Adicionar à colecção (s) Adicionar a salvo
  1. Engenharia
  2. Ciência da computação
  3. Bancos de dados

PROJETO_BASICO - Processo: 123644/2012

Propaganda 
CÂMARA DOS DEPUTADOS
CENTRO DE INFORMÁTICA
PROJETO BÁSICO
AQUISIÇÃO DE SOLUÇÃO PARA AUDITORIAS EM BANCOS DE DADOS
Projeto CENIN-011-2011
Agosto 2012
Aquisição de Solução para Auditoria de Bancos de Dados
Página 1
CAINF/CENIN
1. OBJETIVO
O presente projeto básico destina-se a detalhar as especificações técnicas
e condições para aquisição de solução corporativa para auditoria dos bancos
de dados da Câmara dos Deputados.
Essa aquisição reafirma à missão do Centro de Informática, definida no
Plano Estratégico 2010-2013, de “prover soluções de Tecnologia de
Informação e Comunicação à Câmara dos Deputados, alinhadas com a
estratégia da instituição”.
A adoção da solução proposta também atende às recomendações do
Relatório de auditoria nº 2/2011 da Secretaria de Controle Interno (SECIN) e
do TCU (Acórdão “1603/2008 – Plenário”), para que sejam adotados padrões
de segurança e rastreabilidade das transações sobre os bancos de dados,
compatíveis com os previstos nas normas técnicas brasileiras NBR ISO/IEC
17799:2005 (republicada com número ABNT NBR 27002/2007), NBR ISO/IEC
15999-1:2007 e no "Control Objectives for Information and related Technology
4.1 (Cobit 4.1)", que são manuais de boas práticas de Governança, gestão de
TI e segurança da informação, adotadas como referência no âmbito da
administração pública.
Do mesmo modo respeita o estabelecido na Portaria 34/2009/DG, Art 11,
que prevê que “A Câmara dos Deputados poderá auditar os recursos
computacionais por ela providos, a fim de verificar o cumprimento das
disposições previstas em normas e leis aplicáveis, bem como assegurar-lhes a
adequada utilização.”
Em última análise, este projeto pretende dotar a Câmara dos Deputados de
recursos capazes de criar rastreabilidade para as transações efetuadas nos
bancos de dados, compatíveis com o mercado, com normas de melhores
práticas e com as atuais exigências dos órgãos de fiscalização e controle.
Esses recursos irão dar maior segurança e confiabilidade às informações, além
de facilitar, sobremaneira, ações de auditoria sobre os dados.
O item 3 deste projeto básico traz o detalhamento das justificativas aqui
apresentadas.
15
2. OBJETO DA CONTRATAÇÃO
Aquisição de solução de auditoria1 para os bancos de dados corporativos
da Câmara dos Deputados compreendendo:
1. Software para monitorar, em tempo real, os acessos aos bancos de
dados, coletar informações de auditoria, efetuar bloqueios de acessos
suspeitos e disponibilizar as informações coletadas através de
consultas e relatórios;
2. Hardware adequadamente dimensionado2 para executar as funções
contratadas sem degradar3 a performance da rede e das transações
com o banco de dados, no mínimo, pelo período de garantia dos
equipamentos.
3. Todos os demais componentes de hardware (inclusive interfaces de
rede) e software necessários ao perfeito funcionamentos da solução
contratada e à sua integração com rede da Câmara dos Deputados;
4. Serviços de instalação assistida, configuração e ativação da solução;
5. Capacitação operacional para administração da solução e uso de seus
recursos.
6. Garantia de funcionamento e suporte técnico de software e hardware,
pelo período mínimo de trinta e seis meses.
A solução contratada deverá atender a todas as condições e requisitos
especificados neste projeto básico e seus anexos.
3. CONDIÇÕES PARA CONTRATAÇÃO
3.1. As soluções apresentadas devem atender a todas as características
mínimas de hardware e software especificadas e às demais condições
estabelecidas neste Edital e seus anexos.
3.2. Os produtos entregues devem ser novos, para primeiro uso e
pertencentes à atual linha de produção do fabricante.
1
Este tipo de solução tem recebido do mercado diferentes denominações, conforme o fornecedor. Nas
pesquisas realizadas para elaboração deste projeto básico, as nomenclaturas mais frequentes foram:
Firewall de Bancos de Dados, Database Firewall e Appliance de Segurança e Auditoria de Bancos de
Dados. Independente da nomenclatura dada ao objeto licitado, a escolha se dará com base nas
especificações deste edital.
2
As informações para o adequado dimensionamento da solução podem ser obtidas no anexo 3, deste
edital e mediante vistoria técnica, conforme previsto no item 10 deste anexo.
3
Uma possível condição de degradação de performance causada pelo equipamento fornecido, será
atestada por laudo técnico expedido pelo órgão fiscalizador e encaminhado à contratada para as devidas
providências, de acordo com as condições estabelecidas no anexo 5.
16
3.3. Seus componentes devem possuir total compatibilidade e integração
com ambiente de produção da Câmara dos Deputados. Após instalados
e ligados, não poderão interferir ou afetar negativamente os demais
equipamentos já instalados e em funcionamento na rede de dados da
Câmara dos Deputados.
3.4. As especificações do edital serão aferidas em teste de conformidade
após a instalação dos equipamentos e softwares, conforme previsto no
item 7, do anexo 1, deste projeto básico.
4. VALOR TOTAL ESTIMADO
4.1. De acordo com as propostas preliminares recebidas, estima-se que o
valor total da contratação deverá ser de R$ 1.500,00 (um milhão e
quinhentos mil reais).
4.2. O pagamento será efetuado conforme previsto no item 9, do anexo 1,
deste projeto básico.
17
5. CONTEXTUALIZAÇÃO
Segurança e Auditoria de banco de dados são duas atividades
complementares, que visam garantir a integridade das informações
armazenadas e evitar tentativas de fraude contra as organizações. Os
mecanismos de segurança atuam de forma proativa, evitando acessos não
autorizados, perda de dados e prevenindo que eles fiquem indisponíveis. Os
recursos de Auditoria de Bancos de Dados são reativos, ou seja, permitem o
registro de dados sobre os acessos efetuados para posterior detecção de
fraudes e identificação de suas origens e autores. Desse modo, inibem a
violação dos dados, em especial, por agentes internos à organização. A
auditoria proporciona a retroalimentação e o aperfeiçoamento dos mecanismos
de segurança.
Os Sistemas Gerenciadores de Bancos de Dados (SGBD) são os softwares
que fornecem as funcionalidades necessárias para a gerência de bancos de
dados, em especial, para ambientes corporativos. A Câmara dos Deputados
utiliza dois produtos do tipo SGBD para suportar suas bases de dados dos
sistemas informatizados das áreas legislativa e administrativa: O ORACLE da
Oracle Corporation e o SQL SERVER da Microsoft. Esses produtos já trazem
embutidos em suas funcionalidades mecanismos de segurança e auditoria de
dados. Esses recursos cobrem o controle de acesso através de senhas,
criptografia de dados, backup, espelhamento de dados e recursos de
tolerância a falhas. Por outro lado, se mostram insuficientes quando o acesso
é efetuado por pessoas de dentro da própria organização, que embora
autorizados, podem fazer mal e provocar danos aos dados ou vazamento dos
mesmos, sem deixar registro do seu acesso.
Usuários com privilégios especiais, notadamente os administradores de
bancos de dados (DBAs), são um grupo de alto risco em termos de segurança.
Esses usuários não sofrem controle de concessão de privilégios, são capazes
de acessar todos os recursos do SGBD que administram, podem criar e
apagar usuários e conceder-lhes privilégios. Podem, inclusive, acessar e
modificar dados de auditoria do banco de dados, caso os mecanismos de
auditoria dos bancos estejam ativos.
Os recursos de auditoria existentes nos bancos de dados ORACLE e SQL
Server são insuficientes para atender aos requisitos auditoria propostos pelas
normas de melhores práticas recomendadas pelo TCU e que servem como
referência para este projeto. Os dados registrados nesses mecanismos de
auditoria não permitem a completa reconstituição histórica dos fatos,
identificação de origem e autores de transações a serem auditadas. A
manipulação dos registros de transações (logs – recurso nativo do banco de
dados) é demorada e geralmente não atende à urgência solicitada. As trilhas
