UNIP - Projeto de Consultoria de Segurança da Informação

Prévia do material em texto

2
UNIP
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Projeto de Consultoria de Segurança da Informação
Banco de Sangue de todo Território Nacional
UNIP Artur Alvim
2020
UNIP
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Projeto de Consultoria de Segurança da Informação
Banco de Sangue de todo Território Nacional
Edison Fernandes de Oliveira
RA: 2040398
Curso: Segurança da Informação
Semestre: 2º 
UNIP Artur Alvim
2020
RESUMO
Neste projeto foram propostas soluções seguras em forma de projeto que ligue todos os centros de doação de sangue públicos do Brasil. Será implementado o sistema em ambiente de desenvolvimento open source, sem custo financeiro, por meio de linguagem e programação e banco de dados que permita sua utilização em diferentes sistemas operacionais. A partir dos resultados será possível constatar que o sistema é uma ferramenta importante de gestão para banco de sangue.
Propomos soluções para redes e comunicação para interligar os centros de doação de sangue de forma a proteger os dados. 
Criamos uma única estrutura de banco de dados em computação em nuvem para manter as informações do banco de sangue atualizadas em tempo real sem esquecer a segurança da informação. Por meio de funções matemáticas demonstramos eficiência que a unificação das bases de dados trouxe ao sistema. “A gestão da informação descreve o meio pela qual uma organização planeja, coleta, organiza, utiliza, controla, dissemina e descarta suas informações de forma eficiente, para garantir que o valor dessa informação seja identificado e explorado em toda sua extensão”.
Estabelecemos um programa de segurança da informação para assegurar as informações dos dados cadastrais dos doadores e bem antes da criação deste projeto sempre pensamos na segurança da informação desde o início para terminar com a satisfação das necessidades.
Neste projeto da empresa PIM III, também apresentamos o importante Trio: confidencialidade, integridade e disponibilidade.
Palavras-chave: Banco de Sangue; Computação em nuvem; Comunicação; Open source; Segurança da informação; Soluções
ABSTRACT
In this project, safe solutions were proposed in the form of a project that links all public blood donation centers in Brazil. The system will be implemented in an open source development environment, without financial cost, through language and programming and a database that allows its use in different operating systems. From the results it will be possible to verify that the system is an important management tool for blood banks. 
We propose solutions for networks and communication to connect blood donation centers in order to protect data. 
We have created a single database structure in cloud computing to keep blood bank information updated in real time without forgetting information security. Through mathematical functions we demonstrate efficiency that the unification of the databases brought to the system. "Information management describes the means by which an organization plans, collects, organizes, uses, controls, disseminates and disposes of its information efficiently, to ensure that the value of that information is identified and exploited to its full extent." 
We established an information security program to ensure the information on donor registration data and well before the creation of this project, we always thought about information security from the beginning to end meeting the needs. 
In this project of the company PIM III, we also present the important Trio: confidentiality, integrity and availability. 
Keywords: Blood Bank; Cloud computing; Communication; Open source; Information security; Solutions
SUMÁRIO
	1. Introdução..............................................................................................
	6
	2. Desenvolvimento do Projeto..................................................................
2.1 Conceito de Banco de Dados..........................................................
2.2 Requisitos de Banco de Dados.......................................................
2.3 Sistemas de Banco de Sangue.......................................................
2.4 Recursos do Sistema......................................................................
2.5 Comunicação e Processo de Automação.......................................
2.6 Computação em Nuvem..................................................................
3. Sistema de Gerenciamento de Banco de Dados...................................
3.1 Administração de Banco de Dados.................................................
 3.1.1 Entidade-Relacionamento (DER)..........................................
3.2 Rede de Dados e Comunicação......................................................
	7
7
7
8
9
9
9
10
11
11
12
	4. Segurança da Informação
	13
	5. 
	
Introdução
A empresa PIM III foi designada para uma tarefa de ordem voluntária, dispor um projeto de consultoria de segurança da informação para atender os Bancos de Sangue de todo território nacional.
A PIM III irá realizar tarefas que englobam, Matemática para computação, Segurança da Informação, Administração de Banco de Dados e de Rede de Dados e Comunicação.
