Banco de Dados Seguranca Da Informacao Modelagem Business Intelligence

TECNOLOGIA DA
INFORMAÇÃO
Banco de dados; Segurança da Informação;
Modelagem; Business Intelligence
SISTEMA DE ENSINO
Livro Eletrônico
ALEXANDRE VILLA REAL
É formado em Tecnólogo em Redes de

Computadores e Gestão de Projetos. Professor
de disciplinas relacionadas à Tecnologia da
Informação e Comunicação e Exatas. Servidor
do Ministério Público Federal no cargo de Técnico
em Informática. Entusiasta da tecnologia e
concurseiro de plantão.
O conteúdo deste livro eletrônico é licenciado para Davi Adelino da Silva Adelino - 04783728410, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
TECNOLOGIA DA INFORMAÇÃO
Banco de Dados; Segurança da Informação; Modelagem; Business Intelligence
Prof. Alexandre Villa Real
Banco de Dados e Segurança da Informação...................................................4

I – Fundamentos de Bancos de Dados............................................................4
1. Conceitos Básicos....................................................................................4
2. Projeto de Banco de Dados.......................................................................9
3. Noções Básicas de Linguagem SQL........................................................... 28
4. Business Intelligence.............................................................................. 36
II – Segurança da Informação..................................................................... 47
1. Conceitos Básicos.................................................................................. 47
2. Noções sobre Criptografia....................................................................... 57
3. Assinatura Digital................................................................................... 64
4. Certificado Digital.................................................................................. 66
5. Autenticação......................................................................................... 67
6. Ferramentas Normativas da Segurança da Informação................................ 69
Resumo.................................................................................................... 89
Questões de Concurso.............................................................................. 109
Gabarito................................................................................................. 127
Questões Comentadas.............................................................................. 128
Referências............................................................................................. 138
www.grancursosonline.com.br 3 de 142
BANCO DE DADOS E SEGURANÇA DA INFORMAÇÃO

I – Fundamentos de Bancos de Dados
1. Conceitos Básicos
Caro(a) aluno(a), em nosso dia a dia nos deparamos com situações tão corri-
queiras que passamos despercebidos de todos os processos que estão envolvidos
naquela situação. Exemplificando, a passagem rápida em um comércio qualquer
para aquisição de algum produto importante para a realização de alguma atividade,
adentramos o estabelecimento, procuramos aquele produto e ao encontrarmos o
levamos ao setor responsável pelo acerto financeiro, comumente chamado “caixa”.
O colaborador do caixa ao receber o produto, efetua o seu registro em algum sis-
tema de controle, informa o valor, recebe a quantia para acerto, registra o valor e
devolve a diferença (troco) junto a nota fiscal eletrônica de venda ao consumidor.
Situação esta hipotética em um estabelecimento que possua um controle de entra-
da e saída de mercadorias informatizado. Neste cenário iremos dar ênfase aquele
processo de recebimento do produto, registro, acerto financeiro, emissão de nota
e entrega. No momento em que houve o registro da mercadoria no sistema, houve
o armazenamento daquele dado em algum local para ser possível acompanhar por
exemplo, a evolução do estoque. Este registro foi realizado em um estrutura conhe-
cida por banco de dados.
Segundo Date, um banco de dados é parte de um sistema computadorizado cuja
finalidade geral é armazenar dados e permitir que os usuários busquem e atualizem
esses dados quando solicitado. Alguns autores fazem distinção de dados que seria
o registro bruto do que é armazenado em um banco de dados e informação seria
o resultado de algum processo do que foi armazenado nos trazendo algum signifi-
cado. Exemplificando, o registro da saída do produto seria o dado e o quantitativo
deste produto em estoque seria um tipo de informação necessária para uma nova
compra planejada. Para uma melhor compreensão veja a figura 1.
Utilizando-se do exemplo do comércio descrito acima, o cliente entregaria o
produto ao colaborador para registro do preço, (1) este por conseguinte utilizaria
um sistema informatizado onde iria inserir os dados referentes ao produto; (2) ao
pressionar o botão responsável pelo cadastramento da operação na aplicação (ca-
mada de visualização do sistema) haveria o início de alguns processos internos ao
sistema; (3) o dado registrado seria tratado na camada de negócio da aplicação
para permitir o armazenamento; (4) uma conexão com o banco de dados seria
aberta e uma sessão permitiria o armazenamento dos dados, (5) de acordo com
a estrutura da respectiva entidade (ou tabela, no modelo físico) para o registro do
produto na respectiva área de dados (6). Note que as setas que orientam o fluxo
informam que as operações são realizadas em dois sentidos, de acordo com o soli-
citado pelo usuário, sendo no sentido das etapas (1) a (6) no caso de um registro
de dado (CREATE – operação para acesso e registro do dado) e no sentido de (6) a
(1) quando se daria uma consulta a base de dados (READ – operação para acesso
e leitura a base de dados).
Figura 1: Diagrama de uma Aplicação com Estrutura de Banco de Dados
(adaptado)
1 USUÁRIO
Sistema tipo Aplicação

2 (Camada de Visualização para
operacionalização do Sistema)
Camada para processar

3 operações em Banco de Dados
(Camada de Negócios)
Camada para processar conexões

4 e acesso aos dados armazenados
(Conexão e Persistência)
Modelo da Banco de Dados

5 estrutura do 6 com os dados
Banco de Dados armazenados
Fonte: Heuser, 2008
Esta estrutura acima, segundo Elmasri, nas etapas (3) e (4), representaria
a definição de um Sistema Gerenciador de Banco de Dados (SGBD – Database
Management System) que seria a de componentes de programas que permitem
o acesso e manutenção de um banco de dados. Ainda de acordo com Elmasri,
um SGBD facilita o processo de definição – especificação de tipos, estruturas
e restrições dos dados armazenados, descrevendo em forma de um catálogo
chamado de metadados; construção – processo de armazenamento em local

controlado pelo SGBD; manipulação – processo com as funções de consulta,
atualização para recuperação e alterações nos dados armazenados e o compar-
tilhamento – processo que permite o acesso simultâneo ao banco de dados por
diversos usuários.
Uma característica importante ao se utilizar um SGBD é que os dados são arma-
zenados na estrutura descrita pelo catálogo ou metadados, permitindo uma inde-
pendência da base de dados do programa, como pode ser verificado nas etapas (5)
e (6) da figura 1, permitindo que a aplicação possa sofrer alterações sem permitir
alteração nos dados já registrados. Outra característica importante que permite a
independência do sistema aplicativo e suas operações da base de dados, é chama-
da abstração de dados, que é uma representação conceitual dos dados que serão
armazenados, conforme Elmasri. A última característica é utilizada na modelagem
de dados, comentada no tópico 2.
1.1. Arquitetura de Banco de Dados em Três Níveis
Conforme Elmasri, a arquitetura de três níveis ou visões tem por objetivo se-
parar as aplicações do usuário. Os três níveis estão ilustrados na Figura 2 e assim
são definidos:
• Nível interno: utiliza um esquema interno que descreve, por intermédio de
um modelo de dados físico, os detalhes do armazenamento físico e caminho
de acesso para o banco de dados.
• Nível conceitual: descreve a estrutura do banco de dados de uma forma
lógica, como a descrição de entidades, os tidos de relacionamentos, as ope-
rações com os usuários, restrições etc. Segundo Date, neste nível existe a
definição do esquema conceitual, que inclui detalhamento cada um dos tipos
de registros conceituais. Este esquema é escrito por meio de uma linguagem
de definição de dados, a DDL conceitual.
• Nível externo: utiliza um esquema externo que descreve a parte do banco
de dados destinado a determinado grupo de usuários e oculta o restante.
Além dos três níveis, esta arquitetura apresenta certos mapeamentos que garantem
a independência física de dados – capacidade de alteração do esquema interno sem
alterar o esquema conceitual, ou seja, mudanças na estrutura física do banco de dados
não afetaria os programas e usuários, e a independência lógica de dados, capacidade
de alteração do esquema conceitual sem ter que alterar os esquemas externos ou os
sistemas aplicativos, ou seja, mudanças na estrutura lógica do banco de dados não
afetaria os programas e usuários. De acordo com Date, são estes os mapeamentos:
• Mapeamento conceitual/interno: define a correspondência entre o nível
conceitual e o banco de dados, especificando o modo como registros e cam-
pos conceituais são representados no nível interno. A alteração na estrutura
do banco de dados enseja uma alteração no mapeamento.
• Mapeamento externo/conceitual: define a correspondência entre o nível
externo e o nível conceitual.
Figura 2: Diagrama de uma Arquitetura de Banco de Dados em Três Ní-
veis (adaptado)
Fonte: Heuser, 2008
2. Projeto de Banco de Dados
Prezado(a) aluno(a), os conceitos exigidos para este certame podem me-
lhor ser explicados no seu contexto maior, exemplificando, tabelas e sua es-
trutura é um componente da etapa de projeto físico e modelagem de dados,
esta relacionada inicialmente com conceitos relativos às etapas de projeto
conceitual.
A figura 2 apresenta uma sequência de ações relacionadas às etapas para ela-

