This dissertation has been submitted by a student. This is not an example of the work written by our professional dissertation writers.

INTRODUçãO

A segurança da informação, especificamente em banco de dados, constitui um conjunto de atividades e técnicas essenciais para qualquer organização empresarial. Antigamente, acreditava-se que os investimentos em segurança eram desnecessários, pois não podiam ser mensurados, sendo considerado um exagero da equipe e profissionais de Tecnologia da Informação (TI) (VIEIRA, 2009).

A base de dados de uma organização pode auxiliar na geração de informações importantes para tomada de decisões, sendo uma estratégia da empresa para se manter no mercado. Deste modo, o dado é considerado como um dos principais ativos que a organização possui, sendo parte integrante de todos os processos empresariais.

Entre as décadas de 50 e 70, as empresas tinham como seu maior patrimônio as instalações, máquinas do setor de produção e o hardware. Com o avanço tecnológico e a produção de software com qualidade seguindo métodos, ferramentas, procedimentos e com o mercado cada vez mais globalizado, a visão e os objetivos empresariais mudaram, e a gestão do conhecimento por meio do armazenamento e disseminação de dados passaram a ser valorizados (PRESSMAN, 2006).

Conseqüentemente, as empresas começaram as investir em tecnologia e em profissionais capazes de utilizar técnicas para proteger os dados, a fim de agregar valor ao negócio tornando o armazenamento de dados mais confiável. Os dados passaram a ser tratado de forma estratégica, refletindo também a geração de informações importantes para as áreas de negócio e gestão empresarial.

Portanto, é necessário que todas as empresas procurem implantar uma política de segurança adequada e com normas bem definidas, essenciais para atingir o objetivo que se espera, visando proteger a informação e o conhecimento sobre seus negócios e processos.

Os Sistemas Gerenciadores de Banco de Dados (SGBD) possuem mecanismos para administrar todas as bases de dados armazenadas. Estes mecanismos e interfaces dos SGBDs possuem como característica principal a capacidade de organização dos dados, aplicações e pacotes de aplicações que auxiliam na segurança. Isto permite facilitar a administração de dados e do banco de dados por parte do Administrador de Banco de Dados (DBA) e outros profissionais da área.

De acordo com Dewson (2006) as principais ferramentas do SGBD da Microsoft são o SQL Server Databases Services, o Analysis Service, o Reporting Services, Integration Service e a Workstation Components. Tais ferramentas são capazes de administrar o banco de dados com integridade e confiabilidade dos dados. Além disso, permitem gerenciar cópias de segurança criação de usuários e níveis de acesso.

Dewson (2006) descreve ainda que através dessas ferramentas sejamos capazes de criar views de tabelas, roles para permissão de acesso, backup e restore dos dados, enfim manipular todas as informações e realizar ações necessárias para uma administração confiável e segura que um banco de dados necessita.

Outros SGBDs também oferecem interfaces e comandos que facilitam a gerencia dos dados e usuários que acessam as bases de dados, podemos citar alguns exemplo de SGBD como Oracle, MySQl entre outros.

O Oracle possui uma série de ferramentas que possibilitam uma maior segurança do seu SGBD como: Oracle Database Vault, Audit Vault, Label Security, Advanced Security, Advanced Compression e Secure Backup. Essas ferramentas são capazes de administrar e garantir a integridade e confiabilidade de um SGBD líder de mercado no mundo coorporativo.

Para Maj (2005) o MySQL tem por objetivo atingir o mais alto nível de segurança em sua instalação, para que isso possa ocorrer, a instalação deve ser executado em um ambiente chrooted. Os processos armazenados no servidor de banco de dados, devem rodar sobre um UID/GID único, isto é, que não seja utilizado por outros processos de sistema, a segurança nos acesso devem ser feitas apenas por acessos locais ao MySQL e como forma de garantir à integridade do SGBD a conta de root (superusuário) do deve possuir uma senha difícil de ser quebrada.

O DBA tem como premissa principal de segurança renomear a sua conta de acesso e desativar a conta de nobody para que não haja falha no acesso de usuários anônimos ao banco de dados (MAJ, 2005).

Segundo Maj (2005) o MySQL ainda vem com funcionalidades de segurança como o ACID Transctions para construir aplicativos mais seguros e confiáveis para utilização desse SGBD no mercado.

Diante dos recursos e técnicas de segurança desenvolvidas e oferecidas pelos SGBDs, como implementar rotinas de segurança em banco de dados? Deste modo, este trabalho tem objetivo geral realizar uma pesquisa bibliográfica a fim de investigar as melhores práticas utilizadas para a segurança da informação no contexto do gerenciamento de banco de dados. Além disso, este trabalho terá como estudo de caso a implementação de rotinas de segurança em banco de dados seguindo as Normas da Sociedade Brasileiras de Informática em Saúde (SBIS).

Como ferramenta para implementação das rotinas de segurança de dados, esta monografia utilizará o SQL Server 2005, por oferecer todas as funcionalidades necessárias para o desenvolvimento deste trabalho, e por ser o SGBD utilizado pelo autor em sua vida profissional.

referido trabalho terá os seguintes objetivos específicos:

  • Produzir um texto que descreva a segurança em um SQL Server, demonstrando os conceitos existentes em empresas;
  • Descrever como o mercado de Saúde Suplementar está se adequando a uma política de segurança a fim de garantir o que de mais importante para uma organização, ou seja, o valor que tem a informação.

Esta monografia está dividida em cinco capítulos que são expostos de acordo com a importância de cada tópico.

Capitulo 1 é a introdução. Neste capítulo é apresentada a motivação, finalidade e os objetivos específicos deste trabalho.

Capítulo 2 relaciona os conceitos de Segurança da Informação, banco de dados e a origem do SQL Server. Discute também as principais funcionalidades deste SGBD para o gerenciamento da segurança dos dados.

Capítulo 3 descreve as medidas utilizadas para garantir a segurança dos dados de acordo com as normas da Agência de Saúde Suplementar (ANS) seguindo a SBIS.

Capítulo 4 apresenta as técnicas adotadas para garantir a segurança de dados por meio do SQL Server 2005, baseada nas normas descritas no Capítulo 3.

Capítulo 5 faz as considerações finais do trabalho.

REFERENCIAL TEóRICO

Inicialmente o papel da internet era ser um grande fornecedor de dados. Informações financeiras, meteorológicas, educacionais, institucionais, governamentais, além de texto e imagens sobre uma in-finidade de assuntos, são disponibilizados através dos mecanismos de busca atuais. A Internet está em plena evolução, e além de dados, agora ela fornece diversos serviços. Compra e venda de produtos, leilões, transações bancárias e financeiras são apenas alguns exemplos de serviços que já podem ser contratados on line. Na última década, setores da indústria, governo e educação têm tentado estabelecer os padrões para a produção e a utilização desse tipo de serviços na rede, também conhecidos como Web Services.

Nos dois primeiros anos do novo milênio, quando a euforia em torno do e-commerce começou a dar lugar a experiências bem mais modestas do que alardeavam as previsões do final dos anos 90, novas promessas sobre o potencial da Internet começou a ganhar volume. No entanto, os protagonistas dessas novas promessas não foram as ponto-coms e seus propagandistas, mas grandes fornecedores de hardware, software e serviços. O que eles vêm promovendo ultimamente é uma nova abordagem para os sistemas de informação corporativos e que vem sendo proclamada através de uma série de nomes diferentes: a Microsoft a chama de "NET"; Oracle associa-a aos "network services"; IBM identifica-a por "web services"; Sun fala sobre um "ambiente de rede aberto". No entanto, a idéia central dessa nova abordagem é que as corporações logo irão comprar suas tecnologias de informação como serviços providos através da Internet.

Esses serviços, que são genericamente conhecidos por "web services", têm alguns atributos peculiares. Diferentemente dos "web sites" tradicionais, projetados para as pessoas interagirem com informação, os web services conectam aplicações diretamente com outras aplicações. E a idéia básica é que essa conexão se dê sem que seja necessário efetuar grandes customizações nas próprias aplicações. Além disso, uma das premissas fundamentais é que o padrão usado pelas conexões seja aberto e independente de plataforma tecnológica ou linguagens de programação.

Conceitos de Web Services

De acordo com Breitman (2005), não existe uma única definição para esse termo. A seguir listamos algumas que julgamos ser bem esclarecedoras:

Um web service é um aplicativo de software que pode ser acessado remotamente através de diferentes linguagens baseadas em XML. De modo geral, um web service é definido através de uma URL, da mesma forma que qualquer site na Internet. O que distingue um web service é o tipo de interação fornecida (Stephen Potts & Mike Kopack, 2003)

Um web service é um sistema de software identificado através de uma URI cujas interfaces públicas e interconexões são descritas em XML. Sua definição é publicada de modo a po-der ser 'descoberta´ por outros sistemas de software. Web services podem interagir com outros sistemas ou web services do modo prescrito em sua definição, utilizando mensagens baseadas no padrão XML produzidas através de protocolos de Internet (Glossários do W3C).

Web services são um novo tipo de aplicação para a Internet. Eles são autocontidos, autodescritivos, modulares e podem ser publicados, localizados e chamados através da rede. Os web services realizam funções que vão das mais simples até processos de negócio complexos. Uma vez tornado público, outras aplicações (ou web services) podem "descobrir" e fazer uso do mesmo (Tutorial de web services, IBM).

Web service é uma solução utilizada na integração de sistemas e na comunicação entre aplicações diferentes. Com esta tecnologia é possível que novas aplicações possam interagir com aquelas que já existem e que sistemas desenvolvidos em plataformas diferentes sejam compatíveis. Os Web services são componentes que permitem às aplicações enviar e receber dados em formato XML. Cada aplicação pode ter a sua própria "linguagem", que é traduzida para uma linguagem universal, o formato XML (Wikipédia, a enciclopédia livre)

Para as empresas, os web services podem trazer agilidade para os processos e eficiência na comunicação entre cadeias de produção ou de logística. Toda e qualquer comunicação entre sistemas passa a ser dinâmica e principalmente segura, pois não há intervenção humana.

Essencialmente, o Web Service faz com que os recursos da aplicação do software estejam disponíveis sobre a rede de uma forma normalizada. Outras tecnologias fazem a mesma coisa, como por exemplo, os browsers da Internet acedem às páginas Web disponíveis usando por norma as tecnologias da Internet, HTTP e HTML. No entanto, estas tecnologias não são bem sucedidas na comunicação e integração de aplicações. Existe uma grande motivação sobre a tecnologia Web Service, pois possibilita que diferentes aplicações comuniquem entre si e utilizem recursos diferentes.

