo a redundância de dados, 
aumentando a consistência dos dados. Gerenciar as transações é 
fator de muita importância para a manutenção da integrida-
de dos dados. Pode-se entender como transação um conjunto de 
ações realizadas por um usuário ou por uma aplicação.
AUTENTICIDADE
Garantia de que os indivíduos que acessaram a informação são exatamente os 
que possuem acesso à informação, e que ela não foi modificada após o seu envio 
ou validação.
1
8
 A disponibilidade confirma que a informação esteja disponível de modo rápido 
e eficiente para os usuários autorizados, garantindo que o sistema da organiza-
ção seja operacional. Isso significa que todos que usam o sistema e dependem 
dele para realizar suas atividades diárias, podem desempenhar suas funções 
com sucesso (CAMPOS, 2018).
O que você consegue perceber é que o avanço da tecnologia e o aumento 
das conexões via internet aumentam de modo significativo o risco de ataques de 
hackers que furtam ou sequestram dados, cometendo crimes por meio da rede. 
É muito frequente vermos notícias sobre ataques virtuais, já que com falhas de 
segurança em ascensão e hackers de computador em todos os lugares, uma or-
ganização deve colocar em prática medidas fortes de segurança para sobreviver 
no mercado (BALTZAN; PHILLIPS, 2012). Por isso, agora, vamos compreender 
as vulnerabilidades, ameaças e riscos!
ERRO HUMANO
Inserção de dados incorretos, duplicados, ou, ainda, alteração e exclusão de 
dados não autorizados.
ERROS DE TRANSFERÊNCIA
Quando os dados são transferidos com sucesso para outro banco de dados não 
autorizado.
BUGS E VÍRUS
Malwares e outros programas que são capazes de invadir um sistema e modificar, 
excluir ou roubar dados.
HARDWARE COMPROMETIDO
Falhas subidas no computador ou servidor que comprometem o hardware.
Para garantir a integridade, existem muitos fatores que podem afetá-la, tais como:
UNIASSELVI
1
9
TEMA DE APRENDIZAGEM 1
PENSANDO EM VULNERABILIDADES, AMEAÇAS E RISCOS
A vulnerabilidade é definida como a fragilidade de um ativo, bem como de grupo 
de ativos, que pode ser explorada por inúmeros tipos de ameaças. Conforme 
Sêmola (2013, p. 47):
 “ As vulnerabilidades são fragilidades presentes ou associadas a ati-
vos que manipulam e/ou processam informações que, ao serem 
exploradas por ameaças, permitem a ocorrência de um incidente 
de segurança, afetando negativamente um ou mais princípios da 
segurança da informação.
Desse modo, quando um determinado ativo da informação é atacado, ocorre, en-
tão, uma ameaça. O ataque a uma organização pode ocorrer tanto internamente 
quanto externamente (PELTIER, 2010). Desse modo, uma ameaça é uma poten-
cial causa de um incidente indesejado, podendo acarretar danos a um sistema 
ou organização. Então, uma ameaça conta com um indivíduo que se aproveita 
de uma vulnerabilidade.
Isso significa que, para cada tipo de ameaça identificada, é possível existir 
estruturas no sistema operacional que inviabilizam o incidente. É importante 
ressaltar que as ameaças podem ou não se materializar, ou seja, evitá-las depen-
derá da durabilidade e da correção dos mecanismos desenvolvidos.
O risco é compreendido pela combinação dos seguintes elementos: con-
sequência e probabilidade. É importante ressaltar que inúmeros fatores influen-
ciam no processo de mensuração do risco, devendo ser considerado os controles 
e as medidas de segurança que atuam de modo direto no aumento ou na redução 
do risco. Conforme Dantas (2011, p. 41):
 “ O risco é compreendido como algo que cria oportunidades ou pro-
duz perdas. Com relação à segurança, os riscos são compreendidos 
como condições que criam ou aumentam o potencial de danos e 
perdas. É medido pela possibilidade de um evento vir a acontecer 
e produzir perdas.
1
1
O que você pode perceberPara entendermos melhor, analisemos as tabelas que apresentam um exemplo 
de estrutura de tabelas de um banco de dados.
Nesse exemplo, a tabela “PEDIDO” está desnormalizada, pois as informa-
ções que normalmente seriam armazenadas em tabelas separadas estão repetidas 
para cada linha de pedido. Se fosse normalizar, teríamos uma tabela “PEDIDO”, 
outra “CLIENTE”, uma tabela “PRODUTO” e outra tabela “CATEGORIA”cate-
goria, por exemplo. Porém, a desnormalização facilita a consulta de informações 
detalhadas de pedidos sem a necessidade de juntar várias tabelas, o que pode 
ser vantajoso em cenários em que as consultas são frequentes e a velocidade de 
execução é crítica. 
Porém, isso pode gerar duplicidade de informações, como no caso dos pe-
didos do mesmo cliente.
Quadro 1 – Pedido com duplicidade de informações / Fonte: o autor.
PEDIDO
PEDIDO ID CLIENTE ID PRODUTO CATEGORIA ID PREÇO
100 1 Calça 1 130,00
102 2 Chinelo 2 29,99
102 2 Tamanco 2 95,99
103 4 Jogo de Pratos 5 359,99
1
1
8
Neste segundo exemplo, temos a normalização dos dados da tabela anterior, na 
qual os dados estão divididos em tabelas separadas. Aqui, estão sendo seguidos 
os princípios de normalização, o que auxilia a diminuir a redundância de dados 
e a melhorar a integridade do banco de dados.
CATEGORIA
CATEGORIA ID DESCRICAO
1 Calças
2 Calçados
5 Utensílios
CLIENTE
CLIENTE ID NOME E-MAIL
1
2
4
PRODUTO
PRODUTO ID CLIENTE ID CATEGORIA ID PREÇO
1000 Calça 1 130,00
1002 Chinelo 2 29,99
1003 Tamanco 2 95,99
1004 Jogo de Pratos 5 359,99
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 7
Como pode ser verificado no exemplo, é possível analisar e controlar a redun-
dância, havendo o mínimo possível de redundância quando se utiliza um projeto 
conceitual de um banco de dados. 
Segundo Cayres (2015, p. 33), “é preciso buscar desmembrar as informações e 
distribuí-las em tabelas menores, analisando as interdependências entre atributos 
individuais associados a cada uma dessas tabelas”.
Para entender um pouco mais o que é a normalização, Cayres (2015, p. 34) 
afirma que se trata de um: 
 “ [...] processo de normalização [que] pode ser entendido como um 
conjunto de regras que visa minimizar as anomalias em torno da 
modificação dos dados de modo que seja mais fácil manipular esses 
dados (manutenção do sistema) sem gerar redundâncias ou incon-
sistências.
Cayres (2015, p. 34) ainda apresenta alguns apontamentos sobre porque normali-
zar: “Para minimização de redundâncias e inconsistências, facilidade de manipu-
lações do banco de dados e facilidade de manutenção do Sistema de Informações”.
Quadro 2: Normalização dos dados / Fonte: o autor.
PEDIDO
PEDIDOID CLIENTEID PRODUTOID QUANTIDADE
1000 1 Calça 1
1002 2 Chinelo 1
1003 2 Tamanco 2
1004 4 Jogo de Pratos 1
1
1
1
EU INDICO
Para complementar seu estudo sobre normalização de tabelas de bancos de da-
dos, leia o artigo “Normalização em Banco de Dados – Estrutura”.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de 
aprendizagem 
Acesse e confira a aula referente a este tema.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de 
aprendizagem 
EM FOCO
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 7
NOVOS DESAFIOS
Para quem deseja atuar nas áreas de tecnologia de informação (TI), conhecer 
bancos de dados é essencial no mercado de trabalho . São várias as razões de 
o conhecimento em bancos de dados ser valorizado: para a gestão e armaze-
namento de dados, desenvolvimento de software, análise de dados e business 
intelligence, administração de sistemas e infraestrutura, segurança da informação, 
dentre outras.
Bancos de dados são a base para o armazenamento e o gerenciamento de in-
formações nas empresas e organizações, e ter conhecimentos e habilidades sobre 
esse assunto aumenta suas oportunidades profissionais. Além disso, permite que 
você desempenhe um papel fundamental para garantir a eficiência e a seguran-
ça dos dados do local em que você for trabalhar. Atualmente, com a constante 
transmissão de dados pela internet, existe a real necessidade de profissionais 
que atuem nesse meio para evitar ameaças. Neste contexto, é essencial buscar 
conhecimentos referentes a mecanismos de segurança para bancos de dados.
1
1
1
1. Atualmente, com a constante utilização de aplicações computacionais, desktop, mobile ou 
aplicativos nativos, existe a necessidade de maior segurança para armazenar os mais varia-
dos tipos de dados gerados. Nesse quesito, existem vários mecanismos de segurança da 
informação que garantem integridade, disponibilidade e confidencialidade para os dados.
Considerando o armazenamento de dados, assinale a alternativa correta:
a) Banco de dados pode ser descrito pela coleção organizada de dados, os quais são 
estruturados e armazenados.
b) Banco de dados é o local onde os dados de uma aplicação podem ser armazenados, 
porém não podem ser manipulados.
c) Banco de dados é o local onde os dados gerados por um aplicativo desktop podem ser 
armazenados, onde os dados podem ser consultados, mas não manipulados.
d) Sistema gerenciador de banco de dados é onde os dados são armazenados, os quais 
são estruturados e armazenados.
e) Bancos de dados e sistemas gerenciadores de bancos de dados são sinônimos, isto é, 
referem-se ao mesmo tipo de aplicação.
2. Atualmente, são inúmeras as aplicações que necessitam armazenar seus dados em um 
local seguro. Para isso, utilizar um banco de dados é de extrema importância. Bancos de 
dados são muito importantes nos dias de hoje, principalmente quando se trata de armaze-
nar, gerenciar e acessar grandes volumes de dados, mantendo-os seguros.
Referente aos princípios de bancos de dados, avalie as afirmações a seguir:
I - Disponibilidade se refere aos dados estarem sempre acessíveis para serem utilizados 
por usuários autorizados.
II - Integridade é a garantia de que a informação não foi alterada, isto é, mantém suas ca-
racterísticas originais.
III - Irretratabilidade é a garantia de que a informação foi originada por quem diz tê-la pro-
duzido.
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
AUTOATIVIDADE
1
1
1
3. A segurança da informação propõe mecanismos e boas práticas para evitar ataques aos 
sistemas de informação, e isso inclui a segurança em banco de dados, a qual é de extrema 
importância para a realização e a proteção dos dados armazenados. Nesse sentido, são 
várias as ameaças que podem atacar um banco de dados, por meio das quais é possível 
consultar dados sem autorização, corromper dados, perder dados, etc. Considerando a 
segurança de bancos de dados, assinale a alternativa correta.
a) Controle de acesso se refere a testar regularmente os procedimentos de recuperação 
para garantir que estejam funcionando.
b) Backup se trata da cópia de dados de um banco de dados para, no caso de ocorrer algum 
dano e perda de dados, ser possível restaurá-lo.
c) Monitoramento e auditoria são atividades realizadas no desenvolvimento de projetos de 
software que utilizam bancos de dados para armazenamento.
d) SQL Injection é uma boa prática que deve ser aplicada para garantir que os dados não 
sejam acessados por quem não possui acesso autorizado. 
e) Criptografia serve para segurança na internet e não para uso de dados de um banco de 
dados.
AUTOATIVIDADE
1
1
4
REFERÊNCIAS
BAARS, H.; HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A. Fundamentos de Segurança 
da Informação – com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
BROWN, L.; STALLINGS, W. Segurança de computadores. 2. ed. Rio de Janeiro: Elsevier, 2014.
COMITÊ GESTOR DA INTERNET NO BRASIL. Cartilha de Segurança Para Internet. 2. ed. São 
Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/livro/
cartilha-seguranca-internet.pdf. Acesso em: 21 dez. 2020.
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados. 6. ed. São Paulo: Pearson, 2011.
FERREIRA,S. C. Sistemas de informação em segurança. Londrina: Editora e Distribuidora 
Educacional S.A., 2017.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 11. ed. São Paulo: Pearson 
Education do Brasil, 2014.
MACÊDO, D. Conceitos sobre Segurança em Banco de Dados. 2011. Disponível em: https://
www.diegomacedo.com.br/conceitos-sobre-seguranca-em-banco-dedados. Acesso em: 24 
jan. 2021.
NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e Distribuidora 
Educacional S.A., 2016.
OLIVEIRA, W. J.; PIVA, G. D. Informática, análise e gerenciamento de dados. 3. ed. São Paulo: 
Fundação Padre Anchieta, 2010.
REYNOLDS, G. W.; STAIR, R. M. Princípios de sistemas de informação. 11. ed. São Paulo: Cengage 
Learning, 2015.
1
1
5
https://www.diegomacedo.com.br/conceitos-sobre-seguranca-em-banco-dedados
https://www.diegomacedo.com.br/conceitos-sobre-seguranca-em-banco-dedados
1. Opção A. Banco de dados é uma coleção organizada de dados, os quais são estruturados 
e armazenados e podem ser recuperados por meio de consultas, assim como podem ser 
manipulados. Sistema gerenciador de banco de dados é uma coleção de programas que 
permite que os usuários criem e mantenham um banco de dados; não é o local onde se 
armazena os dados.
2. Opção C. A irretratabilidade é a característica de não repúdio, isto é, um indivíduo que enviou, 
acessou ou alterou uma informação não pode negar ter realizado essa ação. A garantia de 
que a informação foi originada por quem diz ter produzido é a característica autenticidade.
3. Opção B. Controle de acesso serve para garantir acessibilidade aos dados somente por quem 
tem autorização. Monitoramento e auditoria servem para acompanhar atividades suspeitas 
em BD. SQL Injection é um tipo de ataque a bancos de dados; portanto, não é uma prática 
de segurança, mas uma ameaça. Criptografia serve para tratamento de dados enviados de 
um banco de dados para algum local, como internet. 
GABARITO
1
1
1
MINHAS ANOTAÇÕES
1
1
1
MINHAS METAS
APLICAÇÃO DE SEGURANÇA EM 
BANCOS DE DADOS
Aprender os conceitos de criptografia.
Conhecer os principais tipos de criptografia para bancos de dados.
Aprender os principais conceitos de Triggers em bancos de dados.
Aprender os principais conceitos de Views em bancos de dados.
Desencadear conhecimentos referente às chaves criptográficas.
Reconhecer medidas de criptografia para bancos de dados.
Identificar recursos para manter bancos de dados mais seguros.
T E M A D E A P R E N D I Z A G E M 8
1
1
8
INICIE SUA JORNADA
Nos dias de hoje, como a internet se tornou um mecanismo de informação uti-
lizado constantemente em nossa vida diária, a necessidade de segurança virtual 
se tornou uma obrigação. 
Nesse sentido, empresas e organizações, como qualquer indivíduo que realiza 
alguma atividade on-line, devem se preocupar com a segurança dos dados, que 
podem ser roubados ao serem interceptados durante sua transmissão pela inter-
net. Para evitar que dados sejam interceptados e lidos, mecanismos de segurança 
devem ser utilizados, de modo que, nesse cenário, a criptografia um dos principais.
Atualmente, os profissionais de segurança utilizam criptografia para cumprir 
quatro objetivos principais: confidencialidade, integridade, autenticação e não 
repreensão (LOPES, 2022). Nesse contexto, a utilização da criptografia garante 
que algumas finalidades da segurança da informação sejam alcançadas, permi-
tindo que os dados possam ser transmitidos ou mantidos com maior segurança. 
Portanto, tratando-se desses temas, é de extrema importância tratar de assuntos 
relacionados à segurança e, principalmente, à criptografia, que protege os dados 
contra interceptações ou roubos.
VAMOS RECORDAR?
Você já deve ter ouvido falar sobre a orientação de não gravar senhas em tabelas 
de bancos de dados pela fato de que isso pode ser uma ameaça à segurança, 
certo? Isso ocorre porque qualquer pessoa que tiver acesso à tabela poderá ver as 
senhas de clientes ou de outros usuários do sistema. Nesse cenário, a criptografia 
é uma forma de resolver esse problema. 
Assista ao vídeo “Como armazenar senhas de forma segura no banco de dados”.
Recurso de mídia disponível no conteúdo digital no ambiente virtual 
de aprendizagem.
Neste Podcast, você será guiado a iniciar a reflexão sobre as abordagens que pode-
mos aplicar para obter maior segurança em bancos de dados. Vamos ouvir!
Recursos de mídia disponível no conteúdo digital no ambiente virtual de aprendiza-
gem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 8
DESENVOLVA SEU POTENCIAL
 
CRIPTOGRAFIA EM BANCOS DE DADOS
Informações e dados são valiosos para todas as empresas. Por isso, não importa 
seu tamanho ou seu segmento, é essencial o uso da segurança de dados.
