A área de banco de dados é considerada de suma importância e vital para a continuidade de operação de uma empresa. Praticamente, com raras exceções, não existe uma empresa que sobreviva com suas operações sem um banco de dados, seja de qual tipo for. Inclusive a área de banco de dados é muito visada por ataques, para deixá-lo fora de operação e, consequentemente, interromper a operação da empresa. Para se ter uma ideia mais precisa da importância do banco de dados, imagine todas as outras áreas mais importantes operando corretamente, como rede e aplicações. Mas, se o banco de dados fica fora de operação, a operação da empresa também para.
As abordagens a seguir não serão do ponto de vista técnico e específico de um determinado banco de dados, como Oracle ou SQL-Server, mas de um ponto de vista genérico, possibilitando que sejam aplicadas a qualquer banco de dados. Instalação: Do ponto de vista da segurança da informação, a auditoria deve checar se a instalação foi seguida corretamente como determina o fornecedor, bem como se o banco de dados foi instalado por pessoa com competência suficiente para tal. Também deve verificar se os respectivos programas de atualizações fornecidos foram aplicados. É que, uma instalação incorreta pode deixar portas vulneráveis a ataques, assim como, por questões de tempo de acesso, o dimensionamento das datas bases, as senhas ou as permissões podem ter de ser desinstalados e instalados novamente no banco de dados, e este processo pode deixar a empresa fora de operação. Também deve checar se a instalação foi coerente com a licença de uso adquirida pela empresa. Instalações sem as respectivas licenças constituem um risco muito alto à segurança do banco de dados e, por isso, durante a
auditoria, deve ser apontado o risco que a empresa está correndo.
Configuração: Pode-se atribuir à configuração de um banco de dados todos os requisitos pertinentes, como data bases, tabelas, usuários, senhas, permissões, chaves de acesso das tabelas e tempo de acesso. As tabelas de um banco de dados e seus relacionamentos devem receber uma atenção maior da auditoria. Tabela muito grande ou tempo de acesso muito lento pode comprometer o desempenho da aplicação e, consequentemente, a satisfação do usuário. A solicitação do detalhamento dos acessos às tabelas de um banco de dados pode apontar uma sobrecarga em uma determinada tabela, assim como o número total de registros. Caso essas duas características sejam constatadas, devem ser apontadas na auditoria, para a devida correção.
Além da verificação das tabelas e relacionamentos entre as mesmas, também deve ser confirmada a correta configuração dos usuários nas respectivas aplicações. O correto é cada usuário estar configurado somente para o respectivo banco de dados ao qual tem acesso. Caso a configuração não esteja correta, a segurança dos dados pode estar seriamente comprometida, pois usuário sem permissão a um determinado banco de dados pode acessá-lo e obter informações para as quais não tenha permissão. Esta constatação é muito relevante e também deve ser notificada no relatório de auditoria, especificando o usuário que não está devidamente configurado.
Ainda há a possibilidade de algum usuário que já tenha se desligado da empresa fazer parte da configuração de usuários do banco de dados. Além de destacar a importância de, imediatamente, ser removida a referida configuração, é importante apurar se existe uma metodologia de acompanhamento de desligamento de usuário, quando o funcionário é demitido da empresa.
Permissões de usuários: Além da correta configuração de cada usuário da
empresa, também é pertinente verificar as permissões que cada um tem e se estão corretamente configuradas no banco de dados. Um determinado usuário pode ter acesso a um determinado banco, mas pode não ter total permissão de acesso a todas as tabelas do mesmo, ou ainda, a parte de determinada tabela do banco. Este tipo de controle e implantação é mais trabalhoso, mas lembrar que se trata de uma excelente porta de entrada de invasores. Conforme a importância, segurança e sigilo das informações, as permissões devem estar corretamente configuradas. Tão importante quanto atribuir permissões, é destacar quem é o responsável por configurar as respectivas permissões, pois estas são dinâmicas como a empresa, ou seja, a permissão atribuída hoje pode já não ser a mesma em um período seguinte.
Backup: A rigor, todo banco de dados deve ter um backup digno da sua
importância. Não é concebível um banco de dados sem um procedimento de backup. A periodicidade, número de cópias, local de armazenamento, mídia, etc., variam de empresa para empresa. O que se observa nos dias atuais é que os discos estão com uma enorme área de armazenamento, e isto permite armazenar todas as transações, inviabilizando a realização de uma cópia de segurança. Nestes casos, é realizado um espelhamento da informação, ou seja, a informação é atualizada, simultaneamente, em dois ou mais discos. Mas vale lembrar que um disco é uma máquina como outra qualquer e também está sujeita a falhas. De uma forma ou de outra, um procedimento de backup é imprescindível e deve existir, mas, caso não exista, a auditoria deve recomendar que o mesmo seja implantado imediatamente. Tão importante quanto ter um backup é realizar uma simulação de restore (retorno dos dados do backup )para a certificação da consistência do próprio backup, pois o procedimento de restore não pode deixar a empresa com suas operações interrompidas, enquanto é realizado.
Documentação: As pessoas não são eternas em uma empresa, tanto podem ser
desligadas, como mudar de área de atuação. Na falta dessas, a documentação é o melhor canal de entendimento do diagrama de tabelas e seus respectivos relacionamentos. Também, ter a documentação não é suficiente, pois é preciso verificar se a mesma está sendo constantemente atualizada. E somente pessoas autorizadas à documentação é que podem ter acesso a ela, pois a documentação nas mãos de pessoas não autorizadas pode revelar informações sigilosas.
Disponibilidade: Teoricamente, por se tratar de uma área vital de funcionamento e,
muitas vezes, durante os 365 dias por ano e 24 horas por dia, a disponibilidade do banco de dados deve ser real o tempo todo. A disponibilidade passa pelo tempo de acesso aceitável das informações e pela equipe responsável pela manutenção do mesmo. Há quem diga que ter um é não ter nenhum e ter dois é talvez ter um. Desta forma, ter disponível apenas uma pessoa para a manutenção do banco de dados não é seguro, pois, na falta dessa pessoa, o banco fica sem manutenção.
Integridade: Uma informação não pode ter redundância, pois este é um fator
que contribui para erros na informação. Muitas vezes, a integridade é de difícil constatação, por exigir um conhecimento mais detalhado das tabelas e relacionamentos do banco. Uma forma mais rápida de averiguar a integridade é contatá-lo junto aos usuários, indagando deles se as informações estão sendo disponibilizadas de forma correta (SCHNEIER, 2001).
Confiabilidade: Da mesma forma que a integridade, ao perderem a confiabilidade os
dados colocam todo um sistema em descrédito diante do usuário, o qual passa a ter certo tipo de restrição ao uso do mesmo. A confiabilidade é de suma importância para a segurança dos dados. A perda de contabilidade deve ser ressaltada na auditoria, caso seja detectada (SCHNEIER, 2001).
Senhas de acesso: Muitas das senhas de acesso das aplicações e permissões de
usuários ficam armazenadas no banco de dados. É importantíssimo que estas estejam criptografadas. A vulnerabilidade das senhas pode acarretar vazamento de informações, em caso de acesso indevido às aplicações, assim como alterações não permitidas. Também é interessante verificar se há controle sobre uma periodicidade de alterações das senhas e checar os tamanhos e caracteres das senhas. Existem senhas fortes e senhas fracas. As fracas são combinações que podem facilmente ser descobertas por alguém ou por algum software.