Um web service, portanto, é um componente de software, ou uma unidade lógica de aplicação, que se comunica através de tecnologias padrões de Internet. Esse componente provê dados e serviços para outras aplicações. Essa tecnologia combina os melhores aspectos do desenvolvimento baseado em componentes e a Web. Como componentes, representam uma funcionalidade implementada em uma 'caixa-preta', que pode ser reutilizada sem a preocupação de como o serviço foi implementado. As aplicações acessam os Web Services através de protocolos e formatos de dados padrões, como HTTP, XML e SOAP.

O que os Web Services Fornecem

O grande entusiasmo acerca da tecnologia de web services é justificado pela promessa de interoperabilidade dos ambientes computacionais. à medida que os computadores vão se tomando presentes não só no ambiente profissional, mas também em nossas casas, a diversidade de ambientes computacionais (sistemas operacionais e aplicativos de software) cresce quase que exponencialmente. A arquitetura de web services é baseada na troca de mensagens XML em um formato específico, portanto:

  • é independente de plataforma;
  • E independente da localidade (do mundo) de onde a mensagem está sendo enviada;
  • é independente da linguagem do aplicativo de software do cliente;
  • Não exige que o cliente saiba que tipo de processador está sendo utilizado pelo servidor.

Os Web Services são identificados por um URI (Uniform Resource Identifier), descritos e definidos usando XML (Extensible Markup Language). Um dos motivos que tornam os Web Services atractivos é o fato deste modelo ser baseado em tecnologias standards, em particular XML e HTTP (Hypertext Transfer Protocol). Os Web Services são utilizados para disponibilizar serviços interativos na Web, podendo ser acedidos por outras aplicações usando, por exemplo, o protocolo SOAP (Simple Object Access Protocol).

Em suma, essa tecnologia realmente habilita a utilização da Internet em nível global. Através de web services cada aplicativo de software na rede tem a potencialidade de "falar" com qualquer ou-tro aplicativo, mesmo que no outro lado do mundo. Se a troca de mensagens entre serviços estiver em conformidade com os protocolos de comunicação estabelecidos, é possível que dois aplicativos possam interagir, independentemente de seu sistema operacional, sua linguagem de programação e protocolos internos.

Objetivos dos Web Services

O objetivo dos Web Services como é a comunicação aplicação para aplicação através da Internet. Esta comunicação é realizada com intuito de facilitar EAI (Enterprise Application Integration), que significa a integração das aplicações de uma empresa, ou seja, interoperabilidade entre a informação que circula numa organização nas diferentes aplicações como, por exemplo, o comércio eletrônico com os seus clientes e seus fornecedores. Esta interação constitui o sistema de informação de uma empresa. E para além da interoperabilidade entre as aplicações, a EAI permite definir um workflow entre as aplicações e pode constituir uma alternativa aos ERP (Enterprise Resource Planning). Com um workflow é possível otimizar e controlar processos e tarefas de uma determinada organização.

Como Funcionam os Web Services

INTEGRAçãO DE SISTEMAS CORPORATIVOS

Introdução

Já faz alguns anos que os gerentes de TI se vêem frente ao desafio de integração das diferentes aplicações corporativas que suportam os processos de negócio nas empresas. Nos últimos anos observou-se um crescimento, sem precedentes, do número de aplicações, sistemas, repositórios de informações que coexistem dentro de uma corporação. Por outro lado, intensificou-se o esforço de integração desses diferentes ativos de sistemas e dados provocados pelos movimentos de integração e racionalização dos processos de negócio, pelas estratégias de relacionamento com clientes e pela necessidade de geração de informações de apoio a tomadas de decisão.

Analisemos o cenário da TI nas empresas na segunda metade dos anos 90. A corrida contra o relógio fez com que as empresas reavaliassem seus antigos sistemas (legados) e os adaptassem ao fantasma do "Ano 2000". Além disso, as novas tendências batiam à porta das corporações: milhões de dólares foram gastos no redesenho dos processos e implantação dos grandes sistemas de gestão empresarial (ERP) e de gerenciamento do relacionamento com clientes. Esses novos conceitos migraram o foco do "gerenciamento de dados" para o "gerenciamento dos processos e clientes". Nesse contexto, a necessidade de integração dos diferentes ambientes, sistemas, plataformas, bases de dados e todos os demais ativos de informação ocupou as mentes dos gerentes de TI. Surgiram com enorme força os conceitos de EAI (Enterprise Application Integration) e as grandes e caras soluções de sistemas de middleware.

No entanto, uma revolução ainda maior ocorria, adicionado mais variáveis à complexa equação da integração de sistemas: a Internet. A possibilidade (ou necessidade) de disponibilizar parte das informações corporativas a usuários ou sistemas que extrapolavam as fronteiras corporativas, fez com que o paradigma se alterasse novamente. O ápice das aplicações cliente-servidor parecia estar com os dias contados. Novos modelos de acesso às informações foram criados, todos baseados em transações leves, através dos novos protocolos da Web. Além disso, novos sistemas foram adicionados ao contexto, entre eles, sistemas mais sofisticados de segurança, aplicativos diversos para intranet e extranet, etc.

é nesse cenário que as empresas se inserem hoje. A diversidade de sistemas coexistindo nas empresas é enorme, indo de grandes pacotes comerciais a aplicações desenvolvidas sob-medida por diferentes "software houses", com diferentes tecnologias (host-centric, cliente-servidor, n-tier, etc), em diferentes plataformas (mainframes, Unix, Windows, etc). Já se verificou que a estratégia mais adequada para as empresas é efetuar uma integração dessas aplicações já existentes ao invés de se tentar uma unificação de ambientes, plataformas e tecnologias, dados ao alto custo, tempo e aos investimentos já realizados com os atuais sistemas. O desafio agora é definir o caminho mais adequado para os projetos de EAI.

As Vantagens da Integração de Sistemas através de Web Services

As soluções tradicionais de EAI provêem uma máquina de integração centralizada e monolítica, que usa tecnologias proprietárias para integrar os sistemas, e adaptadores especializados para conectar fontes de dados e sistemas legados. Essa abordagem monolítica tem as seguintes desvantagens:

  • é dependente de plataforma requerendo uma nova versão tanto da máquina de integração quanto dos adaptadores para cada plataforma a ser suportada ou integrada;
  • Introduz uma linguagem proprietária no "core" da integração;
  • Resulta num único ponto de falha;
  • Provê um método de integração que baseia-se na replicação dos dados dos diversos sistemas ao invés de consolidar os dados das várias fontes.

Além disso, as soluções tradicionais de EAI requerem um investimento inicial substancial, que quando combinado com a complexidade da tecnologia proprietária, gera um alto grau de dependência do fornecedor. Como resultado, o próprio EAI se transforma em mais um sistema legado.

Na verdade, a abordagem dos sistemas tradicionais de EAI, monolíticas e centralizadas, não levam em conta a atual dinâmica imposta pela Internet, onde os sistemas de uma empresa não podem ser isolados do resto do mundo. E nesse contexto, os requisitos de integração se alteram constantemente fazendo com que as soluções tradicionais tornem-se pouco ágeis e caras diante de qualquer alteração demandada. Qualquer nova tentativa de se integrar uma nova tecnologia é quase tão difícil e cara quanto a integração inicial.

No modelo de web services, cada sistema da organização atua como um componente independente na arquitetura de integração. Todas as interfaces, transformações de dados e comunicações entre componentes são baseados em padrões abertos e vastamente adotados, independentes de fornecedores e plataformas.

As vantagens de se utilizar essa abordagem são:

  • Simplicidade: é mais simples de se implementar que as soluções tradicionais que utilizam CORBA ou DCOM;
  • Padrões abertos: utilizam padrões abertos como HTTP, SOAP, UDDI, ao invés de tecnologias proprietárias;
  • Flexibilidade: alterações nos componentes são muito mais simples para o sistema como um todo do que alterações nos adaptadores tradicionais;
  • Custo: as soluções tradicionais são muito mais caras;
  • Escopo: cada sistema pode ser tratado de maneira individual, já que para "componentizá-lo" basta implementar uma camada que o encapsule. Na abordagem tradicional, todos os sistemas devem ser tratados ao mesmo tempo, já que farão parte da mesma solução monolítica de integração.

Interoperabilidade de Web Services

Na prática, web services não são 100% interoperáveis. Ainda existem diversos gaps para realizar a comunicação, mas existe uma organização, a WS-I, que define os padrões de comunicação para padronização de interoperabilidade de web services. No total existem mais de 50 especificações de Web services mantidas por três organizações (W3C, OASIS, WS-I). O WS-Basic profile 1.1 não cobre todas as especificações de web services, mas cobre especificações como SOAP, WSDL, UDDI, XML e HTTP.

Níveis de Acesso

A característica de definição de acesso ao SGBD e as definições de acesso a determinada Tabela de Dados ou a possibilidade de o usuário obter o direto a um Insert, Select e Update e até mesmo Delete é de fundamental importância para que o SGBD se mantenha seguro e confiável no que diz respeito às normas(CFM e SBIS, 2009).

Cada usuário terá um perfil de acesso, indicando os produtos, os arquivos, os aplicativos, as funções dos aplicativos e os dados que podem ser executados, lidos e gravados (UNIMED BRASIL, 2006).

Em conformidade com as regras impostas os aplicativos disponibilizados pela Unimed do Brasil as Unimed que aderiram ao seu sistema de Gestão receberam um sistema com capacidade de cumprir as exigências da TISS segundo a SBIS e o CFM, 2009.

Exemplo de um script de restrição de um Formulário da aplicação para garantir a integridade dos dados do SGBD:

  • SELECT ALL TelosUserUrl.* FROM TelosUserUrl WITH (NOLOCK) WHERE ((TelosUserUrl.Usr = 'Fabricio') AND (TelosUserUrl.Url = 'frm:999000530') AND (TelosUserUrl.Application = 28));
  • UPDATE TelosRole SET TelosUpDt = convert(datetime, '2009-10-24 14:15:36', 120), TelosUpUs = 'Fabricio', Name = 'teste' WHERE ((TelosRole.AutoId = 21));
  • DELETE FROM TelosRoleMenu WHERE ((TelosRoleMenu.Role = 21));
  • INSERT INTO TelosRoleMenu (RegAction, AllowVisualize, RegReport, RegEdit, AllowPrint, RegNew, RegDelete, TelosRgUs, TelosUpDt, AllowSchedule, TelosRgDt, Menu, Role, AllowSearch, AllowNew, TelosUpUs, AllowEdit, AllowSaveOutput, AllowDelete) VALUES (1, 1, 1, 1, 1, 1, 1, 'Fabricio', convert(datetime, '2009-10-24 14:15:36', 120), 1, convert(datetime, '2009-10-24 14:15:36', 120), 1281, 21, 1, 1, 'Fabricio', 1, 1, 1);

Cópias de Segurança e Restauração de Dados

O primeiro produto da parceria SBIS/CFM foi à elaboração da resolução n.° 1639/2002 que aprovou as "Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico", dispondo sobre o tempo de guarda dos prontuários, estabelecendo critérios para certificação dos sistemas de informação e dando outras providências.