 “ A interceptação de informações confidenciais por indiví-
duos não autorizados pode comprometer informações par-
ticulares de funcionários ou consumidores, revelar ações de 
marketing ou planos de desenvolvimento de um novo pro-
duto ou, ainda, causar constrangimento organizacional. As or-
ganizações com operações amplamente difundidas precisam 
asseverar a segurança das comunicações com funcionários e par-
ceiros de negócios nas quais deseja que suas instalações estejam 
(REYNOLDS; STAIR, 2015, p. 278).
Reynolds e Stair (2015) relatam que, muitas vezes, a segurança é parcial, razão 
pela qual acabam surgindo brechas na segurança quando dispositivos móveis 
são envolvidos:
 “ As redes de mídia guiadas possuem uma função de segurança ine-
rente. Somente os dispositivos conectados fisicamente à rede podem 
acessar os dados. Redes sem fio, por outro lado, são muitas vezes 
surpreendentemente configuradas de modo que permita acesso a 
qualquer dispositivo que tente ‘‘ouvir’ as comunicações transmi-
tidas. Medidas devem ser tomadas para substituir esses padrões 
(REYNOLDS; STAIR, 2015, p. 278).
Em meio a esse cenário de acessos por redes com fio e sem fio, Reynolds e Stair 
(2015, p. 278), constatam que: 
 “ [...] a criptografia de dados é uma abordagem utilizada para proteger a 
segurança das comunicações por meio das redes com fio e sem fio. A 
criptografia é o processo de converter uma mensagem original em uma 
forma que pode ser entendida apenas pelo receptor a quem é dirigida.
1
8
1
E, nesse sentido, Elmasri e Navathe (2001, p. 564) acrescentam que: 
 “ [...] a criptografia também pode ser usada para oferecer proteção 
adicional para partes confidenciais de um banco de dados. Os dados 
são codificados usando algum algoritmo de codificação. Um usuá-
rio não autorizado que acessa dados codificados terá dificuldade 
para decifrá-los, mas os usuários autorizados recebem algoritmos 
de codificação ou decodificação (ou chaves) para decifrar os dados. 
(ELMASRI; NAVATHE, 2011, p. 564).
Segundo Laudon e Laudon (2014), a criptografia é usada em muitas organi-
zações para proteção dos dados. De acordo com os autores:
 “ Muitas organizações usam a criptografia para proteger as informa-
ções digitais que armazenam, transferem fisicamente ou enviam 
pela Internet. Criptografia é o processo de transformar textos co-
muns ou dados em um texto cifrado, que não possa ser lido por 
ninguém a não ser o remetente e o destinatário desejado. Os dados 
são criptografados por meio de um código numérico secreto, de-
nominado chave criptográfica, que transforma dados comuns em 
texto cifrado. Para ser lida, a mensagem deve ser decriptografada 
pelo destinatário (LAUDON; LAUDON, 2014, p. 278).
Já para Elmasri e Navathe (2011, p. 580), 
 “ [...] a criptografia consiste em aplicar um algoritmo de criptografia 
aos dados usando alguma chave de criptografia pré-especificada. Os 
dados resultantes precisam ser descriptografados usando uma chave 
de descriptografia para recuperar os dados originais.
EU INDICO
O SGBD Oracle possui uma funcionalidade de criptografia do banco de dados. Para 
entender um pouco mais sobre esse assunto, acesse o artigo disponível no conteú-
do digital no ambiente virtualde aprendizagem.
UNIASSELVI
1
8
1
TEMA DE APRENDIZAGEM 8
A criptografia, além de ser uma técnica de ocultação da informação, vem se mos-
trando como uma das mais poderosas ferramentas para a SIC, 
 “ [...] sendo empregada para garantir de forma muito eficaz a integri-
dade, a confidencialidade e a autenticidade das informações, através 
do uso de certificados e assinaturas digitais, protegendo pratica-
mente todos os atributos de violação da informação (FERREIRA, 
2017, p. 88-89).
Além de outros dois métodos de criptografia, Laudon e Laudon (2014) citam 
duas formas de criptografar o tráfego de rede: o Secure Sockets Layer (SSL) e o 
Secure Hypertext Transfer Protocol (S-HTTP):
O Secure Sockets Layer (SSL) e o seu sucessor, o Transport Layer Security (TLS), 
permitem que computadores clientes e servidores administrem as atividades de 
criptografia e descriptografia à medida que se comunicam entre si durante uma 
sessão da web segura. O Secure Hypertext Transfer Protocol (S-HTTP) é outro pro-
tocolo usado para criptografar os dados que fluem pela internet, mas ele só con-
segue lidar com mensagens individuais, enquanto o SSL e o TLS são projetados 
para estabelecer uma conexão segura entre dois computadores.
Nesse cenário, o recurso que gera sessões seguras está embutido no software 
navegador da internet do cliente e nos servidores. Assim, o cliente e o servidor 
negociam qual chave e qual nível de segurança serão utilizados. Uma vez que se 
estabeleça uma sessão segura entre cliente e servidor, todas as mensagens da 
sessão serão criptografadas.
Existem ainda outros dois métodos de criptografia: a criptografia de chave simétri-
ca e a criptografia de chave pública. Na criptografia de chave simétrica, o remeten-
te e o destinatário estabelecem uma sessão de internet segura criando uma única 
chave criptográfica, que é enviada ao destinatário, de forma que o remetente e o 
destinatário compartilham a mesma chave. A força da chave criptográfica é medi-
da pelo seu comprimento em bits. Atualmente, uma chave típica tem 128 bits (um 
conjunto de 128 dígitos binários) (LAUDON; LAUDON, 2014, p. 278).
APROFUNDANDO
1
8
1
Nakamura (2016) defende a necessidade de proteção de informações que 
trafegam pela rede nas empresas, sendo a criptografia uma dessas soluções, 
pois apresenta:
 ■ Proteção de informações que trafegam pela rede: necessidade de ga-
rantir confidencialidade, integridade e disponibilidade das informações, 
que envolvem dois principais controles: criptografia para confidenciali-
dade e integridade; e tecnologias que garantam disponibilidade da rede, 
como configurações ou tecnologias específicas que limitem o número de 
determinados tipos de conexões e evitem ataques de negação de serviço 
(DoS) contra equipamentos de rede.
 ■ Proteção contra acesso a informações armazenadas em servidores: 
necessidade de garantir a confidencialidade, a integridade e a disponibi-
lidade das informações em servidores, limitando o acesso a essas infor-
mações por meio de alguns controles principais: autenticação, controle 
de acesso de rede, como o firewall, sistema de detecção de intrusão (IDS) 
e sistema de prevenção de intrusão (IPS).
 ■ Proteção contra o acesso de usuários contaminados com malware ou 
contra a contaminação dos servidores com malwares: usuários legíti-
mos que tenham suas credenciais roubadas podem dar o acesso indevido 
a uma rede, ou os usuários podem acessar informações de uma forma legí-
tima. Porém, caso os dados estejam contaminados com malwares, acabam 
comprometendo a confidencialidade, integridade ou disponibilidade da 
informação. Alguns dos principais controles de segurança são: antivírus, 
antimalware, DLP, IDS, IPS (NAKAMURA, 2016, p. 92).
Entretanto, para Laudon e Laudon (2014, p. 278), um “[...] problema comum 
a todos os esquemas de criptografia simétrica é que a chave precisa ser compar-
tilhada de algum modo entre remetente e destinatário, deixando-a exposta a 
invasores que podem interceptá-la e descriptografá-la”.
Por esse motivo, “[...] uma forma mais segura de criptografia, denominada 
criptografia de chave pública, usa duas chaves: uma compartilhada (ou pública) 
e outra totalmente privada” (LAUDON; LAUDON, 2014, p. 278).
UNIASSELVI
1
8
1
TEMA DE APRENDIZAGEM 8
As chaves são matematicamente relacionadas:
 “ [...] de modo que os dados criptografados com uma chave somen-
te podem ser descriptografados pela outra. Para enviar e receber 
mensagens, as duas partes envolvidas na comunicação primeira-
mente criam pares separados de chaves públicas e privadas. A chave 
pública é mantida em um diretório, e a privada deve ser mantida 
em segredo. O remetente criptografa uma mensagem com a chave 
pública do destinatário. Ao receber a mensagem, o destinatário usa 
sua chave privada para descriptografá-la (LAUDON; LAUDON, 
2014, p. 278-279).
Já para Elmasri e Navathe (2011, p. 32): "Os avanços na tecnologia de cripto-
grafia tornam mais seguro transferir dados confidenciais em formato codificado 
do servidor ao cliente, onde será decodificado".
Portanto, podemos compreender que a criptografia é a conversão de dados 
para um formato, chamado texto cifrado, que não pode ser facilmente entendido 
por pessoas não autorizadas. Dessa maneira, ela melhora a segurança e a priva-
cidade quando os controles de acesso são evitados, pois em casos de perda ou 
roubo de dados, aqueles criptografados não podem ser facilmente entendidos 
por pessoas não autorizadas.
Figura 1 – Criptografia de chave pública / Fonte: Laudon e Laudon (2014, p. 278).
Descrição: desenho gráfico de um esquema de imagens e palavras, de modo que se pode ler os seguintes ele-
mentos da esquerda para a direita: caixa retangular vermelha com a palavra REMETENTE; seta cinza apontada 
para a direita; chave verde; seta apontada para a direita; caixa retangular rosa claro com as palavras MENSAGEM 
CRIPTOGRAFADA; seta cinza apontada para a direita; chave verde de ponta cabeça; seta cinza apontada para a 
direita; caixa retangular azul com a palavra DESTINATÁRIO. Fim da descrição.
1
8
4
Podemos verificar algumas explicações e exemplos em relação a algoritmos que 
envolvem criptografia e criptografia de chaves simétricas e assimétricas. Segundo 
Elmasri e Navathe (2011), temos algoritmos que envolve os padrões Data Encryp-
tion e Advanced Encryption. Nesse sentido, é possível citar o Data Encryption 
Standard (DES), que é um sistema desenvolvido pelo governo dos EUA para 
uso pelo público em geral. Ele foi bastante aceito como padrão criptográfico 
nos Estados Unidos e no exterior. O DES pode oferecer criptografia de ponta a 
ponta no canal entre o emissor A e o receptor B. Assim, o algoritmo DES é uma 
combinação cuidadosa e complexa de dois blocos de montagem fundamentais 
da criptografia: substituição e permutação (transposição). O algoritmo deriva sua 
robustez da aplicação repetida dessas duas técnicas para um total de 16 ciclos. 
O texto limpo (a forma original da mensagem) é criptografado como blocos de 
64 bits. Embora a chave tenha 64 bits de extensão, na verdade, a chave pode ser 
qualquer número de 56 bits. Após questionar a adequação do DES, o NIST intro-
duziu o Advanced Encryption Standard (AES). Esse algoritmo tem um tamanho 
de bloco de 128 bits, comparado com o tamanho de 56 bits do DES, e pode usar 
chaves de 128, 192 ou 256 bits, em comparação com a chave de 56 bits do DES. O 
TEXTO CIFRADO
Dados criptografados (codificados).
TEXTO LIMPO (OU TEXTO CLARO)
Dados inteligíveis que têm significado e podem ser lidos ou atuados sem a aplicação 
da descriptografia.
CRIPTOGRAFIA
O processo de transformar texto limpo em texto cifrado.
DESCRIPTOGRAFIA
O processo de transformar texto cifrado de volta para texto limpo (ELMASRI; NAVA-
THE, 2011, p. 580).
UNIASSELVI
1
8
5
TEMA DE APRENDIZAGEM 8
AES introduz mais chaves possíveis, em comparação com o DES, e, assim, exige 
muito mais tempo para quebrar uma chave (ELMASRI; NAVATHE, 2011, p. 580).
Para Elmasri e Navathe (2011,p. 581), chave simétrica “é uma chave utiliza-
da para criptografia e descriptografia. Ao usar uma chave simétrica, a criptogra-
fia e a descriptografia rápidas são possíveis para emprego rotineiro com dados 
sensíveis no banco de dados”.
Uma mensagem criptografada com uma chave secreta pode ser descrip-
tografada apenas com a mesma chave secreta. Os algoritmos usados para a 
criptografia de chave simétrica são chamados de algoritmos de chave secre-
ta. Como tais algoritmos são utilizados principalmente para criptografar o 
conteúdo de uma mensagem, eles também são chamados de algoritmos de 
criptografia de conteúdo. 
A principal desvantagem associada aos algoritmos de chave secreta é a neces-
sidade de compartilhar essa chave. Um método possível é derivar a chave secreta 
de uma cadeia de carateres de senha fornecida pelo usuário ao aplicar a mesma 
função à cadeia de carateres no emissor e no receptor. Esse processo é conhecido 
como algoritmo de criptografia baseado em senha. 
A robustez da criptografia de chave simétrica depende do tamanho da chave 
utilizada. Para o mesmo algoritmo, a criptografia que utiliza uma chave mais 
longa é mais difícil de ser quebrada do que aquela que usa uma chave mais curta.
Algoritmos de chave pública são baseados em funções matemáticas em vez 
de operações em padrões de bits. Eles resolvem um problema da criptografia de 
chave simétrica, em que tanto o emissor quanto o destinatário precisam trocar 
a chave comum de uma maneira segura. 
Nos sistemas de chave pública, duas chaves são utilizadas para criptografia/
descriptografia. A chave pública pode ser transmitida de uma maneira não segu-
ra, enquanto a chave privada não é transmitida. Esses algoritmos – que usam duas 
chaves relacionadas, uma chave pública e uma chave privada, para realizar ope-
rações complementares (criptografia e descriptografia) – são conhecidos como 
algoritmos de criptografia de chave assimétrica. O emprego de duas chaves pode 
ter consequências profundas nas áreas de confidencialidade, da distribuição de 
chave e da autenticação. 
De acordo com Elmasri e Navathe (2011, p. 581), um esquema de criptografia 
de chave pública ou de infraestrutura tem seis ingredientes:
1
8
1
Como o nome sugere, a chave pública do par se torna pública para outros a 
usarem, enquanto a chave privada é conhecida apenas por seu proprietário. Um 
algoritmo criptográfico de chave pública para uso geral conta com uma chave 
para criptografia e uma chave diferente, porém relacionada, para descriptografia. 
As etapas essenciais são as seguintes:
1. Cada usuário gera um par de chaves a serem usadas para criptografar e 
descriptografar as mensagens.
TEXTO LIMPO
Trata-se dos dados ou mensagem legível que é alimentada no algoritmo como entrada.
ALGORITMO DE CRIPTOGRAFIA
Esse algoritmo realiza diversas transformações no texto limpo.
CHAVES PÚBLICA E PRIVADA
Trata-se de um par de chaves que foram selecionadas de modo que, se uma for usada 
para criptografia, a outra é utilizada para descriptografia. As transformações exatas 
realizadas pelo algoritmo de criptografia dependem da chave pública ou privada que 
é fornecida como entrada. Por exemplo, se uma mensagem é criptografada com a 
chave pública, ela só pode ser descriptografada com a chave privada.
TEXTO CIFRADO
Essa é a mensagem misturada produzida como saída. Ela depende do texto limpo e 
da chave. Para determinada mensagem, duas chaves diferentes produzirão dois textos 
cifrados diferentes.
ALGORITMO DE DESCRIPTOGRAFIA
Esse algoritmo aceita o texto cifrado e a chave correspondente, e produz o texto limpo 
original.
UNIASSELVI
1
8
1
TEMA DE APRENDIZAGEM 8
2. Cada usuário coloca uma das duas chaves em um registrador público ou 
outro arquivo acessível. Essa é a chave pública. A chave correspondente 
é mantida privada.
3. Se um emissor deseja enviar uma mensagem privada a um receptor, o 
emissor criptografa a mensagem usando a chave pública do receptor.
4. Quando o receptor recebe a mensagem, ele ou ela a descriptografa com 
a chave privada do receptor. Nenhum outro destinatário pode descripto-
grafar a mensagem porque somente o receptor conhece sua chave privada.
Outro algoritmo de criptografia de chave pública que pode ser apresentado é o 
RSA. Segundo Elmasri e Navathe (2011, p. 582), o algoritmo de criptografia de 
chave pública RSA foi um dos primeiros esquemas de chave pública foi intro-
duzido em 1978 por Ron Rivest, Adi Shamir e Len Adleman no MIT e recebeu o 
nome de esquema RSA devido às iniciais de seus sobrenomes. O esquema RSA, 
desde então, tem sido afirmado como a técnica mais aceita e implementada para 
a criptografia de chave pública. O algoritmo de criptografia RSA incorpora re-
sultados da teoria dos números, combinados com a dificuldade de determinar 
os fatores primos de um alvo. Além disso, esse algoritmo também opera com a 
aritmética modular – mod n.
Duas chaves, d e e, são usadas para criptografia e descriptografia. Uma proprie-
dade importante é que elas podem ser trocadas. n é escolhida como um inteiro 
grande, que é um produto de dois números primos distintos grandes, a e b, n = a × b. 
A chave de criptografia e é um número escolhido aleatoriamente entre 1 e n que seja 
relativamente primo de (a – 1) × (b – 1). O bloco de texto limpo P é criptografado 
como Pe, onde Pe = P mod n. Como a exponenciação é realizada como mod n, a 
fatoração de Pe para desvendar o texto limpo criptografado é difícil. Porém, a chave 
de descriptografia d é cuidadosamente escolhida de modo que (Pe)d mod n = P. A 
chave de descriptografia d pode ser calculada com base na condição de que d × e = 
1 mod ((a – 1) × (b – 1)). Assim, o receptor legítimo que conhece d simplesmente 
calcula (Pe)d mod n = P e recupera P sem ter de fatorar Pe.
Armazenamento de chaves criptográticas
As chaves criptográticas devem ser mantidas em segurança, pois, caso sejam 
disponibilizadas indevidamente, podem afetar a segurança do banco de dados. 
1
8
8
Confira a seguir os aspectos mais relevantes desse tipo de chave:
 ■ Controle de Acesso Criptográfico: de acordo com Carvalho (2000), a 
criptografia de todo banco de dados com a mesma chave de acesso, mes-
mo que o seu controle seja eficiente, não será o suficiente. Por exemplo: 
uma fonte que tem a chave de criptografia pode acessar dados que estão 
além de seu grupo de segurança. Logo, usando chaves diferentes para 
grupos diferentes garante-se que o usuário que possui a chave especifica 
pode de criptografar apenas os objetos dentro se seu grupo de segurança.
 ■ Armazenamento seguro de Chaves: as chaves de criptografia devem ser 
mantidas de forma segura, por exemplo: armazenar as chaves no mesmo 
servidor do banco de dados, permite que o invasor acesse as chaves e os 
dados criptografados, assim tornando a criptografia inútil.
 ■ Recuperação de chaves: se as chaves criptográficas forem perdidas ou 
danificadas, os dados criptografados serão inúteis, logo, será necessário 
um método de possível recuperação das chaves criptográficas sempre que 
necessário (GAVIOLI; SEEHAGEN, 2015).
O uso de criptografia deve ser definido em um documento de políticas, que, por 
sua vez, serve como base para determinar como aplicar criptografia dentro dos 
sistemas de informação da organização (HINTZBERGEN et al. 2018, p. 85). Essa 
política deve abordar:
UTILIDADE DA CRIPTOGRAFIA
Analisar as limitações legais na troca de informações cifradas com organizações ou 
departamentos em outros países. Em alguns casos não é permitido usar certos tipos 
de criptografia ou transportar softwares criptográficos através das fronteiras de países.
TIPOS DE CRIPTOGRAFIA
Limitar problema de incompatibilidade de aplicações com algoritmos criptográficos.
UNIASSELVI
1
8
9
TEMA DE APRENDIZAGEM 8
SEGURANÇA DE BANCOS DE DADOS COM TRIGGERS
Para compreensão desse assunto, é importante definirmos alguns conceitos e 
objetivos relacionados ao banco de dados, à Structured Query (SQL) e às ações 
que são realizadas para manipulaçãodos dados (inclusão, alteração, exclusão, 
consultas, entre outras ações). Gonçalves (2014, p. 31) afirma que “[...] quando 
falamos em objetos, referimo-nos a tabelas, packages, triggers, procedures, func-
tions etc. No caso das tabelas que contêm os dados, os usuários com acesso a estes 
objetos também poderão acessar os dados contidos nelas”.
A Structured Query Language (SQL), segundo Cayres (2015, p. 57), “[...] é a 
linguagem padrão para trabalhar com banco de dados relacionais nos diferentes 
SGBDs disponíveis no mercado”.
CONTROLE E GERÊNCIA DE CHAVES
A base de todo sistema criptográfico são as chaves.
ALGORITMOS PÚBLICOS
É primordial para uma organização possuir políticas claras e rigorosas sobre como 
gerenciar essas chaves.
BACKUP
Ao fazer backup de dados cifrados, é importante determinar como os dados originais 
podem ser acessados quando requerido.
CONTROLE
Isso descreve a forma como a aplicação de um material criptográfico é tratada pela 
organização e quais medidas estão em vigor para limitar o uso indevido (funcionários 
criptografando dados sem autorização, deixando a empresa sem acesso às informa-
ções) (HINTZBERGEN et al., 2018, p. 85-86).
1
9
1
O conjunto de linguagens que compõe a SQL, são:
 ■ Linguagem de Definição de Dados (DDL): comandos para a definição 
das estruturas de dados, fornecendo as instruções que permitem a cria-
ção, modificação e remoção de objetos de banco de dados, como tabelas. 
Exemplos de comandos dessa linguagem são: CREATE, ALTER e DROP.
 ■ Linguagem de Manipulação de Dados (DML): comandos para recu-
peração, inclusão, remoção e modificação de informações no banco de 
dados, através de comandos: INSERT, SELECT, UPDATE e DELETE.
 ■ Linguagem de Controle de Dados (DCL): comandos que permitem ao 
administrador de banco de dados gerenciar os aspectos de autorização 
de dados e licenças de usuários para controlar quem tem acesso para ver 
ou manipular dados dentro do banco de dados. Exemplos de comandos: 
GRANT e REVOKE.
 ■ Linguagem de Controle de Transações DTL): linguagem de Controle 
de Transações e fornece mecanismos para controlar transações no banco 
de dados. Comandos mais conhecidos: BEGIN TRANSACTION, COM-
MIT e ROLLBACK (CAYRES, 2015, p. 57-58).
Os principais SGBDs possuem algumas funcionalidades que servem para 
facilitar, proteger e automatizar alguns processos realizados dentro do banco de 
dados. São eles: Views; Triggers e Stored Procedures; MySQL-SQL/PSM, Oracle-
-PL/SQL, PostgreSQL-PL/pgSQL/PSM; “Regras” para embutir comandos SQL 
em Linguagens de programação.
Conforme Elmasri e Navathe (2011, p. 58), são vários os comandos da lin-
guagem SQL, como:
 ■ CREATE: permite a criação de esquemas, tabelas e domínios (bem como 
outras construções como views, assertions e triggers);
 ■ CREATE TRIGGER: permite a criação de triggers.
Trigger é uma procedure executada (ou disparada) automaticamente pelo banco 
de dados, quando uma instrução DML (INSERT, UPDATE OU DELETE) é executada 
em uma tabela predeterminada. Triggers podem ser disparados antes ou depois da 
execução de uma instrução DML (CAYRES, 2015, p. 155). 
UNIASSELVI
1
9
1
TEMA DE APRENDIZAGEM 8
Carvalho (2015) ainda complementa que existem alguns benefícios em relação 
ao uso de triggers:
 ■ Verificar a integridade dos dados, pois é possível fazer uma verificação 
antes da inserção do registro.
 ■ Contornar erros na regra de negócio do sistema no banco de dados.
 ■ Utilizar como substituta para event_scheduler. Entretanto, ela não o subs-
titui em processos que não são disparados a partir de uma tabela.
 ■ Auditar as mudanças nas tabelas.
Uma trigger pode ser configurada com a adição de uma condição que a faça 
disparar apenas quando um comando UPDATE for executado em uma tabela 
específica, com a opção de que isso aconteça após a atualização dos registros 
(GONÇALVES, 2015). 
Além disso, é possível definir que esta trigger seja disparada para cada linha 
afetada pelo comando DML, chamada trigger de linha, ou ainda se ela será execu-
tada uma única vez, chamada de trigger de tabela ou de comando, independente 
de quantas linhas sofrerem alterações (GONÇALVES, 2015). Ainda, segundo 
Gonçalves (2015), também podemos definir cláusulas WHERE para trigger, o 
que permite que o disparo apenas ocorra se alguns critérios forem obedecidos.
Gonçalves (2015, p. 294) apresenta um exemplo de trigger de tabela:
CREATE TRIGGER tipo_tabela
BEFORE DELETE OR INSERT OR UPDATE OF sal ON emp
begin
end;
Para criar uma trigger, primeiramente, damos um nome. Utilizamos o co-
mando create trigger para criar o objeto. Após isso, temos obrigatoriamente 
que definir quando será o disparo. Nesse exemplo, informamos que seu disparo 
ocorrerá antes da ação, neste caso before. Caso tenhamos necessidade que o dis-
paro ocorra depois, informamos after.
Título: Trigger de tabela / Fonte: o autor.
1
9
1
Depois de definir quando o trigger ocorrerá, precisamos informar em quais 
situações, ou melhor, ações, o trigger deve disparar. Note que para esta definição 
foi determinado que o disparo sempre ocorrerá quando a tabela emp sofrer um 
delete, insert ou um update específico na coluna sal.
Nos casos de update, podemos ou não informar colunas específicas para de-
terminar o disparo. Nesse exemplo, qualquer atualização que não seja na coluna 
sal da tabela emp o trigger não vai disparar. Caso não queira definir colunas 
específicas, apenas não use a expressão of.
 
SEGURANÇA DE BANCOS DE DADOS COM VIEWS
Uma View é uma forma de filtro que tem a finalidade de limitar os dados que 
serão exibidos em uma consulta, ou seja, ela é criada para que a consulta mostre 
somente os campos desejados, em vez de apresentar todos os campos das tabelas 
envolvidas na criação da View (CAYRES, 2015, p. 58). 
Neste sentido, é criado um comando SELECT, na linguagem SQL, que é cha-
mado de tabela virtual, pois ao contrário das tabelas da base, cujas tuplas sempre 
estão armazenadas fisicamente no banco de dados, a tabela virtual (View) não 
existe fisicamente (ELMASRI; NAVATHE , 2011, p. 58).
EU INDICO
Leia o artigo “Triggers no SQL Server: teoria e prática aplicada em uma situação real”, 
o qual apresenta um exemplo completo de criação de trigger em um banco de da-
dos. Recurso de mídia disponível no conteúdo digital no ambiente virtual de apren-
dizagem.
UNIASSELVI
1
9
1
TEMA DE APRENDIZAGEM 8
O comando CREATE VIEW serve para a criação de uma View, utilizando a 
linguagem de bancos de dados SQL. Esse comando recebe o nome da View, que 
abarca uma lista de nomes dos atributos a serem retornados, as tabelas e a cláusula 
WHERE para ligar as tabelas físicas e filtrar os dados.
A tabela a seguir apresenta ao diagrama de três tabelas de um banco de dados.
Conforme a tabela anterior, temos três tabelas, e para criarmos uma View, basta 
seguir o comando definido a seguir, que retorna apenas a dois campos dessas 
tabelas.
SEGURANÇA DE DADOS
Exibir partes da tabela.
AGREGAÇÃO DE DADOS
Relatório comum já “montado” pelo projetista do BD sem intervenção do desenvolve-
dor. Exemplo: mensalmente mostrar a conta e o total de depósitos.
ESCONDER COMPLEXIDADE
Só executa a subconsulta se a coluna for informada.
JUNTAR DADOS PARTICIONADOS
Tabelas separadas com dados atuais e de histórico (UNION) (CAYRES, 2015, p. 126).
Título: Diagrama para esquema de banco de dados relacional / Fonte: Adaptado de Elmasri e Navathe (2011, p. 46).
1
9
4
CREATE VIEW TRABALHA_EM1
AS SELECT Pnome, Horas
FROM FUNCIONARIO, PROJETO, TRABALHA_EM
WHERE Cpf=Fcpf AND Pnr=Projnumero;
Note que nas três tabelas acima existem vários campos, e na tabela view apenas 
dois campos estão retornando.
EU INDICO
Aprofunde um pouco seu conhecimento acessando o artigo “Conceitos e criação de 
views no SQL Server”, que apresenta um exemplo de criação, alteração e exclusão 
de uma View simples que consulta apenas uma tabela.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de aprendiza-
gem.
Título: Criação de View/ Fonte: o autor.
Acesse e confira a aula referente a este tema.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de aprendiza-
gem.
EM FOCO
UNIASSELVI
1
9
5
TEMA DE APRENDIZAGEM 8
NOVOS DESAFIOS
Atualmente, com a constante utilização de aplicações, principalmente web, as 
organizações necessitam cada vez mais de dados para suas tomadas de decisões. 
Nesse sentido, ter conhecimentos sobre manter os dados em segurança é essen-
cial, e algumas das formas, muito utilizadas, são a criptografia, além da utilização 
de triggers e views.
Neste contexto, profissionais de bancos de dados podem atuar em qualquer 
tipo de empresa ou organização que utilizem sistemas de informação. Assim, 
diversos profissionais podem atuar em uma organização, ou ainda, prestar servi-
ços por meio de uma empresa terceira, sendo que a busca por estes profissionais 
qualificados tende a aumentar, pois dados são cruciais para os negócios.
1
9
1
1. A SQL (Structured Query Language) é a linguagem padrão, que é utilizada para gerenciar e 
manipular bancos de dados relacionais em qualquer Sistema Gerenciador de Bancos de 
Dados (SGBD) (CAYRES, 2015, p.57). 
São vários os SGBDs que utilizam o SQL como linguagem para manipular seus bancos de 
dados, como o MySQL, PostGreSQL, Microsoft SQL Server, Oracle, entre outros. Referente 
ao conjunto de linguagens da SQL, assinale a alternativa correta:
a) Linguagem de Definição de Dados (DDL) permite ao administrador do banco de dados 
a gerenciar os aspectos de autorização de dados.
b) Linguagem de Definição de Dados (DDL) permite a criação, modificação e remoção de 
objetos de banco de dados, como tabelas.
c) Linguagem de Definição de Dados (DDL) é a linguagem de Controle de Transações e 
fornece mecanismos para controlar transações no banco de dados.
d) Linguagem de Manipulação de Dados (DML) permite ao administrador do banco de 
dados a gerenciar os aspectos de autorização de dados.
e) Linguagem de Manipulação de Dados (DML) é a linguagem de Controle de Transações 
e fornece mecanismos para controlar transações no banco de dados.
2. As organizações com operações amplamente difundidas necessitam de um modo de man-
ter a segurança das comunicações com funcionários e parceiros de negócios, nas quais 
deseja que suas instalações estejam.
REYNOLDS, G. W.; STAIR, R. M. Princípios de sistemas de informação 11. ed. São Paulo: 
Cengage Learning, 2015.
Hoje em dia, devido à ampla utilização da internet, surgem diversos cenários de risco rela-
cionados à interceptação de dados, e, portanto, é necessário implementar estratégias para 
reforçar a segurança nas organizações e no cotidiano dos usuários. Neste contexto, avalie 
as afirmações a seguir:
I - A criptografia garante a confidencialidade, integridade e disponibilidade das informações.
II - Texto cifrado é a mensagem original (legível), isto é, a mensagem que não foi convertida 
com a utilização de algum algoritmo de criptografia.
III - SSL e TLS permitem que computadores clientes e servidores administrem as atividades 
de criptografia e descriptografia durante comunicações realizadas na internet.
É correto o que se afirma em:
AUTOATIVIDADE
1
9
1
a) I e II, apenas.
b) III, apenas.
c) I e III, apenas.
d) II e III, apenas.
e) I, II e III.
3. A criptografia simétrica possui um problema comum em que a chave criptográfica é com-
partilhada de alguma forma entre o remetente e o destinatário da mensagem, o que a 
deixa exposta a possíveis invasores que podem realizar sua interceptação e, com isso, 
descriptografar as mensagens 
Criptografia deve ser aplicada, principalmente, em transmissões de dados pelas redes de 
computadores, ou, ainda, para proteger dados sensíveis armazenados em bancos de dados 
ou servidores. 
Tratando da criptografia, assinale a alternativa correta:
a) A robustez, isto é, a segurança de uma chave simétrica depende do tamanho da chave 
utilizada.
b) Na criptografia assimétrica, a chave pública deve ser enviada de maneira segura, caso 
contrário é quebrada sua segurança.
c) A chave simétrica serve apenas para criptografar dados, pois, para realizar a descripto-
grafia de dados, é utilizado outro recurso.
d) A chave simétrica serve apenas para descriptografar dados, pois para realizar a cripto-
grafia de dados é utilizado outro recurso.
e) A criptografia de dados permite proteger a segurança das comunicações realizadas por 
redes cabeadas, mas não consegue proteger redes sem fio.
AUTOATIVIDADE
1
9
8
REFERÊNCIAS
CARVALHO, V. MySQL:comece com o principal banco de dados open source do mercado. São 
Paulo: Casa do Código, 2015.
CAYRES, P. H. Modelagem de banco de dados Rio de Janeiro: RNP/Escola Superior de Redes, 
2015.
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados 4. ed. São Paulo: Pearson, 2005.
FERREIRA, S. C. Sistemas de informação em segurança Londrina: Editora e Distribuidora 
Educacional S.A., 2017.
GONÇALVES, E. SQL – Uma abordagem para banco de dados Oracle. São Paulo: Casa do 
Código, 2014.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais 11. ed. São Paulo: Pearson 
Education do Brasil, 2014.
LOPES, P. A. Criptografia e proteção de dados. Brasil: Editora Senac São Paulo, 2022.
NAKAMURA, E. T. Segurança da informação e de redes Londrina: Editora e Distribuidora 
Educacional S.A., 2016.
REYNOLDS, G. W.; STAIR, R. M. Princípios de sistemas de informação 11. ed. São Paulo: Cengage 
Learning, 2015.
1
9
9
1. Opção B. A alternativa está correta, pois a Linguagem de Definição de Dados (DDL) possui os 
comandos CREATE, DROP e ALTER para criação, exclusão ou alteração de tabelas e outros 
objetos, e a linguagem DML permite manipular dados (inserir, alterar e excluir).
2. Opção C.A alternativa está correta, pois texto cifrado é a mensagem original que foi convertida 
para uma mensagem ilegível através de um algoritmo de criptografia. 
3. Opção A. A alternativa está correta, pois quanto maior a chave mais difícil alguém descobri-
-la. Além disso, na criptografia assimétrica, ou de chave pública, esta chave não precisa ser 
enviada de maneira segura, permanecendo a segurança deste tipo de criptografia. A chave 
simétrica serve tanto para criptografar quanto para descriptografar.
GABARITO
1
1
1
MINHAS ANOTAÇÕES
1
1
1
MINHAS METAS
OTIMIZAÇÃO DE BANCOS DE DADOS
Conhecer conceitos do mecanismo conhecido por tuning.
Aprender conceitos e características de desempenho de bancos de dados.
Entender mecanismos e ajustes que podem melhorar o desempenho de bancos de dados.
Aprofundar conhecimentos referentes à análise e ao projeto de criação de bancos de 
dados.
Conhecer as diferentes técnicas de tuning para serem aplicadas em bancos de dados.
Estudar questões físicas e lógicas que podem afetar o desempenho de bancos de dados.
Aplicar na prática conhecimentos aprendidos para ajustar comandos SQL, a fim de melho-
rar seu desempenho.
T E M A D E A P R E N D I Z A G E M 9
1
1
1
INICIE SUA JORNADA
Atualmente, com a constante utilização de sistemas de informação, dos aplica-
tivos de smartphones e sites, a consulta aos dados precisa ser rápida, além de 
possuir um bom desempenho, pois uma consulta lenta pode acarretar efeitos 
negativos para os negócios. 
Um dos efeitos negativos poderia ser a desmotivação de um cliente ao acessar 
um site de e-commerce ao perceber que as consultas são lentas, e consequente-
mente, isso implica em perda de vendas ou, ainda, em uma aplicação da produção 
de uma indústria, que pode ocasionar atraso na produção. 
Neste sentido, problemas de desempenho em bancos de dados podem im-
pactar a capacidade de um sistema em atender às necessidades dos usuários. 
Várias são as causas que podem acarretar problemas de desempenho em bancos 
de dados, como falta de índices, concorrência excessiva, configurações incorretas 
de servidores de bancos de dados, enormes volumes de dados, estrutura inefi-
ciente de bancos de dados, problemas de redes, atualizações em massa, falta de 
otimização contínua,dentre outros.
Assim, a melhoria do desempenho de bancos de dados é uma preocu-
pação frequente no processo de assegurar que sistemas que utilizam esses 
bancos de dados operem de maneira eficaz e ágil. Isso requer a presença de 
especialistas com o conhecimento necessário para implementar aprimora-
mentos de forma constante.
Neste podcast, você será guiado a refletir sobre as abordagens que podemos apli-
car em bancos de dados para melhorar o desempenho do processamento. O estudo 
de materiais como esse é essencial nessa área, visto vez que essa é uma das preo-
cupações que deve ser contínua entre as empresas e organizações. Vamos ouvir!
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de aprendiza-
gem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
DESENVOLVA SEU POTENCIAL
 
TUNING EM BANCOS DE DADOS
Em banco de dados, Tuning é um importante estudo, pois um banco não pode 
apenas armazenar dados e deve ter, também, um bom desempenho nas requi-
sições realizadas nele. Por isso, agora, entenderemos como funciona o tuning.
Segundo Caiut (2015, p. 55), para aplicação do tuning “[...] não existe uma 
receita que se aplique a todos os casos de todas as tabelas da base”, considerando 
que deve haver “conhecimento empírico, depende do seu ambiente, aplicar e 
medir”. Caiut (2015, p. 105) ainda afirma que:
 “ Ajuste de desempenho, comumente descrito através do termo tuning, é 
uma das mais difíceis tarefas de qualquer profissional de infraestrutura 
de TI. E o motivo é simples: não existe uma receita que se aplique a 
todos os casos. Frequentemente uma ação que foi uma solução em um 
cenário pode ser inútil em outro, ou pior, ser prejudicial.
Existem linhas gerais, diretrizes e conjuntos de boas práticas que podem e devem 
ser seguidos, mas, sempre com as seguintes ressalvas: “depende de seu ambiente” 
ou “aplique e teste”. Resumidamente, tuning é isto: um conhecimento empírico 
que deve ser testado em cada situação. 
Laudon e Laudon (2014, p. 193) relatam que:
VAMOS RECORDAR?
Assista ao vídeo “Análise de Desempenho de Consultas SQL em Banco de Dados 
Oracle”, que mostra como analisar e melhorar o desempenho de comandos 
SELECT do SQL, a fim de melhorar o desempenho de consultas na ferramenta 
Oracle SQL Developer. Recursos de mídia disponíveis no conteúdo digital no 
ambiente virtual de aprendizagem.
1
1
4
 “ As empresas usam bancos de dados para monitorar transações bá-
sicas, como pagamento a fornecedores, processamento de pedidos, 
atendimento a clientes e pagamento a funcionários, mas elas também 
precisam de bancos de dados para obter informações que as ajudem a 
administrar o negócio de maneira mais eficiente e, ao mesmo tempo, 
auxiliem gerentes e funcionários a tomar melhores decisões. Se uma 
empresa quiser saber qual produto é mais aceito pelo mercado, ou 
quais clientes são mais lucrativos, a resposta estará nos dados.
Ainda conforme Laudon e Laudon (2014, p. 206): "[...] desenvolver um am-
biente de banco de dados exige políticas e procedimentos para gerenciar os dados 
organizacionais, assim como um bom modelo de dados e uma boa tecnologia 
de banco de dados".
A partir disso, podemos entender o quão importante é um banco de dados 
ser funcional e estar disponível para utilização no seu melhor desempenho, com 
a finalidade de alcançar o objetivo de tuning em banco de dados.
Hintzbergen et al. (2018, p. 105) informam que:
 “ É necessário identificar e monitorar os requisitos de capacidade dos 
sistemas de TIC das organizações, para prevenir interrupções inde-
sejadas devido à falta de largura de banda, espaço em disco, aloca-
ção de memória e capacidade de processamento. O gerenciamento 
da capacidade também é sobre definir e monitorar desempenho e 
espaço de bancos de dados e consumo de memória. Um cuidado 
especial deve ser dado aos sistemas críticos. Na estrutura do ITIL, 
há um processo definido para o gerenciamento da capacidade.
Para Reynolds e Stair (2015, p. 580), “[...] estabelecer os objetivos para o 
desenvolvimento de sistemas é um aspecto-chave de qualquer projeto de desen-
volvimento bem-sucedido”, ainda complementando que:
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 9
 “ Fatores críticos para o sucesso (CSF) podem identificar os objetivos 
importantes. Os objetivos do desenvolvimento de sistemas podem 
incluir metas de desempenho (qualidade e utilidade dos resultados 
e a velocidade com a qual o resultado é gerado), assim como os obje-
tivos de custo (custos de desenvolvimento, os custos fixos e os custos 
de desenvolvimento contínuos) (REYNOLDS; STAIR, 2015, p. 580).
Segundo Cayres (2015), tudo se inicia com um bom modelo físico de banco 
de dados. Podemos fazer as seguintes afirmações sobre o modelo físico:
 ■ Utiliza como base o modelo lógico.
 ■ Apresenta detalhes sobre armazenamento interno dos dados (questões 
que influenciam o desempenho das aplicações).
 ■ Utilizado por quem faz a sintonia do banco (ajuste de desempenho – 
“tuning”).
 ■ Auxilia na escolha do SGBDR (Sistema Gerenciador de Banco de Dados), 
considerando, por exemplo: Tempo de resposta, utilização de espaço em 
disco, taxa de processamento de transações (throughput), custo etc.
 ■ Pode retornar um resultado com: definição de estruturas para construção 
do BD (script em SQL/DDL).
 ■ Possui ferramentas CASE podem converter o modelo lógico em um script 
SQL/DDL (CAYRES, 2015, p. 55).
Nesse momento, precisamos lembrar o que é um Sistema Gerenciador de 
Banco de Dados Relacional (SGBDR) e como os dados são organizados nele.
 “ O banco de dados relacional é, atualmente, bidimensional, com li-
nhas e colunas chamadas relações. Cada tabela contém dados sobre 
uma entidade e seus atributos. Cada linha representa um registro e 
cada coluna, um atributo ou campo. Cada tabela também contém 
um campo-chave, que confere identificação exclusiva a cada registro 
para posterior recuperação ou manipulação. O diagrama entidade/
relacionamento descreve graficamente a relação entre as entidades 
(tabelas) em um banco de dados relacional. O processo de fragmen-
tar agrupamentos complexos de dados e simplificá-los, a fim de mi-
nimizar a redundância e as relações muitos para muitos inadequadas, 
1
1
1
é denominado normalização. Bancos de dados não relacionais estão 
se tornando populares para gerenciar os tipos de dados que não po-
dem ser facilmente manipulados pelo modelo de dados relacional 
(LAUDON; LAUDON, 2014, p. 205).
Nesse sentido, garantir a qualidade dos dados implica na adoção de pa-
drões consistentes em toda a organização, na criação de bancos de dados 
que reduzam a inconsistência e a duplicação, na realização de auditorias de 
qualidade e no uso de software para limpeza e padronização, como destacado 
por Laudon e Laudon (2014, p. 206).
De acordo com Reynolds e Stair (2015, p. 213), depois de inserir informações 
em um banco de dados relacional, os usuários têm a capacidade de consultar e 
analisar esses dados. As operações fundamentais de manipulação de dados in-
cluem seleção, projeção e junção. Os autores também destacam que o modelo de 
banco de dados relacional é amplamente adotado, sendo preferido devido à sua 
facilidade de gerenciamento, flexibilidade e intuição em comparação com outros 
modelos, pois organiza os dados em tabelas.
Segundo Elmasri e Navathe (2011, p. 490), “[...] o projeto físico é uma ativi-
dade em que o objetivo é não apenas criar a estruturação apropriada de dados no 
armazenamento, mas também fazer isso de modo que garanta um bom desempe-
nho”. Desse modo, o desempenho do banco já deve ser levado em consideração 
quando o mesmo é desenvolvido, conforme Elmasri e Navathe (2011, p. 490):
 “ Não é possível tomar decisões significativas de projeto físico e análi-
se de desempenho até que o projetista de banco de dados conheça a 
combinação de consultas, transações e aplicações que deverão usar 
o banco de dados. Isso é chamado de combinação de tarefas para 
determinado conjunto de aplicações de sistema de bancode dados.
Para Elmasri e Navathe (2011, p. 490), “[...] os administradores/projetistas de 
banco de dados precisam analisar essas aplicações, suas frequências de chamada 
esperadas, quaisquer restrições de temporização em sua velocidade de execução, 
a frequência esperada”. 
Veja a seguir quais são esses fatores.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
Análise das consultas e transações de banco de dados
Antes de realizar o projeto físico de banco de dados, devemos ter uma boa ideia 
acerca de seu uso intencionado, definindo em uma forma de alto nível as con-
sultas e transações que deverão usar o banco de dados.
Para cada consulta de recuperação, as seguintes informações seriam necessárias:
1. Os arquivos que serão acessados pela consulta.
2. Os atributos sobre os quais quaisquer condições de seleção para a con-
sulta são especificadas.
3. Se a condição de seleção é uma condição de igualdade, desigualdade 
ou intervalo.
4. Os atributos sobre os quais são especificadas quaisquer condições de 
junção ou condições para ligar múltiplas tabelas ou objetos para a consulta.
Em relação aos atributos cujos valores serão recuperados pela consulta, para 
cada operação de atualização ou transação de atualização, as informações a seguir 
seriam necessárias:
1. Os arquivos que serão atualizados.
2. O tipo de operação em cada arquivo (inserção, atualização ou exclusão);
3. Os atributos sobre os quais as condições de seleção para uma exclusão 
ou atualização são especificadas.
4. Os atributos cujos valores serão alterados por uma operação de atualização. 
Análise da frequência de chamada de consultas e transações 
esperada
Além de identificar as características das consultas de recuperação e das transações 
de atualização esperadas, temos de considerar suas taxas de chamada esperadas. 
Nesse sentido, essa informação de frequência, junto com a informação de atributo 
coletada em cada consulta e transação, é usada para compilar uma lista cumulativa 
1
1
8
da frequência de uso esperada para todas as consultas e transações. Isso é expresso 
como a frequência de uso esperada de cada atributo em cada arquivo como um 
atributo de seleção ou um atributo de junção, em todas as consultas e transações. 
Geralmente, para um volume maior de processamento, a regra dos 80-20 
informal pode ser usada: aproximadamente 80 por cento do processamento é 
atribuído a apenas 20 por cento das consultas e transações. Portanto, em situações 
práticas, raramente é necessário coletar estatísticas completas e taxas de chamada 
em todas as consultas e transações, pois basta determinar 20 por cento ou mais 
das mais importantes.
Análise das restrições de tempo de consultas e transações
Algumas consultas e transações podem ter rigorosas restrições de desempenho. 
Por exemplo, uma transação pode ter a restrição de que deve terminar dentro de 
cinco segundos em 95 por cento das ocasiões em que é chamada, e que ela nunca 
deve levar mais do que vinte segundos. 
Essas restrições de tempo colocam ainda mais prioridades nos atributos que 
são candidatos para caminhos de acesso. Os atributos de seleção usados por 
consultas e transações com restrições de tempo se tornam candidatos de maior 
prioridade para estruturas de acesso primárias para os arquivos, visto que as 
estruturas de acesso primárias geralmente são as mais eficientes para localizar 
registros em um arquivo.
Análise das frequências esperadas de operações de 
atualização
Um número mínimo de caminhos de acesso deve ser especificado para um ar-
quivo que é frequentemente atualizado, pois a atualização dos próprios caminhos 
de acesso atrasa esse tipo de operação. 
Por exemplo, se um arquivo que tem inserções de registro frequentes possui 
dez índices em dez atributos diferentes, cada um desses índices deve ser atua-
lizado sempre que um novo registro é inserido. O overhead para atualizar dez 
índices pode atrasar as operações de inserção.
UNIASSELVI
1
1
9
TEMA DE APRENDIZAGEM 9
Análise das restrições de exclusividade em atributos
Os caminhos de acesso devem ser especificados em todos os atributos de chave 
candidata – ou conjuntos de atributos – que são a chave primária de um arquivo 
ou atributos únicos. 
A existência de um índice (ou outro caminho de acesso) torna suficiente ape-
nas a procura pelo índice ao verificar essa restrição de exclusividade, pois todos 
os valores do atributo existirão nos nós folha do índice. Por exemplo, ao inserir 
um novo registro, se um valor de atributo chave do novo registro já existir no 
índice, a inserção do novo registro deve ser rejeitada, pois ela violaria a restrição 
de exclusividade no atributo. 
Quando a informação anterior é compilada, é possível resolver as decisões de 
projeto físico do banco de dados, que consiste, principalmente, em decidir sobre 
as estruturas de armazenamento e caminhos de acesso para os arquivos de banco 
de dados (ELMASRI; NAVATHE, 2011, p. 491).
Elmasri e Navathe (2011, p. 494) apontam que “[...] a utilização de recursos, 
bem como o processamento interno do SGBD – como a otimização de consulta 
– podem ser monitorados para revelar gargalos, como a disputa pelos mesmos 
dados ou dispositivos”.
Portanto, é necessário monitorar e revisar o projeto físico do banco de dados 
constantemente. Essa é uma atividade conhecida como ajuste do banco de dados. 
Os objetivos do ajuste são os seguintes: 
 ■ Fazer as aplicações rodarem mais rapidamente.
 ■ Melhorar (reduzir) o tempo de resposta de consultas e transações.
 ■ Melhorar o desempenho geral das transações (ELMASRI; NAVATHE, 
2011, p. 494).
EU INDICO
Aprofunde um pouco seu conhecimento referente ao tuning em bancos de dados 
por meio do vídeo “(Self) tuning em Sistemas de Banco de Dados”. 
Recursos de mídia disponível no conteúdo digital no ambiente virtual de aprendizagem
1
1
1
De forma complementar, em relação aos ajustes do banco de dados, Elmasri 
e Navathe (2011, p. 494) determinam que “[...] a linha divisória entre o projeto 
físico e o ajuste é muito tênue”, sendo que os ajustes permanecem em acompa-
nhamento em todo o projeto de elaboração do banco físico. Além disso, alguns 
SGBDs auxiliam com informações estatísticas, como:
 ■ Tamanhos de tabelas individuais.
 ■ Número de valores distintos em uma coluna.
