ADMINISTRAÇÃO DE SEGURANÇA DA INFORMAÇÃO
1
SUMÁRIO
TECNOLOGIA DIGITAL ............................................................................................. 3
BANCO DE DADOS ................................................................................................... 4
EVOLUÇÃO DAS INFORMAÇÕES E DOS DADOS.................................................. 5
DADO, INFORMAÇÃO E CONHECIMENTO ............................................................. 7
GESTÃO DA INFORMAÇÃO ..................................................................................... 9
GESTÃO DO CONHECIMENTO.............................................................................. 11
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ................................................. 13
SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) ................................. 18
AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS .................................. 19
SEGURANÇA EM BANCO DE DADOS ................................................................... 23
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO E
DOS DADOS ............................................................................................................ 26
TIPOS DE SEGURANÇA ......................................................................................... 27
REFERENCIAS ........................................................................................................ 29
1
NOSSA HISTÓRIA
A NOSSA HISTÓRIA, inicia com a realização do sonho de um grupo de
empresários, em atender a crescente demanda de alunos para cursos de Graduação
e Pós-Graduação. Com isso foi criado a INSTITUIÇÃO, como entidade oferecendo
serviços educacionais em nível superior.
A INSTITUIÇÃO tem por objetivo formar diplomados nas diferentes áreas de
conhecimento, aptos para a inserção em setores profissionais e para a participação
no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua.
Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que
constituem patrimônio da humanidade e comunicar o saber através do ensino, de
publicação ou outras normas de comunicação.
A nossa missão é oferecer qualidade em conhecimento e cultura de forma
confiável e eficiente para que o aluno tenha oportunidade de construir uma base
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica,
excelência no atendimento e valor do serviço oferecido.
2
TECNOLOGIA DIGITAL
O avanço da Tecnologia da Informação(TI) dentro do ambiente organizacional
tem colocado em evidência o valor que o bem informação tem em relação aos
objetivos da empresa. Em contraponto, busca-se proteger e garantir a segurança para
sua efetiva utilização com a finalidade de atender as necessidades de gestores.
Segundo Fontes (2006), define-se como segurança da informação o conjunto
de orientações, normas, procedimentos, políticas e demais ações para que o recurso
informação esteja protegido. A segurança da informação existe com a finalidade de
diminuir o risco que um determinado negócio apresenta em relação à dependência
do seu uso para o funcionamento da organização.
De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal
forma que se possa verificar a integridade e garantir que os dados estejam protegidos.
A auditoria constitui-se como uma forma eficiente de manter um ambiente seguro.
Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser
compreendida como a atribuição responsável pela fiscalização dos processos, tendo
como função verificar se eles estão sendo executados de forma constante e correta
e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos, a
auditoria verifica e garante que o objeto auditado está de acordo com o estipulado.
Na área de TI, todos os processos podem e devem ser auditados, desde a
decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas,
integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e
tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais,
legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível,
haja vista que, hoje, muitas organizações param de operar pelo fato de a tecnologia
de TI adotadas deixar de funcionar.
Com base no conceito de auditoria em Tecnologia da Informação e tendo em
vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada
aos principais aspectos de segurança em ambientes web, através da análise de
vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus
3
serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da
qual se propôs as adequações necessárias para a correção das falhas encontradas.
BANCO DE DADOS
No passado, as empresas armazenavam as informações em arquivos físicos,
o que causava grande acúmulo de papel e dificultava a organização, atualização e
acesso a essas informações. Porém, com o surgimento e evolução das tecnologias
computacionais, as empresas passaram a investir na aquisição de computadores e
as informações passaram a ser armazenadas em bancos de dados digitais.
De acordo com Date (2003, p. 10), “um banco de dados é uma coleção de
dados persistentes, usada pelos sistemas de aplicação de uma determinada
empresa”. Um banco de dados apresenta algumas propriedades através das quais
indica que sua abrangência vai muito além de uma mera coleção de dados. A primeira
propriedade de um banco de dados refere-se a este ser um conjunto lógico e
ordenado de dados com significado. Não será considerado banco de dados uma
coleção de dados aleatória, sem uma finalidade ou objetivo (MACHADO, 2008).
Construído e povoado com dados, o banco de dados possui um determinado
objetivo e simboliza um minimundo ou universo de discurso onde são consideradas
as propriedades de objetos que interessam aos usuários para fins de processamento
computacional (ELMASRI; NAVATHE, 2011). Um banco de dados tem tamanho e
complexidade distintas.
O celular é um exemplo de device que pode conter um ou mais banco de dados
de pequeno porte e baixa complexidade. Como exemplos de grandes bancos de
dados podem ser considerados os da Amazon.com e Alibaba.com, empresas
multinacionais com atuação mundializada e que comercializam produtos – livros,
jogos, eletrônicos, roupas etc. – provenientes de diversos pontos do planeta junto a
consumidores igualmente distribuídos ao redor do globo terrestre.
4
EVOLUÇÃO DAS INFORMAÇÕES E DOS DADOS
Desde o início do século XXI ocorreram mudanças significativas no âmbito das
Tecnologias da Informação e Comunicação (TIC), neste contexto pode-se citar a
computação em nuvem, internet das coisas e as redes sociais. O acesso e o uso
destas tecnologias fizeram com que a quantidade de dados aumentasse de uma
forma contínua e a uma velocidade sem precedentes (CAI; ZHU, 2015).
As tecnologias vêm revolucionando a maneira como as pessoas lidam e
interagem com o mundo a seu redor de forma cada vez mais drástica. Desde o
surgimento da Internet até sua popularização, o ser humano depende cada vez mais
das máquinas para realizar suas tarefas diárias. Com a criação dos smartphones
passa-se a estar conectados à Internet 24 horas por dia, 7 dias por semana. Com a
Internet das Coisas, muito em breve, vários objetos de nossas casas e trabalho
estarão, também, inteiramente conectados.