boração de um banco de dados. Conforme Elmasri, na primeira etapa é realizado
o levantamento de requisitos onde são identificados junto aos futuros usuários a
necessidade em relação a características dos dados que virão a ser armazenados –
conhecido como requisitos de dados – e conhecer as regras de negócios referentes
as transações da aplicação com estes dados – conhecido como requisitos funcio-
nais. A etapa de projeto conceitual visa a utilização de um modelo de dados para
a criação de um esquema conceitual, este procura atender a todos os requisitos
de dados dos usuários e possibilita a verificação se todas as operações descritas
nos requisitos funcionais podem ser realizadas, atendendo assim aquelas regras de
negócio da aplicação. A etapa de projeto lógico irá trabalhar com o esquema con-
ceitual de modo a transformá-lo em um modelo de dados para implementação em
um Sistemas Gerenciador de Banco de Dados conhecido, como o Postgress; o Ora-
cle; o Mysql; o Sql Server etc. Na última etapa, o projeto físico, são especificados
parâmetros físicos para o banco de dados, como estruturas de armazenamento,
índices etc.
Figura 3: Etapas de Elaboração de um Banco de Dados (adaptado)
Fonte: Heuser, 2008
2.1. Modelo e Modelagem de Dados
Segundo Elmasri, um modelo de dados é um conjunto de conceitos que podem
ser utilizados para descrever uma estrutura de banco de dados, possibilitando certo
nível de abstração em relação ao conhecimento da organização e armazenamento,
focando nos recursos necessários para melhor se trabalhar com estes dados. O mo-
delo de dados informa uma descrição dos tipos de dados que serão armazenados,
no nosso exemplo do tópico 1, o banco de dados poderá armazenar informações do
produto como código, descrição, preço, quantidade etc. É importante frisar que é o
tipo de informação e não o dado literal. Em uma estrutura de banco de dados um
modelo traduz regras para estruturação de dados, enquanto um esquema apresen-
ta o projeto geral do banco de dados com sua descrição e regras para verificação
de instâncias que, por sua vez, são a coleção de dados armazenados no banco de
dados ou o próprio banco.
Conforme Date, para construção de um modelo de dados, utiliza-se uma lingua-
gem de modelagem de dados. Esta linguagem pode ser categorizadas de acordo
com a forma que apresenta o modelo, podendo ser textual ou gráfica. De acordo
com o nível de abstração que se queira no projeto de banco de dados, podem ser
considerados três níveis: nível conceitual, nível lógico e nível físico.
2.2. Modelo Conceitual
Segundo Silberschatz, o modelo conceitual é uma descrição do banco de dados
que independe da solução de SGBD escolhido. No modelo é registrado a estrutura
de dados mas não detalha a forma como esta estrutura será armazenada. O for-
mato mais utilizado para a elaboração do modelo conceitual é a abordagem enti-
dade-relacionamento (ER) ou modelo entidade-relacionamento (MER), onde é re-
presentado por um diagrama, chamado diagrama entidade-relacionamento (DER).
Figura 4: Notação Gráfica para Diagramas ER (adaptado)
Entidade
Entidade Fraca
Entidade Associativa
Relacionamento
Relacionamento
identificador
de entidade fraca
Atributo
Atributo Chave
Atributo multivalorado
Atributo composto
Atributo
identificador
Relacionamento
identificador
Generalização/Especialização
Fonte: Heuser, 2008
De acordo com Elmasri, o modelo relacionamento (MER) descreve dados como
entidades, relacionamentos e atributos. Uma entidade é a representação de algo com
uma existência independente, seja física como uma pessoa ou um produto, ou con-
ceitual, como um estoque ou um curso, figura 5. Uma entidade possui atributos, que
são características específicas que a descrevem, por exemplo, um PRODUTO pode ser
descrito por um código, uma descrição, um tipo, um valor etc., e um ESTOQUE pode
ser descrito por um código, uma descrição, um período, um horário, um turno etc.
Uma entidade que não possui atributo-chave é conhecida por tipo de entidade fraca.
Figura 5: Representação Entidade PRODUTO (adaptado)
Fonte: autoria própria
No modelo ER ocorrem vários conceitos e tipos de atributos, ilustrado na figura
6, onde o autor destaca:
• Atributos Simples ou Atômicos: são os atributos que não são divisíveis,
como exemplo, o atributo CEP não permite subdivisão.
• Atributos Compostos: podem ser divididos em partes menores, como
exemplo, um atributo Endereço pode ser definido em Quadra, Número e Bair-
ro. O valor de um atributo composto é obtido com a concatenação de seus
atributos simples.
• Atributos de valor único ou Monovalorados: aqueles que apresentam
apenas um valor para determinada entidade. O atributo IDADE, por exemplo,
só pode receber um valor.
• Atributos multivalorados: atributos que apresentam diversos valores.
Como, por exemplo, o atributo CORES de uma entidade CARRO, pode assu-
mir diversos valores.
• Atributos Derivados: são aqueles que apresentam uma relação entre dois
ou mais atributos, como exemplo, a IDADE e DATA_NASCIMENTO. É possí-
vel determinar uma idade por intermédio da data de nascimento com a data
atual.
• Atributos armazenados: representa o nome dado ao atributo que origina o
atributo derivado. Como exemplo, o atributo DATA_NASCIMENTO é o atributo
que originou o atributo IDADE.
• Atributo-chave: um tipo de atributo que pode apresentar valor distinto para
cada entidade em um conjunto de entidades. O CPF constitui um atributo-
-chave para uma entidade FUNCIONÁRIO. Pode ocorrer situações onde um
conjunto de atributos represente uma chave ou uma entidade possuir mais de
um atributo-chave, também conhecido por chave primária (PK – Primary Key).
• Atributo com valor NULL: ocorre quando uma entidade não tem um valor
para um atributo, como exemplo, um atributo CASA não poderia informar o
atributo N._APTO.
• Domínio de um atributo: representa o conjunto de valores possíveis de um
atributo.
Figura 6: Representação de uma Entidade PRODUTO com os Atributos

(adaptado)
Segundo Heuser, um relacionamento é a propriedade que permite informar a
associação entre objetos no banco de dados. É uma representação de quais entida-

des participam de um relacionamento, como vemos na figura 6. Esta figura informa
que existe um conjunto de objeto classificado como PRODUTO e outro como ESTO-
QUE e entre eles ocorrem associações.
Figura 7: Representação de Relacionamento entre entidades ESTOQUE

e PRODUTO(adaptado)
Os relacionamentos apresentam associações entre duas ou mais entidades, de

