Segurança em Banco de Dados

 

Amigos,

Segue mais um post de um trabalho da Pós, comentários e criticas serão bem vindos.

Segurança em Banco de Dados

1. O que é segurança e quais os aspectos relevantes a serem abordados?

A Segurança é uma “percepção” em relação às informações que visa garantir que as mesmas (sejam estas em qualquer formato) estejam protegidas contra o acesso por pessoas não autorizadas (confidencialidade), estejam sempre disponíveis quando necessárias, e que sejam confiáveis, ou seja, que não tenham sido corrompidas ou adulteradas por atos de pessoas mal intencionadas ou por incidentes sistêmicos.

Para que haja segurança das informações primeiramente deve ser feita uma Análise de Risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, considerando três categorias básicas – riscos administrativos, físicos e tecnológicos.

2. Durante o planejamento e desenvolvimento de um Sistema quais os impactos de segurança que devem ser considerados?

São diversos os impactos, ex: a falta de Capacity Planning pode acarretar problemas com limitação de recursos (falta de espaço em disco, CPU, memória etc.), controles de acessos, controle de fraudes e adoção de práticas focadas em código seguro (ex: trativas de SQL Injection etc.)

3. Quais os dois tipos de segurança que podem ser implementados quando se trata de informação e banco de dados?

A segurança física (Hardware, câmeras, sala cofre, controle de temperatura etc.) e a lógica (Documentação e instituição de procedimentos baseado em boas práticas, controle de acesso, autorias etc.)

4. Como funciona a estrutura do Banco de Dados Oracle – exemplificando Tables Spaces para dados, índices, logs, temps e etc.
Exemplifique os Objetos e suas relações com Schema e as Tables Spaces:

Um banco de dados Oracle é dividido em três arquivos:

1) Datafiles – Arquivos físicos que armazenam tabelas, índices, visões, tablespaces etc;
2) Redo Log File – Armazena fisicamente as alterações realizadas pelo Oracle, é utilizado como uma espécie de segurança transacional;
3) Control File – Gerenciam e armazenam toda a estrutura do Banco de Dados.

5. Liste todos os componentes de Segurança que Devem fazer parte da Rotina de um Centro de Processamento de Dados e um Banco de Dados?

a) Checagem constante da utilização dos recursos físicos (disco, CPU, memória, recurso de rede etc.);

b) Verificação e ação (em caso de incidentes) sobre os arquivos de massa de dados e logs de transacionais;

c) Elaboração e análise constante das trilhas e logs de acessos;

d) Elaboração e constante revisão de políticas e recursos de backup/recovery;

e) Elaboração, aplicação e revisão constante de normas e políticas de segurança, não somente em relação ao(s) banco(s) de dado(s), mas em relação às informações como um todo;

f) Adoção de Sistemas de Detecção de intrusos.

6. Segurança é composta apenas de exigências de Software e Banco de Dados?

Não, também e principalmente é composta das exigências relacionada ao negócio suportado.

7. Quais as metodologias que abordam a Segurança e seus impactos nos negócios?

As mais expressivas no mercado atual são: COSO BSC, SOX FOR IT, COBIT®, PMBOK®, CMMi®, ITIL®, ITSM®, SLAs. No entanto a adoção de tais metodologias ou práticas requer alto investimento, tempo e muita disciplina impactando diretamente nos negócios.

8. Decorra sobre o que Aprendeu sobre Segurança de Banco de Dados:

Dos conhecimentos absorvidos, cito como o mais marcante o fato de que a segurança não deve ter foco somente nos recursos de hardware ou softwares, mas sim e principalmente no negócio suportado pelos mesmos. Ganhamos massa critica para entender e avaliar os resultados relacionados à aplicação de boas práticas e também aos impactos relacionados a não-aplicação de nenhuma prática (por mais simples que seja), compreender a relação custo/benefício durante a adoção de soluções de segurança, visto que, quanto maior o nível de segurança maior será o custo envolvido.

9. Quem são os atores que devem interagir para garantir a implementação da Segurança em uma empresa e quais artifícios eles devem se valer para atingir um grau de maturidade em termos de segurança de informações?

São diversos os atores envolvidos, sendo eles (dentro de um processo alinhado de comprometimento) os diretores, executivos de negocio, executivos de TI, profissionais técnicos da área de TI e/ou demais áreas e claro que não poderíamos deixar de citar a camada de usuários (uma das mais importantes na tocante: comprometimento).

Como artifícios para a evolução do nível de maturidade, poderíamos citar vários, mas convém partir do básico (do fundamental). A princípio instituir processos e práticas simples que garantam o “start” do processo de evolução e continuidade e mais adiante eleger dentre as metodologias existentes no mercado a que mais se adéquam os requisitos de negócios da empresa em questão.

 

 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: