Artigo do tipo Teórico
Recursos especiais neste artigo:
Conteúdo sobre boas práticas.
Autores: João Marcelo Borovina Josko e Fabio Salles Monteiro

Segurança em banco de dados relacional
A política de segurança de informações corresponde a um dos temas de maior relevância dentro do cenário organizacional. Elemento ativo desta política, este artigo descreve e delimita o raio de atuação dos principais mecanismos de segurança presentes no SGBDR, quais sejam o mecanismo de acesso e a criptografia. Assim, este artigo caracteriza os principais mecanismos de acesso a SGBDR, expondo suas limitações e seu contexto dentro de uma visão organizacional de segurança. Ainda, descreve a criptografia de dados como recurso necessário para o controle da segurança no tráfego de dados externo e interno nos SGBDR.

Em que situação o tema útil

Grande parte dos sistemas de softwares requer o atendimento de exigências mínimas de segurança. Uma vez que os mecanismos mais comumente empregados no controle de segurança provêm dos SGBDR, torna-se crítico o conhecimento das possibilidades, propriedades, limitações e complementaridade entre os mecanismos.

A importância da segurança dos dados é tamanha que já foi protagonista de alguns filmes. No entanto, a realidade já foi outra. No início, a solução de segurança dos dados sigilosos se resumia em trancar a sala com os sistemas de computação onde estes e os programas estavam dispostos.

O aumento da exposição destes sistemas ao público – primeiro com o advento do time-sharing e, em seguida, com a interligação dos computadores – desencadeou o desenvolvimento de hardware e software capazes de propiciar proteção ao acesso, à transmissão e à manipulação dos dados. Tal evolução acompanhou o crescimento da importância dos sistemas de computação em rede para organizações comerciais, militares, governamentais e científicas que, por sua vez, passaram a investir em formas de garantir requisitos de confidencialidade e integridade dos seus dados.

Alcançar esses requisitos de segurança em qualquer organização requer a interação e integração de componentes com papéis complementares, objetivando mitigar riscos externos e internos. Dentre os componentes, o presente artigo enfoca os mecanismos de controle baseado no acesso aos dados persistidos dos Sistemas Gerenciadores de Banco de Dados Relacional – SGBDR –, bem como aqueles que protegem os dados enquanto são comunicados eletronicamente.

Segurança da informação organizacional

Um engano recorrente, dentro e fora do mercado, está na associação do papel Administrador de Banco de Dados – DBA – como o “centro nervoso” da gestão da segurança dos dados e informação no contexto de uma organização. Um dos possíveis fatores que levam a esta noção é derivado da importância assumida pela tecnologia dos SGBDR na gestão dos dados. Enganos à parte, esta tecnologia serve a uma instância muito maior; a Política de Segurança Informacional (PSI).

Tal política delineia como os dados e as informações, disponíveis na forma digital e analógica, devem ser protegidos contra ações de divulgação ou destruição, sejam elas acidentais ou maliciosas. Além de direcionadores internos, é comum que a PSI abranja requisitos impostos por órgãos reguladores externos.

Como toda política, sua definição em alto nível é desdobrada em procedimentos e mecanismos de controle, atribuição de responsabilidades e privilégios, processos de gestão, dentre outras questões de ordem prática e operacional. Após a implementação da política, todo o aparato em prol da segurança deve ser monitorado e avaliado para garantir a satisfação dos requisitos constantes na PSI. Muitas destas atividades, geralmente, são conduzidas por um órgão específico – como a Gerência de Segurança da Informação – que atua no âmbito organizacional.

Parte da PSI é passível de automatização, isto é, dados no formato digital podem ser protegidos por meio de hardware e software. O desdobramento, neste caso, é crítico uma vez que os requisitos da PSI balizam as decisões e escolhas relativas às tecnologias de segurança a serem utilizadas. Além de atender requisitos de segurança – como controle granular de contas de usuário –, estas decisões também são balizadas por uma série de restrições relacionadas à arquitetura computacional da organização, o custo, a conveniência e a produtividade dos usuários, para citar alguns.

...
Quer ler esse conteúdo completo? Tenha acesso completo