Todos esses aparatos rastreiam cada passo do que é feito na Web e cada um
desses passos é um potencial gerador de dados. Como passa-se cada vez mais
tempo online, gera-se progressivamente mais dados, de forma mais rápida. Qualquer
tarefa realizada quando se está conectado, desde enviar um e-mail, escrever uma
mensagem em uma rede social ou até mesmo deixar o GPS do celular ligado
enquanto se movimenta, deixa rastros imperceptíveis que transformam-se em dados.
Gera-se atualmente aproximadamente 1 zettabyte de dados por dia mas, até
então, a imensa maioria desse volume era ignorada. Porém, percebeu-se em
determinado momento que esses dados podem ser valiosíssimos quando bem
aproveitados, principalmente para as empresas, que podem obter informações em
tempo real, geradas diretamente por seus clientes.
Para o governo, significam informações sobre como a sociedade se comporta
e formas mais fáceis de monitorar a população. Por outro lado, cria-se uma fina
barreira entre os benefícios da exploração de dados e a invasão de privacidade. Neste
mundo globalizado e constantemente conectado, surge então uma nova fonte de
poder que não pode mais ser ignorada. Os especialistas a chamam de Big Data
5
De acordo com Furlan e Laurindo (2017), o crescimento dos dados gerados
demandou o desenvolvimento de novas soluções e tecnologias que auxiliassem na
sua gestão. E diante desta necessidade surge o big data, propondo novas
abordagens para a geração, seleção e manipulação destes grandes volumes dados.
O termo big data está relacionado com grandes quantidades de dados, que possuem
características distintas, são heterogêneos, providos de diferentes fontes, com
controles distribuídos e descentralizados (MCAFEE; BRYNJOLFSSON2012).
Dada a importância das informações disponibilizadas, a qualidade dos dados
que geram estas informações tornou-se um dos grandes desafios para as
organizações se manterem em um mercado cada vez mais competitivo, sendo que a
partir da década de 90 iniciaram-se diversos estudos sobre metodologias e
ferramentas para auxiliar no processo de gestão da qualidade dos dados dentro das
organizações, e uma dasproposições mais relevantes foi o Total Data Quality
Management (TDQM), feita por Madnick e Wang em 1992 (ZHUet al., 2012).
O programa desenvolvido pelo Massachusetts Instituteof Technology - MIT é
baseado na estrutura de Gerenciamento de Qualidade Total (TQM) para melhoria da
qualidade no domínio da fabricação, proposto por William Edwards Deming em 1982.
Suas pesquisas iniciais desenvolveram um modelo que defende a melhoria contínua
da qualidade dos dados, seguindo ciclos de definição, medição, análise e melhoria.
A partir do TDQM, várias outras proposições relacionadas as dimensões e
atributos da qualidade dos dados foram feitas, porém, a definição de quais critérios a
serem adotados depende do contexto em que os mesmos serão aplicados (BATINIet
al., 2009).
Outra questão a se considerar remete à diversidade dos dados disponíveis,
uma vez que os mesmos são originados a partir de diferentes fontes, causando uma
sobrecarga de informação para a sociedade, gerando inúmeras oportunidades de
atuação para os profissionais que atuam na área da gestão da informação (RIBEIRO,
2014).
6
DADO, INFORMAÇÃO E CONHECIMENTO
Na Ciência da Informação, a conceituação deste termo está quase sempre
ligada aos termos Informação e Conhecimento. Por se tratarem de definições com
significados muito similares, não há consonância entre os autores da área para definilos, considerando o aspecto contextual como essencial para distinção, por vezes
tênue, dos termos discutidos. (RUSSO, 2010).
Dado é definido por Setzer (2001, não paginado) como “[...] uma sequência de
símbolos quantificados ou quantificáveis [...] Com essa definição, um dado é
necessariamente uma entidade matemática e, desta forma, é puramente sintático”.
Já Angeloni (2003, p.18) afirma que “Os dados são elementos brutos, sem significado,
desvinculados da realidade.” Davenport (1998, p.18) define dado como uma “Simples
observação sobre o estado do mundo”. Sendo ele facilmente estruturado e obtido por
máquinas, além de ser quantificado com frequência. O dado é facilmente transferível.
Conclui-se à partir das elucidações de Russo (2010, p.15), que “[...] dados são sinais
que não foram processados, correlacionados, integrados, avaliados ou interpretados
de qualquer forma, e, por sua vez, representam a matéria prima a ser utilizada na
produção de informações”.
A informação, segundo Setzer (2001, não paginado) “[...] é uma abstração
informal (isto é, não pode ser formalizada através de uma teoria lógica ou
matemática), que está na mente de alguém, representando algo significativo para
essa pessoa”. Na definição de Angeloni (2003, p.18) “As informações são dados com
significado.” A informação é considerada como “[...] dados processados e
contextualizados”. Davenport (1998, p.18) diz que informação são “Dados dotados de
relevância e propósito”. A informação requer uma unidade de análise e exige
consenso com relação ao seu significado e é imprescindível a mediação humana.
Para Russo (2010, p.15) “[...] informação pode ser entendida como dados
processados e contextualizados”.
Conhecimento é definido por Davenport (1998, p.19 apud RUSSO, 2010, p.17)
como “[...] a informação mais valiosa [...] é valiosa precisamente porque alguém deu
à informação um contexto, um significado, uma interpretação”. Setzer (2001, não
7
paginado) caracteriza conhecimento como “[...] uma abstração interior, pessoal, de
algo que foi experimentado, vivenciado, por alguém”. Angeloni (2003, p.18) define:
O conhecimento pode então ser considerado como a informação processada
pelos indivíduos. O valor agregado à informação depende dos
conhecimentos anteriores desses indivíduos. Assim sendo, adquirimos
conhecimento por meio do uso da informação nas nossas ações. Desta
forma, o conhecimento não pode ser desvinculado do indivíduo; ele está
estritamente relacionado com a percepção do mesmo, que codifica,
decodifica, distorce e usa a informação de acordo com suas características
pessoais, ou seja, de acordo com seus modelos mentais. (ANGELONI, 2003,
p.18).