 ■ O número de vezes que determinada consulta ou transação é submetida 
e executada em um intervalo de tempo.
 ■ Os tempos exigidos para diferentes fases do processamento de consulta 
e transação (para determinado conjunto de consultas ou transações) 
(ELMASRI; NAVATHE, 2011, p. 494).
Elmasri e Navathe (2011) indicam que as estatísticas constroem um perfil de 
conteúdos e de uso do banco de dados. Ainda existem outras informações que 
podem ser identificadas pelo monitoramento das atividades e dos processos do 
sistema de banco de dados, cujas definições você poderá conferir a seguir.
ESTATÍSTICAS DE ARMAZENAMENTO
Dados sobre alocação de armazenamento em espaços de tabela (tablespaces), espa-
ços de índice e pools de buffer.
ESTATÍSTICAS DE DESEMPENHO DE E/S E DISPOSITIVO
Atividade total de leitura/gravação (paginação) em extensões de disco e ‘hot spots’ do 
disco.
ESTATÍSTICAS DE PROCESSAMENTO DE CONSULTA/TRANSAÇÃO
Tempos de execução de consultas e transações, e tempos de otimização durante a 
otimização da consulta.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
Problemas são constantes nos bancos de dados e precisam de soluções rápidas e 
eficientes para não comprometer o desempenho e o acesso aos dados. Elmasri e 
Navathe (2011, p. 494) indicam que a configuração de um banco de dados requer 
a resolução dos seguintes tipos de desafios:
 ■ Como evitar disputa excessiva por bloqueio, aumentando assim a con-
corrência entre as transações.
 ■ Como minimizar o overhead do logging e o dumping desnecessários 
de dados.
 ■ Como otimizar o tamanho do buffer e o escalonamento de processos.
 ■ Como alocar recursos como discos, RAM e processos para que a utiliza-
ção seja mais eficiente.
A maioria dos problemasque mencionamos anteriormente pode ser resol-
vida pelo DBA ao definir parâmetros físicos apropriados do SGBD, ao alterar 
configurações de dispositivos, ao mudar parâmetros do sistema operacional e 
ao realizar outras atividades semelhantes. 
As soluções costumam estar bastante ligadas a sistemas específicos. Por isso, 
os DBAs normalmente são treinados para lidar com esses problemas de ajuste 
para o SGBD específico (ELMASRI; NAVATHE, 2011, p. 494).
A partir disso, é possível verificar que existem processos desde o início do 
desenvolvimento de um banco de dados que precisam ser considerados e bem 
planejados para o seu bom desempenho. Alguns recursos podem ser utilizados 
diretamente por parâmetros e ações nos SGBDs e outras ações devem ser anali-
sadas pelo DBA ou pessoas especializadas na otimização do banco.
ESTATÍSTICAS RELACIONADAS A BLOQUEIO/LOGGING
Taxas de emissão de diferentes tipos de bloqueios, taxas de vazão da transação e 
atividade de registros de log.
ESTATÍSTICAS DE ÍNDICE
Número de níveis em um índice, número de páginas folha não contíguas, e assim por 
diante (ELMASRI; NAVATHE, 2011, p. 494).
1
1
1
Importância do tuning para desempenho de bancos de 
dados
Dessa forma, a importância do tuning em banco de dados é encontrar, em meio 
às dificuldades e aos problemas, soluções que venham a melhorar um processo 
ou rotina. 
 “ Tuning é uma atividade permanente, uma vez que durante toda 
a vida da empresa haver.á necessidade de melhorias, isto porque 
mesmo que esteja otimizado, alguma mudança de plataforma ou 
alteração de negócios poderá acarretar na necessidade de novos 
ajustes (CAIUT, 2015, p. 106).
São seis fases principais para o projeto de um banco de dados:
1. Levantamento e análise de requisitos.
2. Projeto conceituai do banco de dados.
3. Escolha de um SGBD.
4- Mapeamento do modelo de dados (também chamado projeto 
lógico de banco de dados).
5. Projeto físico do banco de dados.
6. Implementação e sintonização (tuning) do sistema de banco de 
dados (ELMASRI; NAVATHE, 2005, p. 261).
Elmasri e Navathe (2005, p. 262) explanam ainda que é nessa fase que:
 “ São testadas também várias transação e aplicações individualmente 
e, depois, em conjunto. Normalmente, esta fase revela necessidades 
de alterações projeto físico, na indexação, na reorganização e na alo-
cação de dados – atividade que chamamos de sintoniza (afinação, 
tuning) do banco de dados. Sintonizar é uma atividade contínua – 
parte da manutenção do sistema que perdura durante todo o ciclo 
de vida de um banco de dados, contanto que o banco de dados e 
as aplicações continua evoluindo ou à medida que forem surgindo 
problemas de desempenho.
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
De acordo com Oliveira e Piva (2010, p. 109), o aprimoramento do desem-
penho é facilitado pela implementação de índices. Os índices têm a finalidade de 
acelerar a recuperação de dados e devem ser criados para os campos (ou colunas) 
que são acessados com maior regularidade. Porém, existem algumas desvanta-
gens em se criar muitos índices, como: o tempo que se leva para construí-los; o 
espaço em disco utilizado para armazená-los; a demora maior para realizar as 
operações de modificação no banco de dados, pois todas as mudanças têm de 
ser realizadas nos dados e nos índices (OLIVEIRA; PIVA, 2010).
 
Normalizações e desnormalizações
Elmasri e Navathe (2011, p. 495) indicam que, caso um projeto físico de bancos 
de dados não estiver atendendo os objetivos, “o DBA pode reverter para o projeto 
lógico do banco de dados, realizar ajustes com normalizações ou desnormaliza-
ções e criar as tabelas físicas novamente”.
Desse modo, podemos considerar que a importância de ter um banco de 
dados bem desenvolvido e com processos adequados de otimização é contribuir 
para todas as áreas de uma empresa que necessita de informações.
 
TIPOS DE ATIVIDADES DE TUNING EM BANCOS DE DADOS
Existem várias técnicas de tuning que podem ser aplicadas ao banco de dados 
em busca de melhor desempenho. Considerando que existem muitos SGBDs 
e SGBDRs, essas técnicas e métodos podem ser realizados de forma diferente. 
Durante a verificação dos conteúdos a seguir, conheceremos mais informa-
ções sobre a otimização de banco de dados.
EU INDICO
Você sabe o que é um índice em uma tabela do banco de dados na prática? Então, 
assista ao vídeo e veja como funciona esse processo na prática!
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de aprendiza-
gem
1
1
4
 ■ Correspondência entre o algoritmo especificado em alguma 
linguagem de programação: neste cenário, a otimização depende 
tanto do algoritmo quanto da linguagem de programação, pois envolve 
as instruções de máquina executadas para implementá-lo (BROWN; 
STALLINGS, 2014, p. 350); 
 ■ Local em que o Banco de Dados está instalado: o banco de dados deve 
ser instalado em um servidor dedicado, pois é comum utilizar servidores 
de aplicação, ou servidores web, na mesma máquina do banco de dados 
(CAIUT, 2015, p. 106);
 ■ Seleção apropriada dos índices: o desempenho do BD também depende 
da utilização apropriada dos índices, que podem ser ajustados para as 
colunas corretas. Para analisar um comando SELECT, é possível utilizar 
a ferramenta de plano de execução de consulta do SGBD.
E quais são as duas indicações que sugerem que o ajuste de uma consulta é 
necessário? A resposta para essa pergunta se desdobrará nos dois pontos a seguir.
 1. Uma consulta emite muitos acessos ao disco (por exemplo, uma consulta 
com combinação exata varre uma tabela inteira);
 2. O plano de consulta mostra que índices relevantes não estão sendo utilizados.
Nesse sentido, existem técnicas adicionais para melhorar as consultas que se 
aplicam a certas situações, como essas que serão descritas seguir.
 1. Uma consulta que envolve várias condições de seleção unidas pelo opera-
dor OR ou que não necessariamente induzem o otimizador de consulta a 
utilizar índices pode ser redesenhada. Essa consulta pode ser dividida em 
várias consultas individuais, cada uma contendo apenas uma única condi-
ção associada a um atributo que seja adequado para o uso de índices.
 2. Para ajudar a agilizar a consulta, as seguintes transformações podem ser 
experimentadas:
 ■ A condição NOT pode ser transformada em uma expressão positiva.
 ■ Blocos SELECT podem ser embutidos usando IN, = ALL, = ANY e = 
SOME podem ser substituídos por junções.
UNIASSELVI
1
1
5
TEMA DE APRENDIZAGEM 9
 ■ Se uma junção de igualdade for configurada entre duas tabelas, o pre-
dicado de intervalo (condição de seleção) no atributo de junção con-
figurado em uma tabela pode ser repetido para a outra tabela.
 ■ Condições WHERE podem ser reescritas para utilizar os índices em 
múltiplas colunas (ELMASRI; NAVATHE, 2011, p. 496-498).
É essencial a compreensão da montagem de comandos SQL para evitar pro-
blemas de desempenho. 
Segue um exemplo:
SQL> select last_name, job_id, salary
2 from employees
3 where job_id = ’SA_REP’
4 or job_id = ’AD_PRES’
5 and salary > 15000
6
SQL>
Neste caso, está sendo realizada uma consulta, em que estão sendo retornados 
apenas três colunas da tabela EMPLOYEES. Note nas linhas 3 e 4 do comando, 
em que é realizada uma condição, que estão sendo retornados apenas os registros 
que possuem o valor ’SA_REP’ ou ’AD_PRES’ no campo job_id. Na linha 5, 
existe mais uma condição que filtra a consulta para retornar somente os registros 
cujo campo salary tenha o valor maior que 15000.
Contudo, existe um erro nessa consulta, pois as duas primeiras condições 
“job_id = ’SA_REP’ or job_id = ’AD_PRES’” deveriam estar entre parênteses. 
Da forma que foi escrito o comando, as condições retornam registros em que 
o campo job_id tenha o valor “AD_PRES” e campo salary maior que 15000, ou 
então registros cujo campo job_id tenha o valor “SA_REP” sendo indiferente o 
campo salary.
Isso porque o comando AND possui precedência sobre o operador OR. Ob-
serve a seguir o retorno do comando SQL.
1
1
1
LAST_NAMEJOB_ID SALARY
King AD_PRES 35138,40
Tucker SA_REP 14641,00
Bersntein SA_REP 13908,95
Hall SA_REP 13176,90
Olsen SA_REP 11712,80
Cambrault SA_REP 10980,75
Tuvault SA_REP 12908,95
King SA_REP 13176,90
Sully SA_REP 11712,80
McEwen SA_REP 13176,90
Smith SA_REP 11712,80
 
Você sabe como resolver o comando SQL anterior, isto é, como alterar ele para 
que retornem registros cujo campo job_id tenha um dos valores “AS_REP” ou 
“AD_PRES” e, obrigatoriamente, o campo salary > 15000? 
Observe a seguir como resolver: você deve ajustar o comando SQL para man-
ter a precedência correta dos operadores AND e OR.
Quadro 1 – Resultado do SQL apresentado / Fonte: Gonçalves (2014, p. 162).
UNIASSELVI
1
1
1
TEMA DE APRENDIZAGEM 9
SQL> select last_name, job_id, salary
2 from employees
3 where (job_id = ’SA_REP’
4 or job_id = ’AD_PRES’)
5 and salary > 15000
Note que, no comando anterior, as condições com operador OR estão entre 
parênteses, e a condição com o comando AND está fora dos parênteses. Então, 
neste caso, serão retornados os registros em que o campo salary tenha valor maior 
que 15000 e o campo job_id “SA_REP” ou “AD_PRES” tenha um dos dois. 
Observe a seguir o exemplo do retorno. Note que todos os registros retorna-
dos possuem campo salary maior que 15000.
LAST_NAME JOB_ID SALARY
King AD_PRES 35138,40
Vishney SA_REP 15373,05
Ozer SA_REP 16837,15
Abel SA_REP 16105,10
Tratando de forma complementar do processo de geração de índices, Cayres 
(2015, p. 122) relata que:
 “ [...] os arquivos que contêm as informações dos registros de uma 
determinada tabela são gravados nos servidores como uma lista. 
Inicialmente essa lista pode ser consultada por meio de uma varre-
dura conhecida como table scan.
1
1
8
Cayres (2015, p. 123) explica que nos sistemas de gerenciamento de banco de 
dados (SGBDs) mais contemporâneos, há um recurso conhecido como “otimi-
zador de consultas” que auxilia na identificação da forma mais eficaz de realizar 
operações. Por fim, para Caiut (2015, p. 107):
 “ [...] são muitas as alternativas que precisam ser consideradas até en-
contrar uma solução para um problema de desempenho. Raramente 
alguém trará um problema parcialmente depurado, indicando que 
a rotina tal está com problemas.
Dessa forma, toda a análise que envolve o banco deverá ser considerada e 
verificada, desde o local que hospeda esse banco de dados até mesmo a análise 
dos sistemas instalados nesse mesmo servidor. Além disso, é importante levar 
em consideração os detalhes relacionados à atividade específica que está contri-
buindo para a lentidão ou para os possíveis gargalos no sistema.
NOVOS DESAFIOS
Atualmente, com a constante utilização de aplicações, a maioria das empresas e 
organizações possuem seus negócios movidos por dados, como dados referentes 
aos pedidos em aplicações de e-commerce. 
Porém, os negócios podem sofrer mudanças constantemente, e isso pode 
impactar em bancos de dados que estejam rodando em produção. Por isso, me-
lhorias de desempenho são sempre necessárias para manter consultas de dados 
rápidas e para evitar problemas que, normalmente, ocorrem em bancos de dados.
Neste sentido, profissionais com a capacidade de realizar ajustes para melho-
rar o desempenho de bancos de dados são essenciais, pois, além de melhorar o 
desempenho, também resolvem os mais variados problemas que possam ocorrer 
em bancos de dados. 
Por este motivo, é importante que profissionais da área recorram a novos 
conhecimentos para conseguir novas abordagens a fim de melhor o desempenho 
de bancos de dados.
UNIASSELVI
1
1
9
1. De acordo com Laudon e Laudon (2014, p. 206), “[...] desenvolver um ambiente de banco 
de dados exige políticas e procedimentos para gerenciar os dados organizacionais, assim 
como um bom modelo de dados e uma boa tecnologia de banco de dados”.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais 11. ed. São Paulo: Pearson 
Education do Brasil, 2014.
É essencial que as empresas e organizações mantenham seus bancos de dados otimizados, 
pois isso acarreta no bom desempenho de seus sistemas em geral. Além disso, atualmente, 
a maioria das empresas utiliza bancos de dados relacionais. 
Tratando de bancos de dados relacionais, assinale a alternativa correta:
a) Os bancos de dados relacionais possuem apenas linhas, em que um objeto json é ar-
mazenado, e pode ser recuperado.
b) Nos bancos de dados relacionais, cada linha representa um atributo e cada coluna se 
refere a um registro.
c) Em bancos de dados relacionais, não é possível realizar a normalização de tabelas.
d) Bancos de dados relacionais são bidimensionais, de modo que possuem linhas e colunas.
e) Nos bancos de dados relacionais não existem linhas, apenas colunas.
2. “O estabelecimento de objetivos no desenvolvimento de sistemas é essencial, sendo, neste 
sentido, metas de qualidade, como qualidade de resultados e velocidade de consultas e 
processamentos, além de minimização de custos”.
REYNOLDS, G. W.; STAIR, R. M. Princípios de sistemas de informação 11. ed. São Paulo: 
Cengage Learning, 2015. p. 580.
Os objetivos do desenvolvimento de sistemas citados na contextualização anterior possuem 
relação com a qualidade e com desempenho do banco de dados utilizado, pois é nele que 
os dados devem ser armazenados. 
Tratando do modelo físico de banco de dados, avalie as afirmativas a seguir:
I - Utiliza como base o modelo lógico.
II - Utilizado por quem realiza o tuning em banco de dados.
III - Auxilia na escolha do SGBDR (Sistema Gerenciador de Banco de Dados).
É correto o que se afirma em:
AUTOATIVIDADE
1
1
1
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
3. “Para tomar decisões para melhorar o desempenho de bancos de dados, administradores e 
projetistas de banco de dados precisam realizar análise das aplicações sendo utilizadas, isto 
é, suas frequências de chamada esperadas, restrições de temporização em sua velocidade 
de execução e a frequência esperada”.
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados 4. ed. São Paulo: Pearson, 2005. 
p. 490.
Problemas de desempenho em bancos de dados podem impactar significativamente a 
funcionalidade de um sistema na tarefa de atender com um bom desempenho às neces-
sidades de usuários.
