Auditoria em Bancos de Dados Relacionais

I. �� Introdu��o

�

�� Com o surgimento dos sistemas computacionais as empresas passaram a confiar seus dados � �rea de tecnologia da informa��o. Ela se tornou respons�vel pela prote��o e garantia da consist�ncia dos dados.

�� Como essas informa��es ficam armazenadas no banco de dados, ele � o ponto de partida para iniciar uma auditoria ou confer�ncia, nos dados recebidos e enviados pelas aplica��es e sistemas corporativos.

��

�

A. Metodologias para auditoria em bases de dados

�

�� Uma das fun��es da auditoria � monitorar quando e como o dado foi inserido, a fim de prevenir e detectar problemas no cumprimento das regras de neg�cio. Pode-se definir tabelas para armazenar logs com informa��es a respeito da utiliza��o das bases de dados. Isso vai crescer � medida que o banco for sendo utilizado e os auditores poder�o definir quais tabelas, colunas, etc, valem a pena ser revisados, de acordo com as necessidades da empresa. As metodologias para auditar bases de dados podem ser desenvolvidas pela pr�pria empresa. De acordo com suas caracter�sticas, elas se dividem em dois grupos: tradicional e exclus�o de riscos.

��

�� Metodologia tradicional

�� Com o aux�lio de uma lista de confer�ncia (checklist) o auditor obt�m informa��es a respeito da pol�tica de bancos de dados, no que diz respeito aos usu�rios de acesso, permiss�es, autoriza��es etc, permitindo a identifica��o de falhas. Exemplo de itens que podem fazer parte de um checklist de auditoria:�

�

�� As responsabilidades de administra��o das bases de dados est�o definidas e documentadas?
�� S�o utilizados dispositivos de seguran�a e procedimentos de autoriza��o de acesso aos dados da base?

�� Existe um controle sobre as mudan�as realizadas na base de dados?

�� O desempenho do banco de dados � analisado?

�� O sistema � monitorado?

�� As atividades s�o armazenadas em log para an�lise?

�� O processo de instala��o e configura��o do Sistema � Gerenciador de Banco de Dados (SGBD) foi feito de acordo com as normas de seguran�a conhecidas?

�� Existem procedimentos de backup e restore das bases de dados?

�� Enfim, o checklist deve conter quest�es relacionadas �s atividades que devem ser desempenhadas para garantir a seguran�a e consist�ncia dos dados. � uma confer�ncia dos procedimentos que est�o ou n�o sendo feitos.

�

�� Exclus�o de riscos

�

�� Essa metodologia tem a caracter�stica principal de identificar os riscos que correm uma base de dados, a fim de elimin�-los ou diminu�-los. Consiste em identificar o objetivo do controle e definir t�cnicas para que seja alcan�ado. Por exemplo, no caso de o objetivo ser a preserva��o da confiabilidade dos dados, as t�cnicas para alcan�ar esse objetivo poderiam ser descritas com base no estabelecimento de perfis de tipos de usu�rios e privil�gios necess�rios para controlar o acesso as bases de dados.

�� Cada objetivo pode ter v�rias formas de ser alcan�ados, ou seja, podemos definir v�rias t�cnicas para alcan�ar um objetivo. Essas t�cnicas podem ser preventivas ou corretivas.

�� A partir dos objetivos identificados e das t�cnicas descritas para cada um, � poss�vel verificar se realmente funcionam atrav�s das provas de cumprimento. Dependendo do resultado, pode ser necess�ria a comprova��o de outros pontos atrav�s de outras provas, como a prova substantiva.

�� Todos os respons�veis e envolvidos das �reas afetadas pela avalia��o de riscos devem conhecer o resultado e conclus�es das provas, do resultado da auditoria. O auditor � o respons�vel por documentar as situa��es, os riscos e os problemas que identificou nos processos descritos.��

�

B. Ciclo de vida de uma base de dados

�

�� O ciclo de vida de uma base de dados compreende toda a parte de an�lise at� sua implementa��o. Vejamos algumas dessas fases:

�

�� Estudo pr�vio e planejamento

�

�� Esta fase � importante e necessita de um estudo tecnol�gico de viabilidade onde se contemplem distintas alternativas para alcan�ar os objetivos do projeto acompanhados de uma an�lise de custo-benef�cio para cada uma das op��es. Deve-se levar em conta a alternativa de n�o se levar a frente o projeto, assim como a diferen�a entre comprar um produto j� existente no mercado, com suas caracter�sticas e solu��es prontas ou desenvolver uma nova aplica��o.

�� O auditor deve comprovar que a dire��o da empresa possui informa��es de estudos de viabilidade e que � ela quem decide desenvolver ou n�o o projeto. Apenas o conhecimento dos t�cnicos n�o � suficiente para se levar um projeto � frente. Precisa ter respaldo da Diretoria ou corre o risco de fracassar.