O conhecimento de acordo com Davenport (1998, p.18) é uma “Informação
valiosa da mente humana. Inclui reflexão, síntese, contexto”. É de difícil estruturação,
transferência e captura em máquinas. É frequentemente tácito. O conhecimento tácito
é capital dos seres humanos, dificilmente transmitido e capturado, dependendo das
experiências e vivências da pessoa (RUSSO, 2010, p.19). Russo (2010, p.18)
distingue os termos analisados como apresentado na figura a seguir:
Figura 1: Dado x Informação X Conhecimento
Fonte: Russo, 2010, pag. 18.
Analisando as definições acima, percebe-se que o dado, por si só, não possui
significado claro e precisa portanto, ser capturado e analisado, para que se transforme
em informação. Uma característica importante a ser analisada sobre os dados é que
antes do Big Data, os dados coletados pelas empresas provinham de fontes internas
e eram, majoritariamente, dados estruturados, ou seja, “[...] dados formatados em
linhas e colunas numéricas organizadas” (DAVENPORT, 2014, p.113). Esse tipo de
dado já vem sendo explorado há um tempo pelas organizações, estando presente em
bancos de dados, arquivos sequenciais e com relação de importância. (CIO, 2012
apud CANARY, 2013).
8
GESTÃO DA INFORMAÇÃO
Esta fundamentação conceitual discorre diferentes aspectos sobre a gestão da
informação com o propósito de serem referenciais para a análise dos dados de
pesquisa. A literatura reporta variadas formas de gerenciar a informação em uma
organização. McGee e Prusak (1994, p. 114) formulam um modelo de processo de
gerenciamento de informação com foco no valor estratégico da informação, definido
em três tarefas:
I.
Identificação de necessidades e requisitos de informação;
II.
Classificação e armazenamento de informação/tratamento e
apresentação da informação; e
III.
Desenvolvimento de produtos e serviços de informação.
Davenport (2000) também relata que o fenômeno da gestão da informação
ocorre de forma processual, estabelecendo o Modelo Ecológico para o gerenciamento
da informação. Este modelo está sustentado no modo holístico de pensar e em quatro
atributos-chave:
I.
Integração dos diversos tipos de informação;
II.
Reconhecimento de mudanças evolutivas;
III.
Ênfase na observação e na descrição; e
IV.
Ênfase no comportamento pessoal e informacional.
Envolve três ambientes:
O ambiente informacional que é o centro da abordagem ecológica e abrange
seis componentes: estratégia da informação, política da informação, cultura e
comportamento em relação à informação, equipe da informação, processos de
administração informacional e arquitetura da informação;
O
ambiente
organizacional,
que
abrange
todas
as
atividades
organizacionais, sendo composto: pela situação dos negócios, investimentos em
tecnologia e distribuição física;
9
O ambiente externo, que consiste em informações sobre três tópicos
fundamentais: mercados de negócios, mercados tecnológicos e mercados da
informação.
Em harmonia com a ecologia informacional, Davenport (2000, p. 173) define o
gerenciamento da informação como processos, isto é, “um conjunto estruturado de
atividades que incluem o modo como as empresas obtêm, distribuem e usam a
informação e o conhecimento”. Assim, estabelece quatro passos a seguir para a
realização do processo de gerenciamento da informação.
Primeiro, determinação das exigências, uma vez que é importante
compreender o contexto nas quais as atividades gerenciais são realizadas, identificar
quais as fontes necessárias e as informações para a gerência. Por meio dessa
compreensão é possível realizar o mapeamento da informação disponível na
organização,
registrar
os recursos informacionais existentes,
as unidades
responsáveis e os serviços e sistemas disponíveis.
Segundo, obtenção de informação, que se constitui em uma atividade
contínua, a qual acompanha o desenvolvimento organizacional. O fornecimento
dessa informação precisa proporcionar aos usuários as informações necessárias em
produtos e serviços informacionais. Essa atividade é composta de diversas tarefas,
não necessariamente sequenciais, a saber: exploração do ambiente informacional,
classificação da informação em uma categoria, a formatação e a estruturação da
informação.
Terceiro, distribuição, que se refere à disseminação da informação aos
gerentes e funcionários que delas necessitam. No entanto, é necessário definir as
estratégias dessa distribuição, podendo-se optar tanto pela divulgação às pessoas
autorizadas como pela disponibilização a todos.
E quarto, utilização da informação, que pode ser considerada a etapa mais
importante desse processo, uma vez que todos os esforços das demais etapas
convergem e se justificam para proporcionar o uso da informação em seu contexto
organizacional.
De acordo com Costa (2003), a informação é concebida como matéria-prima
para gerar o conhecimento. A literatura sobre gestão do conhecimento coloca o
10
conhecimento tácito e as informações de caráter informal como vitais para a
sobrevivência em mercados cada vez mais competitivos. Nessa análise, a gestão da
informação se expande para gestão do conhecimento e os sistemas são requisitados
para processar tanto as informações informais como os produtos das atividades
intelectuais. Tais sistemas necessitam abranger informações externas e internas,
coletadas sistematicamente, analisadas e disseminadas para toda a organização,
com a missão de transformar informações em conhecimento estratégico.
GESTÃO DO CONHECIMENTO
A gestão do conhecimento trabalha tanto com o conhecimento explícito quanto
com o conhecimento tático, que é “o acúmulo de saber prático sobre um determinado
assunto, que agrega convicções, crenças, sentimentos, emoções e outros fatores
ligados à experiência e à personalidade de quem detém.” (MIRANDA, 1999 apud
VALENTIM, 2002). O conhecimento tácito é o conhecimento que cada um tem como
resultado de seu aprendizado prévio, tornando-o difícil de ser repassado.
“O conceito da gestão do conhecimento surgiu nos anos 90, não somente
associado ao processo operacional, mas principalmente à estratégia organizacional”
(SANTOS, 2001; SVEIBY, 1998; apud FELIX, 2003). E vem sendo discutido cada vez
mais como uma tendência para o mercado econômico no presente e no futuro.
