segurança em banco de dados
Post on 05-Jul-2015
198 Views
Preview:
DESCRIPTION
TRANSCRIPT
Segurança em Banco de Dados
Segurança Lógica
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 1
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 2
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 3
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 4
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 5
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 6
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 7
• Falta de prioridade: Mais de metade (59%) dos respondentes dizem que a sua organização não considera privacidade e segurança de informações pessoais uma prioridade da empresa. No Brasil esse número sobre para 78%. Com relação ao cumprimento da legislação vigente neste tema, 40% dos entrevistados no mundo têm certeza de que isso é feito, e no Brasil, apenas 21%
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 8
• Falta de recursos: No Brasil, 81% acreditam que a sua organização não tem a experiência, treinamento ou tecnologia para proteger informações pessoais, e 73% dizem não contar com os recursos adequados. No mundo, os número são, respetivamente, 62% e 54%.
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 9
• Falta de Transparência: Apenas 26% dos entrevistados brasileiros acreditam que a sua empresa é transparente sobre o que faz com as informações de clientes e de funcionários, em contraste com os 44% globalmente. No que diz respeito à rapidez para responder a queixas de consumidores e de órgãos regulatórios, no Brasil, 77% informam que sua organização não é eficiente e, no mundo, 42% dos respondentes não estão satisfeitos.
Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 10
• Estudo relalizado por Eldemam Privacy Rick Index, 2013, disponível emhttp://www.edelman.com.br/news/privacy-risk/
O que é Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 11
• A segurança da informação trata da proteção da informação e dos sistemas de informação contra situações não autorizadas de: acesso, uso, divulgação, sabotagem, modificação ou destruição
O que é Segurança da Informação
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 12
• Existem vários sinônimos para a segurança da informação, tais como Segurança de Redes, Segurança de Computadores, etc., mas todos são relacionados e compartilham o mesmo objetivo primário da segurança da informação, que é a proteção da confidencialidade, integridade e disponibilidade da informação
O que é Segurança da Informação
• Segurança da Informação: Atua na garantia da confidencialidade, integridade e disponibilidade dos dados não importando a forma que eles se apresentem, seja em formato eletrônico, papel, ou outros formatos.
(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 13
Característica que compõem a Segurança da Informação
• Segurança da Informação: Atua na garantia da confidencialidade, integridade e disponibilidade dos dados não importando a forma que eles se apresentem, seja em formato eletrônico, papel, ou outros formatos.
(Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx)
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 14
Característica que compõem a Segurança da Informação
• Confidencialidade: é a capacidade de prevenir o vazamento de informações para indivíduos e sistemas não autorizados.
• Exemplo: O sistema do site de comércio eletrônico tem que ter a capacidade de assegurar a confidencialidade dos dados do cartão do comprador.
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 15
Característica que compõem a Segurança da Informação
• Integridade é capacidade de garantir que um dado não seja modificado sem autorização. A integridade é quebrada quando por ações maliciosas ou por erros de operação, os dados são modificados, gerando resultados errôneos e incorretos.
• Por exemplo, um funcionário que modifica o valor do seu salário sem autorização no sistema de RH, ou um vírus modifica arquivos em um computador;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 16
Característica que compõem a Segurança da Informação
• Disponibilidade é capacidade de a informação estar disponível no momento em que ela for necessária.
• Sistemas de alta disponibilidade permitem um aumento do grau de disponibilidade da informação, através do uso de controles que previnam a falta de energia elétrica, falha de hardware, falhas de software e ataques contra a disponibilidade da informação.
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 17
Característica que compõem a Segurança da Informação
• Autenticação é a capacidade de estabelecer ou confirmar se algo, ou alguém, é autêntico.
• O processo envolve a confirmação da identidade de um usuário ou sistema.
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 18
Característica que compõem a Segurança da Informação
• Autorização é a capacidade de validar após a autenticação, em uma lista de acesso pré-definida, se algo, ou alguém, possui permissões para realizar ações com dados em um sistema da informação.
• A autorização sempre ocorre após a autenticação.
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 19
Característica que compõem a Segurança da Informação
• Não Repúdio é a capacidade de garantir que um usuário ou sistema realmente realizou uma operação em um sistema da informação, não permitindo a existência de dúvidas ou questionamentos sobre a sua realização.
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 20
Análise e Gerenciamento de Riscos
• Quando queremos tartar Segurança da Informação, é necessário avaliar os riscos;
• Não há sistema 100% seguro;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 21
Análise e Gerenciamento de Riscos
• A análise e gerenciamento de riscos é a capacidade de identificar, analisar e monitorar os riscos de quebra da confidencialidade, integridade e disponibilidade em um sistema da informação, priorizando as situações de alta criticidade com o objetivo de minimizar o impacto e a probabilidade de ocorrências de eventos não desejados.
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 22
Niveis de Segurança
• SEGURANÇA FÍSICA
– Relacionado ao ambiente onde os servidores das empresas estão hospedados.
– Inclui controle de acesso aos servidores, comoportas com senhas; programação de acesso aolocal físico, histórico das pessoas que acessam o local, cameras de vigilância etc;
– Controle de temperatura; alarme contra incêndio; desabamento; relâmpagos; alagamento;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 23
Níveis de Segurança
• SEGURANÇA LÓGICA
– Relacionado ao acesso lógico aos dados, sendo o banco de dados um desses ambientes;
– Tem preocupação com outras ameaças, comovirus de computador, acessos remotos indevidospela rede de computadores, violação de senhas, backup desatualizados;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 24
Sistema Operacional e Rede
• Isolamento do Banco de Dados em servidoresdedicados;
• Segurança do Sistema Operacional;
• Devida configuração da rede de dados;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 25
Sistema Operacional e Rede
• Utilização no host do Banco de Dados de firewall, antivírus e filtros de pacotes;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 26
Tipo de Autenticação
• No caso do SQL Server, existe a opção de serMista ou Autenticação Windows;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 27
Protocolos
• Desabilitar protocolos desnecessários do SGBD, deixando somente os protocolos utilizados ativos;
• Em conjunto com o Administrador de redes, alterar a porta Padrão utilizada pelo SGBD;
• Se possível, não expor o número IP do servidor de SGBD;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 28
Usuário Administrador
• Não compartilhar o uso do usuárioadministrador;
• Não utilizar o usuário administrador para todas as tarefas;
• Desabilitar acesso remoto do usuário administrador e utilizar personificação;
• Conceder falso poder de Administrador (retirando o acesso a objetos);
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 29
Usuário do Banco de Dados
• Prefira gerenciar grupos de usuários à usuários(facilidade na administração de permissões à objetos);
• Criar seu devido login e/ou usuário para cadausuário usuário do banco de dados;
• Não compartilhar usuário e senhas entre usuários;
• Conceder permissão de objetos para os gruposde usuários e/ou usuários sob demanda;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 30
Política de Senhas
• Utilize Políticas de Senhas fortes;
• Force a troca de senhas a pelo menos a 60 dias;
• Preferir autenticação pelo Sistema Operacional (caso tenha o recurso)
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 31
Política de Senhas
• Utilize Políticas de Senhas fortes;
• Force a troca de senhas a pelo menos a 60 dias;
• Preferir autenticação pelo Sistema Operacional (caso tenha o recurso)
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 32
Objetos do Banco de Dados
• Dê preferencia a utilizar ProcedimentosArmazenados, Funções e Visões para acesso e manipulação de dados. (ao invés de permitirque usuários acessem diretamente as tabelas)
• Conceder permissões aos devidos usuáriospara os objetos que acessam dados;
• Utilize criptografia nos objetos criados de acesso a dados;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 33
Objetos do Banco de Dados
• Dê preferencia a utilizar ProcedimentosArmazenados, Funções e Visões para acesso e manipulação de dados. (ao invés de permitirque usuários acessem diretamente as tabelas)
• Conceder permissões aos devidos usuáriospara os objetos que acessam dados;
• Utilize criptografia nos objetos criados de acesso a dados;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 34
Particionamento de Tabelas
• Verifique se existe dados de login e senha namesma tabela; Particione essa única tabelaem 2 (ou quantas forem necessárias), tendorelacionamento de 1:1, deixando o login emuma tabela e a senha em outra (podendoutilizer até outra base de dados)
• Dê preferencia a utilizer os hash’s já existentesao invés de criar um próprio;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 35
Backup
• Crie politicas de Backup dos bancos de dados de dados e bancos de dados do Sistema;
• Teste com frequência a restauração de dados;
• Verifique a validade das unidades de fitas para armazenamento de dados;
• Armazenar em cofre forte fitas de backup (oucaso tenha possibilidade, contratação de serviços em núvem)
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 36
Backup
• Verifique possibilidade de criptografar osarquivos de backup;
• Faça planos de contingência e recuperaçãodas bases de dados;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 37
Dados do Sistema
• Verifique e restrinja quais grupos de usuáriose/ou usuários podem fazer acesso aos banco de dados de sistemas ou as tabelas de Sistema;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 38
Monitoramento
• Ative e avalie de tempos em tempos logs de auditoria de acesso permitido e negado nosobjetos do banco de dados;
• Avalie também o consumo de disco, processador e memória RAM;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 39
Atualizações
• Antes de instalar os Service Pack’s e Patches de Correção, testar em ambientes teste;
• Verificar no site do fabricante a documentaçãosobre os Service Pack’s e Patches;
• Não deixar no modo automático as atualizações do Sistema Operacional e do SGBD;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 40
Documentação
• Mantenha a documentação de usuários e seusdevidos acessos a objetos do banco de dados;
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 41
Obrigado!
Prof. Rodrigo Kiyoshi Saitorodrigok@anchieta.br 42
top related