Os objetivos específicos é desenvolver a capacidade de identificar necessidades e propor soluções seguras em forma de projeto ligando todos os centros de doação de sangue públicos do Brasil.
Este projeto vai propor soluções para redes de comunicação e proteção dos dados para interligar os centros de doação de sangue e com uma única estrutura de banco de dados em computação em nuvem para manter as informações dos bancos de sangue atualizadas em tempo real sem esquecer a segurança das informações, e mostraremos a eficiência que a unificação das bases de dados trará ao sistema.
Com a segurança da informação asseguramos as informações dos dados cadastrais dos doadores.
2. Desenvolvimento do Projeto
No desenvolvimento deste projeto envolveremos a análise e o projeto de dois componentes: os dados e os processos.
Projeto de dados é considerado a parte estática que dificilmente sofre modificações após sua definição e o projeto de processos que é a parte dinâmica que quando realizadas sobre os dados e podem variar conforme a evolução do sistema.
2.1 Conceito Banco de Dados
É um conjunto de arquivos relacionados entre si com registros sobre pessoas, lugares ou coisas. São coleções organizadas de dados que se relacionam de forma a criar algum sentido (Informação) e dar mais eficiência durante uma pesquisa ou estudo científico.
2.2 Requisitos de Banco de Dados
Nesta etapa a PIM III irá coletar as informações sobre os dados de interesse da aplicação.
Tarefas necessárias que serão realizadas:
· Entrevista com os futuros usuários do sistema
· Análise de documentações disponíveis
· Arquivos
· Relatórios e etc. 
Após as reuniões, os requisitos são documentados através do Documento de Especificação do Projeto (DEP), que detalha com todas as descrições tudo o que o sistema realizará, e esquematizados pelo Diagrama de Casos de Uso, que é uma orientação lógica para os desenvolvedores.
Projeto Conceitual a fase de análise de dados ou requisitos das tarefas anteriores.
Projeto Lógico mapeamento de um tipo de diagrama de acordo com o modelo de dados que foi definido pela PIM III, que será a modelagem de alto nível a E-R Entidade-Relacionamento como propõe o Dr. Peter Chen. O resultado é uma estrutura lógica com um conjunto de tabelas relacionadas.
2.3 Sistemas de Banco de Sangue
Permite o controle total do ciclo de sangue. Totalmente web, proporciona acesso remoto através da internet com computadores cliente de baixa capacidade de processamento e gerencia toda rotina operacional, técnica e administrativa.
2.4 Recursos do Sistema:
Cadastro de Doadores: Seguindo padrões da ANVISA, o cadastro de doadores controla o bloqueio automático por idade, sexo e preenchimento de campos obrigatórios. Mantém o histórico de doações e histórico desituação do doador.
Recepção: Praticidade ao atendimento, identifica o tipo de doação, tipo de material a ser coletado e o motivo do comparecimento. Faz validações específicas, controle de intervalo de doação por sexo, período de inaptidão de triagem ou inaptidão sorológica.
Triagem: Registra os sinais vitais do doador, pode ser configurado de acordo com a unidade do hemocentro e de acordo com as normas técnicas. Visualiza ficha do doador e seu histórico, verifica os dados de outras doações na mesma tela. Emite etiquetas de código de barras, de bolsas e de tubos. Compreende também o serviço de auto exclusão.
Coleta: Visando a maior eficácia dos processos, o sistema possibilita alto nível de exatidão quanto ao registro de tempo de doação e ao volume coletado. Mantém os registros de informações de coletas conforme a ultima realizada. Gera automaticamente o código da doação com base no código do doado, sequencial e com a padronização universal do ISBT.
Fracionamento: Cálculo automático de validade de acordo com o hemocomponente. Cálculo automático do volume e da emissão de etiquetas com código de barras de acordo com as regras estabelecidas nos cadastros.
Liberação e Descarte: Controle sobre as bolsas liberadas e descartadas, sendo que as bolsas somente poderão ser expedidas após serem liberadas, garantindo total controle e segurança.
Estoque: Total controle de estoque de hemocomponentes, gerando relatórios para visualização da real situação do estoque e facilitando o gerenciamento das bolsas com validade vencida e a vencer, que ainda estejam no hemocentro. Indicadores de estoque na página principal 
Expedição: As informações de expedição poderão ser personalizadas ou não por pacientes, podem também ser registradas diretamente no sistema que permite o acesso rápido às informações e ao rastreamento de bolsas.
