PDF - VERSÃO DE IMPRESSÃO

LIÇÃO 19 - Segurança de Banco de Dados: Normas de Segurança

objetivo

Olá, estudante! Em um banco de dados, podemos ter muitas informações consideradas valiosas para as empresas e, também, para as pessoas. Quando ocorre a divulgação não autorizada dessas informações, a empresa pode ser afetada de forma negativa, como perda de clientes ou de mercado e, às vezes, de ações judiciais.

A segurança do banco de dados envolve processos, ferramentas e controles que visam protegê-los contra ameaças acidentais e intencionais. Para isso, devemos pensar em normas e políticas para garantir a proteção dos dados, para manter a confidencialidade, a disponibilidade e a integridade do banco de dados. Dessa forma, o objetivo desta lição é estudar sobre as normas de segurança em banco de dados.

problematização

Nesse momento, convido-o(a) a pensar no seguinte questionamento: a segurança do banco de dados envolve processos, ferramentas, controles e pessoas que visam proteger os dados contra ameaças acidentais e intencionais. Como organizar e garantir que todas as empresas tenham acesso a isso? Por meio de normas, regulamentações e políticas para garantir a proteção dos dados! As empresas estão buscando cada vez mais por essas normas e políticas de segurança para se proteger de invasões. O avanço tecnológico trouxe essa busca pela segurança dos dados dentro das empresas e, também, para os usuários domésticos.

case

Pensemos na segurança da informação e na segurança de banco de dados. Qual a diferença entre elas? Será que tem diferença? Quando pensamos em segurança da informação, podemos pensar nos dados. Ou seja, ela é responsável por proteger os dados das empresas dos ataques de hackers e das ameaças às informações das empresas disponíveis na internet e, também, pela prevenção do acesso de usuários não autorizados a acessar dados sigilosos.

E a segurança do banco de dados? Ela é usada para manter a segurança dos SGBDs das empresas. Ou seja, ela tem papel estratégico nas empresas, pois é com o uso dessa técnica que toda a estrutura da empresa estará protegida. Para entender essa diferenciação, pense que a segurança de banco de dados é especializada na área de banco de dados que a empresa usa e mantém, e a segurança da informação protege a parte de software e das redes das empresas.

Conceitualização

Nos dias atuais, as empresas e os usuários estão cada vez mais dependentes das tecnologias e, com isso, precisam garantir a segurança das informações utilizadas. Quando falamos de segurança dos dados, já pensamos em informações sigilosas e na proteção dessas informações; por esse motivo, a proteção de informações é um assunto que possui muita relevância em praticamente todas as empresas que oferecem produtos e serviços em tecnologia da informação.

Você já foi a um supermercado ou comprou algo em um shopping, certo? Reparou que todos possuem sistemas e operam com grande dependência da conectividade, ou seja, da Internet? Por isso, há a necessidade de uma política de segurança nas empresas. Por ser um assunto relevante para as empresas, surgem as normas, as regulamentações e as políticas de segurança para fornecer as melhores práticas, diretrizes e princípios gerais para a implementação da segurança em qualquer empresa (PICHETTI; VIDA; CORTES, 2020).

Terada (2008) afirma que, para garantir a segurança dos dados, hoje, existem várias instituições que são consideradas padronizadoras e que são reconhecidas nacional e internacionalmente, são elas:

ISO (Organização Internacional para Padronização — International Standardization Organization): é a Organização Internacional de Normalização, ou, popularmente, conhecida como ISO. Ela é uma entidade que congrega as regras e as normas para padronização e normalização de 162 países.
IEC (Comissão Eletrotécnica Internacional — International Electrotechnical Comission): é uma organização internacional de padronização de tecnologias elétricas, eletrônicas e relacionadas. Alguns dos seus padrões são desenvolvidos junto à Organização Internacional para Padronização (ISO). A sede da IEC foi fundada em 1906 e está localizada em Genebra, na Suíça.
ABNT (Associação Brasileira de Normas Técnicas): é o órgão responsável pela normalização técnica no Brasil, fornecendo insumos ao desenvolvimento tecnológico brasileiro. Trata-se de uma entidade privada, sem fins lucrativos e de utilidade pública, que foi fundada em 1940.

Como mencionado, a ISO é uma entidade que congrega regras e normas, portanto, vejamos, a seguir, no Quadro 1, algumas normas voltadas à segurança de dados:

Quadro 1 - Normas ISO/IEC voltadas à segurança de dados
Fonte: adaptado de Säckel (2022).

#PraCegoVer: o quadro apresenta duas colunas e 11 linhas. A primeira linha apresenta o nome das colunas, sendo “Norma ISSO/IEC”, da primeira, e “descrição”, da segunda. Desse modo, na segunda linha, temos “ISO/IEC 27003 - 2017”, como Norma ISSO/IEC, e “Guia para o desenvolvimento e a implementação de um SGSI (Sistemas Gestão de Segurança da Informação)”, como descrição dessa norma. Na terceira linha, temos “ISO/IEC 27004 - 2016”, como Norma ISSO/IEC, e “Orientação sobre métodos de medição da gestão da segurança da informação”, como descrição dessa norma. Na quarta linha, temos “ISO/IEC 27008 - 2019”, como Norma ISSO/IEC, e “Orientação sobre a avaliação das medidas de segurança da informação”, como descrição dessa norma. Na quinta linha, temos “ISO/IEC 27013 - 2021”, como Norma ISSO/IEC, e “Orientação para a implementação integrada de um SGSI e gestão de serviços de TI”, como descrição dessa norma. Na sexta linha, temos “ISO/IEC 27032 - 2012”, como Norma ISSO/IEC, e “Guia de Cibersegurança”, como descrição dessa norma. Na sétima linha, temos “ISO/IEC 27033”, como Norma ISSO/IEC, e “Orientação sobre segurança de rede”, como descrição dessa norma. Na oitava linha, temos “ISO/IEC 27035”, como Norma ISSO/IEC, e “Orientação sobre gestão de incidentes de segurança da informação”, como descrição dessa norma. Na nona linha, temos “ISO/IEC 27039 - 2015”, como Norma ISSO/IEC, e “Orientação sobre sistemas de detecção de intrusão (IDPS)”, como descrição dessa norma. Na décima linha, temos “ISO/IEC 27041 - 2015”, como Norma ISSO/IEC, e “Orientação sobre métodos de investigação de incidentes”, como descrição dessa norma. Na décima primeira linha, temos “ISO/IEC 27103 - 2018”, como Norma ISSO/IEC, e “Guia de segurança cibernética e normas ISO/IEC”, como descrição dessa norma.

Falamos, algumas vezes, nesta lição, sobre política de segurança. Mas o que, de fato, ela seria? Uma política de segurança define como as regras para acesso, controle e manipulação dos dados devem ocorrer em uma empresa. Ela estabelece princípios, orientações e regras para proteger os dados, além buscar garantir adequação às leis que tratam do assunto, como a Lei Geral da Proteção de Dados (LGPD) (TERADA, 2008).

Para atingir os objetivos de segurança de um banco de dados, é necessário definir uma política de segurança clara e consistente. Essa política deve descrever quais medidas de segurança serão impostas e, também, quais partes do banco de dados devem ser protegidas por cada uma delas. Além disso, os mecanismos de segurança do SGBD (Sistema Gerenciador de Banco de Dados) e do SO (Sistema Operacional) bem como os mecanismos externos, também, precisam seguir essa mesma política de segurança (PICHETTI; VIDA; CORTES, 2020).

É importante você saber que podem ocorrer falhas na segurança do SO ou nas conexões de rede, e isso pode tornar inúteis os mecanismos de segurança de um banco de dados.

Vamos a um exemplo: um acesso indevido à rede de dados de uma empresa pode possibilitar que um intruso acesse a base de dados com acesso de administrador e, portanto, com acesso total às informações armazenadas (PICHETTI; VIDA; CORTES, 2020).

Você sabia que o Brasil é considerado o segundo país com mais perdas por ataques cibernéticos? Por isso, é importante que as empresas estabeleçam regras consistentes e padronizadas. A política de segurança de dados deve ser escrita em um documento formal que auxilie e oriente a empresa, de forma clara e resumida, sobre as diretrizes de segurança a serem seguidas de acordo com os requisitos de negócio dela. As empresas que possuem uma política de segurança de dados bem desenhada e detalhada conseguem reduzir, consideravelmente, os riscos, dando devida proteção contra ameaças internas e falhas de segurança.

Sabendo qual a função da política de segurança de dados, surge uma nova pergunta: como elaborar uma política de segurança de dados? Bom, para isso, precisamos seguir alguns conceitos próprios da área, sendo eles:

Definir um cronograma de backup dos dados (diário, semanal ou mensal).
Estabelecer regras para o uso de senhas e credenciais de acesso dos usuários.
Estabelecer regras para controle de acesso aos espaços físicos (servidores e computadores).
Definir diretrizes para o acesso à informação de diferentes profissionais e times, estabelecendo graus de acessibilidade.
Criar planos de contingência e de gerenciamento de riscos.
Definir políticas de atualização de softwares.

Todas essas tarefas ajudam e impactam o trabalho de diferentes setores dentro da empresa. Por isso, é importante que todos participem para formar um ambiente mais seguro. Outra etapa importante é a classificação dos dados de segurança entre:

Públicos.
Internos.
Confidenciais.
Secretos.

É importante a classificação porque, dependendo da empresa, o mesmo tipo de dado pode receber classificações distintas entre os usuários. Por exemplo: para a maior parte das empresas os dados financeiros são confidenciais, e poucos usuários podem ter acesso. É a partir dessa classificação dos dados é que são definidos os controles de acesso de cada usuário, ou seja, essa classificação define as informações que cada um poderá acessar/manusear.

saiba aplicar

Agora que você já sabe o que são as normas e as políticas de segurança para se proteger de invasões, é hora de saber que etapas deve seguir na hora de implantar uma política. Agora, pense que você é dono(a) de uma loja de equipamentos eletrônicos na web e você tem dez funcionários. Você precisa planejar como os dados da sua empresa devem ser protegidos, tanto em relação ao tráfego externo como ao interno. Como você faria isso? Se você pensou que, primeiramente, deveria pensar na elaboração de normas e políticas e em algumas proibições, você está no caminho certo! Nessa etapa de criação, você deve definir algumas coisas:

Normas relativas ao uso de programas.
Normas de uso da Internet.
Normas para uso de dispositivos móveis pelos funcionários.
Normas de acesso à rede da empresa.
Normas de bloqueio de sites que os funcionários poderão acessar.
Normas para o uso do e-mail da empresa.
Normas para uso de aplicativos de mensagens de texto e voz.

Ou seja, você deve definir normas e políticas para os recursos tecnológicos, em geral, dentro da empresa. Definir tudo isso é o primeiro passo para que seja possível reduzir os riscos de exposição dos dados, visto que as normas, as diretrizes e as políticas determinam os limites que cada usuário terá.

REFERÊNCIAS

PICHETTI, R. F.; VIDA, E. da S.; CORTES, V. S. M. P. Banco de Dados. Porto Alegre: SAGAH, 2020.

TERADA, R. Segurança de dados. São Paulo: Blucher, 2008.

SÄCKEL, A. Normas para a segurança da informação: uma visão geral. DQS, 12 nov. 2022. Disponível em: https://www.dqsglobal.com/pt-br/blog/normas-para-a-seguranca-da-informacao-uma-visao-geral#standards-fuer-informationssicherheit-chapter01. Acesso em: 6 abr. 2023.

Page updated

Google Sites

Report abuse