de auditoria (outro recurso dos bancos de dados) consomem muito espaço de
armazenamento, fazendo com que se restrinja ao máximo o escopo das
18
transações monitoradas. Os gatilhos (triggers), programados pelos
desenvolvedores de aplicações, baseados em operações sobre as tabelas,
além de não obedecerem a um padrão de registro, interferem no desempenho
e no funcionamento das aplicações, por isso, são de utilização restrita. Além
de tudo, a extração dos dados registrados com recursos nativos do banco de
dados deve ser operada por um usuário administrador do banco de dados
(DBA). O ideal é que os usuários dos órgãos de auditoria, fiscalização e
controle possam gerar seus relatórios e exercer o seu papel de forma
independente e autônoma, sem a interferência de terceiros.
Esse projeto visa, em primeira instância, aumentar o nível de segurança dos
bancos de dados da Câmara dos Deputados adicionando mais uma camada
de software de controle de acesso aos dados. Paralelamente, pretende dotar a
infraestrutura de Tecnologia da informação (TI) da Casa de recursos mais
eficazes de auditoria dos bancos de dados. Os requisitos de segurança e
auditoria que nos permitem alcançar esse resultado são o objeto de
detalhamento deste projeto básico.
19
6. RESULTADOS ESPERADOS
6.1. Aumentar o nível de segurança dos bancos de dados corporativos da
Câmara dos Deputados, criando um segundo ponto de controle de
acesso aos dados, através de bloqueios proativos de acessos
considerados suspeitos;
6.2. Dar maior confiabilidade às informações armazenadas nos bancos de
dados corporativos da Câmara dos Deputados, aumentando o controle
de acesso aos dados;
6.3. Dar maior transparência às operações efetuadas sobre os dados
contidos nos bancos de dados da Câmara dos Deputados, através do
registro da sequencia de operações efetuadas em trilhas de auditoria;
6.4. Permitir o rastreamento dos acessos às informações dos bancos de
dados corporativos, através de registros históricos que permitam
remontar sequências de operações, identificar o autor, origem, data,
hora e os dados acessados ou modificados;
6.5. Facilitar a realização de auditorias dos bancos de dados, fornecendo
informações de auditoria de melhor qualidade, completeza e de forma
ágil;
6.6. Facilitar extração de dados de auditoria dos bancos de dados,
diretamente por usuários autorizados, através de relatórios préformatados e de assistentes de geração de relatórios instantâneos;
6.7. Possibilitar a geração de informações de auditoria com confiabilidade
suficiente para atender exigências de perícias forenses. A solução
contratada de auditoria deve conter recursos que assegurem que as
informações gravadas em suas bases de dados não possam ser
alteradas e que inclusive seus usuários administradores tenham suas
ações auditadas;
6.8. Melhorar o tempo de resposta às demandas por informações de
auditoria. As informações poderão ser extraídas diretamente por
usuários autorizados dos órgãos de fiscalização da Casa, através de
interfaces amigáveis e relatórios pré-formatados;
6.9. Facilitar o acesso às informações de auditoria, a partir de um conjunto
maior de informações e recursos de monitoramento e pesquisa
adequados. Atualmente as informações de auditoria são extraídas dos
registros de transações (“logs”) dos bancos de dados. Esse é um
procedimento que só pode ser efetuado pelos DBAs, porque, exige
procedimentos e privilégios especiais. Consequentemente, a resposta
costuma ser demorada e frequentemente não atende aos requisitos e
dinâmica informacional desejados.
20
7. JUSTIFICATIVAS
Além dos resultados esperados, expostos no item anterior deste projeto
básico, a contratação da solução corporativa de proteção e auditoria dos
bancos de dados corporativos da Câmara dos Deputados é recomendada
pelos argumentos listados no itens a seguir.
7.1. Plano estratégico do CENIN para o triênio 2010 / 2013
Do ponto de vista administrativo, este projeto justifica-se por estar alinhado
com os objetivos estratégicos da área de Tecnologia da Informação (TI) da
Câmara dos Deputados, constantes do plano estratégico do CENIN para o
triênio 2010 / 2013. Sustenta-se, ainda, pela necessidade de atender às
recomendações dos órgãos de controle interno e externo, expressas em seus
relatórios
de
inspeções
ordinárias
e
nos
guias
de
“boas práticas”
recomendados por esses órgãos.
7.2. Recomendações do Acórdão TCU 1603/2008 – Plenário
O Acórdão do TCU “1603/2008 – Plenário”, aprova e reproduz o essencial
do Levantamento de Auditoria efetuado pela Secretaria de Fiscalização de
Tecnologia da Informação (Sefti) do Tribunal de Contas da União (TCU), junto
a diversos órgãos e entidades da Administração Pública Federal, com vistas a
obter informações acerca da situação da gestão e do uso de Tecnologia da
Informação (TI). Esse relatório foi elaborado com base nas normas técnicas
brasileiras NBR ISO/IEC 17799:2005 (republicada com número ABNT NBR
27002/2007), NBR ISO/IEC 15999-1:2007
e no "Control Objectives for
Information and related Technology 4.1 (Cobit 4.1)", que são manuais de boas
práticas de Governança, gestão de TI e segurança da informação, adotadas
como referência no âmbito da administração pública.
O Acordão citado e seu relatório de referência fazem explicitas
recomendações de medidas que devem ser adotadas pela Câmara dos
21
Deputados, em relação à auditoria e segurança de dados, em especial as
seguintes:
_ Relatório, parágrafo 13, item VII: Recomendar à Diretoria-Geral do Senado Federal e à
Diretoria-Geral da Câmara dos Deputados que adotem as providências contidas no
item I
no âmbito de suas Casas Legislativas;
_ Relatório, parágrafo 13,
item I, letra c): promova ações com objetivo de disseminar a
importância do gerenciamento da segurança da informação e induzir, mediante orientação
normativa, os órgãos do Poder Judiciário a realizarem ações para implantação e/ou
aperfeiçoamento da gestão da continuidade do negócio, da gestão de mudanças, da gestão de
capacidade, da classificação da informação, da gerência de incidentes, da análise de riscos
de TI, da área específica para gerenciamento da segurança da informação, da política de
segurança da informação e dos procedimentos de controle de acesso (parágrafos 54 a
87.11);
_ Acordão, item 9.5.: recomendar à Diretoria-Geral do Senado Federal e à Diretoria-Geral da
Câmara dos Deputados que adotem, no âmbito de suas Casas Legislativas, as providências
contidas no item
9.1;
(...)
_ Acordão,
item 9.1.3.: orientem sobre a importância do gerenciamento da segurança da
informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou
aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de
capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de
TI, a área específica para gerenciamento da segurança da informação, a política de
segurança da informação e os procedimentos de controle de acesso;
(...)
_ Acordão,
item 9.1.8.: introduzam práticas voltadas à realização de Auditorias de TI,
que permitam a avaliação regular da conformidade, da qualidade, da eficácia e da
efetividade dos serviços prestados;
22
A aquisição da solução de auditoria, indicada neste projeto básico, para os
bancos de dados corporativos da Casa está em perfeita consonância com os
itens do acordão citados e viabiliza a adoção das medidas recomendadas no
texto.
7.3. Norma ABNT NBR ISO/IEC 27002:2005
O TCU tem recomendado em seus acórdãos (ex.: Acórdão TCU-Plenário nº
1603/2008), que os órgãos da Administração Pública Federal (APF) tenham
conformidade com normas e procedimentos de “melhores práticas” para os
processos de governança de TI. Em particular, no que se refere a este projeto,
interessa os seguintes tópicos da ABNT NBR ISO/IEC 27002:2005:
_ 8.1.1 Papéis e responsabilidades
Controle
Convém que papéis e responsabilidades pela segurança da informação de
funcionários, fornecedores e terceiros sejam definidos e documentados de acordo com
a política de segurança da informação da organização.
Diretrizes para implementação
Convém que os papéis e responsabilidades pela segurança da informação incluam
requisitos para:
a) implementar e agir de acordo com as políticas de segurança da informação da
organização (ver 5.1);
b) proteger ativos contra acesso não autorizado, divulgação, modificação, destruição ou
interferência;
c) executar processos ou atividades particulares de segurança da informação;
d) assegurar que a responsabilidade é atribuída à pessoa para tomada de ações;
e) relatar eventos potenciais ou reais de segurança da informação ou outros riscos de
segurança para a organização.
23
_ 10.1.3 Segregação de funções
Controle
Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as
oportunidades de modificação ou uso indevido não autorizado ou não intencional dos
ativos da organização.
Diretrizes para implementação
A segregação de funções é um método para redução do risco de uso indevido acidental
ou deliberado dos sistemas. Convém que sejam tomados certos cuidados para impedir
que uma única pessoa possa acessar, modificar ou usar ativos sem a devida
autorização ou detecção. Convém que o início de um evento seja separado de sua
autorização. Convém que a possibilidade de existência de conluios seja considerada no
projeto dos controles.
As pequenas organizações podem considerar a segregação de funções difícil de ser
implantada, mas convém que o seu princípio seja aplicado sempre que possível e
praticável. Onde for difícil a segregação, convém que outros controles, como a
monitoração das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam
considerados. É importante que a auditoria da segurança permaneça como uma
atividade independente.
_ 10.10 Monitoramento
Objetivo: Detectar atividades não autorizadas de processamento da informação.
Convém que os sistemas sejam monitorados e eventos de segurança da informação
sejam registrados.
Convém que registros (log) de operador e registros (log) de falhas sejam utilizados para
assegurar que os problemas de sistemas de informação são identificados.
Convém que as organizações estejam de acordo com todos os requisitos legais
relevantes aplicáveis para suas atividades de registro e monitoramento.
Convém que o monitoramento do sistema seja utilizado para checar a eficácia dos
controles adotados e para verificar a conformidade com o modelo de política de
acesso.
24
_ 11.2.2 Gerenciamento de privilégios
Controle
Convém que a concessão e o uso de privilégios sejam restritos e controlados.
Diretrizes para implementação
Convém que os sistemas de multiusuários que necessitam de proteção contra acesso
não autorizado tenham a concessão de privilégios controlada por um processo de
autorização formal. Convém que os seguintes passos sejam considerados:
a) privilégio de acesso de cada produto de sistema, por exemplo, sistema operacional,
sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de
usuários para os quais estes necessitam ser concedido, seja identificado;
b) os privilégios sejam concedidos a usuários conforme a necessidade de uso e com
base em eventos alinhados com a política de controle de acesso (ver 11.1.1), por
exemplo, requisitos mínimos para sua função somente quando necessário;
c) um processo de autorização e um registro de todos os privilégios concedidos sejam
mantidos. Convém que os privilégios não sejam fornecidos até que todo o processo de
autorização esteja finalizado;
d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar
a necessidade de fornecer privilégios aos usuários;
e) desenvolvimento e uso de programas que não necessitam funcionar com privilégios
sejam estimulados;
f) os privilégios sejam atribuídos para um identificador de usuário (ID de usuário)
diferente daqueles usados normalmente para os negócios.
_ 11.5.2 Identificação e autenticação de usuário
Controle
Convém que todos os usuários tenham um identificador único (ID de usuário) para uso
pessoal e exclusivo, e convém que uma técnica adequada de autenticação seja
escolhida para validar a identidade alegada por um usuário.
25
Diretrizes para implementação
Convém que este controle seja aplicado para todos os tipos de usuários (incluindo o
pessoal de suporte técnico, operadores, administradores de rede, programadores de
sistema e administradores de banco de dados).
Convém que os identificadores de usuários (ID de usuários) possam ser utilizados para
rastrear atividades ao indivíduo responsável. Convém que atividades regulares de
usuários não sejam executadas através de contas privilegiadas.
Em circunstâncias excepcionais, onde exista um claro benefício ao negócio, pode
ocorrer a utilização de um identificador de usuário (ID de usuário) compartilhado por um
grupo de usuários ou para um trabalho específico. Convém que a aprovação pelo
gestor esteja documentada nestes casos. Controles adicionais podem ser necessários
para manter as responsabilidades.
Convém que identificadores de usuários (ID de usuários) genéricos para uso de um
indivíduo somente sejam permitidos onde as funções acessíveis ou as ações
executadas pelo usuário não precisam ser rastreadas (por exemplo, acesso somente
leitura), ou quando existem outros controles implementados (por exemplo, senha para
identificador de usuário genérico somente fornecida para um indivíduo por vez e
registrada).
Convém que onde autenticação forte e verificação de identidade é requerida, métodos
alternativos de autenticação de senhas, como meios criptográficos, cartões inteligentes
(smart card), tokens e meios biométricos sejam utilizados.
Informações adicionais
As senhas (ver 11.3.1 e 11.5.3) são uma maneira muito comum de se prover
identificação e autenticação com base em um segredo que apenas o usuário conhece.
O mesmo pode ser obtido com meios criptográficos e protocolos de autenticação.
Convém que a força da identificação e autenticação de usuário seja adequada com a
sensibilidade da informação a ser acessada.
Objetos como tokens de memória ou cartões inteligentes (smart card) que os usuários
possuem também podem ser usados para identificação e autenticação. As tecnologias
de autenticação biométrica que usam características ou atributos únicos de um
indivíduo também podem ser usadas para autenticar a identidade de uma pessoa. Uma
26
combinação de tecnologias e mecanismos seguramente relacionados resultará em uma
autenticação forte.
Os itens da norma ABNT NBR ISO/IEC 27002:2005 destacados neste
tópico foram transformados, na medida do possível, em requisitos da solução
de auditoria e segurança a ser contratada, de modo a viabilizar uma maior
conformidade dos procedimentos da casa no tratamento de informações
confidenciais, com a referida norma, conforme recomendado pelo TCU.
7.4. COBIT 4.1
O TCU tem recomendado em seus acórdãos (ex.: Acórdão TCU-Plenário nº
1603/2008), que os órgãos da Administração Pública Federal (APF) tenham
conformidade com normas e procedimentos de “melhores práticas” para os
processos de governança de TI. Em particular, no que se refere a este projeto,
interessa os seguintes tópicos do CobiT 4.1 :
_ DS5 - Garantir a Segurança dos Sistemas
Para manter a integridade da informação e proteger os ativos de TI, é necessário
implementar um processo de gestão de segurança. (...)
_ DS5.1 Gestão da Segurança de TI
Gerenciar a segurança de TI no mais alto nível organizacional da empresa de modo
que a gestão das ações de segurança esteja em alinhamento com os requisitos de
negócio.
_ DS5.2 Plano de Segurança de TI
(...) O plano deve ser implementado em políticas e procedimentos de segurança,
juntamente com investimentos adequados em serviços, pessoal, software e
hardware.(...)
_ DS5.3 Gestão de Identidade
27
Todos os’ usuários (internos, externos e temporários) e suas atividades nos sistemas
de TI (aplicação de negócio, desenvolvimento, operação e manutenção de sistemas)
devem ser identificáveis de modo exclusivo.
_ DS5.4 Gestão de Contas de Usuário
Assegurar que a solicitação, a emissão, a suspensão, a modificação e o bloqueio de
contas de usuário e dos respectivos privilégios sejam tratados por procedimentos de
gestão de contas de usuário. Incluir um procedimento de aprovação de concessão de
direitos de acesso pelos proprietários dos dados ou sistemas. Esse procedimento deve
ser aplicado a todos os usuários, inclusive aos administradores (usuários com