acordo com esta quantidade de associações teremos o grau do relacionamento. Na
figura 7 temos representado um relacionamento grau dois ou binário que é o mais
comum dos tipos de relacionamentos. Podemos ter também o de grau 1 onde uma
entidade se relaciona com ela mesma; o de grau 3 ou ternário; de grau 4 ou qua-
ternário etc., conforme Heuser, ilustrado na figura 8.
Figura 8: Representação de Relacionamentos: (a) Unário e (b) Ternário
Ainda conforme Heuser, outra propriedade importante de relacionamento é a
que informa quantas ocorrências de uma entidade se associariam com outra ocor-
rência em outra entidade por meio daquele. Tal propriedade chama-se cardinalida-
de de uma entidade no relacionamento e pode ser:
• Cardinalidade máxima: número máximo de ocorrências de entidades asso-
ciadas a outra entidade por meio de um relacionamento.
• Cardinalidade mínima: número mínimo de ocorrências de entidades asso-
Figura 9: Representação da cardinalidade máxima em um relaciona-
mento
A cardinalidade máxima esta representada na figura 9, onde expressa que a
uma ocorrência de PRODUTO pode estar associada ao máximo uma (1) ocorrência
de ESTOQUE, bem como expressa também que a uma ocorrência de ESTOQUE po-
dem estar associadas muitas (n) ocorrências de PRODUTO. Aqui observamos que a
cardinalidade máxima pode ser representada por “1” e por “muitos”. Observe que a
cardinalidade máxima de PRODUTO no relacionamento QUANTIDADE é registrada
junto a representação da entidade ESTOQUE e vice-versa, a de ESTOQUE em rela-
ção a QUANTIDADE é registrada junto a PRODUTO.
Uma característica da cardinalidade máxima que pode ser utilizada para classi-
ficar relacionamentos binários em:
• 1:1 – um-para-um
• 1:N – um-para-muitos
• N:N – muitos para muitos (neste caso haverá a criação de uma nova entida-
de, que será denominada Entidade Associativa)
A cardinalidade mínima informa, como já mencionado, o número mínimo de
associações em um relacionamento e é considerada de duas formas: cardinalidade
mínima 0 ou associação opcional e a cardinalidade mínima 1 ou associação obriga-
tória.
Há limitações no modelo ER para representar determinadas situações que po-
dem ocorrer durante a definição de entidades. Silberschatz nos diz que se um
conjunto de entidades pode ser refinado caso possua em algum atributo a possi-
bilidade de ser subdividido por alguma particularidade, como exemplo uma enti-
dade FUNCIONÁRIO que tenha atributos como id_funcionário, nome, idade, pode
apresentar alguns que sejam de cargos distintos como secretário, limpeza (serviços
gerais), brigadista. Neste caso a entidade FUNCIONÁRIO seria generalizada para
entidades especializadas menores: SECRETÁRIO, LIMPEZA e BRIGADISTA. As en-
tidades especializadas herdam também os atributos das entidades generalizadas,
ou seja, SECRETÁRIO, LIMPEZA e BRIGADISTA também terão os atributos da en-
tidade FUNCIONÁRIO como nome e idade. A característica de entidades generali-
zadas partilharem os mesmos atributos com as entidades especializadas chama-se
herança. A entidade generalizada também pode ser conhecida como superclasse
e as especializadas, de subclasse. Tais propriedades ocorrem no Modelo Entidade
Relacionamento estendido (modelo ER estendido).
2.3. Modelo Lógico
Um modelo lógico é a descrição do banco de dados na visão do usuário e já de-
pendente do tipo de SGBD a ser utilizado. No modelo lógico são adequados nomes
de atributos e entidades para uma padronização; são definidas chaves primárias e
estrangeiras; é verificada a normalização etc.
Heuser diz que a partir do modelo ER deverá haver o estudo de cada entidade
para se estabelecer um equivalente lógico relacional que não apresente redundân-
cias, ou seja, a entidade será estudada de modo a permitir a criação de uma tabela
bem estruturada.
Ainda segundo Heuser, um método foi desenvolvido por Edgar F. Codd, chama-
do Normalização e apresenta uma técnica de modelagem de dados que permite a
definição de tabelas de acordo com critérios que irão evitar redundâncias, ou seja,
é baseada na análise das dependências funcionais que são relações particulares en-
tre dois atributos. Estas regras são conhecidas como Formas Normais (FN) e assim
definidas:
Figura 10: Tabela Não Estruturada
Fonte: Heuser, 2008.
• 1FN: uma tabela está na 1FN quando todas as suas colunas forem atributos
simples (atômicos). Uma tabela não estruturada ProjEmp, ilustrada na figura
10, que apresente como atributos CodProj, Tipo, Descr, CodEmp, Nome, Cat,
Sal, DataIni, TempAl, apresenta repetição dos dados do projeto na tabela
empregados para a aplicação da 1FN as tabelas serão separadas, da forma
ilustrada na figura 11.
Figura 11: Tabela Normalizada na 1FN
• 2FN: uma tabela está na 2FN quando estiver na 1FN e as suas colunas que
não são chave primária, dependam unicamente da chave primária. Identifi-
ca-se os atributos que não são funcionalmente dependentes da chave primá-
ria e cria-se uma nova tabela com uma chave primária do atributo que haja
dependência. No exemplo anterior, a tabela PROJ não tem chave composta
então já está na 2FN, agora a tabela PROJEMP possui chave composta e ve-
rifica-se que os atributos Nome, Cat e Sal dependem só de CodEmp, e os
atributos DataIni, TempAl dependem da chave primária composta. Observado
esta situação, pela regra 2FN, haverá a criação da tabela Emp. Eliminando-se
assim as dependências parciais.
• 3FN: uma tabela está na 3FN quando estiver na 2FN e se toda coluna que não
pertence a chave primária, não depender de outra coluna ou atributo que não
a chave, ou seja, a coluna depende funcionalmente de outra coluna. Procura-