Tratando das análises que devem ser realizadas por administradores e por projetistas de 
banco de dados antes de tomar decisões, assinale a alternativa correta:
a) A análise das consultas e transações de bancos de dados identifica as características 
das consultas de recuperação e transações de atualização esperadas considerando as 
taxas de chamada esperadas.
b) A análise da frequência de chamada de consultas e transações esperada identifica as 
características das consultas de recuperação e transações de atualização esperadas 
considerando as taxas de chamada esperadas.
c) A análise das restrições de tempo de consultas e transações identifica as características 
das consultas de recuperação e transações de atualização esperadas considerando as 
taxas de chamada esperadas.
d) A análise das frequências esperadas de operações de atualização identifica as caracterís-
ticas das consultas de recuperação e transações de atualização esperadas considerando 
as taxas de chamada esperadas.
e) A análise das restrições de exclusividade em atributos identifica as características das 
consultas de recuperação e transações de atualização esperadas considerando as taxas 
de chamada esperadas.
AUTOATIVIDADE
1
1
1
REFERÊNCIAS
BROWN, L.; STALLINGS, W. Segurança de computadores 2. ed. Rio deJaneiro: Elsevier, 2014.
CAIUT, F. Administração de Banco de Dados Rio de Janeiro: RNP/Escola Superior de Redes, 
2015.
CAYRES, P. H. Modelagem de banco de dados Rio de Janeiro: RNP/Escola Superior de Redes, 
2015.
ELMASRI, R.; NAVATHE, S. B. Sistemas de banco de dados 4. ed. São Paulo: Pearson, 2005.
GONÇALVES, E. SQL – Uma abordagem para banco de dados Oracle. São Paulo: Casa do 
Código, 2014.
HINTZBERGEN,é que, dentro de uma organização, os dados e as infor-
mações precisam ser compreendidos com uma maior significância, e devem ser 
vistos como um ativo primordial para o negócio, e, por isso, é necessário assegu-
rar a sua proteção. Então, os indivíduos precisam ser orientados e conscientizados 
da importância da segurança da informação como uma estratégia de negócio.
A norma ISO/IEC 27001 – Requisitos para Sistemas de Gestão de Segurança da 
Informação – foi elaborada para prover um modelo para estabelecer, implemen-
tar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de 
Gestão de Segurança da Informação.
A Norma ISO/IEC 15498 – Apresenta critérios de avaliação para segurança em 
TI, e a Norma ISO/IEC 13335 apresenta gerenciamento de informações e comu-
nicação da segurança da tecnologia.
ZOOM NO CONHECIMENTO
ENTENDA O QUE SÃO ATAQUES 
Um ataque usa uma determinada vulnerabilidade para infringir uma proprie-
dade de segurança do sistema. Uma das principais ameaças aos sistemas estão 
relacionadas à destruição de dados, informações ou recursos, alterações ou detur-
pação, bem como roubo, eliminação ou exposição de dados, podendo paralisar 
os serviços da organização (PINHEIRO, 2007; MACHADO, 2009; MAZIERO, 
2019). De acordo com Pinheiro (2007, p. 12):
 “ Um ataque ocorre quando uma ameaça intencional é realizada. Os 
ataques ocorrem por motivos diversos. Variam desde a pura curiosi-
dade, passando pelo interesse em adquirir maior conhecimento sobre 
os sistemas, até o extremo, envolvendo ganhos financeiros, extorsão, 
chantagem de algum tipo, espionagem industrial, venda de informa-
ções confidenciais e, o que está muito na moda, ferir a imagem de um 
governo ou uma determinada empresa ou serviço. Quando isso acon-
tece, a notícia da invasão é proporcional à fama de quem a sofreu e, nor-
malmente, representa um desastre em termos de repercussão pública.
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
Existem quatro tipos de ataques principais, sendo (OLIVEIRA, 2017; 
SANTOS; SOARES, 2019):
INTERRUPÇÃO
Impede o fluxo normal das informações ou acessos, ou seja, corresponde a um 
ataque à disponibilidade do sistema. 
INTERCEPTAÇÃO
Obtém acesso de modo não autorizado a um fluxo de informações, porém sem 
alterá-las, ou seja, é um ataque vinculado à confidencialidade.
MODIFICAÇÃO
Modifica de modo indevido informações ou partes do sistema, infringindo sua 
integridade.
FABRICAÇÃO
Produz informações adulteradas ou introduz módulos ou componentes malicio-
sos no sistema, ou seja, vinculado com a autenticidade.
Você consegue se lembrar de exemplos de vazamentos de dados? 
Então, acesse a matéria e relembre os oitos maiores vazamentos 
de dados de usuários e de documentos internos em 2020. 
https://www.techtudo.com.br/listas/2020/12/relembre-os-
oito-maiores-vazamentos-de-dados-em-2020.ghtml Recur-
sos de mídia disponíveis no conteúdo digital no ambi-
ente virtual de aprendizagem.
EU INDICO
1
1
https://www.techtudo.com.br/listas/2020/12/relembre-os-oito-maiores-vazamentos-de-dados-em-2020.ghtml
https://www.techtudo.com.br/listas/2020/12/relembre-os-oito-maiores-vazamentos-de-dados-em-2020.ghtml
Ainda, é preciso considerar que existem os ataques passivos, que visam obter dados 
confidenciais, e os ataques ativos, que inserem alterações no sistema para favorecer o 
atacante ou bloquear sua utilização pelos usuários autorizados. Ademais, os ataques 
podem ocorrer de modo local, quando realizados por indivíduos autorizados do 
sistema, ou de modo remoto, quando são executados por meio da rede, ou seja, sem 
utilizar uma conta de usuário loca (OLIVEIRA, 2017; SANTOS; SOARES, 2019).O 
Quadro 2 apresenta os tipos de ataques mais frequentes.
TIPOS DE ATAQUES DESCRIÇÃO
Exploit
Um programa desenvolvido para explorar 
uma determinada vulnerabilidade de sistema 
e efetuar um ataque que permite ao atacante 
acesso indevido a um sistema.
Elevação de privilégio (privilege 
escalation)
Geralmente, o intruso realiza novos ataques 
para expandir seu nível de acesso no sistema, 
o que é chamado de elevação de privilégio 
(privilege escalation). Esse tipo de ataques 
explora as vulnerabilidades em programas do 
sistema, bem como do próprio núcleo. Isso 
ocorre por meio de chamadas de sistema, 
para assegurar os privilégios do administrador.
Dos-Denial of Service (Ataques 
de negação de serviços) 
Prejudica a disponibilidade do sistema, im-
pedindo que os usuários autorizados possam 
usá-lo, ou seja, que o sistema execute suas 
funções. Esse ataque é usual em ambientes 
de rede, com a intenção de bloquear o aces-
so a servidores Web, DNS e de e-mail.
Phishing
O invasor se passa por um usuário devida-
mente autorizado que, após ter acesso ao 
sistema, rouba os dados confidenciais.
 Quadro 2 - Tipos de ataques / Fonte: adaptado de Machado (2009) e Maziero (2019).
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 1
O que você pode observar é que o banco de dados contém as informações im-
portantes para o gerenciamento de um negócio ou para a realização de atividades 
organizacionais. Porém é preciso que esses dados estejam seguros, minimizando 
as falhas e vulnerabilidades. Infelizmente, não são raros os casos em que os profis-
sionais ignoram as boas práticas de segurança. Desse modo, é essencial que certas 
rotinas sejam tomadas ao longo do processo, ainda que os modelos tradicionais 
de criação de banco de dados não sejam focados no desenvolvimento seguro. 
NOVOS DESAFIOS
A segurança da informação visa à confidencialidade, à integridade e à disponi-
bilidade dos dados e das informações para que as organizações possam realizar 
suas atividades com eficiência e eficácia. Portanto, a informação é um elemento 
de grande valor tanto para os indivíduos quanto para as organizações.
Com base na visão de segurança que estudamos até esse momento, fica eviden-
te que deve existir um profissional qualificado que compreenda a importância dos 
dados e as necessidades da organização. Pode-se dizer que o maior objetivo desse 
profissional é permitir que vários usuários compartilhem os dados corporativos.
Desse modo, a segurança precisa ser vista como um processo contínuo e com 
implicações em todas as áreas, ou seja, desde a alta direção até os usuários que 
realizam operações diárias. Portanto existe a real necessidade de se ampliar a vi-
são dos sistemas para abordar a segurança do banco de dados de modo integrado 
com as necessidades do negócio da organização.
1
4
VAMOS PRATICAR
1. A informação pode ser considerada um conjunto de dados que poderá resultar em no-
vas informações, sendo um ativo valioso para a organização. Transformar esses dados 
em informação é transformar algo com pouco significado em um recurso de valor para 
a nossa vida pessoal e profissional (FONTES, 2006).
FONTES, E. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006.
Considerando o conceito de dados e informação, assinale a alternativa correta.
a) Os dados são considerados fatos brutos que apresentam as características de um de-
terminado evento, ou seja, são registros que podem estar vinculados a algum evento.
b) O dado é considerado uma informação processada que apresenta as características 
de um determinado evento.
c) O dado é um conjunto de informações com valor, que diminui a incerteza ou o co-
nhecimento.
d) A informação é de fácil estruturação e obtida de modo ágil por máquinas. Além disso, 
a informação pode ser transferível e quantificável.
e) A informação é considerada um passivo da organização, possuindo um valor signifi-
cativo na tomada de decisão.
2. As informações, ou seja, os ativos de informação de uma organização, possuem um 
valor que precisa ser classificado e valorado. De modo geral, um ativo é definido como 
qualquer elemento de valor para uma organização, isso pode ser tanto humano quanto 
tecnológico (MAZIERO, 2019).
MAZIERO, C. Sistemas Operacionais: conceitos e mecanismos. Curitiba: Editora da 
UFPR, 2019.
Diante das informações apresentadasJ. et al. Fundamentos de Segurança da Informação com base na ISO 27001 e 
na ISO 27002 Rio de Janeiro: Brasport, 2018.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais 11. ed. São Paulo: Pearson 
Education do Brasil, 2014.
OLIVEIRA, W. J.; PIVA, G. D. Informática, análise e gerenciamento de dados 3. ed. São Paulo: 
Fundação Padre Anchieta, 2010.
REYNOLDS, G. W.; STAIR, R. M. Princípios de sistemas de informação 11. ed. São Paulo: Cengage 
Learning, 2015.
1
1
1
1. Opção D. A alternativa está correta, pois bancos de dados relacionais trabalham com linhas 
que se referem a registros e colunas que são os atributos. Além disso, é possível criar tabelas 
normalizadas e desnormalizadas em bancos de dados relacionais.
2. Opção E. A alternativa correta é a que apresenta os itens I, II e III como certos, pois o modelo 
físico de banco de dados utiliza o modelo lógico como base, é utilizado por quem realiza 
o tuning, e também auxilia na escolha do SGBD. Por sua vez, a escolha do SGBD depende 
do Tempo de resposta, da utilização de espaço em disco, da taxa de processamento de 
transações (throughput) e do custo.
3. Opção B. A alternativa está correta, pois é esse tipo de análise que identifica as característi-
cas das consultas de recuperação e transações de atualização esperadas considerando as 
taxas de chamada esperadas. Nas demais alternativas, são citados outros tipos de análise.
GABARITO
1
1
1
MINHAS ANOTAÇÕES
1
1
4
	_30j0zll
	_3znysh7
	_2et92p0
	_tyjcwt
	_3dy6vkm
	_1t3h5sf
	_4d34og8
	_gjdgxs
	_30j0zll
	_1fob9te
	_3znysh7
	_2et92p0
	_tyjcwt
	_1t3h5sf
	_4d34og8
	_2s8eyo1
	_17dp8vu
	_3rdcrjn
	_26in1rg
	_gjdgxssobre as características da informação, avalie as 
afirmações a seguir:
I - Confidencialidade: acesso a indivíduos com autorização. Isso significa que a infor-
mação será divulgada com prévia autorização, então, é preciso adotar métodos que 
assegurem a confidencialidade das informações.
II - Disponibilidade: garantia de que os indivíduos que acessaram a informação são exa-
tamente os que possuem acesso à informação, e que ela não foi modificada após o 
seu envio ou validação.
III - Legalidade: os documentos eletrônicos confidenciais precisam ter dispositivos como 
mensagens de rodapé que assegurem que a classificação da informação sobreviverá 
à passagem de seu conteúdo do meio digital para o meio físico impresso.
1
5
VAMOS PRATICAR
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
3. A informação é um recurso que tem valor agregado definido pelo usuário, tendo como 
propósito a garantia que a organização obtenha seus objetivos pelo uso eficiente e 
eficaz dos recursos financeiros e humanos, bem como dos recursos tecnológicos e 
a própria informação. A segurança da informação representa a adoção de práticas 
para proteger a informação e, ainda, promover um alinhamento da tecnologia com as 
estratégias da organização (SÊMOLA, 2003). 
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: 
Campus, 2003.
Considerando a segurança na internet, assinale a alternativa correta:
a) O hacker usa telefones públicos para dificultar o rastreio, coletando assim, o máximo 
de informações e adquirindo dados sobre a vítima ou para confirmar se as informações 
obtidas são verdadeiras.
b) A conscientização é um processo longo e torna-se necessário implementar controles 
de acesso para evitar ataques. 
c) O e-mail e as trocas de mensagens por meio de dispositivos móveis são considerados 
essenciais e seguros nas atividades diárias. 
d) O treinamento da conscientização da equipe não é estruturado, planejado e não pode 
ser adaptável às situações e aos indivíduos.
1
1
REFERÊNCIAS
BALTZAN, P.; PHILLIPS, A. Sistemas de informação. Porto Alegre: AMGH, 2012.
CAMPOS, F. da S. V. Uma abordagem a segurança em banco de dados. [S. l.]: Assis, 2018.
COUTINHO, M. M. et al. Estudo de caso: principais pilares da segurança da informação nas 
organizações. Revista Gestão em Foco, n. 9, 2017.
DANTAS, L. M. Segurança da Informação - uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
DIAS, C. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel 
Books, 2021.
FONTES, E. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2012.
ISO/IEC 27000. Information Technology - Security Techniques - Information Security Ma-
nagement Systems - Overview And Vocabulary [Standard]. ISO/IEC 27000, 2018.
MACHADO, F. R. Segurança da Informação numa perspectiva mais humana. Falhas in-
ternas e procedimentos de prevenção e defesa da rede. Monografia apresentada ao Centro 
de Informática da Universidade Federal de Pernambuco como requisito parcial para obten-
ção do grau de Bacharel em Ciências da Computação. Recife, 2009.
MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma visão sistêmica 
para implantação em organizações. Editora da UFPB, 2019.
MAZIERO, C. Sistemas Operacionais: conceitos e mecanismos. Curitiba: Editora da UFPR, 
2019.
OLIVEIRA, R. F. de. Segurança de sistemas de banco de dados. Londrina: Editora e Distri-
buidora Educacional S.A., 2017.
PELTIER, T. R. Information security risk analysis, 3. ed. Auerbach Publication, 2010. 331 
p., v. 1. 
PINHEIRO, J. M. dos S. Ameaças e Ataques aos Sistemas de Informação: prevenir e antecipar. 
Caderno UniFOA, n. 5, dez. 2007.
SANTOS, E. E. dos e SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: o impacto da 
segurança da informação nas organizações. Revista Tecnológica da Fatec Americana, v. 
7, n. 2, abr./set. 2019.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva – Rio de Janeiro: 
GEN LTC, 2013.
1
1
1. Opção A.
2. Opção A. Disponibilidade: acesso a uma informação no momento desejado, então é es-
sencial o funcionamento da rede e do sistema de modo ágil. Legalidade: a informação foi 
gerada em conformidade com a lei.
3. Opção B.
GABARITO
1
8
MINHAS ANOTAÇÕES
1
9
MINHAS METAS
ABORDAGEM SOBRE OS 
CONTROLES DE ACESSO E A 
SEGURANÇA DOS BANCOS DE 
DADOS
Descrever os principais conceitos sobre segurança da informação e relacionar com a 
segurança de banco de dados.
Descrever os principais tipos de controle de acesso em segurança de banco de dados.
Compreender a importância do controle de acesso em relação à segurança do banco de 
dados. 
Reconhecer a importância dos conceitos de autorização, identificação, privilégios e 
autenticação para a segurança do banco de dados. 
Identificar os principais tipos de controle de acesso.
Reconhecer as medidas de proteção de banco de dados.
Diferenciar os tipos de controle de acesso. 
T E M A D E A P R E N D I Z A G E M 2
1
1
INICIE SUA JORNADA
O avanço da tecnologia de informação gerou uma grande quantidade de recursos 
para processar e armazenar dados. Os dados processados em qualquer computa-
dor residem em bancos de dados, que são componentes essenciais no cotidiano 
da sociedade moderna (OLIVEIRA, 2017).
Por isso, uma das grandes preocupações no processamento e na manuten-
ção de um banco de dados tem sido a segurança, já que os ataques cibernéticos 
vêm representando uma ameaça considerável à segurança de sistemas e redes de 
computadores. Um dado alarmante é que o mês de março teve o maior número 
de ataques no ano de 2023, fechando o trimestre com 43,3 bilhões de ameaças 
detectadas: um aumento de 31% em relação ao mesmo período do ano de 2022. 
