José Matias

José Matias e Bruno Zani* 

Nunca se falou tanto da importância em manter a integridade das informações como nos dias atuais. O banco de dados ou a base de dados de uma organização são fatores essenciais para os negócios. Isso independe do tamanho da empresa, pois o valor de uma informação pode ser até imensurável e tornar-se fator decisivo para o sucesso ou fracasso de uma operação.

Pois, normalmente as bases de dados armazenam as informações mais importantes dentro de uma corporação, mas nem sempre a preocupação com segurança se iguala à importância desses ativos.  Essa base reúne informações que se relacionam e podem ser armazenadas, classificadas, modificadas, atualizadas e recuperadas. Mas esta facilidade também pode reservar surpresas, caso esses arquivos sejam manipulados ou protegidos de forma incorreta.

Por isso, um plano de segurança para as bases de dados é essencial principalmente pela importância e necessidade de disponibilidade dessas máquinas. Essa ação deve incluir estratégias de auditoria, correções de vulnerabilidades, monitoramento e recuperação de desastre em um caso de falha. Porém, muitas empresas nem sequer possuem uma adequada política de proteção para esses ativos tão importantes.

São diversos os motivos que dificultam a execução de políticas de segurança para mitigar riscos nesse tipo de aplicação. Dentre os principais podemos citar a criticidade de aplicação, já que muitas vezes os bancos de dados têm pouquíssimas janelas de manutenção, o que impossibilita aplicação de correções (patches) ou contramedidas de proteção.

Outra razão são as aplicações customizadas. Em geral essas plataformas desenvolvidas internamente requerem versões específicas do banco de dados, e o ciclo de testes da aplicação para adequação a uma nova versão requer uma janela de manutenção e um tempo que geralmente não está disponível em ambientes tão críticos.

Normalmente, em ambientes de alto risco e grande criticidade para a empresa, aplica-se a regra de “Separation of duties”, regra essa que geralmente não é utilizada nas bases de dados. Em consequência, o que
ocorre na prática é que o DBA (Database Administrator) costuma ser o responsável por  todas as ações executadas na base de dados, centralizando todo o acesso a esse ativo.

A falta de medidas de segurança nesses dispositivos expõe o ambiente a diversos riscos, dentre eles podemos destacar o acesso não autorizado, vulnerabilidades de aplicação (MS SQL, Oracle, DB2, etc.) de código, falha de conformidade a normas regulatórias (SOX, PCI, HIPAA), ataques de injeção de código (SQL Injection), fuga de informações confidenciais (números de cartão de crédito, registros de clientes, patentes, dentre outros).

Muitas empresas pensam como camadas de proteção as bases de dados. Porém, essa proteção está baseada unicamente em controles de perímetro, tais como: IPS e firewall de aplicações e autenticação segura. Isto não deixa de ser necessário, pois se trata de uma importante camada de segurança, mas nesse caso não podemos esquecer de alguns controles  devem ser executados diretamente nas bases de dados:

É importante ressaltar o monitoramento efetivo de todas as ações realizadas nas bases de dados. Devido à grande massa de dados nessas aplicações, esse tipo de monitoramento na maioria das vezes só é possível utilizando ferramentas adicionais aos controles nativos das ferramentas de bases de dados.  

Além disso, um plano de checagem de vulnerabilidades é essencial, e a checagem tradicional com ferramentas que apenas avaliam as falhas no sistema operacional e na aplicação não é suficiente, pois algumas distorções  são inerentes apenas à aplicação de dados, tais como: senhas fracas, códigos PL/SQL vulneráveis, funcionalidades não utilizadas, usuários com senha-padrão da aplicação e descoberta de dados sensíveis.

No lano de segurança, a criptografia é uma importante aliada, porém deve ser feita com cuidado, pois como qualquer criptografia de grande massa de dados pode criar alguma indisponibilidade ou impacto de performance nas bases. Há aqui um desafio complexo a ser enfrentado, pois ele é um passo indispensável e muitas vezes necessário para a conformidade a diversas normas regulatórias. Com essa necessidade de adequação às normas de mercado, a auditoria de segurança é mais um passo a ser seguido, para garantir que as medidas criadas no plano de segurança estão efetivamente sendo cumpridas.

Atualmente, o mercado possui muitas alternativas que podem ajudar na segurança da base de dados. Todas as proteções são necessárias, porém nenhuma solução funciona bem se não estiver apoiada em uma boa política de segurança. Esta deve incluir  os ativos de base,  prever algumas ameaças e fazer a proteção dos dados,  antes mesmo que a ameaça seja direcionada à companhia. Com medidas proativas e contramedidas para eventuais ataques, garantimos um ambiente mais seguro e de acordo com as normas que regulam o mercado corporativo.

*José Matias Neto, gerente de Suporte Técnico da McAfee para a América Latina, é gerente para clientes corporativos da McAfee do Brasil desde 2003. Há onze anos, o executivo iniciou sua trajetória na companhia como responsável pela área de Pré-vendas. 

Com experiência de 16 anos no mercado de segurança da informação, participou da elaboração de políticas de segurança de diversos bancos no Brasil e na América Latina. Também exerceu o cargo de analista na revenda Hitech, representando empresas como Check Point, ISS (adquirida pela IBM), RSA, Watch Guard e Stone Software.

O executivo é graduado em Engenharia de Computação pela Escola Politécnica da USP e possui MBA em Gestão de Empresas pela FGV, além de possuir diversas certificações técnicas, como Sniffer e Microsoft.  Atualmente também ministra aulas sobre segurança física e lógica de redes na UNIP – Universidade Paulista.

*Bruno Zani é Engenheiro de Sistemas da McAfee do Brasil. Formado em Ciências da Computação pela Faculdade Centro Universitário Nove de Julho, possui experiência de quase dez anos no mercado de TI. O profissional, que ingressou na McAfee em 2001, atualmente é responsável pela apresentação das soluções corporativas McAfee, dimensionamento de equipamentos e desenho de projetos de soluções de segurança da informação, em proteção de redes e endpoints (terminais). Zani também ministra treinamentos na área, principalmente sobre as tecnologias IPS e Endpoint Security.