privilégios), usuários internos e externos, para os casos normais ou emergenciais. (...)
_ DS5.5 Teste de Segurança, Vigilância e Monitoramento
Garantir que a implementação de segurança de TI seja testada e monitorada
proativamente. A segurança de TI deve ser revalidada periodicamente para garantir
que o nível de segurança aprovado seja mantido. A função de monitoramento e registro
de eventos (logging) deve possibilitar a prevenção e/ou detecção prematura de
atividades anormais e incomuns que precisem ser tratadas, bem como a
subsequente geração de relatórios no tempo apropriado.
(...)
_ DS11.6 Requisitos de Segurança para o Gerenciamento de Dados
Definir e estabelecer políticas e procedimentos para identificar e aplicar requisitos de
segurança aplicáveis ao recebimento, processamento, armazenamento físico e saída
de dados para atender aos objetivos de negócio, à política de segurança da
organização e a exigências regulatórias.
_ DS13.3 Monitoramento da Infraestrutura de TI
Definir e implementar procedimentos para monitorar a infraestrutura de TI e eventos
relacionados. Assegurar que informações cronológicas suficientes estejam sendo
armazenadas em registros operacionais para permitir a reconstrução, a revisão e
a análise das sequências de operações e outras atividades pertinentes ou de
apoio às operações.
28
Os itens do COBIT 4.1 destacados neste tópico foram transformados, na
medida do possível, em requisitos da solução de auditoria e segurança
proposta neste projeto básico, de modo a viabilizar uma maior conformidade
dos procedimentos da Câmara no tratamento de informações confidenciais,
com esse guia de boas práticas, conforme recomendado pelo TCU.
7.5. Relatório de auditoria nº 2/2011 da Secretaria de Controle Interno
No âmbito da Câmara dos Deputados, a Secretaria de Controle Interno
(SECIN) tem sugerido ao Centro de Informática (CENIN), em seus relatórios
de inspeções ordinárias, a implantação de mecanismos de auditoria para os
bancos de dados, visando aumentar o controle e dar maior confiabilidade e
transparência às informações neles contidas. Do relatório citado destaco os
seguintes tópicos:
_ 2.2. O controle de acesso ao sistema Sigesp-CD não é adequadamente disciplinado e
informações de acesso não são adequadamente preservadas
(...)
_ 2.2.5. Efeitos
a) Dados de acesso não são adequadamente preservados (efeito real);
b) Alterações sobre os dados do sistema não são preservadas e não podem ser
recuperadas (efeito real);
c) Impossibilidade de realização de auditoria (efeito real).
(...)
_ 2.2.7. Análise
(...)
29
A fim de facilitar a prevenção da ocorrência de ilícitos, ou para que se
obtenham evidências de eventuais ocorrências, é essencial que se
preservem os dados de acesso e as modificações aos dados do
sistema.
(...)
Uma vez que os dados de acesso não são adequadamente mantidos,
vê-se impossibilitada a realização de auditoria específica quanto a este
tema.
_ 4. Conclusões (quarto paragrafo)
(...) Sem a preservação de evidências consistentes, frustram-se as ações de coleta
de indícios do uso dos recursos computacionais, mas não apenas isso: compromete-se
a própria gestão dos recursos envolvidos, dificultando-se, quando não impossibilitando,
entre outras tarefas, a realização de análises históricas de uso, a observação de
comportamentos dos usuários, a preservação do legado, a correta aplicação do
processo de mudanças e a formulação de cenários futuros.
A aquisição de uma solução de auditoria para os bancos de dados
corporativos da Casa, conforme indicado neste projeto básico, visa
principalmente a adequada preservação dos dados de acesso e das
sequencias históricas de modificações nos dados dos sistemas, de modo a
viabilizar a realização de auditorias, prevenir a ocorrência de ilícitos,
possibilitar que se obtenham evidências de eventuais ocorrências e permitir a
identificação dos responsáveis.
30
7.6. Portaria 34/2009/DG, Art 11
A Portaria 34/2009/DG explicita que:
A Câmara dos Deputados poderá auditar os recursos computacionais por
ela providos, a fim de verificar o cumprimento das disposições previstas
em normas e leis aplicáveis, bem como assegurar-lhes (corrigiu-se)
adequada utilização. (Portaria 34/2009/DG, art. 11); (grifou-se).
A aquisição da solução de auditoria, aqui proposta, viabiliza a aplicação da
Portaria 34/2009/DG.
7.7. Necessidade de melhorar o controle de acesso e prover meios de
preservação adequada dos dados de acesso, para fins de auditoria.
Os ambientes de produção de bancos de dados ORACLE e MYCROSOFT
SQL/SERVER da Câmara dos Deputados são de grande importância
estratégica. Eles suportam os sistemas corporativos mais importantes da
Casa, por exemplo: Folha de Pagamento, Acompanhamento Legislativo,
Gestão de Recursos Humanos, Protocolo, Controle de Orçamento, Controle de
Emendas Parlamentares, Portal do Servidor, Gastos, Automatização de
gabinetes, Consultoria Legislativa, Biblioteca Digital, Legislação Interna,
registro de ponto eletrônico, DW da Diretoria Administrativa, DW do Sistema
de acompanhamento financeiro, DW do Sistema de Orçamento, Prontuário
médico Eletrônico, Controle de Cotas Parlamentares, Portal do Servidor, além
de muitos outros. Dada a importância estratégica desses sistemas e de outros
suportados pelos bancos de dados corporativos da Câmara, torna-se
fundamental protegê-los, melhorando o controle de acesso e provendo meios
de preservação adequada dos dados de acesso, para fins de auditoria.
7.8. Necessidade de aumentar a segurança e transparência dos processos
geridos pela Casa
O ORACLE e o SQL SERVER são sistemas gerenciadores de bancos de
dados (SGBD) de ponta, colocados entre os melhores e mais seguros do
mercado. Suas versões evoluem constantemente. Neste particular, a Câmara
31
dos Deputados tem se mantido em dia.
Esses SGBD Dispõem de
mecanismos de autenticação através de senhas, que impedem acessos não
autorizados aos dados. Possuem, também, recursos de auditoria que
registram as operações efetuadas nos bancos de dados. Os bancos de dados
corporativos da Câmara também estão protegidos por “firewalls” de rede, para
evitar o ataque de “hackers” e por mecanismos de “backups” que permitem a
recuperação de dados perdidos. Apesar de todos esses recursos, as formas
de ataque tornam-se cada vez mais sofisticadas e imprevisíveis, novas
brechas de segurança surgem em função da evolução tecnológica e precisam
ser fechadas e novos produtos estão disponíveis no mercado que facilitam a
preservação, recuperação de informações de auditoria e agilizam o trabalho
dos órgãos fiscalizadores.
O investimento nessa nova tecnologia de
segurança e auditoria de banco de dados atribui mais segurança e
transparência aos processos geridos pela Casa.
7.9. Necessidade de evitar fraudes e vazamentos de informações
Tem sido cada vez mais comum a ocorrência de situações, onde pessoas
da própria organização (autorizadas ou não) acessam os dados e os
manipulam de forma fraudulenta ou os retransmitem de maneira não
autorizada, provocando vazamentos. Os recursos de segurança e auditoria,
atualmente disponíveis em nosso ambiente computacional, não são suficientes
para garantir o nível de controle de acesso adequado aos dados sensíveis. A
solução proposta por este projeto, além de aumentar o grau de segurança
desses dados, alcança maior eficácia na execução de auditorias periódicas,
além de prevenir a violação e vazamento dos dados, porque facilita o estudo,
identificação e correção de acessos inadequados e, caso ocorram violações,
auxilia a elucidação dos fatos relacionados, realimentando as políticas de
segurança.
32
8. CENÁRIO PARA AQUISIÇÃO
Realizamos pesquisas na internet e junto aos colegas da área de
segurança, que trabalham com produtos e fornecedores afins. Frente às
nossas necessidades, identificamos como possíveis concorrentes os produtos
e seus respectivos fornecedores listados a seguir.
8.1. IBM Digital Guardium
Pagina oficial do produto:
http://www-935.ibm.com/services/us/index.wss/offering/iss/a1031228
Contatos: leadcomm - [email protected]
Inbsoluções - [email protected]

