Segurança em banco de dados

Segurança em Banco de Dados

Segurança Lógica

Prof. Rodrigo Kiyoshi [email protected] 1

Segurança da Informação












• Falta de prioridade: Mais de metade (59%) dos respondentes dizem que a sua organização não considera privacidade e segurança de informações pessoais uma prioridade da empresa. No Brasil esse número sobre para 78%. Com relação ao cumprimento da legislação vigente neste tema, 40% dos entrevistados no mundo têm certeza de que isso é feito, e no Brasil, apenas 21%



• Falta de recursos: No Brasil, 81% acreditam que a sua organização não tem a experiência, treinamento ou tecnologia para proteger informações pessoais, e 73% dizem não contar com os recursos adequados. No mundo, os número são, respetivamente, 62% e 54%.



• Falta de Transparência: Apenas 26% dos entrevistados brasileiros acreditam que a sua empresa é transparente sobre o que faz com as informações de clientes e de funcionários, em contraste com os 44% globalmente. No que diz respeito à rapidez para responder a queixas de consumidores e de órgãos regulatórios, no Brasil, 77% informam que sua organização não é eficiente e, no mundo, 42% dos respondentes não estão satisfeitos.



• Estudo relalizado por Eldemam Privacy Rick Index, 2013, disponível emhttp://www.edelman.com.br/news/privacy-risk/

http://www.edelman.com.br/news/privacy-risk/

O que é Segurança da Informação


• A segurança da informação trata da proteção da informação e dos sistemas de informação contra situações não autorizadas de: acesso, uso, divulgação, sabotagem, modificação ou destruição



• Existem vários sinônimos para a segurança da informação, tais como Segurança de Redes, Segurança de Computadores, etc., mas todos são relacionados e compartilham o mesmo objetivo primário da segurança da informação, que é a proteção da confidencialidade, integridade e disponibilidade da informação


• Segurança da Informação: Atua na garantia da confidencialidade, integridade e disponibilidade dos dados não importando a forma que eles se apresentem, seja em formato eletrônico, papel, ou outros formatos.

(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)


Característica que compõem a Segurança da Informação

• Segurança da Informação: Atua na garantia da confidencialidade, integridade e disponibilidade dos dados não importando a forma que eles se apresentem, seja em formato eletrônico, papel, ou outros formatos.

(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)



• Confidencialidade: é a capacidade de prevenir o vazamento de informações para indivíduos e sistemas não autorizados.

• Exemplo: O sistema do site de comércio eletrônico tem que ter a capacidade de assegurar a confidencialidade dos dados do cartão do comprador.



• Integridade é capacidade de garantir que um dado não seja modificado sem autorização. A integridade é quebrada quando por ações maliciosas ou por erros de operação, os dados são modificados, gerando resultados errôneos e incorretos.

• Por exemplo, um funcionário que modifica o valor do seu salário sem autorização no sistema de RH, ou um vírus modifica arquivos em um computador;



• Disponibilidade é capacidade de a informação estar disponível no momento em que ela for necessária.

• Sistemas de alta disponibilidade permitem um aumento do grau de disponibilidade da informação, através do uso de controles que previnam a falta de energia elétrica, falha de hardware, falhas de software e ataques contra a disponibilidade da informação.



• Autenticação é a capacidade de estabelecer ou confirmar se algo, ou alguém, é autêntico.

• O processo envolve a confirmação da identidade de um usuário ou sistema.



• Autorização é a capacidade de validar após a autenticação, em uma lista de acesso pré-definida, se algo, ou alguém, possui permissões para realizar ações com dados em um sistema da informação.

• A autorização sempre ocorre após a autenticação.



• Não Repúdio é a capacidade de garantir que um usuário ou sistema realmente realizou uma operação em um sistema da informação, não permitindo a existência de dúvidas ou questionamentos sobre a sua realização.


Análise e Gerenciamento de Riscos

• Quando queremos tartar Segurança da Informação, é necessário avaliar os riscos;

• Não há sistema 100% seguro;


Análise e Gerenciamento de Riscos

• A análise e gerenciamento de riscos é a capacidade de identificar, analisar e monitorar os riscos de quebra da confidencialidade, integridade e disponibilidade em um sistema da informação, priorizando as situações de alta criticidade com o objetivo de minimizar o impacto e a probabilidade de ocorrências de eventos não desejados.


Niveis de Segurança

• SEGURANÇA FÍSICA

– Relacionado ao ambiente onde os servidores das empresas estão hospedados.

