O que é auditoria em banco de dados e como se relaciona à LGPD?

Os bancos de dados são essenciais para que empresas mantenham informações e dados seguros. Contudo, para garantir a qualidade do seu funcionamento é preciso contar com uma auditoria em banco de dados.

É por meio da auditoria em banco de dados que a organização é capaz de detectar e prevenir eventuais brechas e garantir a segurança dos seus processos, bem como atestar sua conformidade com as leis.

O que é auditoria em banco de dados?

A auditoria em banco de dados é um componente de conformidade dentro de uma organização. Trata-se da análise e entendimento das atividades de um banco de dados, a fim de obter informações sobre falhas ou inconformidades.

Por ocasião do surgimento dos sistemas computacionais, as organizações passaram a armazenar seus dados de modo eletrônico, confiando-os ao setor de Tecnologia da Informação.

Esses arquivos são armazenados em um conjunto estruturado que recebe o nome de banco de dados.

Para manter a proteção desse banco de dados, contudo, a organização deve contar com a atuação da segurança da informação e seus processos. E, dentre outros processos, está a auditoria.

Uma auditoria pode ser definida como um exame ou análises sistemáticas das atividades realizadas por determinada empresa.

Seu objetivo é verificar se essas atividades estão em conformidade com as diretrizes pré-determinadas pela política da empresa ou por uma legislação e se foram implementadas de maneira adequada para cumprir com seus objetivos.

No caso da auditoria de dados, essa análise é feita especificamente na base de dados de uma empresa.

Uma de suas funções, por exemplo, é o monitoramento de quando e como determinado dado foi inserido, a fim de prevenir ou identificar possíveis problemas.

A auditoria em base de dados, é responsável por definir tabelas para armazenar logs (processo de registro de eventos relevantes em um sistema computacional) com informações referentes à utilização das bases de dados.

Com o tempo e necessidade, é possível definir quais tabelas, colunas, etc., devem ser revisadas e analisadas.

Quais são os tipos de auditoria existentes?

As metodologias utilizadas para a auditoria em dados são definidas por cada organização de maneira particular, visando atender melhor cada uma de suas necessidades.

A empresa pode optar, então, por um dos dois tipos: a auditoria tradicional ou a exclusão de riscos.

Auditoria tradicional

A auditoria tradicional é realizada através de uma lista de conferência. Por meio dela o auditor obtém informações sobre a política de bancos de dados, como:

• Usuários de acesso;
• Permissões;
• Autorizações;
• E outros.

Assim, por meio dessas informações é possível realizar a identificação de falhas.

A lista de conferência do auditor deve abranger questões que tenham relação com as atividades desenvolvidas para assegurar a segurança dos dados, isto é, uma conferência daquilo que está ou não está sendo realizado.

Alguns exemplos dessa lista de conferência podem incluir:

1. As atividades no banco de dados são armazenadas em log para futura análise?
2. O desempenho do banco de dados é analisado com frequência?
3. Há controle sobre as alterações realizadas no banco de dados?
4. As responsabilidades da administração da base de dados são devidamente definidas e documentadas?
5. O sistema é constantemente monitorado?
6. Há o uso de dispositivos de segurança para o acesso à base de dados?
7. Existem procedimentos de backup e restore no banco de dados a fim de garantir sua segurança?
8. A instalação e configuração do Sistema Gerenciador de Banco de dados foi realizada em conformidade com as normas técnicas de segurança pré-definidas?

Com isso, o auditor terá uma base daquilo que está sendo ou não desenvolvido pela empresa e área de segurança da informação para garantir a conformidade da base de dados com suas diretrizes ou legislação.

Exclusão de risco

A segunda metodologia, a de exclusão de risco, assim como o nome sugere, tem como característica principal a identificação dos riscos que envolvem a base de dados para que possam ser eliminados ou diminuídos.

Em síntese, esse tipo de metodologia procura identificar o objetivo do controle e definir estratégias e técnicas para alcançá-lo.

Cada um desses objetivos pode ter diferentes formas de ser alcançado. As técnicas utilizadas para chegar ao objetivo podem ser tanto preventivas quanto corretivas. Podemos usar como exemplo o objetivo de confiabilidade dos dados.

As técnicas para conseguir essa confiabilidade poderiam partir do estabelecimento de perfis de tipos de usuários e quais requisitos necessários para controlar o acesso ao banco de dados.

Com a identificação desse objetivo e a definição da estratégia a ser utilizada, realiza-se a verificação do funcionamento de determinada estratégia. É possível fazer essa verificação por meio de provas de cumprimento.

A depender do resultado alcançado na prova de cumprimento, pode-se haver necessidade da realização de novas provas, como a prova substantiva.

Essas provas são realizadas e seus resultados documentados pelo auditor.

Também devem ser documentados a situação do banco de dados, bem como os possíveis riscos e problemas identificados por ele durante o processo.

Do mesmo modo, o resultado dessa avaliação deve ser conhecida por todos os responsáveis envolvidos no setor avaliado.

Qual a importância da auditoria em banco de dados?

Como já dissemos anteriormente, a auditoria é um componente de conformidade essencial dentro de uma organização.

Por meio dela, a organização é capaz de identificar falhas em seus bancos e corrigi-las, bem como garantir a conformidade do banco de dados com as diretrizes impostas pela própria empresa.