Fizemos contato com a Leadcomm que nos procurou, através do seu
representante Gustavo Nardelli, nos apresentou o produto, nos
colocou em contato como o suporte técnico em São Paulo e fez
diversas interações conosco, através de emails ou por telefone, que
nos ajudou a entender o funcionamento do Guardium.

A partir das informações coletadas nas apresentações e na
documentação do produto, elaboramos um relatório sobre o
Guardium, que segue anexo a este projeto.

Atendendo a convite da Câmara, a Leadcomm participou de uma
prova de conceitos, oportunidade em que instalou um protótipo de
sua solução em nosso ambiente e manteve um técnico conosco
durante uma semana para nos orientar e sanar dúvidas com relação
ao funcionamento do produto. A cerca da prova de conceitos,
elaboramos um relatório com as observações colhidas, que consta
no Anexo 11 deste projeto básico.

Solicitamos a atualização da proposta de preços anteriormente
enviada pela Leadcomm para compor esse projeto básico, mas não
fomos atendidos. Portanto utilizamos para compor nossa estimativa
33
de custos relativos ao produto GUARDIUM uma proposta de
fevereiro de 2012.
8.2. ORACLE DATABASE FIREWALL
Pagina oficial do produto:
http://www.oracle.com/technetwork/database/databasefirewall/overview/index.html
Contatos: Oracle - [email protected]
B2BR - [email protected]

Fizemos contato com a ORACLE, que nos procurou através do seu
representante Rodrigo Simões, nos apresentou o produto, nos
colocou em contato com seus técnicos e com a empresa parceira
B2BR em Brasília. Com essa empresa, fizemos diversas interações,
através de emails, por telefone e em apresentação do produto
realizada na Câmara. Tudo isso nos ajudou a entender o
funcionamento do Oracle Database firewall.

A partir desses contatos e de pesquisas na documentação do
produto, elaboramos um relatório sobre o ORACLE Database
Firewall, que segue anexo a este projeto.

Fizemos convite à ORACLE e chegamos a marcar agenda com a
B2BR, para realização de prova de conceitos, porém, até o momento
de início da tramitação deste projeto, não foi possível realizá-la, por
motivo de agenda da B2BR.

Solicitamos proposta de preços para compor esse projeto básico,
porém não fomos atendidos.
8.3. Database Security Suite – Imperva
Pagina oficial do produto:
http://www.imperva.com/products/products.html
Contato: [email protected]
34
Especificações técnicas do produto podem ser consultadas no link:
http://www.imperva.com/docs/DS_SecureSphere_Appliances.pdf

Fizemos contato com a BLACKBULL, que nos procurou através do
seu representante Carla Frota, nos apresentou o produto, nos
colocou em contato como o suporte técnico em São Paulo e fez
diversas interações conosco, através de emails ou por telefone, o
que nos ajudou a entender o funcionamento do IMPERVA.

Atendendo a convite da Câmara, a BLACKBULL participou de uma
prova de conceitos, oportunidade em que instalou um protótipo de
sua solução em nosso ambiente, que permaneceu na Câmara por
cerca de 50 dias, para testes e pesquisas. Um técnico da Blackbull
esteve conosco em algumas oportunidades para nos orientar e sanar
dúvidas com relação ao funcionamento do produto.

A cerca da prova de conceitos, elaboramos um relatório com as
observações colhidas, que consta do Anexo 11 deste projeto básico.
8.4. McAfee (SENTRIGO)
Pagina oficial do produto:
http://www.sentrigo.com/
Contato: - [email protected]

Fizemos contato com o representante da McaFee em Brasília PSN
Security, através do seu email e por telefone. O Sr. Gustavo Suzuki,
Diretor Técnico da empresa nos atendeu, nos apresentou o produto,
nos colocou em contato como o suporte técnico e fez diversas
interações conosco, através de emails ou por telefone, que nos
ajudou a entender o funcionamento da solução da McAfee.

Atendendo a convite da Câmara, a PSN Security participou de uma
prova de conceitos, oportunidade em que instalou um protótipo de
sua solução, que permaneceu na Câmara por cerca de 30 dias, para
testes e pesquisas. Um técnico da PSN ficou em contato conosco e,
35
em algumas oportunidades, nos orientou e sanou dúvidas com
relação ao funcionamento do produto.

A cerca da prova de conceitos, elaboramos um relatório com as
observações colhidas, que constam do anexo 11 deste projeto.
8.5. _ Ware Valley Chakra
Pagina oficial do representante:
http://www.templo.com.br
Telefones: (11) 4063-7001 e (11) 4063-7488
Esse representante não respondeu aos nossos chamados, efetuados
por email e pelos telefones listados no site.
8.6. _ DB Audit – softtreetech
Pagina oficial do produto:
http://www.softtreetech.com/
Contatos:PGI Do Brasil
Web http://www.grupopenaloza.com.br
Email: [email protected]
Phone +55 11 97376503
AACS Tecnologia Ltda – Ayers –
Web http://www.gistec.com.br
Email [email protected]
Phone +55 11 4196-5627
Esse representante não respondeu às nossas tentativas de
contato, por e-mail ou por telefone.
As apresentações, realizadas com os primeiros fornecedores (itens 8.1, 8.2,
8.3 e 8.4) trataram, principalmente, dos recursos e das políticas de
licenciamento dos produtos. Pudemos também verificar que o cálculo do
número de licenças e, consequentemente, o custo das soluções não é
padronizado. Dependendo do produto esse cálculo leva em conta a
36
capacidade de processamento dos servidores de banco de dados (modelo,
quantidade e número de “core” dos processadores), a arquitetura de alta
disponibilidade (cluster ativo/ativo ou ativo passivo), os módulos e
funcionalidades a serem contratados e, em alguns casos, o número de
agentes instalados no ambiente monitorado. Essas particularidades devem
ser esclarecidas nas propostas que serão enviadas pelos fornecedores.
37
9. REFERENCIAS DE PREÇOS
A Tabela1apresenta o resumo das estimativas de preços extraídas das
propostas comerciais constantes do anexo 10 deste projeto básico.
Tabela1 - Resumo das Propostas Comerciais
ITENS/EMPRESAS
IMPERVA
GUARDIUM
MaCafee
1. Componentes de Hardware
R$ 684.981,00
R$ 243.645,60
R$ 56.000,00
2. Componentes de Software
R$ 1.000.292,06
R$ 1.414.215,68
R$ 756.000,00
3. Serviços de instalação e
ativação (conforme título 1
do anexo nº 4)
R$
46.712,00
4. Serviços de Operação
assistida (conforme o título
2 do anexo nº 4)
R$
9.240,00
R$ 120.400,00
R$ 36.000,00
5. Serviços de garantia e
suporte técnico (conforme
anexo nº5)
R$
57.384,00
R$ 565.686,27
R$ 360.000,00
6. Capacitação operacional
(conforme anexo nº 6)
R$
43.380,00
R$
R$
R$ 153.000,00
80.000,00
35.000,00
Valor total da Proposta
R$ 1.841.989,06
R$ 2.423.947,55
R$ 1.396.000,00
Valor total dos Produtos
R$ 1.685.273,06
R$ 1.657.861,28
R$ 812.000,00
Valor total dos serviços
R$ 156.716,00
R$ 766.086,27
R$ 584.000,00
Observações:
 Não foram encontradas atas de registro de preço e nenhum órgão
Público que tenha efetuado processo licitatório para adquirir produto
desta natureza.
38
 Estimamos que o valor máximo para a aquisição seja de R$
1.500.000,00O (hum milhão e quinhentos mil reais). Os valores
constantes da tabela1 constituem preços de tabela dos produtos, que
esperamos que se reduzam no processo de aquisição;
 Durante as provas de conceitos que realizamos com os três produtos
constantes da tabela 1, observamos que o produto da MaCafee, apesar
de seu custo mais reduzido, não atende a vários requisitos
especificados no anexo 2 deste projeto básico. Os relatórios de cada
prova seguem anexos a este projeto básico.
 Solicitamos a atualização da proposta de preços anteriormente enviada
pela Leadcomm para compor a tabela 1, contemplando atualizações
que fizemos nos requisitos em função da realização das provas de
conceitos, porém, não fomos atendidos. Portanto, utilizamos para
compor nossa estimativa de custos relativos ao produto GUARDIUM
uma proposta de fevereiro de 2012. Em função das mudanças nos
requisitos, esperamos que o custo desse produto se compatibilize com
a nossa estimativa de preços.
39
10. ESPECIFICAÇÕES E DEMAIS CONDIÇÕES
Visando a elaboração de edital de licitação, foi definido um conjunto de
especificações e demais condições para a contratação da SOLUÇÃO
CORPORATIVA DE SEGURANÇA E AUDITORIA PARA OS BANCOS DE
DADOS CORPORATIVOS da Câmara dos Deputados. Esta documentação
encontra-se nos seguintes anexos presentes no projeto básico:
Anexo 01 - Disposições gerais;
Anexo 02 - Caderno de especificações;
Anexo 03 - Levantamento de dados para estimativa de preços;
Anexo 04 - Serviços de Instalação, Configuração e Ativação;
Anexo 05 – Serviços de Suporte Técnico;
Anexo 06 – Capacitação Operacional;
Anexo 07 – Tabela de Multas;
Anexo 08 – Termo de Vistoria;
Anexo 09 – Modelo de Proposta.
40
11. PLANO DE IMPLANTAÇÃO
11.1.
PREMISSAS
Para que a contratação da solução de auditoria e segurança proposta
neste projeto básico atinja os objetivos estabelecidos, além de sua
instalação e ativação, outras ações administrativas devem ser
desenvolvidas em conjunto, como planejar o cenário de segurança e
auditoria desejado. Seguem algumas ações que devem ser adotadas.
1.1.1.1. Criar normas, procedimentos e elaborar acordos de níveis de
serviços entre as partes interessadas nos processos de auditoria e
segurança da informação, de modo a esclarecer quem deve
demandar a auditoria, o que deve ser registrado (sob demanda ou
de ofício) pela solução contratada, a responsabilidade de cada um
dos atores nesse contexto, etc..
1.1.1.2. Criar estrutura de pessoal específica para gerenciar, a nível
operacional, a solução contratada e atender às demandas
decorrentes da sua instalação e operação, bem como da
implementação e manutenção das regras de auditoria e segurança.
1.1.1.3. Prever, com o auxílio dos desenvolvedores, gestores das
aplicações e normas já editadas, os dados que possuem maior
potencial de risco para merecerem a criação de regras específicas
de monitoramento. Essa abordagem nos permite estabelecer um
cenário de segurança proativa, com a construção de regras que
prevejam o bloqueio de acessos considerados suspeitos, para evitar
a consumação de incidentes. Também nos leva a construção de
uma base de dados de monitoramento mais qualificada e objetiva,
que facilita a recuperação dos dados em situações de investigação
de incidentes de segurança.
1.1.1.4. Definir estratégias para a instalação de bloqueios proativos. As
soluções estudadas oferecem módulos que permitem configurar
regras para efetuar bloqueios de acessos considerados suspeitos. A
utilização desse recurso não é automática, implica na adoção de um
nível de segurança maior, requer um estudo e definição de quais
aplicações podem se beneficiar dele, dos parâmetros que serão
utilizados e de possíveis impactos e adaptações são necessárias.
1.1.1.5. Existe uma larga faixa de imprevisibilidade de risco, que só se
torna visível, a partir da ocorrência de incidentes de segurança
relacionados à violação, fraude ou vazamento de informações. Uma
vez que se investe em uma solução de monitoramento, o mínimo
que se espera como retorno é o registro de informações que
41
possam elucidar as causas de incidentes de segurança. Portanto,
nos parece prudente, numa abordagem inicial, registrar dados de
monitoramento para todos os acessos aos bancos de dados e, na
medida em que formos conhecendo o ambiente, refinar os filtros de
coleta para a captura de dados mais selecionados e precisos. A
eficiência da solução de auditoria contratada, em relação à
otimização do espaço de armazenamento é um fator de
fundamental importância para adoção deste tipo de estratégia.
Nesse sentido, todas as soluções por nós avaliadas em provas de
conceitos atenderam às expectativas.
1.1.1.6. Um estudo apurado dos dados com auxílio dos gestores e
desenvolvedores, a experiência com o uso da solução contratada e
a operação assistida, prevista neste projeto como item a ser
contratado, ajudarão a compor um quadro inicial no dinâmico
cenário de auditoria e nos colocarão no rumo certo.
1.1.1.7. Planejar a integração dos sistemas existentes à solução de
auditoria contratada, mediante acordo entre as partes interessadas,
quais sejam: Gestor dos sistemas, Secretaria de controle Interno
(SECIN), Área de Desenvolvimento de Sistemas, Área de Banco de
Dados e demais interessados.
1.1.1.8. Especificar e implantar processos para tratamento das demandas
referentes a regras de monitoramento e bloqueio afetas à solução
contratada;
42
11.2.
ETAPAS PARA INSTALAÇÃO E ATIVAÇÃO
11.2.1. Montagem e instalação física da solução contratada;
11.2.2. Instalação e
gerenciamento;
configuração
do
software
de
controle
e
11.2.3. Integração da solução contratada ao ambiente de produção da
Câmara dos Deputados em modo de monitoramento;
11.2.4. Escolha de uma ou mais aplicações para projeto piloto;
11.2.5. Definição, criação e ativação de regras de bloqueio;
11.2.6. Geração de relatórios;
11.2.7. Integração da solução contratada com o software e infraestrutura
de backup corporativo da Câmara dos Deputados;
11.2.8. Execução de backup e recovery;
11.2.9. Aplicação de testes de contingência do ambiente;
11.2.10.
Capacitação operacional da equipe.
11.2.11.
Operação assistida da solução contratada;
11.2.12.
Ampliação do escopo de acessos monitorados;
11.2.13.
Refinamento das regras e políticas de monitoramento;
43
12. ELABORAÇÃO
Este projeto foi concluído em Brasília, 28/08/2012, pelos servidores:
_ Eduardo de Sousa da Silva, 6685, Analista Legislativo, lotado no
CENIN, Coordenação de Infra Estrutura (CAINF), ramal 63730, que
desempenha as funções de Administrador de Banco de dados;
_ Rossivaldo da Silva Coelho, 6480, Analista Legislativo, lotado no
CENIN, Coordenação de Infra Estrutura(CAINF), ramal 63723, que
desempenha as funções de Chefe da Seção de Administração de Banco
de dados;
_ Guilherme Feijó Rocha Lima, 6688, Analista Legislativo, lotado no
CENIN, Chefe da Coordenação de Infra Estrutura (CAINF), ramal 63704;
44
GLOSSÁRIO
ABNT NBR ISO/IEC 27002:2005 - Esta edição da ABNT NBR ISO/IEC 27002 tem seu conteúdo técnico idêntico ao
da versão corrigida de 02.07.2007 da ABNT NBR ISO/IEC 17799:2005. Confirmada em 14.10.2010.
ABNT NBR ISO/IEC 17799:2005 - Essa norma é o código de prática para a gestão da segurança da informação mais
adotado em todo o mundo. Essa norma TCU - Portal de Pesquisa Textual Page 3 of 63
http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&templ=default... 22/09/2008 teve sua primeira
versão internalizada pela Associação Brasileira de Normas Técnicas (ABNT) em setembro de 2001, e conta com a
segunda versão em vigor desde setembro de 2005. Essa norma fornece recomendações em gestão da segurança da
informação para uso dos responsáveis pela implementação e manutenção da segurança em suas organizações. Tem
como propósito prover uma base comum para o desenvolvimento de normas de segurança organizacional e das
práticas efetivas de gestão da segurança, e prover confiança nos relacionamentos entre as organizações.
_ A norma NBR 15999-1:2007 é o código de prática para a gestão de
continuidade de negócios, baseada na norma inglesa BSI 25999:2006 e
internalizada no Brasil pela ABNT em outubro de 2007. Seu objetivo é fornecer
um sistema baseado nas boas práticas de gestão de continuidade de negócios.
ACPI – “Advanced Configuration and Power Interface”
Appliance - conjunto constituído de hardware (equipamento) e software (programa), que são desenvolvidos, com
componentes otimizados e configurados para executarem função específica dentro de um sistema. A integração
harmoniosa entre software e hardware, na forma de appliance, lhe atribui características únicas de performance e
segurança. Os appliances para segurança e auditoria dos bancos de dados são também conhecidos como DATABASE
FIREWALL.
BIOS - “Basic Input–Output System”
Cache L2 e L3 – cache nível dois e nível três
Carga dinâmica – o peso máximo que o rack pode suportar enquanto está sendo transportado ou movido com
equipamentos instalados.
Carga estática - o peso máximo que o rack pode suportar quando está corretamente nivelado e instalado.
CD-R - “Compact disc, recordable”
CD-ROM - "Compact Disc - Read-Only Memory"
CD-RW – “Compact disc, rewriteable”
CLOCK - “Frequência de operação”
CENIN – Centro de Informática da Câmara dos Deputados
CAINF – Coordenação de Administração de Infraestrutura de Informática
Cobit é um modelo de gestão orientado a processos e está dividido em quatro grandes grupos: Planejar e Organizar
(Plan & Organise - PO), Adquirir e Implementar (Acquire & Implement - AI), Entregar e Assistir (Deliver & Support DS) e Monitorar e Avaliar (Monitor & Evaluate - ME), cujas iniciais serão utilizadas no decorrer do relatório para fins de
referência como critérios de Auditoria. O Cobit se encontra disponível no site www.isaca.org. Vale salientar que se
trata de modelo já amplamente reconhecido e utilizado, no Brasil e no mundo, no âmbito da tecnologia da informação,
tanto por gerentes de informática quanto por Auditores de TI.
CVID – Controladora de Vídeo
Data Warehouse (DW) ou armazéns de dados são sistemas, baseados em bancos de dados, desenvolvidos para
armazenanamento e recuperação de informações de forma consolidada. O desenho de sua base de dados favorece a
geração de gráficos e relatórios, para a análise de grandes volumes de dados e a obtenção de informações
estratégicas para a tomada de decisões. Os dados são coletados dos sistemas transacionais (OLTP), constituindo-se
as chamadas séries históricas, que apontam tendências para análises de eventos passados, presentes e futuros.
Portanto, ao contrário dos sistemas OLTP, seus dados estão disponíveis somente para leitura e não podem ser
alterados.
Os data warehouse surgiram como conceito acadêmico na década de 80. Com o amadurecimento dos sistemas de
informação empresariais, as necessidades de análise dos dados cresceram paralelamente. Os sistemas OLTP não
conseguiam cumprir a tarefa de análise com a simples geração de relatórios. Nesse contexto, a implementação do
data warehouse passou a se tornar realidade nas grandes corporações. O mercado de ferramentas de data
warehouse, que faz parte do mercado de Business Intelligence, cresceu. Então, ferramentas melhores e mais
sofisticadas foram desenvolvidas para apoiar a estrutura do data warehouse e sua utilização. Atualmente, por sua
capacidade de sumarizar e analisar grandes volumes de dados,o data warehouse é o núcleo dos sistemas de
informações gerenciais e apoio à decisão das principais soluções de business intelligence do mercado.
DBA – (Database administrator ou Administrador de banco de dados) é o técnico encarregado de fazer a
administração do banco de dados. O DBA tem responsabilidades, de vital importância, que podem aumentar ou
45
diminuir dependendo do porte da empresa em que atua. Entre elas estão: zelar pela segurança dos dados, evitar a
corrupção de dados, evitar parada do banco de dados, criar e administrar objetos no banco de dados, criar e manter a
rotina de backups do banco de dados, resolver problemas de performance, calcular a expansão do ambiente,
modelar o banco de dados, administrar rotinas de carga e manutenção de dados no banco, aplicar atualizações no
banco de dados e efetuar migração de ambientes operacionais, e ou arquitetura do ambiente de hardware.
DDR- “Double data rate”
DVD – “Digital versatile disc”
ECC – “Error correction code”
EIA - "Electronic Industries Association"
EIDE - “Enhanced Integrated Drive Eletronics”
FSB – “Front Side Bus”
GB – Gigabyte
Gbps – “Gigabit” por segundo
GHz – Gigahertz
GND - “Ground”
HCL – “Hardware Compatibility List”
HBA – “Host Bus Adapter”
IDE - “Integrated Drive Eletronics”
iSCSI – “Internet Small Computer Systems Interface”
I/O - "Input/Output"
IOPS – “Input/Output per Second”
IP - “Internet Protocol”
ISL - “Inter Switch Link”
ISO - International Organization for Standardization
KB – Kilobyte
Kb – Kilobit
LCD – “Liquid Crystal Display”
MB – Megabyte
Mb – Megabit
MB/s – Megabyte por segundo
MHz – Megahertz
MP – “Multiprocessor”
NAS – “Network Attached Storage”
ns – nano-segundos
OLTP (Online Transaction Processing ou Processamento de Transações em Tempo Real) são sistemas que se
encarregam de registrar todas as transações contidas em uma determinada operação organizacional. Por exemplo:
sistema de transações bancárias que registra todas as operações efetuadas em um banco, caixas de multibanco,
reservas de viagens ou hotel on-line, Cartões de Crédito.
OSD - “Open Screen Display”
PCI - “Peripheral Component Interconnect”
PCIe - “Peripheral Component Interconnect Express”
PDU – “Power Distribution Unit”
PROC - Processador
RAID – “Redundant Array of Inexpensive Disks”
RAM - “Random access memory”
RGB - “ Red Green Blue”
RPM - Rotações por minuto
46
RU - “Rack Units” (1 RU - 1,75 polegadas)
SAN – “Storage Area Network”
SAS - “Serial Attached SCSI” - Interface de acesso a discos
SCSI – “Small computer systems interface”
SFP - “Small Form-factor Pluggable”
SGBD –Os Sistemas Gerenciadores de Bancos de Dados (SGBD) são os softwares que fornecem as funcionalidades
necessárias para a gerência de bancos de dados, em especial, para ambientes corporativos. A Câmara dos
Deputados utiliza dois produtos do tipo SGBD para suportar suas bases de dados dos sistemas informatizados das
áreas legislativa e administrativa: O ORACLE da Oracle Corporation e o SQL SERVER da Microsoft.
SLOT – Local específico, com conector padrão, para instalação de placas de expansão ou memória
SDRAM – “Syncronous Dynamic RAM”
SMART –“ Self-Monitoring Analysis and Reporting Technology”
SNMP – “Simple Network Management Protocol”
SQL INJECTION - A Injeção de SQL, mais conhecida através do termo americano “SQL Injection”, é um tipo de
ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção
de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query)
através da manipulação das entradas de dados de uma aplicação.
SSD – “Solid State Drive”
SWL - “Short Wavelength Laser “
SVGA – “Super video graphics array”
TB - "Terabyte"
TI - (Tecnologia da Informação ou TIC Tecnologia da informação e Comunicação). O desenvolvimento cada vez mais
rápido de novas tecnologias de informação facilitou e intensificou a comunicação pessoal e institucional, através de
programas de formação de texto, editoração eletrônica, bancos de dados, bem como de tecnologias que permitem a
transmissão de documentos, envio de mensagens e arquivos, assim como consultas a computadores remotos, via
redes mundiais de computadores, como a internet.
TPC – “Transaction performance Council”
USB - “Universal Serial Bus”
VLANs - “Virtual LANs”
47
Documentos relacionados
AUDITORIA DE PRONTUÁRIO
AUDITORIA DE PRONTUÁRIO
Princípios de Auditoria
Princípios de Auditoria
Programa: Administração Corporativa Ambiental Administração de
Programa: Administração Corporativa Ambiental Administração de
1 Controle - UNIPVirtual
1 Controle - UNIPVirtual
auditadas, especialmente aqueles listados no art. 10 da ïN
auditadas, especialmente aqueles listados no art. 10 da ïN
Realização - Professor Sandro
Realização - Professor Sandro
A Importância da Auditoria Externa na Gestão de uma
A Importância da Auditoria Externa na Gestão de uma
A SUGESTÃO DE UM MODELO PARA REALIZAÇÃO DE UM
A SUGESTÃO DE UM MODELO PARA REALIZAÇÃO DE UM
Auditoria Subsidiando Ações Preventivas de Saúde
Auditoria Subsidiando Ações Preventivas de Saúde
Banco de Dados, Sistemas de Informações
Banco de Dados, Sistemas de Informações
doc
doc
slide 2 - Congresso Brasileiro de Contabilidade
slide 2 - Congresso Brasileiro de Contabilidade
Resumo_20030292
Resumo_20030292
Sistema Nacional de Auditoria
Sistema Nacional de Auditoria
Pauta - Câmara dos Deputados
Pauta - Câmara dos Deputados
tecnologia social - Câmara dos Deputados
tecnologia social - Câmara dos Deputados
GESTÃO DE PESSOAS I
GESTÃO DE PESSOAS I
GRUPO I – CLASSE II – Plenário
GRUPO I – CLASSE II – Plenário
Cv Marcelo S Sabite Portugues
Cv Marcelo S Sabite Portugues
Suellen Portela Cunha Brasileira, casada, Endereço – Rua São
Suellen Portela Cunha Brasileira, casada, Endereço – Rua São
texto - Taquigrafia em Foco
texto - Taquigrafia em Foco
Download
Propaganda