– Inclui controle de acesso aos servidores, comoportas com senhas; programação de acesso aolocal físico, histórico das pessoas que acessam o local, cameras de vigilância etc;

– Controle de temperatura; alarme contra incêndio; desabamento; relâmpagos; alagamento;


Níveis de Segurança

• SEGURANÇA LÓGICA

– Relacionado ao acesso lógico aos dados, sendo o banco de dados um desses ambientes;

– Tem preocupação com outras ameaças, comovirus de computador, acessos remotos indevidospela rede de computadores, violação de senhas, backup desatualizados;


Sistema Operacional e Rede

• Isolamento do Banco de Dados em servidoresdedicados;

• Segurança do Sistema Operacional;

• Devida configuração da rede de dados;


Sistema Operacional e Rede

• Utilização no host do Banco de Dados de firewall, antivírus e filtros de pacotes;


Tipo de Autenticação

• No caso do SQL Server, existe a opção de serMista ou Autenticação Windows;


Protocolos

• Desabilitar protocolos desnecessários do SGBD, deixando somente os protocolos utilizados ativos;

• Em conjunto com o Administrador de redes, alterar a porta Padrão utilizada pelo SGBD;

• Se possível, não expor o número IP do servidor de SGBD;


Usuário Administrador

• Não compartilhar o uso do usuárioadministrador;

• Não utilizar o usuário administrador para todas as tarefas;

• Desabilitar acesso remoto do usuário administrador e utilizar personificação;

• Conceder falso poder de Administrador (retirando o acesso a objetos);


Usuário do Banco de Dados

• Prefira gerenciar grupos de usuários à usuários(facilidade na administração de permissões à objetos);

• Criar seu devido login e/ou usuário para cadausuário usuário do banco de dados;

• Não compartilhar usuário e senhas entre usuários;

• Conceder permissão de objetos para os gruposde usuários e/ou usuários sob demanda;


Política de Senhas

• Utilize Políticas de Senhas fortes;

• Force a troca de senhas a pelo menos a 60 dias;

• Preferir autenticação pelo Sistema Operacional (caso tenha o recurso)


Política de Senhas

• Utilize Políticas de Senhas fortes;

• Force a troca de senhas a pelo menos a 60 dias;

• Preferir autenticação pelo Sistema Operacional (caso tenha o recurso)


Objetos do Banco de Dados

• Dê preferencia a utilizar ProcedimentosArmazenados, Funções e Visões para acesso e manipulação de dados. (ao invés de permitirque usuários acessem diretamente as tabelas)

• Conceder permissões aos devidos usuáriospara os objetos que acessam dados;

• Utilize criptografia nos objetos criados de acesso a dados;


Objetos do Banco de Dados

• Dê preferencia a utilizar ProcedimentosArmazenados, Funções e Visões para acesso e manipulação de dados. (ao invés de permitirque usuários acessem diretamente as tabelas)

• Conceder permissões aos devidos usuáriospara os objetos que acessam dados;

• Utilize criptografia nos objetos criados de acesso a dados;


Particionamento de Tabelas

• Verifique se existe dados de login e senha namesma tabela; Particione essa única tabelaem 2 (ou quantas forem necessárias), tendorelacionamento de 1:1, deixando o login emuma tabela e a senha em outra (podendoutilizer até outra base de dados)

• Dê preferencia a utilizer os hash’s já existentesao invés de criar um próprio;


Backup

• Crie politicas de Backup dos bancos de dados de dados e bancos de dados do Sistema;

• Teste com frequência a restauração de dados;

• Verifique a validade das unidades de fitas para armazenamento de dados;

• Armazenar em cofre forte fitas de backup (oucaso tenha possibilidade, contratação de serviços em núvem)


Backup

• Verifique possibilidade de criptografar osarquivos de backup;

• Faça planos de contingência e recuperaçãodas bases de dados;


Dados do Sistema

• Verifique e restrinja quais grupos de usuáriose/ou usuários podem fazer acesso aos banco de dados de sistemas ou as tabelas de Sistema;


Monitoramento

• Ative e avalie de tempos em tempos logs de auditoria de acesso permitido e negado nosobjetos do banco de dados;

• Avalie também o consumo de disco, processador e memória RAM;


Atualizações

• Antes de instalar os Service Pack’s e Patches de Correção, testar em ambientes teste;

• Verificar no site do fabricante a documentaçãosobre os Service Pack’s e Patches;

• Não deixar no modo automático as atualizações do Sistema Operacional e do SGBD;


Documentação

• Mantenha a documentação de usuários e seusdevidos acessos a objetos do banco de dados;


Obrigado!


Technology

Segurança em banco de dados