Governança da Segurança da Informação em Banco de Dados

GESTÃO DA TECNOLOGIA EM SEGURANÇA DE SISTEMAS DE INFORMAÇÃO GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO SEGURANÇA EM BANCOS DE DADOS PROJETO PARA O SEGUNDO BIMESTRE 20251 Este projeto será desenvolvido por etapas Cada item corresponde a uma semana de pesquisa conforme os requisitos dos tópicos Os resultados da pesquisa são resumidos objetivos claros e suficientes Projeto Segurança em Banco de Dados e Governança da Informação Públicoalvo Alunos de Segurança em TI Duração 5 semanas 1 etapa por semana Carga horária 3 horassemana por etapa Etapa 1 Fundamentos de Segurança da Informação e Governança Objetivo Introduzir conceitos básicos e frameworks de governança Conteúdo Princípios da segurança da informação Confidencialidade Integridade Disponibilidade CID Diferença entre segurança de dados e governança Normas relevantes o ISOIEC 27001 SGSI o ISOIEC 27002 Boas práticas para controles de segurança o LGPD Lei Geral de Proteção de Dados e impactos em bancos de dados Atividade Análise de um caso de vazamento de dados e identificação de falhas na governança Etapa 2 Segurança em Bancos de Dados Princípios e Ameaças Objetivo Explorar riscos e mecanismos de proteção em SGBDs Conteúdo Ameaças comuns SQL Injection acesso não autorizado vazamento de dados Controles de segurança em bancos de dados o Autenticação autorização e auditoria AAA o Criptografia dados em repouso e em trânsito Normas específicas o ISOIEC 27005 Gestão de riscos em bancos de dados o PCIDSS para dados de cartões Atividade Simulação de um ataque de SQL Injection e discussão sobre mitigação Etapa 3 Governança de Dados e Conformidade Legal Objetivo Relacionar governança com requisitos legais e normativos Conteúdo Papel do DPO Data Protection Officer na segurança de bancos de dados Mapeamento de dados sensíveis conforme LGPD e GDPR Políticas de retenção e descarte de dados Frameworks de governança COBIT 2019 e sua aplicação em TI Atividade Elaboração de um plano de conformidade para uma empresa fictícia Etapa 4 Auditoria e Monitoramento em Bancos de Dados Objetivo Discutir técnicas para garantir a rastreabilidade e detecção de falhas Conteúdo Logs e trilhas de auditoria audit trails Ferramentas de monitoramento ex SIEM Security Information and Event Management Relatórios de conformidade e métricas de segurança ex tempo de resposta a incidentes Normas ISOIEC 27007 diretrizes para auditoria de SGSI Atividade Análise de logs fictícios para identificar acessos suspeitos Etapa 5 Projeto Prático Elaboração de um Plano de Segurança Objetivo Integrar os conhecimentos em um projeto final Conteúdo Desenvolvimento de um Plano de Segurança para Bancos de Dados com o Análise de riscos o Políticas de acesso e criptografia o Alinhamento com a LGPD e ISO 27001 Apresentação e debate em grupo Entrega Documento formal modelo fornecido pelo professor Critérios de Avaliação Participação nas atividades Qualidade do plano de segurança etapa 5 Clareza na aplicação de normas e legislação REFERÊNCIAS E EXEMPLOS PARA CONSULTA 1 Normas e Legislações ISOIEC 27001 Foco Requisitos para implementar um Sistema de Gestão de Segurança da Informação SGSI Aplicação em BD Controles como A124 Gestão de logs e A9 Controle de acesso Link oficial ISO 27001 ISOIEC 27002 Foco Boas práticas para controles de segurança ex criptografia gestão de incidentes Relevância para BD Seção 8 Segurança física e lógica e 10 Criptografia ISOIEC 27005 Foco Gestão de riscos de segurança da informação Aplicação Avaliação de riscos em bancos de dados ex vazamentos ataques DDoS LGPD Lei Geral de Proteção de Dados Lei nº 137092018 Artigoschave para BD o Art 6º Princípios como finalidade e minimização de dados o Art 46 Obrigatoriedade de medidas de segurança ex anonimização Link oficial LGPD COBIT 2019 Foco Governança de TI e alinhamento com negócios Objetivos Relacionados o DSS02 Gestão de serviços terceirizados Para bancos de dados em nuvem o APO13 