Principalmente nos tempos atuais em que as organizações “com um considerável
grau de flexibilidade e de capacidade inovadora, não se preocupam mais em somente
armazenar dados e informação”. (BERBE, 2005) Ainda de acordo com Berbe, 2005,
“a competitividade, a informação e a necessidade de diferencial competitivo fizeram
com que as empresas percebessem a importância do conhecimento e da sua gestão”.
E apesar da compreensão por parte das empresas da extrema importância na
gestão do conhecimento nas organizações, ainda encontram grandes dificuldades na
sua aplicação. Como afirma Wilson, (2006, p. 45), quando diz que “o uso do termo
gestão de conhecimento é, na maioria dos casos, sinônimo de gestão da informação”,
corroborando as barreiras encontradas para sua aplicação.
“A gestão do conhecimento, de forma abrangente, refere-se ao planejamento
e controle de ações (políticas, mecanismos, ferramentas, estratégias e
11
outros) que governam o fluxo do conhecimento, em sua vertente explicita –
e para isso englobam práticas da gestão da informação – e sua vertente
tácita.” (LEITE; COSTA, 2007)
Deste modo podemos dizer que “a gestão do conhecimento é um processo
complexo e intimamente relacionado com processo de comunicação nas
organizações.” (SMOLIAR, 2003; IVES et al., 1998; THEUNISSEN, 2004; apud
LEITE; COSTA, 2007). Que de acordo com Dawson, (2000, apud BERBE, 2005),
trata-se “de todos os aspectos relacionados com a forma como as pessoas
desempenham funções baseadas em conhecimento”.
Berbe, (2005), afirma que:
“empresas mais inovadoras, que se voltam para a Gestão do Conhecimento,
necessitam de uma abordagem que veja a organização como uma
comunidade humana, cujo conhecimento coletivo representa um diferencial
competitivo em relação aos seus mais diretos concorrentes. O conhecimento
coletivo é valorizado, criando-se redes informais de pessoas que realizam
trabalhos diversos com pessoas que eventualmente estão dispersas em
diferentes unidades de negócio.”
Sendo assim, a gestão do conhecimento utiliza ferramentas em busca da
inovação com o objetivo de fazer as organizações se desenvolverem. É o que explica
Willian James (1907, apud NONAKA; TAKEUCHI, 1997, p. 31), quando diz que “ideias
não tem valor exceto quando passam para as ações que rearrumam e reconstroem
de alguma forma, em menor ou maior medida, o mundo no qual vivemos.” E essas
ações serão determinadas pela gestão do conhecimento em concordância com as
necessidades da instituição que atua.
Wilson, (2003, p. 54), define gestão do conhecimento como habilidades de
competência informacional, ou seja, aprender a aprender, quando afirma que o gestor
não tem controle sobre o conhecimento. Partindo do pressuposto que o conhecimento
tácito “é muito pessoal e difícil de ser codificado, ou seja, expresso por palavras”
(NONAKA; TAKEUCHI, 1997). Portanto, o gestor só pode auxiliar no uso da
informação, sua organização e disponibilização, e esperando que o usuário
compreenda e a partir desse entendimento possa resultar em conhecimento.
Pelo ponto de vista, Wilson (2003), está correto na sua afirmação, pois o
conhecimento é intangível. Mas quando aplicamos gestão do conhecimento
estaremos direcionando-a de acordo com um objetivo. E quando direcionamos as
12
informações para o ponto certo (equipe ou as pessoas certas), pode resultar em
conhecimento.
Basta pensarmos no papel dos educadores universitários. Direcionam os
alunos quando fornecem informações que irão resultar em novo conhecimento e,
consequentemente, será expresso nos trabalhos acadêmicos de conclusão de curso.
Portanto, podemos entender a gestão da informação como a identificação e
organização das informações existentes na instituição e a gestão do conhecimento
como utilização dessas informações junto à percepção dos usuários.
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO
A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como
sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e
minimizando o risco do negócio.
Um banco de dados pode conter informações muito valiosas para a empresa
ou até mesmo para as pessoas. A divulgação de informações não autorizadas pode
afetar a empresa de diversas formas, como levar a perda de clientes ou de mercado,
ou até mesmo a ações judiciais. A segurança da informação, segundo Alves (2006,
p. 1), “[...] visa proteger a informação de forma a garantir continuidade dos negócios,
minimizando os danos e maximizando o retorno dos investimentos e as oportunidades
de negócios”.
Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da
informação é adquirida a partir da implantação de um conjunto de controles
apropriados,
incluindo
políticas,
processos,
procedimentos,
estruturas
organizacionais e funções de software e hardware. Estes controles precisam ser
estabelecidos, implantados, monitorados, analisados criticamente e melhorados,
onde necessário, para garantir que os objetivos do negócio e de segurança da
organização sejam atingidos.
Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de
informação não foram projetados para serem seguros. A segurança da informação
que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma
13
gestão e por procedimentos adequados. A identificação de controles a serem
implantados requer um planejamento cuidadoso e uma atenção aos detalhes.
Segurança da informação segundo Beal (2005), é o processo de proteção da
informação das ameaças a sua integridade, disponibilidade e confidencialidade.
Sêmola (2003), define segurança da informação como uma área do conhecimento
dedicada à proteção de ativos da informação contra acessos não autorizados,
alterações indevidas ou sua indisponibilidade.
A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define
segurança da informação como “a proteção da informação de vários tipos de ameaças
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o
retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos
definir segurança da informação como a área do conhecimento que visa à proteção
da informação das ameaças a sua integridade, disponibilidade e confidencialidade e
autenticidade, a fim de garantir a continuidade do negócio e minimizar os riscos,
Figura 1.
Atualmente o conceito de segurança da informação está padronizado pela
norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS
7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões de
segurança da informação, incluindo a complementação ao trabalho original do padrão
inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como
17799:2005 para fins históricos.
Figura 1: Pilares da Segurança da informação
Fonte: ABNT NBR ISSO-IEC 27001:2006
14
Confidencialidade
Para Beal (2005), a confidencialidade é a garantia de que o acesso à
informação é restrito aos seus usuários legítimos, ou seja, quando uma informação
representa uma vantagem de mercado, um diferencial competitivo, diz-se que a
informação possui um valor de restrição, a ser mantido por meio de preservação de
sua confidencialidade.