Conforme a SBIS e CFM (2009) a resolução CFM n° 1638/2002 define prontuário médico e atribui as responsabilidades por seu preenchimento, guarda e manuseio.

A Resolução CFM n° 1821/2007 aprova as "Normas Técnicas Concernentes à Digitalização e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Prontuários dos Pacientes, Autorizando a Eliminação do Papel e a Troca de Informação Identificada em Saúde".

Essa resolução aprova o Manual de Certificação para Sistemas de Registro Eletrônico em Saúde, versão 3.0 e/ou outra versão aprovada pelo Conselho Federal de Medicina, autoriza a digitalização de prontuários médicos conforme normas específicas e estabelece a guarda permanente para prontuários médicos arquivados eletronicamente, em meio óptico ou magnético e microfilmados, bem como o prazo mínimo de vinte anos para a preservação dos prontuários médicos em suporte de papel (SBIS e CFM, 2009).

De acordo com a SBIS e CFM, (2009) os backups ou a cópia de segurança devem ser feita cópia de segurança dos dados do prontuário pelo menos a cada 24 horas. Recomenda-se que o sistema de informação utilizado possua a funcionalidade de forçar a realização do processo de cópia de segurança diariamente. O procedimento de back-up deve seguir as recomendações da norma ISO/IEC 17799, através da adoção dos seguintes controles:

  • Documentação do processo de backup/restore;
  • As cópias devem ser mantidas em local distante o suficiente para livrá-las de danos que possam ocorrer nas instalações principais;
  • Mínimo de três cópias para aplicações críticas;
  • Proteções físicas adequadas de modo a impedir acesso não autorizado;
  • Possibilitar a realização de testes periódicos de restauração.

Seguindo as normas da SBIS e da Unimed do Brasil elaboramos um descrição da rotina implementada na Unimed Além Paraíba para a realização e acompanhamento dos Backups e Restores como segue:

Para garantir à integridade do backup e dos dados (arquivos, sistemas, banco de dados, e-mail, etc.) nos servidores, quando houver necessidade de executar os processos após os horários estipulados no item anterior, as áreas comunicam ao profissional de TI até as 18h00min.

A IMPLEMENTAçãO DAS PRáTICAS DE SEGURANçA DE DADOS PERVISTAS NA SBIS USANDO O SQL SERVER 2005

A partir das normas e práticas mencionadas no Capítulo 3, este capítulo descreve a implementação da segurança de dados em SQL Server 2005, a fim de demonstrar como atender as exigências que o mercado de Saúde Suplementar, respeitando as resoluções do CFM e da SBIS.

Inicialmente, será criado um banco de dados de exemplo com nome de CFMSBIS09 e as algumas tabelas como Beneficiário, ModuloBeneficiário e Pessoa, tem por objetivo a breve apresentação de um modelo de Bancos de Dados explicando brevemente cada um dos princípios do CFM e SBIS.

Como a criação de Login com a permissão de leitura e a impossibilidade de roles de escrita no SBGBD.

Criação de Logins

Um dos primeiros passos para acessar o banco de dados CFMSBIS09 é a criação de um login que possa ter acesso a todas as tabelas e seus dados.

Conforme Script-2, segue a sintaxe de na linguagem Transact-sql para a criação do logins de acesso para utilização desse usuário ao SGBD e conseqüentemente ao Banco de dados CFMSBIS09.

CREATE USER [Fabricio] FOR LOGIN [Fabricio]

Caso haja necessidade de criar uma senha para o usuário Fabricio, o qual foi criado com objetivo de somente ter acesso ao Banco de Dados CFMSBIS09 e não ao SGBD, pode ser feito por meio da execução do comando abaixo:

Nota-se que a senha anterior desse usuário estava em branco, é aconselhável que você crie uma senha segura e que não esteja em branco já que a prática de segurança descrita nos Manuais online do SQL Server recomenda que não seja criado usuário de um SGBD em branco, evitando assim que Worms, Hackers se utilizem essa conta para acessar o SGBD.

Esta falta de atenção, caso exista por parte do DBA, se opõe às normas de segurança do CFM e SBIS quanto a Confiabilidade, Integridade e Disponibilidade dos dados confidenciais dos beneficiários registrados nos SGBD´s das Operadoras de Plano de Saúde.

Criação de Níveis de Acesso

O SQL Server 2005 consegue realizar inúmeros controle capazes de garantir que o sistema fique mais seguro conforme descreve Pichiliani (2003) que os níveis de permissões que podem ser atribuídas aos usuários, permitem um controle e gerenciamentos dos dados e objetos de maneira mais específica sobre as tabelas , dados , e a utilização de sintaxe de comandos que podem garantir ou inviabilizar a segurança de dados contidos no SGBD , desse modo podemos então afirmar que a criação dos níveis de acesso para os usuário é de extrema importância , já que a normal do CFM e da SBIS preconiza que todos os sistemas precisam garantir a confiabilidade, integridade e disponibilizar , consideramos que a melhor maneira quanto ao acesso ao banco de dados por parte dos usuários do sistema de gestão das Operadoras e mesmo aqueles que utilizam de alguma forma o SGBD para relatórios , consultas via Transact-sql , precisam estar em ressonância com as normas aplicadas pelo DBA visando garantir a segurança.

A criação dos níveis de acesso no SQL Server 2005 passa pela criação de Schemas e Roles de controles , continuaremos demonstrando como realizar esses controles , utilizando o nosso banco de CFMSBIS09 para criação de Schemas e Roles de acesso ao SGBD.