-se assim eliminar as dependências transitivas. Observa-se na figura 12, tabe-
la Emp, que todos os empregados nas categorias A1 e A2 recebem salários no
valor 4 e os da categoria B1 recebem 9. Para tanto separa-se em outra tabela
as colunas com dependências transitivas, conforme ilustrado na figura 13.
• BCFN: forma normal de Boyce-Codd, informa que uma tabela está na BCFN se
já estiver na 3FN e não existir dependência funcional dentro da chave primária.
• 4FN: uma tabela está na 4FN se estiver na 3FN e não possuir dependências
com multivalores.
• 5FN: uma tabela se apresenta na 5FN se não puder ser mais decomposta
sem perder dados.
2.3.1. Modelo Relacional
Um modelo de dados relacional é composto por tabelas ou relações. A tabela
tem em sua estrutura um conjunto não ordenado de linhas (também chamadas
tuplas), e cada valor em uma linha possui um cabeçalho ou campos (atributos),
sendo identificados por nome de campo ou nome de atributo e colunas que são as
várias linhas de um campo, sendo que cada valor registrado em uma posição na
linha representa um valor do campo ou valor do atributo, de acordo com Heuser.
Figura 14: Estrutura de uma Tabela (adaptado pelo autor)
Para se estabelecer relações entre linhas de tabelas ou associações entre várias
tabelas (fazendo uma analogia ao modelo conceitual, criar relacionamentos entre
entidades), é necessário utilizar outro componente do modelo relacional, isto é,
as chaves. No modelo relacional, conforme Gonçalvez, são comumente usados três
tipos de chaves:
• Chave primária: também definida por PK – Primary Key, ou também cha-
ve convidada, é um tipo de chave que estabelece um identificador único para
tabela, podendo ser um atributo (chave simples), ou um conjunto de atribu-
tos (chave composta), onde nenhuma linha poderá ter o mesmo valor que
outra. O critério de se estabelecer uma chave simples ou composta refere-se
a questão de minimalidade, ou seja, a chave é mínima quanto o atributo ou
todos atributos que a formam, forem necessários para garantir a unicidade
de valores das chaves.
• Chave estrangeira: também definida por FK – foreign key, é um tipo de
chave que pode ser um atributo ou conjunto de atributos que, necessaria-
mente, aparecem em uma tabela e são chaves primárias em outra tabela,
estabelecendo assim um relacionamento entre entidades, conforme abordado
no modelo conceitual.
• Chave alternativa: a chave alternativa ocorre quando em uma tabela é pos-
sível definir um atributo composto como chave primária, mas por questões de
projeto, apenas uma destas é definida como primária. O outro atributo tendo
a mesma especificidade de uma chave primária, pode ser utilizado para au-
mentar a performance de pesquisa no banco de dados, como um índice. Um
índice pode ser primário quando se utiliza uma chave de pesquisa sequencial
em um arquivo de dados organizado sequencialmente e, pode também, ser
um índice secundário ao utilizarem uma chave para pesquisa que não especi-
fica ordem em sequência do arquivo de dados.
Em um modelo relacional, na definição de uma tabela, cada coluna deve ter
especificado o tipo de valor que esta pode assumir (alfanumérico, numérico etc.).
A este tipo de valor chama-se domínio da coluna ou do campo ou do atributo.
Heuser ainda diz que outra característica importante utilizado em bancos de
dados relacionais é o de integridade de dados. Entende-se esta integridade como a
garantia de que os dados armazenados em um banco de dados estão consistentes
e que este banco de dados apresenta exatamente o que foi armazenado. Buscando
aquela característica, os sistemas de bancos de dados apresentam mecanismos de
restrições de integridade – regra de consistência de dados garantida pelos siste-
mas de bancos de dados. O modelo relacional apresenta as seguintes categorias de
restrições de integridade:
• De domínio: o valor atribuído a um campo deve obedecer aquele previamen-
te definido (domínio da coluna). Se um campo for atribuído como numérico
em seu domínio, não haverá possibilidade de seu valor atribuído ser um alfa-
numérico.
• De vazio: é a restrição que especifica se os campos de uma coluna podem
ou não ser vazios – null.
• De chave: é a restrição que define que valores dos atributos definidos como
chave primária devem ser únicos.
• Referencial: é a restrição que impõe que os valores de uma chave estrangei-
ra devem também estar na chave primária da respectiva tabela.
Em se tratando de chaves primárias é uma restrição de integridade a imposição
de se haver um valor único, ou seja, sem repetições. Em se tratando de chaves es-
trangeiras existem restrições mais complexas visto que se trata de relacionamen-
tos entre entidades, tais como:
• Na inclusão ou alteração de uma linha na tabela que contém uma chave es-
trangeira também deve ser garantido que este valor seja inserido ou alterado
na tabela que tem a chave primária referenciada.
• Na exclusão de uma linha que contém uma chave primária referenciada em
outra tabela como chave estrangeira, deve ser garantido que aquele valor
também seja excluído na chave estrangeira ou que não seja possível realizar
tal operação sem a exclusão simultânea do valor da chave primária e da cha-
ve estrangeira.
Um banco de dados relacional tem sua estrutura armazenada em um catálogo
do sistema ou dicionário de dados onde se encontram informações como: defini-
ções de tabelas como descrição das colunas; privilégios de acesso a usuários rela-
cionados as operações que podem ser realizadas etc.
Segundo Gonçalves, em 1970, E. F. Codd publicou um artigo intitulado “Um modelo
relacional de dados para grandes bancos de dados compartilhados”, contendo regras