Gestão de riscos Download do framework ISACA COBIT PCIDSS Foco Segurança de dados de cartões de crédito Requisitos para BD o Req 3 Criptografia de dados armazenados o Req 10 Rastreamento de acessos via logs Link oficial PCI Security Standards 2 Exemplos de Logs Fictícios para Atividades Práticas Cenário Banco de dados de um ecommerce MySQL ou SQL Server Log 1 Acesso Não Autorizado plaintext Copy 20231005 142211 IP 1921681105 Usuário admin Ação Login falhou Motivo Senha incorreta 20231005 142215 IP 1921681105 Usuário admin Ação Login falhou Motivo Senha incorreta 20231005 142220 IP 1921681105 Usuário admin Ação Login bem sucedido Permissões Root Discussão Possível ataque de força bruta Log 2 SQL Injection Detectada plaintext Copy 20231005 150133 IP 100077 Query SELECT FROM usuarios WHERE id 1 OR 11 Ação Bloqueada Motivo Padrão malicioso detectado Discussão Como o WAF Web Application Firewall poderia mitigar isso Log 3 Exclusão de Dados Suspeita plaintext Copy 20231005 163045 IP 17216022 Usuário funcionariox Ação DELETE FROM clientes WHERE id 100 Registros afetados 1 Discussão Necessidade de approval workflows para operações críticas 3 Atividade Prática com Logs Exercício 1 Divida os alunos em grupos 2 Entregue os logs fictícios acima 3 Peça para identificarem o Ameaças ex brute force SQLi o Controles de segurança faltantes ex MFA auditoria o Alinhamento com a ISO 27002 controle 813 Gestão de privilégios 4 Materiais Complementares Modelo de Plano de Segurança para BD baseado na ISO 27001 Exemplo no ISACA Simulador de LGPD Ferramenta da ANPD Exemplos Adaptados de Logs Fictícios Para uso em atividades de auditoria análise de riscos ou resposta a incidentes 1 Log de Acesso com Violação de LGPD Cenário Funcionário acessa dados sem justificativa plaintext Copy 20231010 091533 IP 192168520 Usuário joaosilva Ação SELECT FROM pacientes WHERE cpf 12345678900 Motivo Acesso a dados sensíveis sem autorização Classificação LGPD Dados pessoais sensíveis saúde Atividade Os alunos devem identificar o artigo da LGPD violado ex Art 5º II dado sensível e propor medidas corretivas ex revisão de permissões treinamento 2 Log de Auditoria Falha na Governança COBIT 2019 Cenário Ausência de revisão de privilégios alinhamento com COBIT APO0106 plaintext Copy 20231010 100000 Sistema Banco de Dados RH Ação Auditoria de permissões Resultado 15 usuários com permissão admin inativa há 6 meses Recomendação Revogar acessos conforme política de least privilege Atividade Relacionar ao COBIT 2019 DSS0602 Gestão de identidades e criar um plano de ação 3 Log de Ataque Ransomware ISO 27001 Cenário Tentativa de criptografia não autorizada em BD plaintext Copy 20231010 113015 IP 45227254109 Rússia Ação EXEC spconfigure xpcmdshell 1 Bloqueio Comando desativado pelo controle ISO 27001 A1241 Atividade Discutir controles da ISO 27001 A124 Proteção contra malware e como responder ao incidente 4 Log de Vazamento via API PCIDSS Cenário Dados de cartões expostos por API vulnerável plaintext Copy 20231010 134522 Endpoint apipaymentscard1234123412341234 Ação GET request sem autenticação Dados Expostos Número do cartão nome CVV Violação PCIDSS Req 4 Criptografia em trânsito Atividade Propor soluções ex tokenização conformidade com PCIDSS Req 4 Atividades Práticas Sugeridas 1 Mapeamento de Riscos ISO 27005 o Usar os logs para identificar ameaças e classificar riscos baixomédioalto 2 Simulação de Resposta a Incidentes o Dividir os alunos em times Time de SOC vs Time de Governança o Cada time analisa um log e propõe ações com base em LGPD ISO 27001 ou COBIT 3 Elaboração de Políticas o Criar uma política de retenção de logs ex Logs devem ser armazenados por 6 meses conforme LGPD Art 16 Materiais Complementares Template de Plano de Continuidade ISO 27001 Baixar aqui Checklist LGPD para Bancos de Dados Modelo ANPD Dica extra Você pode enriquecer as aulas com Vídeo vazamento da Americanas em 2023 Simuladores interativos de ataques a bancos de dados ex OWASP WebGoat