Por fim, será exemplificado o funcionamento da auditoria através de três exemplos: Auditoria de Banco de Dados, Auditoria de valores e Auditoria Fine Grained Auditing.
A discussão sobre auditoria é muito útil em situações em que se faz necessário identificar possíveis ações, maliciosas ou acidentais, causadas por usuários do banco de dados.
Nas últimas décadas é possível observar o alto investimento para garantir a confidencialidade e a integridade da informação, cuja importância pode ser observada por meio das normas criadas para protegê-la como, por exemplo, a ISO/27002 que a define da seguinte forma: “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida.
Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades”.
De acordo com a norma, as informações devem ser protegidas adequadamente, não importa se estão em papéis, em fitas ou se transmitida por correio eletrônico. Para cada caso existe uma maneira de proteger. Por exemplo, se for transmitida por correio eletrônico utiliza-se da criptografia de chave pública e a assinatura digital.
Segundo a norma NBR (ISO/27002), a proteção da informação de vários tipos de ameaças, garantia da continuidade do negócio, minimizar os riscos e maximizar o retorno do investimento é a definição da segurança da informação.
Essa segurança é obtida por meio de políticas, procedimentos, processos, funções de software e hardware. Entretanto, é interessante que estes controles sejam implantados em conjuntos com outros processos de gestão e com o total envolvimento dos funcionários da organização (principalmente o apoio da diretoria), sendo necessário algumas vezes envolver empresas fornecedoras, terceirizadas e clientes.
Um dos processos para garantir a segurança da informação é criar a auditoria. Pode-se implantar utilizando mecanismos do sistema operacional, do firewall e do banco de dados. Este último é responsável por armazenar informações de todos os sistemas (podendo ser confidenciais), portanto, é de grande importância desenvolver esse processo.
O banco de dados Oracle está em conformidade com a segurança da informação. É possível implementar os seguintes tipos de auditora:
· Auditoria do SYSDBA: O privilégio SYSDBA concedido ao administrador de banco de dados para realizar tarefas administrativas, possibilita a execução de qualquer atividade relacionada ao banco de dados.
· Auditoria de banco de dados: Possibilita identificar o uso dos privilégios, execução de comandos, acesso às tabelas ou tentativas de logon de qualquer usuário;
· Auditoria baseada em valor: Com a utilização dos database triggers do banco de dados é factível identificar qual informação foi alterada, ou seja, é a auditoria que possui mais detalhe.
· Auditoria (FGA - Fine Grained Auditing): Em alguns casos se faz necessário restringir as informações que serão auditadas. Para auxiliar nessa tarefa foi criada a FGA que possibilita criar filtros para um melhor aproveitamento do processo.
Para habilitar a auditora na instância do banco de dados Oracle é necessário realizar algumas diretrizes que serão detalhadas neste artigo. Antes de iniciar o estudo de caso, alguns conceitos serão abordados.
Auditoria
A auditoria é umexame sistemáticodas atividades desenvolvidas em determinada empresa ou setor, que tem o objetivo de averiguar se elas estão de acordo com as disposições planejadas ou estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas.
Esse processo está de acordo com os princípios da segurança da informação, conforme são descritos abaixo:
· Confidencialidade: Toda informação deve ser protegida de acordo com o grau de sigilo. É proibida sua divulgação para alguém que não esteja autorizada pelo proprietário;
· Disponibilidade: A informação deve estar disponível para o usuário no momento que eles necessitarem dela para qualquer fim. A disponibilidade consiste em manter os serviços prestados sem qualquer interrupção sem autorização, assegurando ao usuário que a informação esteja sempre à disposição quando for necessário;
· Integridade: Consiste em proteger a informação de modificações não autorizada pelo proprietário. Toda informação deve ser mantida da mesma forma que foi disponibilizada.
O processo de auditoria deve ser bem definido para que não haja dispêndio de recursos. Essa definição é feita pelas equipes que detêm o conhecimento dos riscos para o negócio junto com a diretoria e a equipe de segurança da informação. Vale ressaltar que essa definição deve ser realizada de forma cuidadosa para não prejudicar o processo no futuro.
Pré-requisitos para auditoria
Ao criar o banco de dados Oracle por meio da utilização do aplicativo DBCA(Database Configuration Assistant), a auditora de banco de dados é habilitada, ou seja, o parâmetro auit_trail, recebe o valor DB como padrão. Porém, para conseguir auditar as operações do usuário SYS, é necessário atribuir ao parâmetro audit_sys_operations, a opção true, caso contrário pode gerar uma falha em todo o processo, porque este usuário detém o privilégio para administrar todo o banco de dados.
Além da opção DB, existem outras que
são detalhadas a seguir, porém, o parâmetro audit_trail
é estático. Assim, é necessário parar o funcionamento da instância do banco de
dados e iniciá-la para surtir efeito a alteração. As opções ...