que definiria um SGBD com um banco de dados relacional e a seguir listadas.
• Regra 1: todas as informações em um banco de dados relacional são repre-
sentadas de forma explícita no nível lógico e exatamente em apenas uma
forma, ou seja, por valores em tabelas.
• Regra 2: cada um e qualquer valor individual (atômico) em um banco de
dados relacional possui a garantia de ser logicamente acessado pela combi-
nação do nome da tabela, no valor da chave primária e do nome da coluna.

• Regra 3: valores nulos devem ser suportados de forma sistemática e inde-
pendente do tipo de dados usado para representar informações inexistentes
e informações inaplicáveis.
• Regra 4: a descrição do banco de dados é representada no nível lógico da
mesma forma que os dados ordinários, permitindo aos usuários autorizados
que utilizem a mesma linguagem relacional aplicada aos dados regulares.
• Regra 5: um sistema relacional pode suportar várias linguagens e várias for-
mas de recuperação de informações, entretanto, deve haver pelo menos uma
linguagem, como uma sintaxe bem definida e expressa por conjuntos de ca-
racteres, que suporte, de forma compreensiva, todos os seguintes itens: de-
finição de dados, definição de “views”, manipulação de dados (interativa e
embutida em programas), restrições de integridade, autorizações e limites de
transações (begin, commit e rollback).
• Regra 6: todas as “views”, que são teoricamente atualizáveis, devem ser tam-
bém atualizáveis pelo sistema.
• Regra 7: a capacidade de manipular um conjunto de dados (relação) por meio
de um simples comando deve-se entender as operações de inclusão, altera-
ção ou exclusão de dados.
• Regra 8: programas de aplicação permanecem logicamente inalterados quan-
do ocorrem mudanças no método de acesso ou forma de armazenamento
físico.
• Regra 9: mudanças nas relações e nas “views” devem provocar o mínimo im-
pacto possível nas aplicações.
• Regra 10: as aplicações não podem ser afetadas quando ocorrem mudanças
nas regras de restrições de integridade.
• Regra 11: as aplicações não podem ser logicamente afetadas quando ocor-
rem mudanças geográficas nos dados.
• Regra 12: se um sistema possui uma linguagem de baixo nível, essa lingua-
gem não pode ser usada para subverter as regras de integridade e restrições
definidas no nível mais alto.
2.4. Modelo Físico
Um modelo físico descreve as características e recursos necessários para o tra-
tamento da estrutura de dados como estruturação do armazenamento, endereça-
mento, acesso e alocação física. É uma etapa que está relacionada tanto ao Siste-
ma de Gerenciamento de Banco de Dados – SGBD –, quanto ao sistema operacional
que será utilizado, seja Windows, Linux etc. Elmasri comenta que o objetivo do
projeto físico não é apenas criar uma estrutura de armazenamento, mas fazê-lo
com garantia de bom desempenho.
É uma etapa de total dependência do SGBD e possui características bem parti-
culares dependendo da solução de SGBD escolhida, mas algumas questões podem
ser levantadas, pois, certamente, serão analisadas em qualquer tipo de banco de
dados. Algumas variáveis são mencionadas a seguir:
• Tempo de resposta. Este é o tempo decorrido entre a submissão de uma tran-
sação do banco de dados para execução e o recebimento de uma resposta.
• Utilização de espaço. Uso do espaço de armazenamento pelos arquivos de
banco de dados e suas estruturas de caminho de acesso no disco, incluindo
índices e caminhos de acesso.
• Throughput da transação. Quantidade de transações que podem ser proces-
sadas por minuto, deve ser observado sob condições de acesso intenso ao
banco de dados.
3. Noções Básicas de Linguagem SQL
Segundo Gonçalves, a SQL (Structured Query Language) é uma linguagem que
possibilita a comunicação de aplicações de software e usuários com bases de dados
armazenadas em SGBDs. O SQL foi desenvolvido para ser utilizada, seguindo as
regras de Codd e segue sendo a linguagem utilizada nos principais bancos de dados
relacionais. O SQL inclui todas as operações de álgebra relacional e possui grande
abrangência como mostrado na figura 11.
Figura 15: Abrangência da estrutura do SQL
Fonte: Silberchatz, 2006.
• Linguagem de definição de Dados – Data Definition Language (DDL): for-
nece comandos para definir esquemas de relação, modificação de esquemas.
São os comandos que interagem com os objetos do banco como CREATE,
ALTER e DROP.
• Linguagem de manipulação de dados interativa – Data Manipulation
Language (DML): fornece comandos para operações de inserção, exclusão
e modificação de tuplas no banco de dados. São eles: INSERT, DELETE e UP-
DATE.
• Linguagem de Consulta de Dados – Data Query Language (DQL): for-
nece comandos para especificar restrições de integridade que precisam ser
satisfeitas pelos dados armazenados no banco de dados. Um comando DQL
muito usado é o SELECT. Este comando é informado por alguns autores como
fazendo parte da DML.
• Linguagem de Transação de Dados – Data Transaction Language (DTL):
são comandos para controlar transações. São eles BEGIN TRANSACTION,
COMMIT e ROLLBACK.
• Linguagem de controle de Dados – Data Control Language (DCL): são
comandos para controlar a parte de segurança do banco de dados. São co-
mandos DCL o GRANT, REVOKE e DENY.
3.1. Comandos DDL
3.1.1. CREATE TABLE
CREATE TABLE é um comando utilizado para criar tabelas e suas estruturas.
Sintaxe:
CREATE TABLE <tabela>(
<coluna> <tipo-do-dado> [NOT NULL],
<coluna> <tipo do dado>,
PRIMARY KEY (coluna_chave-primária))
CREATE TABLE <tabela>(
<coluna> <tipos-de-dado> [NOT NULL],
<coluna> <tipos-de-dado>,
PRIMARY KEY (coluna_chave-primária),
FOREIGN KEY (coluna-chave-estrangeira) REFERENCES
(nome-tabela-pai)
Onde:
• <tabela> - é o nome da tabela que será criada.
• <coluna>- indica o nome da coluna (campo ou atributo), ou colunas, relacio-
nando-as uma após a outra.
• <tipo-de-dado> indica os respectivos tipos de dados que podem ser relacio-
nado ao atributo. Podem ser:
– a) Numéricos:
◦ smallint - armazena valores numéricos, em dois bytes binários ou 16
bits, no intervalo -32.768 a +32.767.
◦ integer - armazena valores numéricos, em quatro bytes binários ou 32
bits, compreendidos entre o intervalo -2.147.483.648 a +2.147.483.647.