O que você pode perceber é que os profissionais responsáveis pela segurança 
da informação são de extrema importância, pois desenvolvem, implementam 
e monitoram mecanismos capazes de detectar ou inibir as tentativas de acesso 
não autorizado ou, ao menos, buscam reduzir as possibilidades de sucesso das 
tentativas de invasão — tanto externas quanto internas.
O princípio fundamental da segurança em banco de dados — seja contra 
defeitos lógicos ou de hardware, seja contra o acesso e a manipulação não au-
torizados — é a manutenção dos dados e das informações seguras, garantindo a 
competitividade da organização no mercado. Desse modo, o controle de acesso 
ao sistema de banco de dados busca assegurar que somente usuários autorizados 
possam visualizar, inserir ou modificar os dados, conforme as regras de segurança 
e os privilégios estabelecidos.
Neste podcast, você será guiado a iniciar a reflexão sobre o profissional respon-
sável pelo banco de dados, que é quem gerencia os dados, sendo o elo entre o 
banco de dados e seus usuários.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de apren-
dizagem.
PLAY NO CONHECIMENTO
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 2
DESENVOLVA SEU POTENCIAL
ARMAZENAMENTO DE INFORMAÇÕES
No passado, as organizações armazenavam as informações em arquivos físicos, 
o que, normalmente, dificultava a organização, a manutenção, a modificação 
e o acesso ágil aos dados. Entretanto, com o desenvolvimento das tecnologias 
computacionais, as organizações passaram a armazenar seus dados e suas infor-
mações em bancos de dados digitais. 
Um ponto importante é que um banco de dados se refere a um conjunto lógi-
co e ordenado de dados com significado. Mas, o que isso significa? Isso significa 
que uma coleção aleatória de dados não é considerada um banco de dados, ou 
seja, um conjunto de dados sem um objetivo pré-definido.
Então, um banco de dados tem propriedades que 
interessam aos seus usuários. Como exemplos de 
grandes bancos de dados, podem ser considerados 
os da Amazon.com e os da Alibaba.com, empresas 
multinacionais com atuação mundializada e que co-
mercializamprodutos – livros, jogos, eletrônicos, roupas, etc – provenientes de 
diversos pontos do mundo (SILVA; ROSA, 2017).
um banco de dados 
tem propriedades 
que interessam aos 
seus usuários
VAMOS RECORDAR?
Para continuar os estudos, recordaremos alguns pontos importantes. Você já 
percebeu o quanto a informação é valiosa para a organização. Sendo assim, a sua 
segurança é fundamental para o sucesso da organização no mercado competitivo. 
A informação desconhece as fronteiras físicas e transita na velocidade da luz, 
sendo o ativo mais valioso de uma organização. Relembraremos o conceito de 
informação e a importância da segurança da informação. 
Clique AQUI para assistir ao vídeo “O que é Segurança da Informação?”.
Recurso de mídia disponível no conteúdo digital no ambiente virtual de 
aprendizagem.
1
1
http://O que é segurança da informação?
Um aspecto a ser considerado é que um banco de dados precisa ser gerencia-
do, sendo que um sistema de gerenciamento de banco de dados consiste numa 
coleção de ferramentas e programas que possibilitam que os usuários efetuem o 
desenvolvimento e a manutenção do próprio banco de dados. 
Uma das funções de um sistema de gerenciamento de banco de dados é a 
segurança para proteger os dados contra acessos não autorizados. 
Para isso, é designado um profissional para administrar o banco de dados, 
o qual será responsável pela segurança geral de um sistema de banco de dados. 
Isso significa que o administrador de banco de dados será a autoridade máxima, 
decidindo os privilégios dos usuários.
É fundamental que um administrador controle os privilégios, já que um ban-
co de dados pode conter informações valiosas para a organização. Em banco de 
dados, a segurança se refere a medidas para controle de acesso e ataques, a fim 
de assegurar a inviolabilidade do banco de dados.
O controle de acesso é considerado uma das principais medidas para ga-
rantir a segurança de um banco de dados, sendo o administrador de banco de 
dados o responsável por essa função. Desse modo, impedir que indivíduos não 
autorizados tenham acesso aos sistemas vem sendo um desafio a ser superado 
pelas organizações.
O mecanismo de segurança de um sistema de gerenciamento de banco de 
dados precisa reduzir os riscos de ataques. O estudo do risco é considerado uma 
prática muito usada por inúmeros ramos do conhecimento; então, compreender 
a segurança da informação e dos dados passa, obrigatoriamente, por entender o 
conceito de riscos e seus componentes (OLIVEIRA, 2017). 
Dessa forma, vamos analisar os conceitos que formam o risco, considerando 
a segurança de um banco de dados e de informação: 
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 2
RISCO
Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em 
um impacto para a organização.
VULNERABILIDADE
Fragilidade de um ativo, ou de um determinado grupo de ativos, que pode ser explo-
rada por ameaças.
AMEAÇA
Causa potencial de um incidente indesejado, resultando em dano para um sistema 
ou uma organização. Também pode ser um agente externo ao ativo de informação se 
aproveitando das vulnerabilidades para romper a confidencialidade, a integridade ou a 
disponibilidade da informação.
FONTE DE AMEAÇA
Intenção, método que explora uma vulnerabilidade ou situações que, de modo aci-
dental, geram resultados negativos por meio de uma vulnerabilidade.
Impacto: resultado efetivo da ameaça. Os prejuízos acarretam perdas de recursos 
financeiros e profissionais, bem como a deterioração da imagem da organização no 
mercado.
PRIVACIDADE
Proteção das informações e sua utilização de modo adequado de acordo com a auto-
rização do cliente. Desse modo, uma maior quantidade de informações armazenadas 
resulta em um maior investimento para garantir a segurança das informações.
IDENTIFICAÇÃO
Identificar o usuário dentro do sistema, ou seja, um usuário para uma pessoa. Essa 
prática possibilita a identificação do responsável por uma ação efetuada dentro da 
aplicação por meio da trilha de auditoria.
1
4
Agora, vamos compreender os componentes dos bancos de dados:
• Campos – um campo é um espaço que permite o armazenamento 
de um tipo específico de dado.
• Registros – um registro é o conjunto de campos que descreve uma 
entidade no banco de dados.
• Tabelas – uma tabela é um conjunto de registros. 
• Banco de dados – um banco de dados é um conjunto de tabelas que 
guardam alguma correlação.
• Instâncias – uma instância de um banco de dados é um conjunto 
de registros que diz respeito a um contexto qualquer.
• Índices – um índice é uma chave de organização de um banco de 
dados.
• Relações – relações são formas de agrupar os dados e os registros.
• Usuários – são os indivíduos que, de alguma forma, têm acesso às 
AUTENTICAÇÃO
Prova que o usuário é ele mesmo, pois tem a identidade de acesso na aplicação. Com 
a utilização de autenticação multiator, o processo pode sofrer melhorias Ao identificar 
um usuário, o sistema descobre quem é o usuário que deseja interagir com o sistema 
e, ao autenticá-lo, o sistema o reconhece como um usuário válido e que pode execu-
tar as suas atividades.
AUTORIZAÇÃO
Garantir que o usuário tenha autorização concedida pelo cliente da aplicação para 
acessar as informações nela inseridas. A base de dados da autorização é gerenciada 
pelo administrador de segurança; entretanto, a permissão para sua manipulação pode 
ser disponibilizada para um determinado indivíduo.
PRIVILÉGIOS
São concessões únicas feitas a usuários (ou grupos de usuários) e definem como de-
terminado objeto deverá ser acessado. Os privilégios também podem ser chamados 
de autorizações.
UNIASSELVI
1
5
TEMA DE APRENDIZAGEM 2
informações de um banco de dados e podem realizar operações de 
busca e correlacionamento nesse banco de dados.
• Administradores – são usuários responsáveis pelo gerenciamento 
do sistema de banco de dados e pelos dados ali contidos, bem como 
dos usuários que têm acesso a esse sistema de banco de dados e aos 
privilégios atribuídos a esses usuários.
CONTEXTUALIZANDO AS MEDIDAS DE PROTEÇÃO DO 
BANCO DE DADOS
 A segurança de dados ou informações corresponde a toda e qualquer ação com o 
objetivo de assegurar que os dados da organização e dos usuários estejam seguros. 
Com o crescimento do volume de dados coletados e armazenados, a segurança 
de dados está em evidência, tanto no mundo organizacional quanto nas ações 
rotineiras de cada indivíduo. 
Então, as medidas de segurança de um sistema de gerenciamento de banco 
de dados precisam reduzir os riscos de ataque ao banco de dados.
As medidas de controle para a proteção de um determinado banco de dados devem 
assegurar a inviolabilidade de alguns atributos de segurança da informação, como 
integridade, disponibilidade e confidencialidade. 
A perda da integridade acontece quando ocorre uma alteração não autorizada 
nos dados, ou quando há atos intencionais ou acidentais por parte dos usuários. 
A integridade assegura que a informação esteja segura de alterações impró-
prias, incluindo a criação, a inclusão, a modificação e a exclusão. Caso a inte-
gridade dos dados se perca e não seja corrigida, pode ocorrer imprecisões e 
equivocadas tomadas de decisões (MARQUES, 2018). Também é interessante 
observar a disponibilidade dos dados, assim, pois a perda da confidencialidade, 
resulta na divulgação de dados não autorizados.
A proteção do banco de dados ocorre por meio do próprio controle de acesso 
e da criptografia de dados. Conforme Silva e Rosa (2017, p. 64), 
1
1
 “ [...] o controle de acesso é uma das principais medidas para manter 
a segurança de um banco de dados e fica sob a responsabilidade de 
um administrador do banco de dados. Impedir que pessoas não 
autorizadas tenham acesso aos sistemas tornou-se um desafio a ser 
superado pelas empre.sas
VOCÊ SABE RESPONDER?
O que é um administrador de banco de dados?
Um administrador de banco de dados é um profissional da área de tecnologia 
que será incumbido de criar,implantar, monitorar e realizar reparos e análi-
ses de estruturas em um determinado banco de dados. Você pode perceber 
que esse administrador trabalha para que não ocorram sobrecargas sobre 
os sistemas e que os dados inseridos tenham o destino correto. Além disso, 
continuamente, o administrador busca melhorias para os sistemas de geren-
ciamento e segurança de dados.
EU INDICO
Conforme comentamos até aqui, o administrador de banco de dados é essencial 
para garantir a segurança. 
Leia o artigo “O que faz um Administrador de Banco de Dados?”. De maneira bem 
objetiva, o artigo disponível traz uma explicação das funções do administrador de 
banco de dados e o mercado de trabalho.
Recurso de mídia disponível no conteúdo digital no ambiente virtual de aprendi-
zagem.
Outra atribuição do administrador do banco de dados é decidir se existe ou não 
a necessidade de criar uma conta para que um indivíduo (ou grupo de indiví-
duos) possa acessar o banco de dados. Porém, antes de começarmos a analisar 
aspectos ligados às medidas de controle, é importante analisar algumas questões 
UNIASSELVI
1
1
TEMA DE APRENDIZAGEM 2
ligadas à restrição de acesso. Você já parou para pensar que o controle de acesso 
está relacionado com questões éticas e legais?
CONSIDERAÇÕES SOBRE A ÉTICA DA INFORMAÇÃO
Figura 1 – Administrador de banco de dados / Fonte: https://www.freestock.com/free-photos/business-
-servers-made-3d-manager-laptop-2102885. Acesso em: 20 de set. 2023.
Descrição: montagem de uma fotografia colorida com um notebook preto, tampa aberta e tela em branco. Do lado 
direito, apoiado com a mão direita no notebook, está a miniatura de um homem vestido de calça social preta, 
sapato preto, camisa azul clara e gravata azul. Seu cabelo é curto e castanho. O fundo é uma fotografia de um 
corredor com várias CPUs pretas em sequência. Fim da descrição.
VOCÊ SABE RESPONDER?
Então, afinal, o que é a ética da informação?
1
8
https://www.freestock.com/free-photos/business-servers-made-3d-manager-laptop-2102885
https://www.freestock.com/free-photos/business-servers-made-3d-manager-laptop-2102885
A ética da informação considera tanto as questões éticas quanto as questões mo-
rais referentes ao desenvolvimento e ao uso das tecnologias da informação. Além 
disso, contempla a elaboração, a coleta, a duplicação, a distribuição e o processa-
mento de informação. Para isso, determina-se de que forma as informações serão 
utilizadas e como o seu uso vai afetar os indivíduos da organização (GOMES; 
CIANCONI, 2017).
A ética da informação estuda as questões normativas relacionadas à 
elaboração, à preservação, à organização, ao acesso, à apresentação e ao 
controle da informação. 
É importante ressaltar, ainda, que a informação por si só não possui ética, já que 
ela não se importa com como será utilizada. Isso significa que os indivíduos que 
têm a informação devem estabelecer os padrões éticos sobre como gerir as in-
formações. 
PENSANDO JUNTOS
A informação corporativa confidencial deve ser tratada como um valioso recurso 
para um gerenciamento de sucesso. Conforme Barracho (2016, p. 58):
 “ Acima dos recursos de processamento, armazenamento da in-
formação estão os valores, as variáveis, os parâmetros que serão 
processados automaticamente e foram previamente definidos por 
humanos, por especialistas, por gestores ou pelos valores de uma 
cultura ou sociedade. Os sistemas de informação estão preparados 
para responder perguntas e, por mais técnicos e isentos que sejam 
eles dependem de premissa, de instruções que são colocadas pelos 
humanos e que devem ser regidas pela ética para definir prioridades 
e encaminhamentos.
UNIASSELVI
1
9
TEMA DE APRENDIZAGEM 2
UMA ABORDAGEM SOBRE OS CONTROLES DE ACESSO
O controle de acesso assegura a proteção de dados de acesso não autorizado. 
Então, praticamente todos os recursos de um determinado sistema operacional 
estão submetidos a um controle de acesso, como arquivos, áreas de memória, 
portas de rede, dispositivos de entrada e saída, entre outros (Figura 2). 
Desse modo, o controle de acesso é implementado para solucionar as se-
guintes questões:
 A ética é o conjunto de valores e costumes difundidos por uma determinada so-
ciedade, ao passo que a moral consiste na prática individual influenciada por esse 
conjunto de valores éticos. Então, ética e moral se complementam, uma vez que 
nossas decisões morais são também influenciadas pelos valores éticos que rece-
bemos de nossa família, da sociedade e da comunidade.
Na interação entre ética e moral, não existe rigidez. Os valores éticos são uma 
referência sobre o que devemos fazer, não uma lei absoluta. Podemos tomar a 
mentira como exemplo. Não devemos mentir; mas, e se for para salvar uma vida? 
Certamente não iremos pensar: “Não devo mentir, pois é errado. Então vou deixar 
essa pessoa morrer”. 
Por isso, o filósofo grego Aristóteles disse que a ação moral exige a sabedoria 
de lidar com o imprevisto. Para isso, ele recomenda a prudência e a sagacidade. 
Sócrates também abordou essa questão: “Aquele que contraria a lei por julgá-la 
injusta, este é melhor que a lei”.
Recurso de mídia disponível no conteúdo digital no ambiente virtual de aprendi-
zagem.
APROFUNDANDO
QUESTÕES LEGAIS E ÉTICAS
Relacionadas ao direito de acessar determinadas informações.
QUESTÕES POLÍTICAS
Ocorrem em nível governamental, institucional ou corporativo e se referem a informa-
ções que devem ter sua confidencialidade mantida.
4
1
Conforme Souza (2010, p. 25), 
 “ [...] o controle de acesso possui um papel significativo dentro do 
processo de segurança, ainda que restrito ao aspecto tecnológico do 
processo, ele é um dos serviços responsáveis por impor a política de 
segurança às atividades computacionais.
QUESTÕES DE SISTEMA
Referentes a níveis de sistema, como a definição da forma de tratamento da segu-
rança, se será no nível de hardware, no nível de sistema operacional ou no nível de 
sistema de gerenciamento do banco de dados. 
Figura 2 – Exemplificação dos controles de acesso / Fonte: https://www.diegomacedo.com.br/mecanismos-
-de-controle-de-acesso/. Acesso: 20 set. 2023.
Descrição: Desenho gráfico de um esquema de controles de acesso em vários tons de azul . Do lado esquerdo, 
há dois computadores de mesa brancos com tela azul no monitor. No primeiro, está escrito o seguinte texto: 
Administrador do Sistema. Há uma seta que sai para a direita, em direção a uma figura arredondada que tem o 
seguinte texto escrito: Política – Regras do Processo. Desta figura, sai uma seta dupla que direciona para o quadro 
de Controle de acesso – Monitor de Referência. No segundo computador da esquerda, está escrito Sujeito, do qual 
sai uma seta para a direita em direção à caixa de controle. Abaixo da caixa de controle, há uma caixa azul com o 
escrito Registros de log e uma seta que vai em sua direção. Da caixa de controle, sai uma seta para a direita em 
direção a círculos acompanhados do texto Objetos. Fim da descrição.
