| |
| Acadêmico(a): Alan Filipe Mattiollo |
| Título: Sistema para Auditoria de Segurança de Banco de Dados ORACLE |
| |
| Introdução: |
Segundo Date (2004), um banco de dados é basicamente um sistema computadorizado que mantém registros. O banco de dados pode ser considerado uma espécie de armário eletrônico de arquivamento, isto é, ele é um repositório ou contêiner para uma coleção computadorizada de arquivos de dados. Usuários do sistema podem realizar uma variedade de operações envolvendo estes arquivos de dados.
Os bancos de dados estão por trás dos sistemas que afetam quase todos os aspectos da vida das pessoas - contas bancárias, registros médicos, registros de emprego, registros telefônicos, compras em supermercado, taxas de impostos - quase todas as informações que possuem significado estão armazenadas em um sistema moderno de gerenciamento relacional de banco de dados. Com o aumento da utilização do comércio eletrônico e de sistemas baseados na web, os bancos de dados estão cada vez mais próximos das redes de computadores (LITCHFIELD et al., 2005).
Segundo Natan (2005), o comércio e o negócio eletrônico mudou a forma como as pessoas vivem. Os sistemas se tornaram muito integrados e muito próximos aos usuários finais. Há dez anos os bancos de dados eram acessados somente por aplicações disponíveis aos empregados, agora são acessados através de web sites de qualquer parte do mundo.
Estes sistemas requerem o armazenamento, processamento e oferecem acesso a informações pessoais. Os sistemas que armazenam segredos corporativos ou informações financeiras não são diferentes. Muitos dos dados armazenados são extremamente sensíveis, mas precisam estar disponíveis e serem de fácil acesso. Esta situação cria um grande desafio no campo de segurança da informação (SHAUL; INGRAM, 2007).
O Sistema Gerenciador de Banco de dados (SGBD) Oracle tem uma vasta quantidade de funções, produtos e ferramentas relacionadas à segurança. Infelizmente, o fato de estes recursos existirem não significa que são utilizados corretamente ou mesmo que são utilizados. A maioria dos usuários está familiarizada com menos de 20% dos mecanismos de segurança do Oracle. Isto leva a ambientes inseguros e/ou a utilização de ferramentas inadequadas (NATAN, 2009).
De acordo com Knox (2004), manter um banco de dados seguro pode ser a maior ação que uma organização pode tomar para pró ativamente defender-se contra ameaças. O banco de dados é o cofre que mantém os mais valiosos ativos digitais de uma organização. A exposição destes ativos pode levar a publicidade negativa, processos, perda de receita, perda de confiança do consumidor, entre outros resultados negativos.
Em um relatório do ITRC (2011), 414 violações de segurança foram descobertas nos Estados Unidos em 2011. Isto representa mais de 22 milhões de registros com informações sensíveis de identidade ou de cartão de crédito comprometidas.
Todas as empresas deveriam possuir um manual de segurança documentando regras e procedimentos. Em segurança não há certo ou errado, há somente conformidade ou não conformidade aos procedimentos acordados. Se os administradores de banco de dados seguirem as regras e aconselharem como estas regras devem estar configuradas, então, qualquer violação de segurança não será sua falha. Seguir um manual de segurança devolve a responsabilidade aos autores deste (WATSON; RAMKLASS; BRYLA, 2010).
De acordo com Stewart, Tittel e Chapple (2005), o processo de auditoria é comumente usado para testes ou verificações de conformidade. A verificação de que um sistema está em conformidade com leis, regulamentos, normas, padrões e politicas é parte importante da tarefa de manter a segurança em qualquer ambiente. Testes de conformidade asseguram que todos os elementos necessários e requeridos de uma solução de segurança estejam propriamente implantados e funcionando conforme o esperado.
Todo final de ano, um cliente da empresa Teclógica é submetido a um processo de auditoria de segurança pela sua detentora, uma empresa internacional. Os auditores possuem uma extensa lista de requisitos que devem ser atendidos nos ambientes de banco de dados. Antes da auditoria acontecer, os administradores de banco de dados da Teclógica devem verificar todos estes requisitos e apontar os ajustes necessários para aqueles que não estiverem em conformidade com o manual de regras.
Verificar todas as configurações em vários bancos de dados é um processo bastante demorado e pode resultar em erros e incoerências. Cada recurso que necessita de ajuste demanda pesquisa e verificações para viabilizar ou não sua alteração no ambiente.
Visando automatizar e melhorar o processo de auditoria de segurança, o presente trabalho verifica o nível de segurança de um banco de dados Oracle e deve informar as alterações necessárias para adequação ao modelo de segurança escolhido.
|
| |
|