�� O COBIT (Control Objectives for Information and related Technology), um conjunto de informa��es e ferramentas para pr�ticas de gest�o, apresenta a import�ncia da gest�o de riscos, informando que � fundamental o plano-diretor e que o auditor � o respons�vel por verificar se ele est� sendo seguido dentro dos procedimentos de gest�o aprovados na organiza��o.

�� Outras atividades que devem ser documentadas s�o as dos administradores de dados e dos administradores das bases de dados. Podem at� ser feitas pela mesma pessoa, mas devem ser divididas por fun��es e novos controles alternativos devem ser desenvolvidos.

��

As bases de dados e sele��o da equipe

�

As bases de dados s�o constru�das a partir de diagramas e informa��es coletadas dos futuros usu�rios dos sistemas que v�o manipular os dados. Tudo deve ser documentado de acordo com os padr�es definidos pela empresa. Os auditores verificam que muitas vezes, essas atividades s�o deixadas para depois, gerando um custo maior do que se tivessem sido feitas realmente na fase inicial do projeto. Para identificar isso, ele deve conhecer os padr�es da empresa no que diz respeito � documenta��o e comprovar se foram corretamente utilizados. Como j� sabemos, uma documenta��o de banco de dados deve conter no m�nimo um modelo l�gico e f�sico, e desej�vel que contenha o conceitual tamb�m. �

O COBIT sugere que a �rea de tecnologia tenha bastante cuidado para escolher os softwares e a equipe que vai administrar os bancos de dados. Eles devem conhecer as ferramentas e estas, por sua vez, precisam atender �s expectativas t�cnicas desenhadas nos modelos de dados. Aqui vemos outra import�ncia da modelagem.

�

�� Os diagramas e o conte�do das bases de dados

�

O auditor vai analisar se a situa��o atual das bases de dados est� de acordo com o que foi apresentado nos diagramas: defini��es de dados, estruturas, relacionamentos, restri��es e armazenamento. Todos os tipos de objetos ser�o avaliados: tabelas, �ndices, vis�es...

Os dados cadastrados pelos usu�rios tamb�m v�o ser auditados, a fim de verificar se o banco de dados os trata e armazena da forma como foi especificado. � uma forma de conferir, tamb�m, o papel dos usu�rios na manuten��o da consist�ncia e integridade dos dados.

�

�� Manuten��o

�

�� Essa fase confirma que houve um bom desenvolvimento do que j� foi definido para as bases de dados, que os t�cnicos est�o prontos para constru�-las e os usu�rios prontos para us�-las de maneira adequada.

�� Aqui s�o definidos os comportamentos que cada um deve ter para manter as bases de dados �ntegras e seguras.

��

�� Revis�o p�s-implanta��o

�

�� Por falta de tempo ou recursos, algumas empresas n�o estabelecem um plano de revis�o ap�s a implanta��o de bases de dados. Seria interessante se pudessem verificar se obtiveram os resultados esperados, se as necessidades dos usu�rios foram satisfeitas ou se os custos-benef�cios coincidiram com as previs�es.

�

C. A auditoria

�

Antes de iniciar, o auditor deve conhecer o SGBD em uso para que possa identificar como podem ser mantidas a integridade, seguran�a e controle dos dados inseridos nas bases. Deve tamb�m estudar o neg�cio da aplica��o, entender o papel de cada objeto do banco de dados e sua utilidade no contexto.

Alguns softwares de auditoria podem ser usados para facilitar o trabalho do auditor. Eles extraem dados das bases, mostram o caminho das transa��es, etc. Outros sistemas monitoram e otimizam as bases de dados, facilitando a resolu��o de problemas principalmente de performance.

�

D. Conclus�o

�

�� O ponto-chave para construir bases de dados �ntegras e seguras � correlacionar as informa��es de usu�rios, analistas de sistemas, programadores, administradores de dados e administradores de bancos de dados, de forma a documentar o desenvolvimento para todas as partes envolvidas. A equipe deve ser treinada para usar os softwares escolhidos e deve compreender as regras de neg�cio que ser�o responsabilidade do SGBD ou da aplica��o. Os erros dos usu�rios devem ser previstos e testados. O gerenciamento de riscos � importante para identificar falhas em todas as atividades ligadas aos bancos de dados.

�

II. � Refer�ncias

�

[1]http://www.das.ufsc.br/~wangham/segurancaBD/ListaVerificacaoBancoDados.pdf - em 23/05/2009.

[2]http://www.scribd.com/doc/280066/Auditoria-base-de-datos - em 26/05/2009.

[3] http://www.inf.ufsc.br/erbd2008/artigos/17.pdf - em 26/05/2009.

�

Confira outros conte�dos:

SQL SUM: somando os valores de uma...

SQL: INNER JOIN

SQL: Introdu��o ao Where

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Priscila Em 2010

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso