Constitui um conjunto - Free Essay Example

Sample details Pages: 28 Words: 8273 Downloads: 4 Date added: 2017/06/26 Category Statistics Essay Did you like this example? INTRODUO A segurana da informao, especificamente em banco de dados, constitui um conjunto de atividades e tcnicas essenciais para qualquer organizao empresarial. Antigamente, acreditava-se que os investimentos em segurana eram desnecessrios, pois no podiam ser mensurados, sendo considerado um exagero da equipe e profissionais de Tecnologia da Informao (TI) (VIEIRA, 2009). A base de dados de uma organizao pode auxiliar na gerao de informaes importantes para tomada de decises, sendo uma estratgia da empresa para se manter no mercado. Deste modo, o dado considerado como um dos principais ativos que a organizao possui, sendo parte integrante de todos os processos empresariais. Don’t waste time! Our writers will create an original "Constitui um conjunto" essay for you Create order Entre as dcadas de 50 e 70, as empresas tinham como seu maior patrimnio as instalaes, mquinas do setor de produo e o hardware. Com o avano tecnolgico e a produo de software com qualidade seguindo mtodos, ferramentas, procedimentos e com o mercado cada vez mais globalizado, a viso e os objetivos empresariais mudaram, e a gesto do conhecimento por meio do armazenamento e disseminao de dados passaram a ser valorizados (PRESSMAN, 2006). Conseqentemente, as empresas comearam as investir em tecnologia e em profissionais capazes de utilizar tcnicas para proteger os dados, a fim de agregar valor ao negcio tornando o armazenamento de dados mais confivel. Os dados passaram a ser tratado de forma estratgica, refletindo tambm a gerao de informaes importantes para as reas de negcio e gesto empresarial. Portanto, necessrio que todas as empresas procurem implantar uma poltica de segurana adequada e com normas bem definidas, essenciais para atingir o objetivo que se espera, visando proteger a informao e o conhecimento sobre seus negcios e processos. Os Sistemas Gerenciadores de Banco de Dados (SGBD) possuem mecanismos para administrar todas as bases de dados armazenadas. Estes mecanismos e interfaces dos SGBDs possuem como caracterstica principal a capacidade de organizao dos dados, aplicaes e pacotes de aplicaes que auxiliam na segurana. Isto permite facilitar a administrao de dados e do banco de dados por parte do Administrador de Banco de Dados (DBA) e outros profissionais da rea. De acordo com Dewson (2006) as principais ferramentas do SGBD da Microsoft so o SQL Server Databases Services, o Analysis Service, o Reporting Services, Integration Service e a Workstation Components. Tais ferramentas so capazes de administrar o banco de dados com integridade e confiabilidade dos dados. Alm disso, permitem gerenciar cpias de segurana criao de usurios e nveis de acesso. Dewson (2006) descreve ainda que atravs dessas ferramentas sejamos capazes de criar views de tabelas, roles para permisso de acesso, backup e restore dos dados, enfim manipular todas as informaes e realizar aes necessrias para uma administrao confivel e segura que um banco de dados necessita. Outros SGBDs tambm oferecem interfaces e comandos que facilitam a gerencia dos dados e usurios que acessam as bases de dados, podemos citar alguns exemplo de SGBD como Oracle, MySQl entre outros. O Oracle possui uma srie de ferramentas que possibilitam uma maior segurana do seu SGBD como: Oracle Database Vault, Audit Vault, Label Security, Advanced Security, Advanced Compression e Secure Backup. Essas ferramentas so capazes de administrar e garantir a integridade e confiabilidade de um SGBD lder de mercado no mundo coorporativo. Para Maj (2005) o MySQL tem por objetivo atingir o mais alto nvel de segurana em sua instalao, para que isso possa ocorrer, a instalao deve ser executado em um ambiente chrooted. Os processos armazenados no servidor de banco de dados, devem rodar sobre um UID/GID nico, isto , que no seja utilizado por outros processos de sistema, a segurana nos acesso devem ser feitas apenas por acessos locais ao MySQL e como forma de garantir integridade do SGBD a conta de root (superusurio) do deve possuir uma senha difcil de ser quebrada. O DBA tem como premissa principal de segurana renomear a sua conta de acesso e desativar a conta de nobody para que no haja falha no acesso de usurios annimos ao banco de dados (MAJ, 2005). Segundo Maj (2005) o MySQL ainda vem com funcionalidades de segurana como o ACID Transctions para construir aplicativos mais seguros e confiveis para utilizao desse SGBD no mercado. Diante dos recursos e tcnicas de segurana desenvolvidas e oferecidas pelos SGBDs, como implementar rotinas de segurana em banco de dados? Deste modo, este trabalho tem objetivo geral realizar uma pesquisa bibliogrfica a fim de investigar as melhores prticas utilizadas para a segurana da informao no contexto do gerenciamento de banco de dados. Alm disso, este trabalho ter como estudo de caso a implementao de rotinas de segurana em banco de dados seguindo as Normas da Sociedade Brasileiras de Informtica em Sade (SBIS). Como ferramenta para implementao das rotinas de segurana de dados, esta monografia utilizar o SQL Server 2005, por oferecer todas as funcionalidades necessrias para o desenvolvimento deste trabalho, e por ser o SGBD utilizado pelo autor em sua vida profissional. referido trabalho ter os seguintes objetivos especficos: Produzir um texto que descreva a segurana em um SQL Server, demonstrando os conceitos existentes em empresas; Descrever como o mercado de Sade Suplementar est se adequando a uma poltica de segurana a fim de garantir o que de mais importante para uma organizao, ou seja, o valor que tem a informao. Esta monografia est dividida em cinco captulos que so expostos de acordo com a importncia de cada tpico. Capitulo 1 a introduo. Neste captulo apresentada a motivao, finalidade e os objetivos especficos deste trabalho. Captulo 2 relaciona os conceitos de Segurana da Informao, banco de dados e a origem do SQL Server. Discute tambm as principais funcionalidades deste SGBD para o gerenciamento da segurana dos dados. Captulo 3 descreve as medidas utilizadas para garantir a segurana dos dados de acordo com as normas da Agncia de Sade Suplementar (ANS) seguindo a SBIS. Captulo 4 apresenta as tcnicas adotadas para garantir a segurana de dados por meio do SQL Server 2005, baseada nas normas descritas no Captulo 3. Captulo 5 faz as consideraes finais do trabalho. REFERENCIAL TERICO Inicialmente o papel da internet era ser um grande fornecedor de dados. Informaes financeiras, meteorolgicas, educacionais, institucionais, governamentais, alm de texto e imagens sobre uma in-finidade de assuntos, so disponibilizados atravs dos mecanismos de busca atuais. A Internet est em plena evoluo, e alm de dados, agora ela fornece diversos servios. Compra e venda de produtos, leiles, transaes bancrias e financeiras so apenas alguns exemplos de servios que j podem ser contratados on line. Na ltima dcada, setores da indstria, governo e educao tm tentado estabelecer os padres para a produo e a utilizao desse tipo de servios na rede, tambm conhecidos como Web Services. Nos dois primeiros anos do novo milnio, quando a euforia em torno do e-commerce comeou a dar lugar a experincias bem mais modestas do que alardeavam as previses do final dos anos 90, novas promessas sobre o potencial da Internet comeou a ganhar volume. No entanto, os protagonistas dessas novas promessas no foram as ponto-coms e seus propagandistas, mas grandes fornecedores de hardware, software e servios. O que eles vm promovendo ultimamente uma nova abordagem para os sistemas de informao corporativos e que vem sendo proclamada atravs de uma srie de nomes diferentes: a Microsoft a chama de NET; Oracle associa-a aos network services; IBM identifica-a por web services; Sun fala sobre um ambiente de rede aberto. No entanto, a idia central dessa nova abordagem que as corporaes logo iro comprar suas tecnologias de informao como servios providos atravs da Internet. Esses servios, que so genericamente conhecidos por web services, tm alguns atributos peculiares. Diferentemente dos web sites tradicionais, projetados para as pessoas interagirem com informao, os web services conectam aplicaes diretamente com outras aplicaes. E a idia bsica que essa conexo se d sem que seja necessrio efetuar grandes customizaes nas prprias aplicaes. Alm disso, uma das premissas fundamentais que o padro usado pelas conexes seja aberto e independente de plataforma tecnolgica ou linguagens de programao. Conceitos de Web Services De acordo com Breitman (2005), no existe uma nica definio para esse termo. A seguir listamos algumas que julgamos ser bem esclarecedoras: Um web service um aplicativo de software que pode ser acessado remotamente atravs de diferentes linguagens baseadas em XML. De modo geral, um web service definido atravs de uma URL, da mesma forma que qualquer site na Internet. O que distingue um web service o tipo de interao fornecida (Stephen Potts Mike Kopack, 2003) Um web service um sistema de software identificado atravs de uma URI cujas interfaces pblicas e interconexes so descritas em XML. Sua definio publicada de modo a po-der ser descobertaÂÂ ´ por outros sistemas de software. Web services podem interagir com outros sistemas ou web services do modo prescrito em sua definio, utilizando mensagens baseadas no padro XML produzidas atravs de protocolos de Internet (Glossrios do W3C). Web services so um novo tipo de aplicao para a Internet. Eles so autocontidos, autodescritivos, modulares e podem ser publicados, localizados e chamados atravs da rede. Os web services realizam funes que vo das mais simples at processos de negcio complexos. Uma vez tornado pblico, outras aplicaes (ou web services) podem descobrir e fazer uso do mesmo (Tutorial de web services, IBM). Web service uma soluo utilizada na integrao de sistemas e na comunicao entre aplicaes diferentes. Com esta tecnologia possvel que novas aplicaes possam interagir com aquelas que j existem e que sistemas desenvolvidos em plataformas diferentes sejam compatveis. Os Web services so componentes que permitem s aplicaes enviar e receber dados em formato XML. Cada aplicao pode ter a sua prpria linguagem, que traduzida para uma linguagem universal, o formato XML (Wikipdia, a enciclopdia livre) Para as empresas, os web services podem trazer agilidade para os processos e eficincia na comunicao entre cadeias de produo ou de logstica. Toda e qualquer comunicao entre sistemas passa a ser dinmica e principalmente segura, pois no h interveno humana. Essencialmente, o Web Service faz com que os recursos da aplicao do software estejam disponveis sobre a rede de uma forma normalizada. Outras tecnologias fazem a mesma coisa, como por exemplo, os browsers da Internet acedem s pginas Web disponveis usando por norma as tecnologias da Internet, HTTP e HTML. No entanto, estas tecnologias no so bem sucedidas na comunicao e integrao de aplicaes. Existe uma grande motivao sobre a tecnologia Web Service, pois possibilita que diferentes aplicaes comuniquem entre si e utilizem recursos diferentes. Um web service, portanto, um componente de software, ou uma unidade lgica de aplicao, que se comunica atravs de tecnologias padres de Internet. Esse componente prov dados e servios para outras aplicaes. Essa tecnologia combina os melhores aspectos do desenvolvimento baseado em componentes e a Web. Como componentes, representam uma funcionalidade implementada em uma caixa-preta, que pode ser reutilizada sem a preocupao de como o servio foi implementado. As aplicaes acessam os Web Services atravs de protocolos e formatos de dados padres, como HTTP, XML e SOAP. O que os Web Services Fornecem O grande entusiasmo acerca da tecnologia de web services justificado pela promessa de interoperabilidade dos ambientes computacionais. medida que os computadores vo se tomando presentes no s no ambiente profissional, mas tambm em nossas casas, a diversidade de ambientes computacionais (sistemas operacionais e aplicativos de software) cresce quase que exponencialmente. A arquitetura de web services baseada na troca de mensagens XML em um formato especfico, portanto: independente de plataforma; E independente da localidade (do mundo) de onde a mensagem est sendo enviada; independente da linguagem do aplicativo de software do cliente; No exige que o cliente saiba que tipo de processador est sendo utilizado pelo servidor. Os Web Services so identificados por um URI (Uniform Resource Identifier), descritos e definidos usando XML (Extensible Markup Language). Um dos motivos que tornam os Web Services atractivos o fato deste modelo ser baseado em tecnologias standards, em particular XML e HTTP (Hypertext Transfer Protocol). Os Web Services so utilizados para disponibilizar servios interativos na Web, podendo ser acedidos por outras aplicaes usando, por exemplo, o protocolo SOAP (Simple Object Access Protocol). Em suma, essa tecnologia realmente habilita a utilizao da Internet em nvel global. Atravs de web services cada aplicativo de software na rede tem a potencialidade de falar com qualquer ou-tro aplicativo, mesmo que no outro lado do mundo. Se a troca de mensagens entre servios estiver em conformidade com os protocolos de comunicao estabelecidos, possvel que dois aplicativos possam interagir, independentemente de seu sistema operacional, sua linguagem de programao e protocolos internos. Objetivos dos Web Services O objetivo dos Web Services como a comunicao aplicao para aplicao atravs da Internet. Esta comunicao realizada com intuito de facilitar EAI (Enterprise Application Integration), que significa a integrao das aplicaes de uma empresa, ou seja, interoperabilidade entre a informao que circula numa organizao nas diferentes aplicaes como, por exemplo, o comrcio eletrnico com os seus clientes e seus fornecedores. Esta interao constitui o sistema de informao de uma empresa. E para alm da interoperabilidade entre as aplicaes, a EAI permite definir um workflow entre as aplicaes e pode constituir uma alternativa aos ERP (Enterprise Resource Planning). Com um workflow possvel otimizar e controlar processos e tarefas de uma determinada organizao. Como Funcionam os Web Services INTEGRAO DE SISTEMAS CORPORATIVOS Introduo J faz alguns anos que os gerentes de TI se vem frente ao desafio de integrao das diferentes aplicaes corporativas que suportam os processos de negcio nas empresas. Nos ltimos anos observou-se um crescimento, sem precedentes, do nmero de aplicaes, sistemas, repositrios de informaes que coexistem dentro de uma corporao. Por outro lado, intensificou-se o esforo de integrao desses diferentes ativos de sistemas e dados provocados pelos movimentos de integrao e racionalizao dos processos de negcio, pelas estratgias de relacionamento com clientes e pela necessidade de gerao de informaes de apoio a tomadas de deciso. Analisemos o cenrio da TI nas empresas na segunda metade dos anos 90. A corrida contra o relgio fez com que as empresas reavaliassem seus antigos sistemas (legados) e os adaptassem ao fantasma do Ano 2000. Alm disso, as novas tendncias batiam porta das corporaes: milhes de dlares foram gastos no redesenho dos processos e implantao dos grandes sistemas de gesto empresarial (ERP) e de gerenciamento do relacionamento com clientes. Esses novos conceitos migraram o foco do gerenciamento de dados para o gerenciamento dos processos e clientes. Nesse contexto, a necessidade de integrao dos diferentes ambientes, sistemas, plataformas, bases de dados e todos os demais ativos de informao ocupou as mentes dos gerentes de TI. Surgiram com enorme fora os conceitos de EAI (Enterprise Application Integration) e as grandes e caras solues de sistemas de middleware. No entanto, uma revoluo ainda maior ocorria, adicionado mais variveis complexa equao da integrao de sistemas: a Internet. A possibilidade (ou necessidade) de disponibilizar parte das informaes corporativas a usurios ou sistemas que extrapolavam as fronteiras corporativas, fez com que o paradigma se alterasse novamente. O pice das aplicaes cliente-servidor parecia estar com os dias contados. Novos modelos de acesso s informaes foram criados, todos baseados em transaes leves, atravs dos novos protocolos da Web. Alm disso, novos sistemas foram adicionados ao contexto, entre eles, sistemas mais sofisticados de segurana, aplicativos diversos para intranet e extranet, etc. nesse cenrio que as empresas se inserem hoje. A diversidade de sistemas coexistindo nas empresas enorme, indo de grandes pacotes comerciais a aplicaes desenvolvidas sob-medida por diferentes software houses, com diferentes tecnologias (host-centric, cliente-servidor, n-tier, etc), em diferentes plataformas (mainframes, Unix, Windows, etc). J se verificou que a estratgia mais adequada para as empresas efetuar uma integrao dessas aplicaes j existentes ao invs de se tentar uma unificao de ambientes, plataformas e tecnologias, dados ao alto custo, tempo e aos investimentos j realizados com os atuais sistemas. O desafio agora definir o caminho mais adequado para os projetos de EAI. As Vantagens da Integrao de Sistemas atravs de Web Services As solues tradicionais de EAI provem uma mquina de integrao centralizada e monoltica, que usa tecnologias proprietrias para integrar os sistemas, e adaptadores especializados para conectar fontes de dados e sistemas legados. Essa abordagem monoltica tem as seguintes desvantagens: dependente de plataforma requerendo uma nova verso tanto da mquina de integrao quanto dos adaptadores para cada plataforma a ser suportada ou integrada; Introduz uma linguagem proprietria no core da integrao; Resulta num nico ponto de falha; Prov um mtodo de integrao que baseia-se na replicao dos dados dos diversos sistemas ao invs de consolidar os dados das vrias fontes. Alm disso, as solues tradicionais de EAI requerem um investimento inicial substancial, que quando combinado com a complexidade da tecnologia proprietria, gera um alto grau de dependncia do fornecedor. Como resultado, o prprio EAI se transforma em mais um sistema legado. Na verdade, a abordagem dos sistemas tradicionais de EAI, monolticas e centralizadas, no levam em conta a atual dinmica imposta pela Internet, onde os sistemas de uma empresa no podem ser isolados do resto do mundo. E nesse contexto, os requisitos de integrao se alteram constantemente fazendo com que as solues tradicionais tornem-se pouco geis e caras diante de qualquer alterao demandada. Qualquer nova tentativa de se integrar uma nova tecnologia quase to difcil e cara quanto a integrao inicial. No modelo de web services, cada sistema da organizao atua como um componente independente na arquitetura de integrao. Todas as interfaces, transformaes de dados e comunicaes entre componentes so baseados em padres abertos e vastamente adotados, independentes de fornecedores e plataformas. As vantagens de se utilizar essa abordagem so: Simplicidade: mais simples de se implementar que as solues tradicionais que utilizam CORBA ou DCOM; Padres abertos: utilizam padres abertos como HTTP, SOAP, UDDI, ao invs de tecnologias proprietrias; Flexibilidade: alteraes nos componentes so muito mais simples para o sistema como um todo do que alteraes nos adaptadores tradicionais; Custo: as solues tradicionais so muito mais caras; Escopo: cada sistema pode ser tratado de maneira individual, j que para componentiz-lo basta implementar uma camada que o encapsule. Na abordagem tradicional, todos os sistemas devem ser tratados ao mesmo tempo, j que faro parte da mesma soluo monoltica de integrao. Interoperabilidade de Web Services Na prtica, web services no so 100% interoperveis. Ainda existem diversos gaps para realizar a comunicao, mas existe uma organizao, a WS-I, que define os padres de comunicao para padronizao de interoperabilidade de web services. No total existem mais de 50 especificaes de Web services mantidas por trs organizaes (W3C, OASIS, WS-I). O WS-Basic profile 1.1 no cobre todas as especificaes de web services, mas cobre especificaes como SOAP, WSDL, UDDI, XML e HTTP. Nveis de Acesso A caracterstica de definio de acesso ao SGBD e as definies de acesso a determinada Tabela de Dados ou a possibilidade de o usurio obter o direto a um Insert, Select e Update e at mesmo Delete de fundamental importncia para que o SGBD se mantenha seguro e confivel no que diz respeito s normas(CFM e SBIS, 2009). Cada usurio ter um perfil de acesso, indicando os produtos, os arquivos, os aplicativos, as funes dos aplicativos e os dados que podem ser executados, lidos e gravados (UNIMED BRASIL, 2006). Em conformidade com as regras impostas os aplicativos disponibilizados pela Unimed do Brasil as Unimed que aderiram ao seu sistema de Gesto receberam um sistema com capacidade de cumprir as exigncias da TISS segundo a SBIS e o CFM, 2009. Exemplo de um script de restrio de um Formulrio da aplicao para garantir a integridade dos dados do SGBD: SELECT ALL TelosUserUrl.* FROM TelosUserUrl WITH (NOLOCK) WHERE ((TelosUserUrl.Usr = Fabricio) AND (TelosUserUrl.Url = frm:999000530) AND (TelosUserUrl.Application = 28)); UPDATE TelosRole SET TelosUpDt = convert(datetime, 2009-10-24 14:15:36, 120), TelosUpUs = Fabricio, Name = teste WHERE ((TelosRole.AutoId = 21)); DELETE FROM TelosRoleMenu WHERE ((TelosRoleMenu.Role = 21)); INSERT INTO TelosRoleMenu (RegAction, AllowVisualize, RegReport, RegEdit, AllowPrint, RegNew, RegDelete, TelosRgUs, TelosUpDt, AllowSchedule, TelosRgDt, Menu, Role, AllowSearch, AllowNew, TelosUpUs, AllowEdit, AllowSaveOutput, AllowDelete) VALUES (1, 1, 1, 1, 1, 1, 1, Fabricio, convert(datetime, 2009-10-24 14:15:36, 120), 1, convert(datetime, 2009-10-24 14:15:36, 120), 1281, 21, 1, 1, Fabricio, 1, 1, 1); Cpias de Segurana e Restaurao de Dados O primeiro produto da parceria SBIS/CFM foi elaborao da resoluo n. 1639/2002 que aprovou as Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Pronturio Mdico, dispondo sobre o tempo de guarda dos pronturios, estabelecendo critrios para certificao dos sistemas de informao e dando outras providncias. Conforme a SBIS e CFM (2009) a resoluo CFM n 1638/2002 define pronturio mdico e atribui as responsabilidades por seu preenchimento, guarda e manuseio. A Resoluo CFM n 1821/2007 aprova as Normas Tcnicas Concernentes Digitalizao e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Pronturios dos Pacientes, Autorizando a Eliminao do Papel e a Troca de Informao Identificada em Sade. Essa resoluo aprova o Manual de Certificao para Sistemas de Registro Eletrnico em Sade, verso 3.0 e/ou outra verso aprovada pelo Conselho Federal de Medicina, autoriza a digitalizao de pronturios mdicos conforme normas especficas e estabelece a guarda permanente para pronturios mdicos arquivados eletronicamente, em meio ptico ou magntico e microfilmados, bem como o prazo mnimo de vinte anos para a preservao dos pronturios mdicos em suporte de papel (SBIS e CFM, 2009). De acordo com a SBIS e CFM, (2009) os backups ou a cpia de segurana devem ser feita cpia de segurana dos dados do pronturio pelo menos a cada 24 horas. Recomenda-se que o sistema de informao utilizado possua a funcionalidade de forar a realizao do processo de cpia de segurana diariamente. O procedimento de back-up deve seguir as recomendaes da norma ISO/IEC 17799, atravs da adoo dos seguintes controles: Documentao do processo de backup/restore; As cpias devem ser mantidas em local distante o suficiente para livr-las de danos que possam ocorrer nas instalaes principais; Mnimo de trs cpias para aplicaes crticas; Protees fsicas adequadas de modo a impedir acesso no autorizado; Possibilitar a realizao de testes peridicos de restaurao. Seguindo as normas da SBIS e da Unimed do Brasil elaboramos um descrio da rotina implementada na Unimed Alm Paraba para a realizao e acompanhamento dos Backups e Restores como segue: Para garantir integridade do backup e dos dados (arquivos, sistemas, banco de dados, e-mail, etc.) nos servidores, quando houver necessidade de executar os processos aps os horrios estipulados no item anterior, as reas comunicam ao profissional de TI at as 18h00min. A IMPLEMENTAO DAS PRTICAS DE SEGURANA DE DADOS PERVISTAS NA SBIS USANDO O SQL SERVER 2005 A partir das normas e prticas mencionadas no Captulo 3, este captulo descreve a implementao da segurana de dados em SQL Server 2005, a fim de demonstrar como atender as exigncias que o mercado de Sade Suplementar, respeitando as resolues do CFM e da SBIS. Inicialmente, ser criado um banco de dados de exemplo com nome de CFMSBIS09 e as algumas tabelas como Beneficirio, ModuloBeneficirio e Pessoa, tem por objetivo a breve apresentao de um modelo de Bancos de Dados explicando brevemente cada um dos princpios do CFM e SBIS. Como a criao de Login com a permisso de leitura e a impossibilidade de roles de escrita no SBGBD. Criao de Logins Um dos primeiros passos para acessar o banco de dados CFMSBIS09 a criao de um login que possa ter acesso a todas as tabelas e seus dados. Conforme Script-2, segue a sintaxe de na linguagem Transact-sql para a criao do logins de acesso para utilizao desse usurio ao SGBD e conseqentemente ao Banco de dados CFMSBIS09. CREATE USER [Fabricio] FOR LOGIN [Fabricio] Caso haja necessidade de criar uma senha para o usurio Fabricio, o qual foi criado com objetivo de somente ter acesso ao Banco de Dados CFMSBIS09 e no ao SGBD, pode ser feito por meio da execuo do comando abaixo: Nota-se que a senha anterior desse usurio estava em branco, aconselhvel que voc crie uma senha segura e que no esteja em branco j que a prtica de segurana descrita nos Manuais online do SQL Server recomenda que no seja criado usurio de um SGBD em branco, evitando assim que Worms, Hackers se utilizem essa conta para acessar o SGBD. Esta falta de ateno, caso exista por parte do DBA, se ope s normas de segurana do CFM e SBIS quanto a Confiabilidade, Integridade e Disponibilidade dos dados confidenciais dos beneficirios registrados nos SGBDÂÂ ´s das Operadoras de Plano de Sade. Criao de Nveis de Acesso O SQL Server 2005 consegue realizar inmeros controle capazes de garantir que o sistema fique mais seguro conforme descreve Pichiliani (2003) que os nveis de permisses que podem ser atribudas aos usurios, permitem um controle e gerenciamentos dos dados e objetos de maneira mais especfica sobre as tabelas , dados , e a utilizao de sintaxe de comandos que podem garantir ou inviabilizar a segurana de dados contidos no SGBD , desse modo podemos ento afirmar que a criao dos nveis de acesso para os usurio de extrema importncia , j que a normal do CFM e da SBIS preconiza que todos os sistemas precisam garantir a confiabilidade, integridade e disponibilizar , consideramos que a melhor maneira quanto ao acesso ao banco de dados por parte dos usurios do sistema de gesto das Operadoras e mesmo aqueles que utilizam de alguma forma o SGBD para relatrios , consultas via Transact-sql , precisam estar em ressonncia com as normas aplicadas pelo DBA visando garantir a segurana. A criao dos nveis de acesso no SQL Server 2005 passa pela criao de Schemas e Roles de controles , continuaremos demonstrando como realizar esses controles , utilizando o nosso banco de CFMSBIS09 para criao de Schemas e Roles de acesso ao SGBD. Como exemplo e atribuio de esquemas, os usurios abaixo tero acesso aos SCHEMAS como db_securityadmin,db_datareader,db_datawriter, os quais permitem ao usurio gerenciar permisses e roles , ler e modificar todas as tabelas do SGBD : ALTER AUTHORIZATION ON SCHEMA::[db_securityadmin] TO [Fabricio] ALTER AUTHORIZATION ON SCHEMA::[db_datareader] TO [Fabricio] ALTER AUTHORIZATION ON SCHEMA::[db_datawriter] TO [Fabricio] GRANT ALTER ON SCHEMA::[db_datareader] TO [Fabricio] GRANT EXECUTE ON SCHEMA::[db_datareader] TO [Fabricio] Alm disso, possvel dar as permisses de GRANT e DENY para permitir ou negar uma determinada permisso desses usurios quanto utilizao de comandos atravs da sintaxe Transact-sql, como segue: GRANT INSERT ON SCHEMA::[db_datareader] TO [Fabricio] GRANT SELECT ON SCHEMA::[db_datareader] TO [Fabricio] GRANT UPDATE ON SCHEMA::[db_datareader] TO [Fabricio] DENY DELETE ON SCHEMA::[ db_datawriter ] TO [Fabricio] Essas caractersticas de definio de acesso ao SGBD e as definies de acesso a determinadas Tabelas de Dados ou a possibilidade dos usurios de obterem diretos a executar comando de Insert, Select ,Update e Delete de fundamental importncia para que o SGBD se mantenha seguro e confivel no que diz respeito s normas do CFM e SBIS. Criao da Rotina de Cpias de Segurana Uma das principais atribuies de um DBA zelar pelo bom funcionamento do SGBD e pela sua integridade e segurana dos dados, de nada adianta uma poltica de segurana bem definida se o DBA no utilizar de forma correta a tarefa de Backup e Restaure. Conforme descreve Battisti (2005) a informao o bem mais valioso da sua empresa e estando estas informaes armazenadas no banco de dados da empresa, de fundamental importncia que tenhamos uma estratgia bem definida de proteo deste bem, devemos nos preocupar no somente com as perdas, mas tambm com acesso indevido ou at mesmo com o roubo de informaes. O SQL Server 2005 oferece quatro mtodos de Backups e cada mtodo possui caractersticas e dependncias especficas, que so utilizadas pelo DBA para decidir quando cada um ser utilizado na sua poltica de backup. Estes mtodos so: Full Backup; Differential Backup; Transaction Log Backup; Filegroup Backup; Para garantir que a norma do CFM e da SBIS seja atendida temos que realizar backups de dados periodicamente de todos os Bancos de Dados do SGBD, para isso ser utlizado como exemplo a sintaxe de comando de um mtodo de backup que o Full Backup, sempre usando como exemplo o nosso banco CFMSBIS09. Segue abaixo a sintaxe bsica para a criao de um backup full,ou seja , backup completo do banco de dados: USE CFMSBIS09; Restaurao do Banco de Dados A restaurao de um banco consiste, basicamente, em operaes que recriam os objetos da base de dados at um ponto especfico no tempo.Este ponto o momento em que a criao do backup foi realizada e finalizada e que diferente da criao do backup, o processo de restaurao seqencial. Uma observao importante que deve ser considerada que durante todo o processo de restaurao, o banco fica inacessvel para todos os usurios e volta a se tornar acessvel no momento em que o banco estiver no estado Restored , ou seja, quando o backup j est restaurado. O SQL Server 2005 oferece duas formas para a restaurao de backup: atravs do SQL Server Management Studio ou usando comandos Transact-SQL. Em ambos os casos, possvel restaurar todos os tipos de backups. O SQL Server 2005 atravs da interface grfica possibilita ao DBA de realizar um restore de um banco de dados de forma mais simples e sem a necessidade de conhecimento em Transact-SQL para se utilizar o SQL Server Management Studio. As normas do CFM e a SBIS recomenda que todo o sistema de informao utilizado possua a funcionalidade de forar a realizao do processo de cpia de segurana diariamente e que sejam feitos teste de restore a cada 30 dias. O SQL Server 2005 uma ferramenta capaz de cumprir essas normas, esse sistema adotado por inmeras operadoras de plano de sade garantindo assim o cumprimento as leis e normas as quais esto submetidas. Por meio dos comandos da linguagem Transact-SQL pode-se realizar restore e backup. Mas existe tambm a possibilidade atravs do SGBD de criarmos agendamento desses servios utilizando os JOBs , ou seja, trabalhos agendados pelo SGBD para que a realizao de backups e esses devem ser realizados em horrios em que o sistema menos utilizado. Assim como no processo de backup , o processo de restore no SQL Server 2005 oferece quatro mtodos de Restore. Estes mtodos restauram os seguintes tipos de backup: Full Backup; Differential Backup; Transaction Log Backup; Partial Backup. Utiliza-se o mtodo de restore do Backup Full para restaurar com segurana o backup que criamos atravs do mtodo de backup e para isso utilizarei o nosso banco de dados de exemplo o CFMSBIS09. CONSIDERAES FINAIS No desenvolvimento desse trabalho foi notada a importncia de ser adequar s normas do Conselho Federal de Medicina (CFM) e da Sociedade Brasileira de Informtica em Sade (SBIS) se utilizando de recursos tecnolgicos existentes no mercado, o que antes eram bem menos acessveis e de difcil acesso. Atravs do aprofundamento dos conceitos de segurana utilizando o SQL Server 2005 pode-se concluir que esse documento leva ao DBA, mais especificamente para os DBAÂÂ ´s de uma operadora de plano de sade as diretrizes de como se adequar, quais controles e configuraes devem ser feitas no SGBD e tambm na cultura da empresa quanto a poltica de segurana da informao para garantir a integridade e disponibilidade dos dados. Vale observar que para gerar uma poltica de segurana satisfatrio na empresa necessrio evolver o elo mais fraco, que o ser humano, e de nada adianta uma poltica de segurana bem implementada se os que dela se utilizam no o fazem como deveriam. Muitos empresrios vem a segurana da informao como gastos, tendncia de mercado e outros para serem vistos como visionrios e estarem frente da concorrncia, mas o que realmente importa e desejam no perder recursos financeiros e se para isso for preciso investimento em segurana, que seja feita a vontade do DBA de sua empresa. Em todo o processo de criao dessa poltica de segurana deve-se envolver os conhecimentos tcnicos do DBA e estar sempre em sintonia com os usurios dos sistemas, j que estes so o elo importante para o aprimoramento e continuidade da segurana da informao. Quanto ao SGBD da Microsoft, alvo principal desse estudo a fim de se atender as normas do CFM e da SBIS, pode-se considerar que atualmente o SQLServer 2005 capaz de contribuir para um resultado mais dinmico e veloz na busca por informaes nos nveis tticos e estratgicos. Tais informaes so fundamentais para as empresas se manterem atualizadas no mercado cada vez mais globalizado e sem fronteiras. importante ressaltar tambm que o SQL Server 2005, em comparao com outros bancos existentes no mercado como Oracle, Mysql, Postgres, possui mecanismos de segurana muito eficazes, sendo mais fcil de ser configurado. Em fim a poltica de segurana numa organizao essencial para mante-l segura, j que com essa polcia bem implementada, ainda assim no pode garantir 100% de segurana, imagine sem ela a falta de segurana seria ainda maior. Considera-se ainda, que o SQL Server 2005 possui recursos de segurana suficientes para que os usurios possam seguir corretamente as regras impostas pelo DBA e que se essas regras forem deixadas em segundo plano podem vir a surgir problemas que certamente levaro as empresas a um prejuzo de ordem intelectual, estratgico e financeiro incalculvel. Por fim as empresas devem acompanhar a evoluo tecnolgica, mas sem se esquecer da segurana que garantir a continuidade do negcio e no se limitando a solues paliativas de problemas isolados, deve investir em uma poltica de segurana contnua protegendo o bem mais valioso que a informao. REFERNCIAS ANS Resoluo Normativa n. 153, 2007. Disponvel em https://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/rn153.pdf. Acessado em: 15 de Agosto de 2009. Battisti, Jlio. SQL Server 2005 Administrao Desenvolvimento Curso Completo. Traduo: Gisella Narcisi. 1. ed. Rio de Janeiro: Axcel Books, 2005. Brazo, Adriano. Administrando a segurana no SQL Server parte I Bsico, 2009. Disponvel em https://www.bf.com.br/a rtigo_details.aspx?ID=129. Acessado em: 29 de Agosto de 2009. Chapple, Mike. Microsoft SQL Server 2008 para Leigos For Dummies. Traduo: Lia Gabrieli. 1. ed. Rio de Janeiro: Alta Books,2009. Dewson, Robin. SQL Server 2005 para Desenvolvedores do Iniciante ao Profissional. Traduo: Betina Macedo. 1. ed. Rio de Janeiro: Alta Books,2006. SITES PESQUISADOS: https://www.developer.com/services/ https://www.webservicesarchitect.com/ https://www.w3.org/2002/ws/ https://en.wikipedia.org/wiki/List_of_Web_service_specifications https://www.dextra.com.br/empresa/artigos/webservices.htm Enclicopdia Livre, Wikipdia, Web service, 2009. Disponvel em https://pt.wikipedia.org/wiki/Web_serviceAcessado em: 28 de Dezembro de 2009. FERREIRA, Adriana, Principais Caractersticas do PostgreSQL, 2004. Disponvel em https://www.sqlmagazine.com.br/Artigos /Postgre/01_Caracteristicas.asp. Acessado em: 25 de Setembro de 2009. Leo, Beatriz de Faria, Alves, Cludio Giulliano da Costa e Silva da, Marcelo Lcio e Galvo, Stanley da Costa. Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-Res), 2009. Disponvel em https://www. cfo.org.br/download/pdf/manual_certificacao_sbis-cfm_2009_v3-3.pdf. Acessado em : 15 de Agosto de 2009. Paiva Pontes, Herleson Criao e Restaurao de Backup no SQL Server 2005 Parte I, 2008. Disponvel em https://www.devmedia.com.br/articles /viewcomp.asp?comp=4417. Acessado em: 19 de Setembro de 2009. Paiva Pontes, Herleson Criao e Restaurao de Backup no SQL Server 2005 Parte Ii, 2008. Disponvel em https://www.devmedia.com.br/articles /viewcomp.asp?comp=6193Acessado em: 19 de Setembro de 2009. Paiva Pontes, Herleson Criao e Restaurao de Backup no SQL Server 2005 Parte III, 2008. Disponvel em https://www.devmedia.com.br /articles/viewcomp.asp?comp=6323 Acessado em: 19 de Setembro de 2009. FREITAS, Andrey, A histria do SQL server Disponvel em https://sqlserversecurity.blogspot.com/. Acessado em: 15 de Agosto de 2009. Resoluo CFM n 1.638/2002, 2002. Disponvel em https://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm. Acessado em: 17 de Outubro de 2009. Resoluo CFM n 1.639/2002, 2002. Disponvel em https://www.portalmedico.org.br/resolucoes/cfm/2002/1639_2002.htm. Acessado em 19 de Setembro de 2009. Resoluo CFM n 1.821/2007, 2002. Disponvel em https://www.portalmedico.org.br/resolucoes/cfm/2002/1621_2007.htm. Acessado em: 17 de Outubro de 2009. Revista SQL Magazine Edio 22 Backup, 2005. Disponvel em https://www.devmedia.com.br/articles/viewcomp.asp?comp=5900.Acessado em :08 de Agosto de 2009. Revista SQL Magazine Edio 23 Segurana no MySQL, 2005. Disponvel em https://www.devmedia.com.br/articles/viewcomp.asp?comp=6019hl=Acessado em: 31 de Outubro de 2009. Revista SQL Magazine Edio 29 Oracle Fashback, 2006. Disponvel em https://www.devmedia.com.br/articles/viewcomp.asp?comp=6622.Acessado em: 08 de Agosto de 2009. Revista SQL Magazine Edio 59 SQL Server e Oracle, 2008. Disponvel em https://www.devmedia.com.br/articles/viewcomp.asp?comp=11064.Acessado em: 08 de Agosto de 2009 Rosa, Adriana Conceito sobre Banco de Dados, 2008. Disponvel em https://www.adrianorosa.com/artigos.asp?categoria=banco%20de%20dadoscod=495548artigo=conceito-sobre-banco-de-dados Acessado em: 08 de Agosto de 2009. Smola, Marcos. Como ser nossa relao com a informao em 2019?, 2009. Disponvel em https://www.semola.com.br/disco /Coluna_IDGNow_107.pdf. Acessado em: 29 de Agosto de 2009. Smola, Marcos. Em segurana da informao, menos pode ser mais, 2006. Disponvel em https://www.semola.com.br/disco /Coluna_IDGNow_77.pdf. Acessado em: 29 de Agosto de 2009. Smola, Marcos. Segurana em aplicaes public key infrastruture ready, 1999. Disponvel em https://www.semola.com.br/disco /Coluna_IDGNow_14.pdf. Acessado em: 29 de Agosto de 2009. Smola, Marcos. Segurana tolerncia zero, 2006. Disponvel em https://www.semola.com.br/disco/Coluna_IDGNow_72.pdf. Acessado em: 29 de Agosto de 2009. Smola, Marcos. Segurana: muito mais do que tecnologia, 2000. Disponvel em https://www.semola.com.br/disco/Coluna_IDGNow_18.pdf. Acessado em: 29 de Agosto de 2009. Site Oficial da Microsoft, Aprimorando a Segurana de Dados por meio do SQL Server 2005, 2009. Disponvel em https://technet.microsoft.com/pt-br/library/bb735261.aspxAcessado em: 19 de Setembro de 2009. Vieira, Luiz Segurana da Informao: necessidades e mudanas de paradigma com o avano da civilizao, 2009. Disponvel em https://imasters.uol.com.br/artigo/13075/seguranca/seguranca_da_informacao_necessidades_e_mudancas_de_paradigma_com_o_avanco_da_civilizacao/. Acessado em: 25 de Setembro de 2009. Wolf Oselka, Gabriel E Lipke, Ana Maria Cantalice. Resoluo CFM N 1331/89, 2002. Disponvel em https://www.conarq.arquivonacional.gov.br /cgi/cgilua.exe/sys/start.htm?infoid=155sid=55. Acessado em: 22 de Agosto de 2009. Zapater, Mrcio e Suzuki, Rodrigo. Segurana da Informao, 2005. Disponvel em https://www.promon.com.br/portugues/noticias/download /Seguranca_4Web.pdf. Acessado em: 08 Agosto de 2009.