Segurança em Banco de Dados 
Segurança Lógica 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 1
Segurança da Informação 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 2
Segurança da Informação 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 3
Segurança da Informação 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 4
Segurança da Informação 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 5
Segurança da Informação 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 6
Segurança da Informação 
• Falta de prioridade: Mais de metade (59%) 
dos respondentes dizem que a sua 
organização não co...
Segurança da Informação 
• Falta de recursos: No Brasil, 81% acreditam 
que a sua organização não tem a experiência, 
trei...
Segurança da Informação 
• Falta de Transparência: Apenas 26% dos 
entrevistados brasileiros acreditam que a sua 
empresa ...
Segurança da Informação 
• Estudo relalizado por Eldemam Privacy Rick 
Index, 2013, disponível em 
http://www.edelman.com....
O que é Segurança da Informação 
• A segurança da informação trata da proteção 
da informação e dos sistemas de informação...
O que é Segurança da Informação 
• Existem vários sinônimos para a segurança da 
informação, tais como Segurança de Redes,...
O que é Segurança da Informação 
• Segurança da Informação: Atua na garantia da 
confidencialidade, integridade e 
disponi...
Característica que compõem a 
Segurança da Informação 
• Segurança da Informação: Atua na garantia da 
confidencialidade, ...
Característica que compõem a 
Segurança da Informação 
• Confidencialidade: é a capacidade de 
prevenir o vazamento de inf...
Característica que compõem a 
Segurança da Informação 
• Integridade é capacidade de garantir que um 
dado não seja modifi...
Característica que compõem a 
Segurança da Informação 
• Disponibilidade é capacidade de a 
informação estar disponível no...
Característica que compõem a 
Segurança da Informação 
• Autenticação é a capacidade de estabelecer 
ou confirmar se algo,...
Característica que compõem a 
Segurança da Informação 
• Autorização é a capacidade de validar após a 
autenticação, em um...
Característica que compõem a 
Segurança da Informação 
• Não Repúdio é a capacidade de garantir que 
um usuário ou sistema...
Análise e Gerenciamento de Riscos 
• Quando queremos tartar Segurança da 
Informação, é necessário avaliar os riscos; 
• N...
Análise e Gerenciamento de Riscos 
• A análise e gerenciamento de riscos é a 
capacidade de identificar, analisar e monito...
Niveis de Segurança 
• SEGURANÇA FÍSICA 
– Relacionado ao ambiente onde os servidores das 
empresas estão hospedados. 
– I...
Níveis de Segurança 
• SEGURANÇA LÓGICA 
– Relacionado ao acesso lógico aos dados, sendo o 
banco de dados um desses ambie...
Sistema Operacional e Rede 
• Isolamento do Banco de Dados em servidores 
dedicados; 
• Segurança do Sistema Operacional; ...
Sistema Operacional e Rede 
• Utilização no host do Banco de Dados de 
firewall, antivírus e filtros de pacotes; 
Prof. Ro...
Tipo de Autenticação 
• No caso do SQL Server, existe a opção de ser 
Mista ou Autenticação Windows; 
Prof. Rodrigo Kiyosh...
Protocolos 
• Desabilitar protocolos desnecessários do 
SGBD, deixando somente os protocolos 
utilizados ativos; 
• Em con...
Usuário Administrador 
• Não compartilhar o uso do usuário 
administrador; 
• Não utilizar o usuário administrador para 
t...
Usuário do Banco de Dados 
• Prefira gerenciar grupos de usuários à usuários 
(facilidade na administração de permissões à...
Política de Senhas 
• Utilize Políticas de Senhas fortes; 
• Force a troca de senhas a pelo menos a 60 
dias; 
• Preferir ...
Política de Senhas 
• Utilize Políticas de Senhas fortes; 
• Force a troca de senhas a pelo menos a 60 
dias; 
• Preferir ...
Objetos do Banco de Dados 
• Dê preferencia a utilizar Procedimentos 
Armazenados, Funções e Visões para acesso e 
manipul...
Objetos do Banco de Dados 
• Dê preferencia a utilizar Procedimentos 
Armazenados, Funções e Visões para acesso e 
manipul...
Particionamento de Tabelas 
• Verifique se existe dados de login e senha na 
mesma tabela; Particione essa única tabela 
e...
Backup 
• Crie politicas de Backup dos bancos de dados 
de dados e bancos de dados do Sistema; 
• Teste com frequência a r...
Backup 
• Verifique possibilidade de criptografar os 
arquivos de backup; 
• Faça planos de contingência e recuperação 
da...
Dados do Sistema 
• Verifique e restrinja quais grupos de usuários 
e/ou usuários podem fazer acesso aos banco 
de dados d...
Monitoramento 
• Ative e avalie de tempos em tempos logs de 
auditoria de acesso permitido e negado nos 
objetos do banco ...
Atualizações 
• Antes de instalar os Service Pack’s e Patches 
de Correção, testar em ambientes teste; 
• Verificar no sit...
Documentação 
• Mantenha a documentação de usuários e seus 
devidos acessos a objetos do banco de dados; 
Prof. Rodrigo Ki...
Obrigado! 
Prof. Rodrigo Kiyoshi Saito 
rodrigok@anchieta.br 42
Próximos SlideShares
Carregando em…5
×

Segurança em banco de dados

416 visualizações

Publicada em

Palestra de Rodrigo Kyioshi Saito, analista de negócios da CIJUN, na Semana de Tecnologia da FATEC

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
416
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
15
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança em banco de dados

  1. 1. Segurança em Banco de Dados Segurança Lógica Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 1
  2. 2. Segurança da Informação Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 2
  3. 3. Segurança da Informação Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 3
  4. 4. Segurança da Informação Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 4
  5. 5. Segurança da Informação Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 5
  6. 6. Segurança da Informação Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 6
  7. 7. Segurança da Informação • Falta de prioridade: Mais de metade (59%) dos respondentes dizem que a sua organização não considera privacidade e segurança de informações pessoais uma prioridade da empresa. No Brasil esse número sobre para 78%. Com relação ao cumprimento da legislação vigente neste tema, 40% dos entrevistados no mundo têm certeza de que isso é feito, e no Brasil, apenas 21% Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 7
  8. 8. Segurança da Informação • Falta de recursos: No Brasil, 81% acreditam que a sua organização não tem a experiência, treinamento ou tecnologia para proteger informações pessoais, e 73% dizem não contar com os recursos adequados. No mundo, os número são, respetivamente, 62% e 54%. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 8
  9. 9. Segurança da Informação • Falta de Transparência: Apenas 26% dos entrevistados brasileiros acreditam que a sua empresa é transparente sobre o que faz com as informações de clientes e de funcionários, em contraste com os 44% globalmente. No que diz respeito à rapidez para responder a queixas de consumidores e de órgãos regulatórios, no Brasil, 77% informam que sua organização não é eficiente e, no mundo, 42% dos respondentes não estão satisfeitos. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 9
  10. 10. Segurança da Informação • Estudo relalizado por Eldemam Privacy Rick Index, 2013, disponível em http://www.edelman.com.br/news/privacy-risk/ Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 10
  11. 11. O que é Segurança da Informação • A segurança da informação trata da proteção da informação e dos sistemas de informação contra situações não autorizadas de: acesso, uso, divulgação, sabotagem, modificação ou destruição Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 11
  12. 12. O que é Segurança da Informação • Existem vários sinônimos para a segurança da informação, tais como Segurança de Redes, Segurança de Computadores, etc., mas todos são relacionados e compartilham o mesmo objetivo primário da segurança da informação, que é a proteção da confidencialidade, integridade e disponibilidade da informação Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 12
  13. 13. O que é Segurança da Informação • Segurança da Informação: Atua na garantia da confidencialidade, integridade e disponibilidade dos dados não importando a forma que eles se apresentem, seja em formato eletrônico, papel, ou outros formatos. (Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx) Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 13
  14. 14. Característica que compõem a Segurança da Informação • Segurança da Informação: Atua na garantia da confidencialidade, integridade e disponibilidade dos dados não importando a forma que eles se apresentem, seja em formato eletrônico, papel, ou outros formatos. (Microsoft, Setembro, 2011, em http://msdn.microsoft.com/pt-br/library/ff716605.aspx) Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 14
  15. 15. Característica que compõem a Segurança da Informação • Confidencialidade: é a capacidade de prevenir o vazamento de informações para indivíduos e sistemas não autorizados. • Exemplo: O sistema do site de comércio eletrônico tem que ter a capacidade de assegurar a confidencialidade dos dados do cartão do comprador. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 15
  16. 16. Característica que compõem a Segurança da Informação • Integridade é capacidade de garantir que um dado não seja modificado sem autorização. A integridade é quebrada quando por ações maliciosas ou por erros de operação, os dados são modificados, gerando resultados errôneos e incorretos. • Por exemplo, um funcionário que modifica o valor do seu salário sem autorização no sistema de RH, ou um vírus modifica arquivos em um computador; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 16
  17. 17. Característica que compõem a Segurança da Informação • Disponibilidade é capacidade de a informação estar disponível no momento em que ela for necessária. • Sistemas de alta disponibilidade permitem um aumento do grau de disponibilidade da informação, através do uso de controles que previnam a falta de energia elétrica, falha de hardware, falhas de software e ataques contra a disponibilidade da informação. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 17
  18. 18. Característica que compõem a Segurança da Informação • Autenticação é a capacidade de estabelecer ou confirmar se algo, ou alguém, é autêntico. • O processo envolve a confirmação da identidade de um usuário ou sistema. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 18
  19. 19. Característica que compõem a Segurança da Informação • Autorização é a capacidade de validar após a autenticação, em uma lista de acesso pré-definida, se algo, ou alguém, possui permissões para realizar ações com dados em um sistema da informação. • A autorização sempre ocorre após a autenticação. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 19
  20. 20. Característica que compõem a Segurança da Informação • Não Repúdio é a capacidade de garantir que um usuário ou sistema realmente realizou uma operação em um sistema da informação, não permitindo a existência de dúvidas ou questionamentos sobre a sua realização. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 20
  21. 21. Análise e Gerenciamento de Riscos • Quando queremos tartar Segurança da Informação, é necessário avaliar os riscos; • Não há sistema 100% seguro; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 21
  22. 22. Análise e Gerenciamento de Riscos • A análise e gerenciamento de riscos é a capacidade de identificar, analisar e monitorar os riscos de quebra da confidencialidade, integridade e disponibilidade em um sistema da informação, priorizando as situações de alta criticidade com o objetivo de minimizar o impacto e a probabilidade de ocorrências de eventos não desejados. Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 22
  23. 23. Niveis de Segurança • SEGURANÇA FÍSICA – Relacionado ao ambiente onde os servidores das empresas estão hospedados. – Inclui controle de acesso aos servidores, como portas com senhas; programação de acesso ao local físico, histórico das pessoas que acessam o local, cameras de vigilância etc; – Controle de temperatura; alarme contra incêndio; desabamento; relâmpagos; alagamento; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 23
  24. 24. Níveis de Segurança • SEGURANÇA LÓGICA – Relacionado ao acesso lógico aos dados, sendo o banco de dados um desses ambientes; – Tem preocupação com outras ameaças, como virus de computador, acessos remotos indevidos pela rede de computadores, violação de senhas, backup desatualizados; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 24
  25. 25. Sistema Operacional e Rede • Isolamento do Banco de Dados em servidores dedicados; • Segurança do Sistema Operacional; • Devida configuração da rede de dados; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 25
  26. 26. Sistema Operacional e Rede • Utilização no host do Banco de Dados de firewall, antivírus e filtros de pacotes; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 26
  27. 27. Tipo de Autenticação • No caso do SQL Server, existe a opção de ser Mista ou Autenticação Windows; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 27
  28. 28. Protocolos • Desabilitar protocolos desnecessários do SGBD, deixando somente os protocolos utilizados ativos; • Em conjunto com o Administrador de redes, alterar a porta Padrão utilizada pelo SGBD; • Se possível, não expor o número IP do servidor de SGBD; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 28