2.5 Comunicação e Processo de Automação
A comunicação corporativa será responsável pela captação e fidelização de doares de sangue (voluntários e vinculados), por meio de campanhas específicas de sensibilização, estabelecendo ações de comunicação com o doador para manter os estoques de sangue e os componentes.
Responde pela Assessoria de Imprensa, com publicação de textos relativos à empresa e ao trabalho que desenvolve, dando atendimento aos veículos de comunicação e sugerindo pautas para TV, rádio, revistas, internet e jornais.
O processo de automação é um dos principais destaques para os bancos de sangue por ter a menor interferência humana possível, os equipamentos da fase de testagem das amostras, são capazes de garantir ensaios 100% sensíveis elevando a eficácia e eficiência das testagens de bolsas de sangue. 
“A automação traz benefícios de evitar o erro humano, sempre com o objetivo de levar o melhor para o paciente que está na ponta”. Ela agiliza o processo, permitindo analisar uma quantidade maior de exames com resultados confiáveis, e consequentemente atender um maior número de pacientes.
2.6 Computação em Nuvem
Disponibiliza uma demanda de recursos do sistema computacional especialmente armazenamento de dados e capacidade de computação, sem o gerenciamento ativo direto do utilizador.
O armazenamento de dados poderá ser acedido de qualquer lugar do mundo, a qualquer hora, não havendo necessidade de instalação de programas ou armazenar dados. O acesso a programas, serviços e arquivos é remoto através da internet. 
A Empresa PIM III escolheu esse modelo de ambiente por ser mais viável do que o uso de unidades físicas neste projeto.
3. Sistema de Gerenciamento de Banco de Dados
O software a ser utilizado será o SGBD Web pode ser instalado em um ambiente totalmente open source, eliminando os custos. O sistema gerencia o acesso e faz a correta manutenção dos dados armazenados em um ou mais Banco de Dados. O acesso aos dados é disponibilizado por meio de uma interface que permite a comunicação com a aplicação desenvolvida.
SGBD
SGBD
Software
Software para
processar consultas
Software para
Acessar dados armazenados
Programas de
Aplicação / Consultas
Usuário
	Metadados
armazenados
Base de Dados
armazenados
	
Esquema de um SGBD
Os SGBD têm interfaces bem parecidas. Todos possuem o que chamamos de Object Explorer no lado esquerdo, onde é exibida a estrutura do banco de dados.
Eles utilizam um formato análogo ao do Windows Explorer, permitindo a navegação entre os objetos do banco de dados. Do lado direito, temos uma tela dividida em duas partes na vertical. Normalmente, a parte de cima é onde se digitam os comandos SQL, e a parte de baixo é onde se visualizam os resultados.
Todos os relatórios técnicos e gerenciais definidos pela ANVISA estão disponíveis no SGBD Web, sistema totalmente modular que atende as funções específicas de uma ou mais unidades hemoterápica. Possui uma plataforma flexível que pode ser configurada de acordo com as necessidades da unidade.
3.1 Administração de Banco de Dados
Controla procedimentos de segurança, executa backup e recuperação de falhas de meio de armazenamento, assim como monitoração de performance de acesso de dados e tomada de decisões para melhorias no SGBD.
Mantém um banco de dados corporativo “no ar” por todo o tempo que o sistema necessita, sem erros, com rapidez e confiabilidade. Certificar-se que o banco de dados é rápido e que a performance do servidor não afetará negativamente sua disponibilidade e usabilidade.
O backup é considerado uma das atividades mais importantes e críticas de administração de banco de dados. Consiste em fazer uma cópia de segurança (dump) dos dados e da estrutura do banco de dados, além das operações realizadas na linha do tempo, entre uma cópia e outra. Será feito o backup todos os dias para não ter problemas com as falhas que podem ser de dois tipos: soft crash e hard crash. A primeira são falhas do sistema (por exemplo, queda de energia) que afetam todas as transações em curso no momento, mas não danificam fisicamente o banco de dados. A segunda são falhas da mídia (por exemplo, queda da cabeça de gravação sobre o disco) que causam danos ao banco de dados ou uma parte dele e afetam pelo menos todas as transações que, no momento, estão usando essa parte.
3.1.1 Entidade-Relacionamento (DER)
Ferramenta escolhida por apresentar poucos conceitos, fácil compreensão e é considerada praticamente um padrão para modelagem conceitual. Um diagrama E-R é uma representação gráfica, na forma de um diagrama, no qual são utilizados apenas três conceitos: entidades, relacionamentos e atributos.
Modelo relacional foi utilizado para representar quais tabelas seriam implementadas no banco de dados. O Diagrama Entitidade-Relacionamento (DER), além de representar as tabelas do sistema, apresenta seus atributos e relacionamentos, sendo, portanto, uma modelagem lógica para o banco de dados. É possível visualizar o DER do banco de dados do sistema de informação desenvolvido no ambiente de modelagem do MySQL Workbench.
Com base nos diagramas de concepção do DER, foi desenvolvida a programação Java no IDE Eclipse e implementado o banco de dados no Sistema de Gerenciamento de Banco de Dados (SGBD) MySQL, com o auxílio da ferramenta MySQL Workbench. A programação Java para os cálculos de previsão de demanda teve como base a modelagem proposta por Ferreira et al. (2013).
3.2 Rede de Dados e Comunicação
A rede será substituída pela comutação por célula que é uma grande evolução se comparada a outras duas (comutação por circuito e por pacotes). Só se tornou possível devido a baixa taxa de erros dos meios de transmissão existentes, hoje baseados em fibra óptica. Consiste no uso de células de tamanho fixo. Nessa tecnologia, a banda é alocada dinamicamente, o que garante o suporte a aplicações de taxa constante, como serviços de voz e vídeo em tempo real, e taxa variável, como serviços de dados.
As principais vantagens da fibra óptica são: imunidade a interferências, alcance de grandes distâncias e alta velocidade
Serão utilizadas redes WAN classificadas em três níveis: nível 1, estão os ISPs responsáveis pelas conexões nacionais e internacionais,dando forma à internet; no nível 2, estão os ISPs de serviços regionais, que se conectam ao nível 1 (nesse nível, são vendidos serviços de rede WAN); por fim, no nível 3 os provedores locais, normalmente para usuários domésticos.
Para aumentar a segurança, é possível utilizar algum esquema de criptografia nesse nível, sendo que os dados só serão decodificados na camada 6 do dispositivo receptor. Assim, no dispositivo de origem, a mensagem é enviada criptografada, quer dizer, os dados da informação original são modificados em um formato para envio. A formatação de dados serve para que o nó receptor entenda o que o nó emissor envia.
A camada de sessão é responsável pelo estabelecimento, gerenciamento e finalização de sessões entre a entidade transmissora e a receptora.
Os principais serviços oferecidos pela camada de sessão são: Intercâmbio de dados, Gerenciamento de diálogos, Sincronização, Gerenciamento de atividades, Relatório de exceções.
Cada camada oferece seus serviços para a camada diretamente acima. O chamado Ponto de Acesso aos Serviços da Sessão (PASS) permite a utilização dos serviços da camada de sessão pela camada de apresentação.
4. Segurança da Informação
A maioria das definições de Segurança da Informação (SI) (Brostoff, 2004; Morris e Thompson, 1979; Sieberg, 2005; Smith, 2002) pode ser sumarizada como a proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas. 
A SI não está confinada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma. É importante lembrar que a SI também cobre toda a infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias e outros.
A Segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto às informações corporativas quanto os pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.
A tríade CIA (Confidentiality, Integrity and Availability) - Confidencialidade, Integridade e Disponibilidade - representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são não-repúdio (irretratabilidade), autenticidade e conformidade. Com a evolução do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação.
Portanto os atributos básicos da segurança da informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:
Confidencialidade: propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;
Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (Corrente, intermediária e permanente). O ciclo de vida da informação orgânica - criada em ambiente organizacional - segue as três fases do ciclo de vida dos documentos de arquivos; conforme preceitua os canadenses da Universidade do Quebec (Canadá): Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina Arquivística;
Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação;
Autenticidade: propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo;
Referências
· Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. University College London.
· Morris, R. & Thompson, K. (1979). Password security: a case history. Communications of the ACM, 22, 594-597.