Portanto, esse é um processo essencial para detectar aquilo que pode ser motivo de preocupação para o negócio, como suspeitas de violação de dados. O que pode significar prejuízos, inclusive financeiros, para a empresa.

Assim, a auditoria em banco de dados faz parte da saúde da organização, especialmente quando analisamos o cenário atual, onde os dados são insumos valiosos para as empresas.

Quais atividades precisam ser auditadas em um banco de dados?

Além dos aspectos já citados anteriormente no artigo, existem atividades específicas que precisam ser auditadas em um banco de dados. São elas:

1. Acesso e autenticação
2. Objetos
3. Rede

Acesso e autenticação

Esse é um aspecto que precisa ser analisado pelo auditor, uma vez que por meio do fácil acesso ao banco de dados é possível alterá-lo ou até mesmo extrair informações sigilosas.

Portanto, a auditoria dessa atividade procura auxiliar a empresa na identificação de uma possível violação antes que um incidente maior de segurança ocorra.

Além disso, também visa a implementação de configurações avançadas para impedir a ocorrência de perda de dados.

Objetos

Qualquer objeto no banco de dados que contenha dados de usuários ou da própria empresa, ou ainda informações sobre o funcionamento do sistema, pode apresentar riscos se cair em mãos erradas.

Ou seja, pessoas com permissão nesses objetos podem facilmente manipulá-los. Por sua vez, se não houver uma auditoria, não será possível rastrear esse tipo de movimento.

Portanto, a auditoria deve ser implementada para todos procedimentos relacionados ao banco de dados, como tabelas, links etc.

Rede

Hoje, existem inúmeras opções para o armazenamento de dados. É possível, por exemplo, guardar dados em um local específico ou em uma nuvem pública, o que demanda uma grande quantidade de redes.

Portanto, a auditoria de rede é fundamental para uma configuração mais segura e aprimorada, melhorando sua infraestrutura.

Além disso, a própria locomoção dos dados de um local para outro pode colocá-los em uma situação de risco. Dessa forma, é preciso averiguar se há métodos seguros para fazer essa locomoção.

Qual a relação com a LGPD?

Como já dissemos, a auditoria de base de dados garante não apenas a conformidade com os objetivos da própria organização, mas também com as diretrizes determinadas em lei.

É o caso da LGPD, sigla para Lei Geral de Proteção de Dados.

Trata-se da lei brasileira de privacidade e segurança de dados, que procura definir regras às empresas que fazem uso, armazenamento e tratamento de dados, bem como garantir direitos aos titulares desses dados.

A LGPD determina responsabilidades a essas empresas, bem como sanções e multas em caso de descumprimento dos seus dispositivos.

Conforme  determina a lei, as organizações devem garantir a proteção do seus bancos de dados, além de aplicar mudanças organizacionais para estar em conformidade com todos os seus requisitos.

Esses requisitos podem incluir, por exemplo, a garantia do direito ao livre acesso à informação sobre o tratamento dos dados aos seus titulares.

Além disso, outra determinação da lei é a de que a empresa tenha um profissional responsável pelos dados. Esse profissional é chamado de Encarregado de Dados (DPO).

Sua função inclui a comunicação com os titulares dos dados e as autoridades nacionais responsáveis, bem como orientar a empresa sobre a melhor forma de se manter adequado à LGPD.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials! 

Quem são os profissionais responsáveis pela auditoria?

Para garantir a conformidade com a lei, as empresas devem contar com as auditorias de banco de dados, a fim de se resguardar de possíveis sanções legais.

Essas auditorias podem ser internas ou externas. Ou seja, realizada por um profissional da própria organização ou por meio da contratação de um profissional externo para analisar seu banco de dados.

Além disso, é preciso que esse profissional seja especializado nesse tipo de procedimento. Portanto, o profissional ideal para realizar a auditoria é o auditor de banco de dados.

Os auditores de banco de dados podem ser graduados na área de tecnologia e devem possuir treinamento para realizar auditoria.

Em uma equipe de auditoria interna a atuação do Encarregado de dados é essencial. Esse também pode ser um profissional responsável pelas auditorias da sua organização.

Para tornar-se um Encarregado, no entanto, os conhecimento e habilidades exigidos são ainda maiores, uma vez que a auditoria não é a sua única função dentro de uma organização.

Além de conhecimentos na área de segurança do informação, esse profissional também deve ter excelente comunicação escrita e verbal, além de conhecimentos da natureza do setor ao pertence a sua empresa e conhecimentos da lei.

Para tornar-se um encarregado de dados, três certificações são exigidas:

1. Information Security Foundation (ISFS)
2. Privacy & Data Protection Foundation (PDPF)
3. Privacy & Data Protection Practitioner (PDPP)

Essas certificações fazem parte do programa de qualificações é realizado pela Exin, uma instituição de certificações conhecida no mercado de TI.

Para concluir esse programa é necessária a realização dos exames correspondentes a cada nível de ensino.

Para garantir uma boa nota, no entanto, são recomendados cursos preparatórios, como os que oferecemos aqui no Certifiquei.

Assim, se você quer se tornar um Encarregado de dados e garantir a auditoria em bancos de dados da sua empresa, confira nossos cursos preparados especialmente para você.