  29. 29. Usuário Administrador • Não compartilhar o uso do usuário administrador; • Não utilizar o usuário administrador para todas as tarefas; • Desabilitar acesso remoto do usuário administrador e utilizar personificação; • Conceder falso poder de Administrador (retirando o acesso a objetos); Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 29
  30. 30. Usuário do Banco de Dados • Prefira gerenciar grupos de usuários à usuários (facilidade na administração de permissões à objetos); • Criar seu devido login e/ou usuário para cada usuário usuário do banco de dados; • Não compartilhar usuário e senhas entre usuários; • Conceder permissão de objetos para os grupos de usuários e/ou usuários sob demanda; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 30
  31. 31. Política de Senhas • Utilize Políticas de Senhas fortes; • Force a troca de senhas a pelo menos a 60 dias; • Preferir autenticação pelo Sistema Operacional (caso tenha o recurso) Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 31
  32. 32. Política de Senhas • Utilize Políticas de Senhas fortes; • Force a troca de senhas a pelo menos a 60 dias; • Preferir autenticação pelo Sistema Operacional (caso tenha o recurso) Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 32
  33. 33. Objetos do Banco de Dados • Dê preferencia a utilizar Procedimentos Armazenados, Funções e Visões para acesso e manipulação de dados. (ao invés de permitir que usuários acessem diretamente as tabelas) • Conceder permissões aos devidos usuários para os objetos que acessam dados; • Utilize criptografia nos objetos criados de acesso a dados; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 33
  34. 34. Objetos do Banco de Dados • Dê preferencia a utilizar Procedimentos Armazenados, Funções e Visões para acesso e manipulação de dados. (ao invés de permitir que usuários acessem diretamente as tabelas) • Conceder permissões aos devidos usuários para os objetos que acessam dados; • Utilize criptografia nos objetos criados de acesso a dados; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 34
  35. 35. Particionamento de Tabelas • Verifique se existe dados de login e senha na mesma tabela; Particione essa única tabela em 2 (ou quantas forem necessárias), tendo relacionamento de 1:1, deixando o login em uma tabela e a senha em outra (podendo utilizer até outra base de dados) • Dê preferencia a utilizer os hash’s já existentes ao invés de criar um próprio; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 35
  36. 36. Backup • Crie politicas de Backup dos bancos de dados de dados e bancos de dados do Sistema; • Teste com frequência a restauração de dados; • Verifique a validade das unidades de fitas para armazenamento de dados; • Armazenar em cofre forte fitas de backup (ou caso tenha possibilidade, contratação de serviços em núvem) Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 36
  37. 37. Backup • Verifique possibilidade de criptografar os arquivos de backup; • Faça planos de contingência e recuperação das bases de dados; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 37
  38. 38. Dados do Sistema • Verifique e restrinja quais grupos de usuários e/ou usuários podem fazer acesso aos banco de dados de sistemas ou as tabelas de Sistema; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 38
  39. 39. Monitoramento • Ative e avalie de tempos em tempos logs de auditoria de acesso permitido e negado nos objetos do banco de dados; • Avalie também o consumo de disco, processador e memória RAM; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 39
  40. 40. Atualizações • Antes de instalar os Service Pack’s e Patches de Correção, testar em ambientes teste; • Verificar no site do fabricante a documentação sobre os Service Pack’s e Patches; • Não deixar no modo automático as atualizações do Sistema Operacional e do SGBD; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 40
  41. 41. Documentação • Mantenha a documentação de usuários e seus devidos acessos a objetos do banco de dados; Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 41
  42. 42. Obrigado! Prof. Rodrigo Kiyoshi Saito rodrigok@anchieta.br 42

×