No âmbito da administração pública federal, o decreto nº 4.553/2002 classifica
os documentos públicos em 4 categorias sendo um deles de confidencias, que são
aqueles que, no interesse do Poder Executivo e das partes, devem ser de
conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos
ou acarretar dano à segurança da sociedade e do estado.
Segundo Ferreira (2003), a informação dever ser protegida, independente da
mídia que a mesma esteja contida, como por exemplo, documentos impressos ou
mídia digital. Que além de cuidar da informação como uma todo também deve-se
preocupar com a proteção de partes de informação que podem ser utilizadas para
interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da
informação quanto aos requisitos de confidencialidade mostrado no Figura 2.
Figura 2: Classificação da confidencialidade da informação
Fonte: Beal, 2005.
15
Integridade
Garantia da criação legítima e da consistência da informação ao longo do seu
ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não
autorizada de dados e informações. A integridade consiste em proteger a informação
contra modificação sem a permissão explícita do proprietário. “Proprietário da
informação é o executivo de negócio ou gerente de uma determinada área
responsável pelos ativos da informação da organização.” (Ferreira, 2003, pg. 25).
Dados e informações perdem sua integridade em tentativas de fraudes, quanto
maior for o impacto para a organização da perda de integridade de uma informação,
maior o investimento a ser feito em controles para prevenir, detectar e corrigir a
produção errada ou a alteração indevida de informações. (Beal, 2005, pg. 67).
A integridade pode ser definida como de: alta exigência de integridade, que é
a criação com erro ou alteração indevida e assim comprometer as operações e
objetivos da organização, acarretando em descumprimentos de leis, prazos e normas,
levando a mesma ter prejuízos; de média exigência de integridade, onde a criação
com erro ou alteração indevida das informações não compromete as operações nem
traz impactos muitos grandes, apenas pode causar algum tipo de prejuízo; e de baixa
exigência de integridade é a criação com erro ou indevida, que é facilmente detectada
e os riscos que oferece são praticamente desprezíveis.
Autenticidade
Para Ferreira (2003), o serviço de autenticação em um sistema deve assegurar
ao usuário que recebe a informação, que a mensagem é realmente procedente da
origem informada em seu conteúdo. A verificação da autenticidade faz-se necessário
após todo processo de identificação, seja do sistema para o usuário, do usuário para
o sistema ou do sistema para outro sistema.
O objetivo da autenticidade é englobado pelo de integridade, quando se
assume que este visa garantir não só que as informações permaneçam completas e
precisas, mais também que a informação capturada do ambiente externo tenha sua
fidedignidade verificada e que a criada internamente seja produzida apenas por
pessoas autorizadas e atribuída unicamente ao seu autor legítimo.
16
A implementação
para
o processo
de autenticidade
geralmente
é
implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005),
cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de
aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de
armazenamentos, controle de acesso, controles e recuperação de serviços, assim
aplica os controles adequados conforme o nível de proteção requerido por cada
segmentação.
Disponibilidade
Garantia de que a informação e os ativos associados estejam disponíveis para
os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo da
disponibilidade, o controle de acesso que permite identificar os usuários legítimos da
informação para então liberar o acesso solicitado.
Quando analisado a disponibilidade é considera-se questões como: “quanto
custa para produzir”, “quanto custa para recuperar” e quais consequências gera para
a organização se a informação não está mais disponível. Conclui-se que a falta de
informações pode afetar a organização e o que deve ser considerado é quanto tempo
levaria para superar esse impacto.
Desta forma a classificação das informações e a ordem de prioridade de
recuperação em caso de indisponibilidade são muito importantes e a organização
deve atribuir a cada categoria as informações conforme o grau de importância do ativo
para a organização. Essa ordem de importância é expressa por Beal (2005),
começando pelas mais importantes categoria 1 e menos importantes categoria 6,
conforme Figura 3.
17
Figura 3: Categorias e tempo para disponibilidade
Fonte: Beal, 2005.
Considera-se que pode abranger as categorias 1 e 2 informações que exigem
recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um
curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe
informações com exigência de recuperação em médio espaço de tempo, sendo que
as indisponibilidades temporárias não afetam o desempenho dos processos críticos,
porém que ao longo período de tempo pode causar atrasos ou decisões erradas.
Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a
indisponibilidade variada. E a categoria 6 não possui exigência de tempo para
recuperação, pois a perda ou indisponibilidade por períodos longos não traz
consequências negativas consideráveis, seja pela pouca relevância da informação ou
pela facilidade de recuperação da mesma.
SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD)
Como desdobramento evolutivo da tecnologia de banco de dados surge o
sistema gerenciador de banco de dados (SGBD) ou Database Management System
(DMS). O SGBD é uma composição de softwares responsáveis pelo gerenciamento
do banco dados. De acordo com Alves (2009, p. 23), “um sistema de gerenciamento
de banco de dados (SGBD) é uma coleção de ferramentas e programas que permitem
aos usuários a criação e manutenção do próprio banco de dados”.
Exemplos de SGBDs mais comuns são: Oracle, MySQL, PostgreSQL e SQL
Server. Um SGBD facilita o processo de definição, construção, manipulação e
compartilhamento do banco de dados e aplicações. Um SGBD contém, dentre suas
18
funções significativas, um subsistema de segurança que protege o banco de dados
contra acessos não autorizados.
O Administrador do Banco de Dados ou Database Administrator (DBA) utiliza
esse subsistema para decidir quais usuários podem acessar o banco de dados e os
tipos de operações que poderão efetuar, por exemplo: ler, atualizar, adicionar e/ou
apagar (ELMASRI; NAVATHE, 2011). O DBA é responsável pela segurança geral de
um sistema de banco de dados.
Ele é a autoridade máxima e utiliza uma conta conhecida como superusuário
ou conta do sistema para desempenhar suas funções como, por exemplo, decidir os
privilégios dos usuários. Segundo Ramakrishnan & Gehrke (2008, p. 18), “o DBA é
responsável por assegurar que o acesso não autorizado aos dados não seja
permitido. Em geral, nem todos devem ser capazes de acessar todos os dados”.
AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS
Para Neto e Solonca (2007), a crescente utilização de soluções informatizadas
nas distintas áreas de serviços exige maior exposição dos valores e das informações,
além de níveis de segurança adequados. O avanço da tecnologia da informação,
migrando de um ambiente centralizado para um ambiente distribuído, interligando
redes internas e externas, adicionada à revolução da Internet, modificou a forma de
se fazer negócios. Isto fez com que as empresas se preocupassem mais com o
controle de acesso às suas informações bem como a proteção dos ataques, tanto
internos quanto externos.
Ainda para Neto e Solonca (2007), com o advento dos computadores pessoais
e das redes de computadores que são capazes de conectar o mundo inteiro, os
aspectos de segurança atingiram tal complexidade que há a necessidade de
desenvolvimento de equipes cada vez mais especializadas para a sua gerência.
Paralelamente, os sistemas de informação também adquiriram uma suma
importância para a sobrevivência da maioria das organizações modernas, uma vez
que, sem computadores e redes de comunicação, a prestação de serviços de
informação pode se tornar impraticável. Um exemplo prático da afirmação acima é
19
citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente
com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e
de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de
determinação legal ou por se tratar de informações de natureza pessoal, que
inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer
danos, caso elas sejam levadas a público.
Ainda concluem que, independente do setor da economia em que a empresa
atue, as informações estão relacionadas com seu processo de produção e de
negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o
meio físico em que as informações estão armazenadas, elas são de valor incalculável
não só para a empresa que as gerou, como também para seus concorrentes. Em
último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes
elas estão relacionadas às atividades diárias da empresa que, sem elas, poderia ter
complicações.
Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma
revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação
que suportam os processos de negócio. A atividade da auditoria de TI tem como
intuito ajudar a organização por meio da identificação e avaliação de exposições ao
risco que sejam significativas, bem como contribuir para o avanço dos mecanismos
de gestão de risco e de controle dos sistemas de informação.
No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade
dos controles dos sistemas de informação para resguardar a organização contra as
ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são
pouco prováveis de causar danos significativos à organização e às suas partes
interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria
mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador
e à área envolvida.
20
No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a
forma de abordagem.
Fonte: Neto e Solonca (2007)
No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a
quanto ao órgão fiscalizador.
Fonte: Neto e Solonca (2007)
No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a
quanto a área envolvida.
21
Fonte: Neto e Solonca (2007)
Neto e Solonca (2007) afirmam que dependendo da área que será averiguada,
a auditoria pode compreender todo o ambiente de informática ou a organização do
departamento de informática. Além disso, podem considerar os controles sobre
22
bancos de dados, redes de comunicação e de computadores, além de controles sobre
aplicativos.
Desta forma, sob o entendimento dos tipos de controles identificados por Neto
e Solonca (2007), os autores também afirmam que a auditoria pode ser separada em
duas grandes áreas:
 Auditoria de segurança de informações: este tipo de auditoria em
ambientes informatizados decide a postura ou a situação da empresa em relação à
segurança das informações. Ela avalia a política de segurança da informação e
também os controles relacionados a aspectos de segurança e controles que
influenciam o bom funcionamento dos sistemas da organização. Tais controles estão
descritos a seguir:
- Avaliação da política de segurança;
- Controles de acesso lógico;
- Controles de acesso físico;
- Controles ambientais;
- Plano de contingência e continuidade de serviços;
- Controles organizacionais; - Controles de mudanças;
- Controle de operação dos sistemas;
- Controles sobre os bancos de dados;
- Controles sobre computadores;
- Controles sobre ambiente cliente-servidor.
 Auditoria de aplicativos: este tipo de auditoria está direcionado para a
segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte
da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing,
RH, etc. A auditoria de aplicativos compreende:
- Controles sobre o desenvolvimento de sistemas e aplicativos;
- Controles de entrada, processamento e saída de dados;
- Controles sobre o conteúdo e funcionamento do aplicativo com
relação à área por ele atendida.
SEGURANÇA EM BANCO DE DADOS
Os bancos de dados são utilizados para armazenar diversos tipos de
informações, desde dados sobre uma conta de e-mail até dados importantes da
Receita Federal. A segurança do banco de dados herda as mesmas dificuldades que
23
a segurança da informação enfrenta, que é garantir a integridade, a disponibilidade e
a confidencialidade. Um Sistema gerenciador de banco de dados deve fornecer
mecanismos que auxiliem nesta tarefa.
Os bancos de dados SQL implementam mecanismos que restringem ou
permitem acessos aos dados de acordo com papeis ou roles fornecidos pelo
administrador. O comando GRANT concede privilégios específicos para um objeto
(tabela, visão, seqüência, banco de dados, função, linguagem procedural, esquema
ou espaço de tabelas) para um ou mais usuários ou grupos de usuários.
A preocupação com a criação e manutenção de ambientes seguros se tornou
a ocupação principal de administradores de redes, de sistemas operacionais e de
bancos de dados. Pesquisas mostram que a maioria dos ataques, roubos de
informações e acessos não- autorizados são feitos por pessoas que pertencentes à
organização alvo.
Por esse motivo, esses profissionais se esforçam tanto para criar e usar
artifícios com a finalidade de eliminar os acessos não-autorizados ou diminuir as
chances de sucesso das tentativas de invasão (internas ou externas). Os controles
de acesso em sistemas de informação devem certificar que todos os acessos diretos
ao sistema ocorramexclusivamente de acordo com as modalidades e as regras préestabelecidas, e observadas por políticas de proteção.
De modo geral, os mecanismos de segurança referem-se às regras impostas
pelo subsistema de segurança do SGBD, que verifica todas as solicitações de acesso,
comparando-as com as restrições de segurança armazenadas no catálogo do
sistema. Entretanto existem brechas no sistema e ameaças externas que podem
resultar em um servidor de banco de dados comprometido ou na possibilidade de
destruição ou no roubo de dados confidenciais.