Como exemplo e atribuição de esquemas, os usuários abaixo terão acesso aos SCHEMAS como db_securityadmin,db_datareader,db_datawriter, os quais permitem ao usuário gerenciar permissões e roles , ler e modificar todas as tabelas do SGBD :

  • ALTER AUTHORIZATION ON SCHEMA::[db_securityadmin] TO [Fabricio]
  • ALTER AUTHORIZATION ON SCHEMA::[db_datareader] TO [Fabricio]
  • ALTER AUTHORIZATION ON SCHEMA::[db_datawriter] TO [Fabricio]
  • GRANT ALTER ON SCHEMA::[db_datareader] TO [Fabricio]
  • GRANT EXECUTE ON SCHEMA::[db_datareader] TO [Fabricio]

Além disso, é possível dar as permissões de GRANT e DENY para permitir ou negar uma determinada permissão desses usuários quanto à utilização de comandos através da sintaxe Transact-sql, como segue:

  • GRANT INSERT ON SCHEMA::[db_datareader] TO [Fabricio]
  • GRANT SELECT ON SCHEMA::[db_datareader] TO [Fabricio]
  • GRANT UPDATE ON SCHEMA::[db_datareader] TO [Fabricio]
  • DENY DELETE ON SCHEMA::[ db_datawriter ] TO [Fabricio]

Essas características de definição de acesso ao SGBD e as definições de acesso a determinadas Tabelas de Dados ou a possibilidade dos usuários de obterem diretos a executar comando de Insert, Select ,Update e Delete é de fundamental importância para que o SGBD se mantenha seguro e confiável no que diz respeito às normas do CFM e SBIS.

Criação da Rotina de Cópias de Segurança

Uma das principais atribuições de um DBA é zelar pelo bom funcionamento do SGBD e pela sua integridade e segurança dos dados, de nada adianta uma política de segurança bem definida se o DBA não utilizar de forma correta a tarefa de Backup e Restaure.

Conforme descreve Battisti (2005) a informação é o bem mais valioso da sua empresa e estando estas informações armazenadas no banco de dados da empresa, é de fundamental importância que tenhamos uma estratégia bem definida de proteção deste bem, devemos nos preocupar não somente com as perdas, mas também com acesso indevido ou até mesmo com o roubo de informações.

O SQL Server 2005 oferece quatro métodos de Backups e cada método possui características e dependências específicas, que são utilizadas pelo DBA para decidir quando cada um será utilizado na sua política de backup.

Estes métodos são:

  • Full Backup;
  • Differential Backup;
  • Transaction Log Backup;
  • Filegroup Backup;

Para garantir que a norma do CFM e da SBIS seja atendida temos que realizar backups de dados periodicamente de todos os Bancos de Dados do SGBD, para isso será utlizado como exemplo a sintaxe de comando de um método de backup que é o Full Backup, sempre usando como exemplo o nosso banco CFMSBIS09.

Segue abaixo a sintaxe básica para a criação de um backup full,ou seja , backup completo do banco de dados:

USE CFMSBIS09;

Restauração do Banco de Dados

A restauração de um banco consiste, basicamente, em operações que recriam os objetos da base de dados até um ponto específico no tempo.Este ponto é o momento em que a criação do backup foi realizada e finalizada e que diferente da criação do backup, o processo de restauração é seqüencial.

Uma observação importante que deve ser considerada é que durante todo o processo de restauração, o banco fica inacessível para todos os usuários e volta a se tornar acessível no momento em que o banco estiver no estado Restored , ou seja, quando o backup já está restaurado.

O SQL Server 2005 oferece duas formas para a restauração de backup: através do SQL Server Management Studio ou usando comandos Transact-SQL. Em ambos os casos, é possível restaurar todos os tipos de backups.

O SQL Server 2005 através da interface gráfica possibilita ao DBA de realizar um restore de um banco de dados de forma mais simples e sem a necessidade de conhecimento em Transact-SQL para se utilizar o SQL Server Management Studio.

As normas do CFM e a SBIS recomenda que todo o sistema de informação utilizado possua a funcionalidade de forçar a realização do processo de cópia de segurança diariamente e que sejam feitos teste de restore a cada 30 dias. O SQL Server 2005 é uma ferramenta capaz de cumprir essas normas, esse sistema é adotado por inúmeras operadoras de plano de saúde garantindo assim o cumprimento as leis e normas as quais estão submetidas. Por meio dos comandos da linguagem Transact-SQL pode-se realizar restore e backup. Mas existe também a possibilidade através do SGBD de criarmos agendamento desses serviços utilizando os JOBs , ou seja, trabalhos agendados pelo SGBD para que a realização de backups e esses devem ser realizados em horários em que o sistema é menos utilizado.

Assim como no processo de backup , o processo de restore no SQL Server 2005 oferece quatro métodos de Restore. Estes métodos restauram os seguintes tipos de backup:

  • Full Backup;
  • Differential Backup;
  • Transaction Log Backup;
  • Partial Backup.

Utiliza-se o método de restore do Backup Full para restaurar com segurança o backup que criamos através do método de backup e para isso utilizarei o nosso banco de dados de exemplo o CFMSBIS09.

CONSIDERAçõES FINAIS

No desenvolvimento desse trabalho foi notada a importância de ser adequar às normas do Conselho Federal de Medicina (CFM) e da Sociedade Brasileira de Informática em Saúde (SBIS) se utilizando de recursos tecnológicos existentes no mercado, o que antes eram bem menos acessíveis e de difícil acesso.