UNIASSELVI
4
1
https://www.diegomacedo.com.br/mecanismos-de-controle-de-acesso/
https://www.diegomacedo.com.br/mecanismos-de-controle-de-acesso/
TEMA DE APRENDIZAGEM 2
Agora, chegou a hora de analisarmos os principais tipos de controle de acesso, 
que são os mecanismos de segurança usados pelo administrador de banco de 
dados para controlar o acesso aos dados.
CONTROLE DE ACESSO BASEADO EM PAPÉIS
O controle de acesso baseado em papel (Role-Based Access Control – RBAC) tem 
como objetivo definir as funções e os privilégios para verificar se um determinado 
usuário pode acessar o sistema da organização. É importante que você saiba que 
esse modelo de controle tem quatro componentes, sendo eles (UEDA, 2012):
USUÁRIO
Podem ser tanto seres humanos quanto robôs, agentes de softwares e computadores.
PERMISSÕES
Direitos de realizar uma ou mais ações ou operações sobre objetos do sistema. Os 
objetos podem ser arquivos, bancos de dados, entre outros. Um exemplo prático de 
permissão de usuário,seria um funcionário confiável de uma organização que terá 
permissão para carregar arquivos, no entanto, um contratado externo não terá essa 
permissão atendida.
PAPÉIS
São considerados os intermediários entre os usuários e as permissões. Os papéis são 
funções distintas dentro do sistema ou ambiente organizacional, por exemplo, admi-
nistrador ou auditor.
SESSÃO
Os usuários podem estar vinculados a um ou mais papéis, então, quando um usuário 
acessa o sistema, ele começa uma sessão e, durante essa sessão, pode haver um ou 
mais papéis ativos.
4
1
Um benefício importante do controle de acesso baseado em papéis é que ele 
possibilita a implementação do princípio do privilégio mínimo. Isso significa que 
esse controle auxilia na realização da segurança da confiança zero, concedendo 
o menor número de permissões de acesso a um determinado usuário, conside-
rando suas funções. 
A função do usuário é fundamental para definir o que é estritamente neces-
sário para que ele realize suas responsabilidades. Sendo assim, em teoria, nenhum 
usuário pode ser a causa de uma violação no sistema, já que as funções de cada 
usuário são separadas. Portanto, segundo Souza (2010, p. 25),
 “ [...] a capacidade de limitar o acesso aos recursos do sistema pro-
porciona um relacionamento direto entre a confidencialidade e o 
controle de acesso. Atividades como leitura e cópia apenas serão 
permitidas se o usuário possuir autorização para tanto, possibili-
tando que a confidencialidade das informações seja preservada. Da 
mesma forma, as atividades de criação e modificação da informação 
passam a ser atividades restritas, ou seja, só podem ser executadas 
por usuários que, segundo a política de segurança, possuem essa 
autorização. Essa restrição contribui para que a integridade da in-
formação seja mantida. 
EU INDICO
Em um sistema operacional, algumas operações são privilegiadas, e a permissão 
para execução dessas operações é restrita apenas a usuários autorizados. 
Para complementar seu aprendizado, clique AQUI e leia o artigo sobre o “Princípio 
do privilégio mínimo”.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de apren-
dizagem. 
 Outro benefício importante desse modelo é a redução da carga administrativa, 
já que o controle de acesso baseado em papéis pode ser utilizado para, rapida-
mente, adicionar e trocar as funções nos sistemas operacionais, nas plataformas 
e nas aplicações. Outra vantagem é a redução do potencial erro na atribuição de 
permissões de usuário.
UNIASSELVI
4
1
https://www.ibm.com/docs/pt-br/aix/7.3?topic=privileges-least-privilege-principle
TEMA DE APRENDIZAGEM 2
Portanto, o controle de acesso baseado em papéis auxilia as organizações no 
cumprimento dos regulamentos de conformidade para proteger dados e priva-
cidade, já que os papéis melhoram a segurança dentro de determinado ambiente. 
Isso ocorre porque, quando uma função é estabelecida na organização, o nível 
de acesso de um usuário ao banco de dados precisa ser bem descrito e definido.
CONTROLE DE ACESSO DISCRICIONÁRIOS
Sob responsabilidade do administrador de banco de dados, os controles de acesso 
discricionários concedem ou negam privilégios ao usuário. Santos (2014,p. 28) 
afirma: 
 “ Um privilégio permite que um usuário acesse um determinado ob-
jeto de dado e execute ações pré-definidas. O usuário que cria um 
objeto no banco de dados tem automaticamente todos os privilégios 
referentes ao objeto. Por consequência, o sistema de gerenciamento 
de banco de dados monitora como esses privilégios são concedidos 
ou revogados, controlando para que apenas usuários autorizados 
tenham acesso aos objetos.
4
4
No controles de acesso discricionário, existem dois níveis de privilégios, quais 
sejam:
• Nível de conta: indicam privilégios que um determinado usuário 
possui.
• Nível de relação (ou tabela): realiza o controle de modo indivi-
dual em relação ao banco de dados. 
É interessante que você saiba que o controle de acesso discricionário foi 
desenvolvido para operar tanto em no ambiente militar quanto em organizações 
civis e comerciais. Esse mecanismo de acesso possibilita que usuários forneçam 
ou cancelem o direito de acesso sobre objetos a terceiros, sem a intervenção dos 
administradores do sistema.
No controle de acesso discricionário, cada objeto do sistema (arquivo ou objeto 
de dados) tem um proprietário, e cada proprietário do objeto inicial é o sujeito que 
causa sua criação. Assim, a política de acesso de um objeto é determinada por seu 
proprietário.
APROFUNDANDO
CONTROLE DE ACESSO OBRIGATÓRIO
O controle de acesso obrigatório possui uma política determinada pelo sistema, 
não pelo proprietário do objeto. Então, o sistema é responsável por aplicar as 
políticas de acesso considerando as configurações de privilégio, já definidas pelo 
administrador de sistemas, e a rotulação das informações, realizada pelo gestor 
da informação.
Normalmente, o controle de acesso obrigatório é usado por organizações que 
trabalham com dados críticos e sensíveis. Nesse caso, o acesso não autorizado 
pode ocasionar graves consequências. Segundo Santos (2019, p. 31):
UNIASSELVI
4
5
TEMA DE APRENDIZAGEM 2
 “ Cada objeto protegido recebe uma classificação, ou label, que de-
monstra a importância do recurso representado por aquele obje-
to. O sujeito também possui uma classificação de segurança, ou 
clearance, que representa a confiança que o sistema possui neste 
usuário de que ele não irá repassar as informações para pessoas 
não autorizadas.
Você percebe que o objetivo do controle de acesso é evitar que dados confi-
denciais sejam acessados por usuários mal intencionados? Com isso, o controle 
de acesso se torna um componente essencial da estratégia de segurança da orga-
nização, além de ser uma das melhores ferramentas para minimizar o risco de 
segurança do acesso não autorizado, principalmente a dados armazenados nas 
nuvens. 
Conforme cresce a lista de dispositivos suscetíveis a acesso não autorizado, 
amplia-se o risco para organizações que não implementarem políticas sofisti-
cadas de controle de acesso. O primeiro passo para cada organização é saber 
reconhecer a necessidade de controlar como e quando os dados são acessados. 
Confira o vídeo sobre “O que é um banco de dados”. Ele vai contribuir para que 
você compreenda o conceito e a importância do banco de dados e sua relação 
com a informação. 
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de apren-
dizagem.
EM FOCO
4
1
NOVOS DESAFIOS
Cada vez mais, as organizações necessitam de dados para tomarem decisões. Os 
dados são utilizados para fazer previsões de mercado ou modificar procedimen-
tos de acordo com as tendências observadas pelos dados. Por isso, a área de banco 
de dados está em constante crescimento.
Os profissionais de banco de dados podem atuar em qualquer tipo de organi-
zação que usem um sistema de banco de dados. Isso significa que o profissional 
qualificado pode atuar diretamente em uma organização ou pode prestar serviços 
por intermédio de alguma organização de tecnologia da informação. Com isso, a 
busca por profissionais requisitados tende a aumentar, já que eles são responsáveis 
por gerenciar os dados e as informações para os negócios.
UNIASSELVI
4
1
1. O avanço da tecnologia de informação gerou uma grande quantidade de recursos dispo-
níveis para processar e armazenar dados. Os dados processados em qualquer computador 
residem em bancos de dados que são componentes essenciais no cotidiano da sociedade 
moderna (OLIVEIRA, 2017).
Considerando esse contexto, sobre a importância dos dados e da informação, pode-se afir-
mar que:
a) Os profissionais responsáveis pela segurança da informação somente monitoram os 
mecanismos capazes de detectar ou inibir as tentativas de acesso não autorizado.
b) No passado, as organizações armazenavam as informações em arquivos físicos que 
facilitam a organização, a manutenção,a modificação e o acesso ágil a esses dados.c) Uma das grandes preocupações de processar e manter um banco de dados tem sido a 
segurança, já que os ataques cibernéticos vêm representando uma ameaça considerável 
à segurança de sistemas e redes de computadores.
d) Um sistema de gerenciamento de banco de dados é uma coleção de ferramentas e 
programas que possibilitem que os usuários efetuem somente a implementação do 
próprio banco de dados.
e) A segurança em banco de dados se refere a medidas para controle de acesso e ataques 
para assegurar a violabilidade do banco de dados.
2. O controle de acesso é considerado uma das principais medidas para garantir a segurança 
de um banco de dados, sendo o administrador de banco de dados o responsável por essa 
função. Desse modo, impedir que indivíduos não autorizados tenham acesso aos sistemas 
vem sendo um desafio a ser superado pelas organizações (OLIVEIRA, 2017).
Diante das informações apresentadas sobre o controle de acesso, avalie as afirmações a seguir:
I - O mecanismo de segurança de um sistema de gerenciamento de banco de dados pre-
cisa reduzir os riscos de ataque ao banco de dados.
II - Privilégios são concessões únicas feitas a usuários ou grupos de usuários e que define 
como determinado objeto deverá ser acessado.
III - Privacidade proteção das informações e a sua utilização de modo adequado através da 
autorização do cliente.
É correto o que se afirma em:
a) I, apenas.
b) III, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
AUTOATIVIDADE
4
8
3. As medidas de controle para a proteção de um determinado banco de dados devem as-
segurar a inviolabilidade de alguns atributos de segurança da informação, tais como inte-
gridade, disponibilidade e confidencialidade (OLIVEIRA, 2017). 
Considerando esse contexto, sobre os atributos de segurança da informação, é correto 
afirmar: 
a) A perda da integridade dos dados não tem relação direta com a imprecisão e as equi-
vocadas tomadas de decisões.
b) A perda da integridade acontece quando ocorre uma alteração não autorizada nos dados, 
ou ainda, por atos intencionais ou acidentais dos usuários.
c) A disponibilidade assegura que a informação esteja segura de alterações impróprias, 
incluindo a modificação e a exclusão.
d) A perda da integridade, da disponibilidade e da confidencialidade resulta na divulgação 
de dados autorizados pelo usuário.
e) As medidas de segurança de um sistema de gerenciamento de banco de dados precisam 
reduzir os riscos de ataque ao banco de dados garantindo somente a disponibilidade.
AUTOATIVIDADE
4
9
REFERÊNCIAS
BARACHO, R. M. A. Questões éticas no campo científico da informação. PRISMA COM, Belo 
Horizonte, n. 32, p. 46-61, 2016.
GOMEZ, M. N. G.; CIANCONI, R. B. Ética da informação: perspectivas e desafios. Niterói: PPGCI/
UFF, 2017.
MARQUES, A. G. RGPD e a Segurança das Redes e Sistemas de Informação: manual de boas 
práticas - parte III - Segurança Física. Lisboa: Gabonite Nacional de Segurança, 2018. 
OLIVEIRA, R. F.S egurança de sistemas de banco de dados. Londrina: Editora e Distribuidora 
Educacional S.A., 2017.
SANTOS, D. L. dos. Controle de acesso em sistemas gerenciadores de banco de dados. 2014. 
51f. Monografia (Especialização em Configuração e Gerenciamento de Servidores e Equipamen-
tos de Rede) – Departamento Acadêmico de Eletrônica, Universidade Tecnológica Federal do 
Paraná, 2014.
SANTOS, E. E.; SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: o impacto da segurança 
da informação nas organizações. Revista Tecnológica da Fatec Americana, Americana/SP, v. 7, 
n. 2, abr./set., 2019.
SILVA, T.; ROSA, P. R. Segurança em banco de dados. Colloquium Exactarum, Presidente 
Prudente/SP, v. 9, n. especial, p. 31-67, jul./dez., 2017, p. 61- 67. 
SOUZA, M, T. Controle de acesso para sistemas distribuídos. 2010. 96 f. Dissertação (Mestrado 
em Engenharia) – Escola Politécnica da Universidade de São Paulo, Universidade de São Paulo, 
São Paulo, 2010. 
UEDA, E. T. Análise de políticas de controle de acesso baseado em papéis com rede de petri 
colorida. 2012. 128 f. Tese (Doutorado em Engenharia Elétrica) – Escola Politécnica da Universi-
dade de São Paulo, Universidade de São Paulo, São Paulo, 2012.
5
1
1. Opção C. Um sistema de gerenciamento de dados permite que os usuários efetuem o de-
senvolvimento e a manutenção do próprio banco de dados, facilitando o acesso ágil e eficaz 
dos dados. No entanto, os profissionais precisam desenvolver, implementar e monitorar os 
mecanismos de segurança. Então, a segurança em banco de dados se refere a medidas para 
controle de acesso e ataques para assegurar a inviolabilidade do banco de dados.
2. Opção E. A resposta correta é a que apresenta os itens I, II e III como corretos.
3. Opção B.. Caso ocorra a perda da integridade dos dados e ela não seja corrigida, pode haver 
imprecisão e tomadas de decisões equivocadas. A integridade assegura que a informação 
esteja segura de alterações impróprias, incluindo a criação, a inclusão, modificação e a ex-
clusão. A perda da disponibilidade e da confidencialidade resulta na divulgação de dados 
não autorizados.
GABARITO
5
1
MINHAS METAS
CAMADAS DE SEGURANÇA E A 
PROTEÇÃO DO BANCO DE DADOS 
Compreender as diferenças entre os controles lógicos e os controles físicos na segurança 
do banco de dados.
Descrever o sistema de gerenciamento de banco de dados (SGBD).
Identificar os principais conceitos vinculados ao SGBD.
Reconhecer a importância do processo de segurança dos dados e da informação.
Analisar as principais medidas de segurança do banco de dados e informações.
Diferenciar as camadas de segurança dos dados e das informações.
Compreender a importância das barreiras de segurança para a proteção dos dados e das 
informações.
T E M A D E A P R E N D I Z A G E M 3
5
1
INICIE SUA JORNADA
A informação é um recurso que tem valor agregado definido pelo usuário, ten-
do como propósito garantir que a organização alcance seus objetivos pelo uso 
eficiente e eficaz dos recursos financeiros e humanos, dos recursos tecnológicos 
e da própria informação. 
Portanto, com a evolução da tecnologia de informação, foram desenvolvidos 
novos modelos de processamento, de armazenamento, transmissão, e integra-
ção para que o tráfego e o armazenamento das informações e dados seja ágil e, 
principalmente, seguro. 
Agora chegou o momento de compreendermos como proteger o banco de 
dados. 
Você será guiado a uma reflexão sobre a importância das senhas para a proteção 
e segurança do sistema de gerenciamento de banco de dados.
Recursos de mídia disponíveis no conteúdo digital no ambiente virtual de apren-
dizagem.
PLAY NO CONHECIMENTO
VAMOS RECORDAR?
Para continuar os estudos, recordaremos alguns pontos importantes. Você já deve 
ter ouvido falar sobre os sistemas de gerenciamento de bancos. Agora, vamos 
aprofundar seu conhecimento sobre os tipos de sistema de gerenciamento de 
banco de dados. Para isso, assista ao vídeo sobre "Os sistemas de gerenciamento 
mais utilizados”. 
Recursos de mídia disponível no conteúdo digital no ambiente virtual de 
aprendizagem.
UNIASSELVI
5
1
TEMA DE APRENDIZAGEM 3
DESENVOLVA SEU POTENCIAL
SEGURANÇA DA INFORMAÇÃO
A Segurança da Informação corresponde a um tema estratégico na gestão de uma 
organização. Os descuidos no processo de gerenciamento afetam de modo direto 
as atividades rotineiras, a obtenção dos resultados planejados e a sobrevivência 
e reputação de uma organização. 
Para isso, a segurança da informação deve englobar a segurança dos recursos 
humanos, das áreas e das instalações das comunicações computacionais, bem 
como as medidas destinadas a prevenir, detectar, deter e documentar eventuais 
ameaças ao desenvolvimento da organização (ABNT, 2004).
Uma das medidas que podem ser adotadas para garantir a segurança da 
informação é a implementação dos controles físicos e lógicos para barrar 
acessos não autorizados. As ferramentas de controle de acesso são essenciais 
para a segurança dos dados e das informações,

Mais conteúdos dessa disciplina