As ameaças aos bancos de dados podem resultar na perda ou degradação de
alguns ou de todos os objetivos de segurança aceitos, são eles: integridade,
disponibilidade, confidencialidade. A integridade do banco de dados se refere ao
requisito de que a informação seja protegida contra modificação imprópria.
A disponibilidade do banco de dados refere-se a tornar os objetos disponíveis
a um usuário ou a um programa ao qual eles têm um direito legitimo. A
24
confidencialidade do banco de dados se refere à proteção dos dados contra a
exposição não autorizada. O impacto da exposição não autorizada de informações
confidenciais pode resultar em perda de confiança pública, constrangimento ou ação
legal contra a organização.
Abaixo segue os três (3) princípios da segurança da informação, explicando
assim seus conceitos correspondentes.
Controle de redundância
A redundância é caracterizada por conter uma informação de forma duplicada.
O controle de redundância por sua vez, não permite inserir dois registros com a
mesma chave primária ou excluir algum registro que esteja relacionado com outras
tabelas, para que assim não haja inconsistência de dados. Mas para isso, o SGBD
(Sistema Gerenciador de Banco de Dados) deve oferecer este recurso.
Controle de concorrência
Quando transações SQL são executadas concorrentemente, ou seja, ao
mesmo tempo, pode se haver uma violação na consistência da base de dados,
mesmo que cada operação tenha sido feita individualmente correta.
Hoje, os sistemas desenvolvidos utilizam-se da multiprogramação “que permite
a execução de transações visando o compartilhamento do processador” (AZEVEDO,
CASTRO e SERRÃO, s.d., s.p.). Por isso, existe a necessidade de controlar a
interação dessas transações, através do controle de concorrência, por meio de
mecanismos especializados.
Restrições de integridade
As restrições de integridade servem exatamente para evitar danos acidentais
em um Banco de Dados, garantindo assim que alterações realizadas por usuários
autorizados não resultem na inconsistência de dados. Outra utilização é assegurar
que um valor que está em uma relação de um conjunto de atributos também esteja
para certo conjunto de atributos em outra relação.
25
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA
INFORMAÇÃO E DOS DADOS
A gestão de dados é o planejamento, desenvolvimento e execução de políticas
e procedimentos de segurança para proporcionar a devida autenticação, autorização
e acesso nos ativos de dados e informações (Seções da ISO IEC 27002). Seu objetivo
é proteger os ativos de Informação em alinhamento com as regulamentações de
privacidade e confidencialidade e requisitos do negócio. Em uma organização existem
muitas fontes de informações que não ficam à disposição da gerência para tomadas
de decisões, fazendo-se necessário a aplicação dos processos de auditorias da
Informação, e para ORNA (1990) entre essas fontes estão:
• Registros de clientes;
• Informação sobre fornecedores;
• Informações sobre orçamentos operacionais;
• Resultados financeiros;
Relatórios de operações externas;
• Informação dos concorrentes: como
financeiramente, o que eles estão produzindo;
eles
estão
fazendo
• A informação que a própria empresa produz, para o mundo exterior, e
para o público interno;
• Informações sobre seu mercado, seu público-alvo ou de seus clientes;
• Informações sobre áreas de importância, por exemplo: a produção ou
indústria de serviço que pertence o sistema de educação, ciência e tecnologia;
processos, materiais, instalações ou equipamentos;
• Informações sobre o ambiente em que opera: a economia,
regulamentos comunitários governamentais, legislação, etc.
E é justamente por existir muitas fontes de informações que a organização
deve atentar-se para a sua segurança, pois há uma exposição maior quando é
realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK
(2012), gestão de qualidades de dados é sinônimo de qualidade da informação e
26
considera que a falta de qualidade nos dados resulta em informação imprecisa e um
desempenho fraco de negócio.
Desta forma faz-se necessário ter qualidade para prover uma solução
econômica e melhorar a qualidade e integridade dos dados. Para a efetiva realização
da segurança da informação na organização, são utilizados vários métodos como
controles, políticas, processos e procedimentos, geralmente definidos por uma
política de segurança da Informação Baars et al.,(2009).
Atualmente as organizações entendem que segurança não está mais apenas
nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o
fator humano. E as organizações muitas vezes por insegurança em expor as
informações existentes, dificultam a realização das auditorias, conforme aponta Orna
no livro “Practical Information Polices” (1990), muitas empresas desnecessariamente
dificultam seu trabalho, não deixando que informações externas sejam mostradas
internamente e vice versa. Johnson (2012), em sua pesquisa apresenta as iniciativas
de segurança da informação presente nas organizações e o nível de maturidade dos
mesmos, baseado no modelo de maturidade genérico proposto pelo Capability
Maturity Model Integration (CMMI) e as atividades definidas para cada processo.
TIPOS DE SEGURANÇA
A segurança em banco de dados refere-se a um assunto bem extenso, que
envolve algumas questões:
 Questões legais e éticas referentes ao acesso a certas informações, em
que são classificadas como privadas, e só podem ser acessadas por
pessoas autorizadas.
 Questões do sistema, por exemplo, se as funções de segurança devem
ser implementadas no nível de hardware, nível de sistema ou no nível
de SGBD. Onde existem também classificações da importância dos
dados - altamente secreto, secreto, não secreto.
Existem ameaças aos bancos de dados que resultam na perda dos seguintes
itens: integridade, disponibilidade e confiabilidade. No entendimento de Elmasri e
Navathe (2006) a integridade do banco refere-se à exigência que a informação esteja
27
assegurada de modificações impróprias, incluindo a criação, a inclusão, a alteração
e a exclusão. Caso ocorra a perda da integridade dos dados e não for corrigida,
podem causar imprecisão, acarretando em tomadas de decisões equivocadas.
Já a confiabilidade está ligada à proteção dos dados, algo importantíssimo, já
que a exposição de certas informações pode ter como consequências o
constrangimento dos envolvidos, a perda da confiança ou numa ação contra a
instituição.
Neste contexto, para proteger o banco de dados contra essas ameaças, o
SBGD deve oferecer mecanismos que restrinja certos usuários ou grupos de
acessarem partes específicas de um banco de dados. Tudo isso é de grande
importância quando se refere a um grande volume de dados acessadospor muitos
usuários diferentes de uma organização. Atualmente são utilizados dois tipos de
mecanismos de segurança, são eles:
 Mecanismos de acesso discricionário: utilizados para conceder
privilégios a usuários (leitura, inclusão, exclusão e atualização).
 Mecanismos de acesso obrigatório: implementados para estabelecer
níveis de acesso classificando os dados e os usuários, baseando-se no
conceito de papéis e conforme as políticas de segurança da empresa.
28
REFERENCIAS
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002,
Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799.
Tecnologia da informação - Técnicas de segurança - Código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005.
Tecnologia da informação – Técnicas de segurança – Gestão de riscos de
segurança da informação. Rio de Janeiro: ABNT, 2008.
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC
27002:2005 Tecnologia da informação – código de prática para gestão da
Segurança da Informação. Rio de Janeiro, 2005.
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC
27001: Tecnologia da informação – Técnicas de segurança — Sistemas de gestão
de segurança da informação — Requisitos. Rio de Janeiro, 2006.
ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e
Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora
FCA, 2007.
ALVES, Gustavo A. Segurança da informação: uma visão inovadora da gestão.
Rio de Janeiro: Ciência Moderna, 2006.
ALVES, William P. Banco de dados: teoria e desenvolvimento. 1. ed. São Paulo:
Érica, 2009.
ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B
ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia
da Informação. Rio de Janeiro: Fundação CECIERJ, 2010.
AZEVEDO, Arthur Henrique; CASTRO, Edkarla Andrade de; SERRÃO, Paulo
Roberto de Lima. Segurança em banco de dados, s.d. Disponível em: acesso em:
15 abr. 2014.
AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de
la gestión estratégica de la información. En: El profesional de la información,
2003, jul.-agosto, v.12,n.4 pp.261-268.
29
BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of
information Security – A Pratical Handbook. Newton Translations, the Netherlands,
2009.
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para
a proteção dos ativos de informação nas organizações – São Paulo: Atlas,
2005.
BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri,
Pretoria, v. 53, p. 23-38, 2003.
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa:
Editora FCA, 2004.
CEDROM –SNI. The strategic information audit: a powerful tool to prevent
chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012.
CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information
Management Journal, p. 46-53, 2004.
DANTE, G. P. Gestión de Información em las organizaciones: princípios,
conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança
da Informação. Disponível em: <
http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna
nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013.
DATE, Christopher J. Introdução a sistemas de banco de dados. 8. ed. Rio de
Janeiro: Elsevier, 2003.
ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 6. ed.
São Paulo: Pearson, 2011.
EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015
ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 4 ed.
São Paulo: Pearson Addison Wesley, 2006. 527p.
FILHO, Clóvis Luiz de Amorim; CAVALCANTI, Paulo Diego de Oliveira Bezerra e
FILHO, Marcello Benigno de Barros Borges, SQL Injection em ambientes Web.
Disponível em: < http://www.devmedia.com.br/sql-injection-emambientesweb/9733#ixzz32CidD8Xc > acesso em: 19 maio 2019.
FERREIRA, Fernando N. F. Segurança da informação. Rio de Janeiro: Ciência
Moderna, 2003. p.161.
FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação:
Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência
Moderna, 2006. p.177.
30
FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia
prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna
LTDA, 2008
HENCZEL, S. The information audit as a first step towards effective knowledge
management: an opportunity for special librarians.
HOTEK, Mike. SQL Server 2008: passo a passo. Porto Alegre: Bookman, 2010.
287 p.
INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies
of the traditional approach to information security and the requirements for a
new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995.
IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005.
p.197.
IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information
Technology Controls. Florida: Inc. 2005.
ISACA, Information Systems Audit and Control Association. ISACA Introduces
Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015.
INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel
Security; Mcafee, 2015.
JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos
processos de Segurança da informação com base na norma ABNT NBR
ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da
Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná,
Curitiba, 2012.
JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology:
draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acesso em;
07 jan, 2013.
LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de informações gerenciais. 7.
ed., São Paulo: Pearson, 2007.
MACHADO, Felipe N. R. Banco de Dados: projeto e implementação. 2. ed. São
Paulo: Érica, 2008.
MICROSOFT. O que é malware?. novembro de 2015.
MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano |
Resumo Executivo. Intel Security; Mcafee, 2015.
MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para
o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição.
Technics Publications. U.S.A. 2012.
31
MACÊDO, Diego. Conceitos sobre Segurança em Banco de Dados, 2011.
Disponível em: acesso em: 14 abr. 2019.
MEDEIROS, Marcelo. Banco de dados para sistemas de informação.
Florianópolis: Visual Books, 2006. 116 p.
NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação:
fatores que influenciam sua adoção em pequenas e médias empresas. Revista de
Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397.
Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE.
Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012.
NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª
edição; Palhoça: Unisul Virtual, 2007.
PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição;
Boston: Elsevier Butterworth-Heinemann, 2008.
SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições
substantivas para uma auditoria financeira. 2011.
RAMAKRISHNAN, Raghu; GEHRKE, Johannes. Sistemas de gerenciamento de
banco de dados. 3. ed. São Paulo: McGraw-Hill, 2008.
ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015
RIBEIRO, Leandro, A importância do Backup na administração de sistemas.
2009. Disponível em: < http://imasters.com.br/artigo/11174/linux/a-importanciadobackup-na-administracao-de-sistemas/> acesso em: 16 abr. 2019.
ROCHA, Luciano Roberto, Concessão e revogação de Privilégios. Disponível em:
acesso em: 15 abr. 2019.
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida
digital – Rio de Janeiro: Campus, 2001.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva –
Rio de Janeiro: Campus, 2003.
TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39
VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de
dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor
Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010.
VITOR, Joaquim & MORAES, Márcio Lucena & COSTA, Rafaello. Visão geral de
Segurança em Bancos de Dados, s.d. Disponível em: acesso em: 14 abr. 2019.
32
33