Através do aprofundamento dos conceitos de segurança utilizando o SQL Server 2005 pode-se concluir que esse documento leva ao DBA, mais especificamente para os DBA´s de uma operadora de plano de saúde as diretrizes de como se adequar, quais controles e configurações devem ser feitas no SGBD e também na cultura da empresa quanto a política de segurança da informação para garantir a integridade e disponibilidade dos dados.

Vale observar que para gerar uma política de segurança satisfatório na empresa é necessário evolver o elo mais fraco, que é o ser humano, e de nada adianta uma política de segurança bem implementada se os que dela se utilizam não o fazem como deveriam.

Muitos empresários vêem a segurança da informação como gastos, tendência de mercado e outros para serem vistos como visionários e estarem à frente da concorrência, mas o que realmente importa e desejam é não perder recursos financeiros e se para isso for preciso investimento em segurança, que seja feita a vontade do DBA de sua empresa.

Em todo o processo de criação dessa política de segurança deve-se envolver os conhecimentos técnicos do DBA e estar sempre em sintonia com os usuários dos sistemas, já que estes são o elo importante para o aprimoramento e continuidade da segurança da informação.

Quanto ao SGBD da Microsoft, alvo principal desse estudo a fim de se atender as normas do CFM e da SBIS, pode-se considerar que atualmente o SQLServer 2005 é capaz de contribuir para um resultado mais dinâmico e veloz na busca por informações nos níveis táticos e estratégicos. Tais informações são fundamentais para as empresas se manterem atualizadas no mercado cada vez mais globalizado e sem fronteiras.

é importante ressaltar também que o SQL Server 2005, em comparação com outros bancos existentes no mercado como Oracle, Mysql, Postgres, possui mecanismos de segurança muito eficazes, sendo mais fácil de ser configurado.

Em fim a política de segurança numa organização é essencial para mante-lá segura, já que com essa polícia bem implementada, ainda assim não pode garantir 100% de segurança, imagine sem ela a falta de segurança seria ainda maior.

Considera-se ainda, que o SQL Server 2005 possui recursos de segurança suficientes para que os usuários possam seguir corretamente as regras impostas pelo DBA e que se essas regras forem deixadas em segundo plano podem vir a surgir problemas que certamente levarão as empresas a um prejuízo de ordem intelectual, estratégico e financeiro incalculável.

Por fim as empresas devem acompanhar a evolução tecnológica, mas sem se esquecer da segurança que garantirá a continuidade do negócio e não se limitando a soluções paliativas de problemas isolados, deve investir em uma política de segurança contínua protegendo o bem mais valioso que é a informação.

REFERêNCIAS

  • ANS - Resolução Normativa n°. 153, 2007. Disponível em <http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/rn153.pdf>. Acessado em: 15 de Agosto de 2009.
  • Battisti, Júlio. SQL Server 2005 Administração & Desenvolvimento Curso Completo. Tradução: Gisella Narcisi. 1. ed. Rio de Janeiro: Axcel Books, 2005.
  • Brazão, Adriano. Administrando a segurança no SQL Server - parte I - Básico, 2009. Disponível em <http://www.bf.com.br/a rtigo_details.aspx?ID=129>. Acessado em: 29 de Agosto de 2009.
  • Chapple, Mike. Microsoft SQL Server 2008 para Leigos For Dummies. Tradução: Lia Gabrieli. 1. ed. Rio de Janeiro: Alta Books,2009.
  • Dewson, Robin. SQL Server 2005 para Desenvolvedores do Iniciante ao Profissional. Tradução: Betina Macedo. 1. ed. Rio de Janeiro: Alta Books,2006.
  • SITES PESQUISADOS:

  • http://www.developer.com/services/
  • http://www.webservicesarchitect.com/
  • http://www.w3.org/2002/ws/
  • http://en.wikipedia.org/wiki/List_of_Web_service_specifications
  • http://www.dextra.com.br/empresa/artigos/webservices.htm
  • Enclicopédia Livre, Wikipédia, Web service, 2009. Disponível em <http://pt.wikipedia.org/wiki/Web_service> Acessado em: 28 de Dezembro de 2009.
  • FERREIRA, Adriana, Principais Características do PostgreSQL, 2004. Disponível em < http://www.sqlmagazine.com.br/Artigos /Postgre/01_Caracteristicas.asp>. Acessado em: 25 de Setembro de 2009.
  • Leão, Beatriz de Faria, Alves, Cláudio Giulliano da Costa e Silva da, Marcelo Lúcio e Galvão, Stanley da Costa. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-Res), 2009. Disponível em <http://www. cfo.org.br/download/pdf/manual_certificacao_sbis-cfm_2009_v3-3.pdf>. Acessado em : 15 de Agosto de 2009.
  • Paiva Pontes, Herleson - Criação e Restauração de Backup no SQL Server 2005 Parte I, 2008. Disponível em <http://www.devmedia.com.br/articles /viewcomp.asp?comp=4417>. Acessado em: 19 de Setembro de 2009.
  • Paiva Pontes, Herleson - Criação e Restauração de Backup no SQL Server 2005 Parte Ii, 2008. Disponível em <http://www.devmedia.com.br/articles /viewcomp.asp?comp=6193> Acessado em: 19 de Setembro de 2009.
  • Paiva Pontes, Herleson - Criação e Restauração de Backup no SQL Server 2005 Parte III, 2008. Disponível em http://www.devmedia.com.br /articles/viewcomp.asp?comp=6323 - Acessado em: 19 de Setembro de 2009.
  • FREITAS, Andrey, A história do SQL server - Disponível em <http://sqlserversecurity.blogspot.com/>. Acessado em: 15 de Agosto de 2009.
  • Resolução CFM n° 1.638/2002, 2002. Disponível em <http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm>. Acessado em: 17 de Outubro de 2009.
  • Resolução CFM n° 1.639/2002, 2002. Disponível em <http://www.portalmedico.org.br/resolucoes/cfm/2002/1639_2002.htm>. Acessado em 19 de Setembro de 2009.
  • Resolução CFM n° 1.821/2007, 2002. Disponível em <http://www.portalmedico.org.br/resolucoes/cfm/2002/1621_2007.htm>. Acessado em: 17 de Outubro de 2009.
  • Revista SQL Magazine Edição 22 - Backup, 2005. Disponível em <http://www.devmedia.com.br/articles/viewcomp.asp?comp=5900>.Acessado em :08 de Agosto de 2009.
  • Revista SQL Magazine Edição 23 - Segurança no MySQL, 2005. Disponível em <http://www.devmedia.com.br/articles/viewcomp.asp?comp=6019&hl=> Acessado em: 31 de Outubro de 2009.
  • Revista SQL Magazine Edição 29 - Oracle Fashback, 2006. Disponível em < http://www.devmedia.com.br/articles/viewcomp.asp?comp=6622>.Acessado em: 08 de Agosto de 2009.
  • Revista SQL Magazine Edição 59 - SQL Server e Oracle, 2008. Disponível em < http://www.devmedia.com.br/articles/viewcomp.asp?comp=11064>.Acessado em: 08 de Agosto de 2009
  • Rosa, Adriana - Conceito sobre Banco de Dados, 2008. Disponível em <http://www.adrianorosa.com/artigos.asp?categoria=banco%20de%20dados&cod=495548&artigo=conceito-sobre-banco-de-dados > Acessado em: 08 de Agosto de 2009.
  • Sêmola, Marcos. Como será nossa relação com a informação em 2019?, 2009. Disponível em < http://www.semola.com.br/disco /Coluna_IDGNow_107.pdf>. Acessado em: 29 de Agosto de 2009.
  • Sêmola, Marcos. Em segurança da informação, menos pode ser mais, 2006. Disponível em < http://www.semola.com.br/disco /Coluna_IDGNow_77.pdf>. Acessado em: 29 de Agosto de 2009.
  • Sêmola, Marcos. Segurança em aplicações public key infrastruture ready, 1999. Disponível em < http://www.semola.com.br/disco /Coluna_IDGNow_14.pdf>. Acessado em: 29 de Agosto de 2009.
  • Sêmola, Marcos. Segurança tolerância zero, 2006. Disponível em < http://www.semola.com.br/disco/Coluna_IDGNow_72.pdf>. Acessado em: 29 de Agosto de 2009.
  • Sêmola, Marcos. Segurança: muito mais do que tecnologia, 2000. Disponível em < http://www.semola.com.br/disco/Coluna_IDGNow_18.pdf>. Acessado em: 29 de Agosto de 2009.
  • Site Oficial da Microsoft, Aprimorando a Segurança de Dados por meio do SQL Server 2005, 2009. Disponível em <http://technet.microsoft.com/pt-br/library/bb735261.aspx> Acessado em: 19 de Setembro de 2009.
  • Vieira, Luiz - Segurança da Informação: necessidades e mudanças de paradigma com o avanço da civilização, 2009. Disponível em <http://imasters.uol.com.br/artigo/13075/seguranca/seguranca_da_informacao_necessidades_e_mudancas_de_paradigma_com_o_avanco_da_civilizacao/>. Acessado em: 25 de Setembro de 2009.
  • Wolf Oselka, Gabriel E Lipke, Ana Maria Cantalice. Resolução CFM N° 1331/89, 2002. Disponível em <http://www.conarq.arquivonacional.gov.br /cgi/cgilua.exe/sys/start.htm?infoid=155&sid=55>. Acessado em: 22 de Agosto de 2009.
  • Zapater, Márcio e Suzuki, Rodrigo. Segurança da Informação, 2005. Disponível em <http://www.promon.com.br/portugues/noticias/download /Seguranca_4Web.pdf>. Acessado em: 08 Agosto de 2009.

Writing Services

Essay Writing
Service

Find out how the very best essay writing service can help you accomplish more and achieve higher marks today.

Assignment Writing Service

From complicated assignments to tricky tasks, our experts can tackle virtually any question thrown at them.

Dissertation Writing Service

A dissertation (also known as a thesis or research project) is probably the most important piece of work for any student! From full dissertations to individual chapters, we’re on hand to support you.

Coursework Writing Service

Our expert qualified writers can help you get your coursework right first time, every time.

Dissertation Proposal Service

The first step to completing a dissertation is to create a proposal that talks about what you wish to do. Our experts can design suitable methodologies - perfect to help you get started with a dissertation.

Report Writing
Service

Reports for any audience. Perfectly structured, professionally written, and tailored to suit your exact requirements.

Essay Skeleton Answer Service

If you’re just looking for some help to get started on an essay, our outline service provides you with a perfect essay plan.

Marking & Proofreading Service

Not sure if your work is hitting the mark? Struggling to get feedback from your lecturer? Our premium marking service was created just for you - get the feedback you deserve now.

Exam Revision
Service

Exams can be one of the most stressful experiences you’ll ever have! Revision is key, and we’re here to help. With custom created revision notes and exam answers, you’ll never feel underprepared again.