◦ numeric(n,m) e decimal(n,m) - armazena valores numéricos de ta-
manho variável, sendo (n) o número total de dígitos e (m) o número de
casas decimais.
◦ float - armazena dado numérico de ponto flutuante com precisão de
7 dígitos. Tem tamanho de 32 bits e armazena valores no intervalo de
1.175 X 10-38 a 3.402 x 1038
– b) Alfanuméricos:
◦ varchar (n) - Definir um campo alfanumérico variável até n caracteres.
◦ char (n) - Definir um campo alfanumérico fixo de n caracteres.
– c) Do tipo data
◦ date - data de tamanho fixo.
– d) Do tipo tempo
◦ time: hora em tamanho fixo.
◦ timestamp: integra informação de data e hora.
3.1.2. Tipos de Constraints (restrições)
As constraints são utilizadas para evitar que dados inválidos sejam inseridos no
banco. São elas:
a) NOT NULL – impede que valores nulos sejam inseridos no campo, exige o seu
preenchimento.
b) PRIMARY KEY (coluna_chave-primária) – utilizada para identificar univoca-
mente cada registro em uma tabela. Pode ser simples ou composta no caso de mais
de um campo ser definido como chave primária. Todo campo que contém a chave
primária deve ter a constraint NOT NULL.
c) FOREIGN KEY (nome-coluna-chave-estrangeira) REFERENCES (nome-tabela-
-pai) – as Foreign Key são responsáveis por relacionamentos entre tabelas. Definir
para o banco de dados as colunas que são chaves estrangeiras, ou seja, os campos
que são chaves primárias de outras tabelas. Na opção REFERENCES deve ser espe-
cificado a tabela na qual a coluna é a chave primária.
d) CHECK – é utilizado para limitar uma faixa de favores que pode ser atribuídos
a um campo.
e) UNIQUE – utilizada para evitar que haja valores iguais armazenados na mes-
ma coluna.
3.1.3. ALTER TABLE
ALTER TABLE permite alterar a estrutura de uma tabela, incluindo novas colu-
nas, alterando o tipo de dado, alterando a obrigatoriedade e criando novas CONS-
TRAINTS, com chaves primárias e estrangeiras.
Sintaxe:
ALTER TABLE <tabela>
DROP <coluna>
ADD <coluna> <tipo-de-dado> [NOT NULL]
RENAME <coluna> <novo-nome-coluna>
RENAME TABLE <novo-nome-tabela>
MODIFY <coluna> <tipo-de-dado> [NULL]
ADD PRIMARY KEY <coluna>
DROP PRIMARY KEY <coluna>
ADD FOREIGN KEY (nome-coluna-chave-estrangeira) REFERENCES (nome-ta-
bela-pai)
DROP FOREIGN KEY (nome-coluna-chave-estrangeira) REFERENCES (nome-ta-
bela-pai)
Onde:
• <tabela> – o nome da tabela que será atualizada.
• <coluna> – o nome da coluna que será criada.
• <tipo-de-dado> – cláusula que define o tipo e tamanho dos campos definidos
para a tabela.
• DROP <coluna> – Realiza a retirada da coluna especificada na estrutura da
tabela.
• ADD <coluna> <tipo-de-dado> – Realiza a inclusão da coluna especificada
na estrutura da tabela. Na coluna correspondente a este campo nos registros
já existentes será preenchido o valor NULL (Nulo). A definição NOT NULL é
semelhante à do comando CREATE TABLE.
• RENAME <coluna> <novo-nome-coluna> – Realiza a troca do nome da co-
luna especificada.
• RENAME TABLE <novo-nome-tabela> – Realiza a troca do nome da tabela
especificada.
• MODIFY <coluna> <tipo-de-dado> – Permite a alteração na característica
da coluna especificada.
3.1.4. DROP TABLE
DROP TABLE é utilizado para remover um objeto do banco de dados, deletando
a estrutura e os dados existentes em uma tabela, por exemplo.
Sintaxe:
DROP TABLE <tabela>
Onde:
• <tabela> – identifica a tabela que será deletada.
3.2. Comandos DML
3.2.1. INSERT
O comando INSERT é utilizado para incluir um novo registro em uma tabela.
Sintaxe:
INSERT INTO <tabela> (<coluna1>, <coluna2>).
VALUES (<relação dos valores a serem incluídos>).
Onde:
• <tabela> – identifica a tabela onde será incluído o registro.
• <coluna> identifica os nomes das colunas que terão um conteúdo inserido.
3.2.2. UPDATE
O comando UPDATE muda ou altera o valor de um ou mais campos de uma ta-
bela.
Sintaxe:
UPDATE <tabela>
SET <coluna> = <novo conteúdo para o campo>
WHERE <condição>
Onde:
• <tabela> – identifica a tabela cujo conteúdo será alterado.
• <coluna> – identifica o nome da(s) coluna(s) que terão seus conteúdos alte-
rados com o novo valor especificado.
• <condição>– identifica a condição para a seleção dos registros que serão
atualizados.
3.2.3. DELETE
O comando DELETE é responsável por excluir linhas de uma tabela.
Sintaxe:
DELETE FROM <tabela>
WHERE <condição>
Onde:
• <tabela> – identifica a tabela cujos registros serão deletados.
• <condição> – identifica a condição para a deleção dos registros.
3.2.4. SELECT
O comando SELECT permite selecionar linhas e colunas de mais de uma tabela.
Sintaxe:
SELECT ALL FROM <tabela1>, <tabela2>
DISTINCT
WHERE <condição>
GROUP BY <nome-coluna>
HAVING <condição>
ORDER BY <nome-campo> ASC
DESC
Onde:
• <tabela> – identifica a(s) tabela(s) que contém as colunas que serão selecio-
nadas ou que serão utilizadas para a execução da consulta.
• <condição> – identifica a condição para a seleção dos registros.
• <coluna> – identifica a(s) coluna(s) cujo resultado serão agrupados para
atender à consulta.
• ALL – opção também substituída pelo símbolo *.
• DISTINCT – opção que mostra os valores obtidos na seleção eliminando as
duplicidades.
• WHERE – opção que especifica o critério de seleção dos registros nas tabelas.
• GROUP BY – opção que especifica o(s) campo(s) que serão agrupados para
atender a consulta.
• HAVING – opção que especifica uma condição para seleção de um grupo de
dados. Esta opção só é utilizada combinada com a opção GROUP BY.
• ORDER BY – opção que permite que o resultado da consulta seja ordenado de
forma crescente ou decrescente pelos campos definidos.
4. Business Intelligence
Segundo Elmasri, o Business Intelligence é um conjunto de ferramentas utiliza-
das para auxiliar a tomada de decisão. Entende-se por tomada de decisão o proces-
so de definição de melhor estratégia para atingir determinado objetivo.
As várias ferramentas OLAP se utilizam de técnicas para realizar pesquisas ob-
jetivando a descoberta de padrões lógicos imperceptíveis a observação humana,
em bases de dados com variadas fontes, sejam áudio, vídeo, planilhas, memoran-
dos, e-mails, páginas web etc. Uma das técnicas utilizadas por estas ferramentas
é conhecida com Data Mining que consiste em processos de inferência em meio a

grande filtragem de dados conhecida também como mineração de dados. As gran-
des bases de dados que serão pesquisadas estão armazenadas em uma estrutura
física conhecida como Data Warehouse.
4.1. Conceitos e Estratégias de Implantação de Data Warehouse
Segundo Takai, a técnica utilizada em processos de recuperação e integração

de dados a partir de diferentes fontes é chamada de Warehousing, aqueles dados
estão armazenados em uma grande estrutura chamada Data Warehouse (DW) que
organiza os dados em dimensões para permitir consultas e análises por meio de
aplicações ou ferramentas OLAP (On-Line Analytical Processing).
Para possibilitar a integração de dados a partir de fontes heterogêneas e sua
posterior disponibilização, ocorre um processo de carga. Nesta carga, os dados dis-
poníveis em vários bancos de dados transacionais devem passar por um processo
de levantamento, padronizados e limpos, transferidos e, por fim, carregados, se-
guindo o padrão de modelagem dimensional definido. Após esta primeira carga, são
realizadas, periodicamente, novas cargas incrementais para constante atualização
do repositório de dados. Os processos de negócios empresariais são acompanha-
dos por meio do registro de eventos (venda de um produto, aquisição de produtos,
pagamento de faturas etc.) em sistemas de informação transacional ou OLTP (On-
-line Transaction Processing). Tais sistemas, em sua grande maioria, tratam indi-
vidualmente as transações realizadas nos negócios de forma consistente e segura
mas são falhas em relação a questionamentos mais dinâmicos sobre o processo de
negócio, como exemplo, a periodicidade e faixa horária de vendas de determinados
produtos no decorrer de um mês. Um DW bem projetado tem condições de tratar
as transações do negócio como um todo, não limitando-se a individualizar estas
transações como os sistemas OLTP e isto é possível a partir das especificações de
projeto do DW ao identificar a informação importante do negócio e representá-la e

isto é possível pela utilização da técnica de modelagem dimensional.
Os dados em um DW são orientados por assunto e são não voláteis, pois não
devem sofrer alterações e são disponibilizados por meio de estruturas menores
chamadas Data Marts.
A modelagem dimensional ou modelagem multidimensional representa, para
cada área de negócio, os indicadores mais importantes em um componente cha-
mado Fato que contém as métricas, e os parâmetros que informam sob que forma
aqueles indicadores são vistos, em outro componente chamado Dimensão. O Fato é
disposto na área central de um modelo multidimensional, enquanto as Dimensões
orbitam em relação aos Fatos. Os quadros com a dimensão se tornam tabela Di-
mensão e o quadro central se torna uma tabela Fato que conterá milhares de linhas.
Figura 1: Representação de um Modelo Multidimensional
Fonte:Takai
O Modelo Dimensional e suas Implementações
A implementação de um DW, em linhas gerais, segue as seguintes etapas:
• Levantamento do processo a modelar;
• Definir modelagem;
• Definir o processo de carga (ETL).
4.2. Modelagem de Dados Multidimensional
A modelagem de dados multidimensional é uma técnica de projeto lógico utilizada
para definição de um DW. Esta modelagem é composta pelos seguintes elementos:
• Granularidade ou grão: corresponde ao nível de detalhamento a ser levado
em conta para definição das métricas a serem armazenadas.
• Dimensões: contém os atributos textuais dos dados a serem armazenados.
Se uma dimensão puder ser compartilhada com outras tabelas de fatos se diz
conformada
• Fato: contém os números do que se deseja analisar por meio das dimensões
em um DW. Existem alguns tipos de Fatos:
– Fato Aditivo: quando pode ser agregado em todas as dimensões.
– Fato Semiaditivo: quando não é aditivo em uma dimensão.
– Fato Não Aditivo: quando não pode ser agregado a nenhuma dimensão.
Após a definição lógica do DW é executado a implementação física. Os esque-
mas básicos de implementação física mais conhecidos são:
• Esquema estrela (Star Schema): neste esquema existe uma otimização
na extração de dados, devido aos dados não passarem por um processo de
normalização, permitindo um tempo menor de consultas mas exigindo mais
espaço em disco. É chamado estrela pela disposição de seus elementos.
Figura 2: Esquema Estrela
Fonte: Cunha
• Esquema floco de neve (Snow Flake): considerado uma extensão do mo-

delo Estrela, pois uma dimensão pode vir a ser o centro de outras dimensões.
Este esquema utiliza a normalização de dados para tratar integridade e re-
dundância no armazenamento de dados.
Figura 3: Esquema Floco de Neve
Fonte: Cunha
4.3. ETL (EXTRACT, TRANSFORM AND LOAD)
Segundo Cunha, o ETL trata do processo de preparação dos dados oriundos de
fontes heterogêneas para a inserção ou carga em um DW. É uma atividade essen-
cial para um ambiente DW e suas estruturas, devendo ser bem planejada para que
não comprometa e nem interrompa os sistemas OLPT.
É um processo descrito em três fases:
• Extração (Extract): os dados são extraídos de sistemas OLPT e inseridos em
uma área de transição (staging area), onde serão padronizados (alterados
para um mesmo formato), para serem tratados adequadamente.
• Transformação (Transform): os dados serão transformados de acordo com as
regras do negócio.
• Carga (Load): é a fase de persistência de dados tratados para o ambiente
do DW.
4.4. OLAP (On-line Analytical Processing)
OLAP é a denominação que se dá a uma ferramenta que tem a capacidade de
manipular e analisar um grande volume de dados sob múltiplas perspectivas, cha-
mada de cubo. O principal benefício do uso de uma ferramenta OLAP é a disponibi-
lidade de métodos para acessar, visualizar e analisar dados com muita flexibilidade
e velocidade.
Segundo Cunha, as funções do OLAP são:
• Visualização multidimensional dos dados;
• Exploração;
• Rotação;
• Vários modos de visualização.
O OLAP se apresenta como uma interface com o usuário que se utiliza para
apresentar as informações de métodos de armazenamento, que podem ser:
• ROLAP (OLAP Relacional): os dados são armazenados de forma relacional.
Os dados são armazenados em tabelas e colunas, como em um banco de da-
dos relacional. É indicado para DW devido ao maior número de funções que
podem ser utilizadas.
• MOLAP (OLAP Multidimensional): os dados são armazenados de forma multi-
dimensional. Indicado para Data Marts, devido a poucos detalhes nas infor-
mações e a dimensão limitada.
• HOLAP (OLAP Híbrido): uma combinação dos métodos ROLAP e MOLAP.
• DOLAP (OLAP Desktop): o conjunto de dados multidimensionais deve ser
criado no servidor e transferido para o desktop. Permite portabilidade aos
usuários OLAP que não possuem acesso direto ao servidor.
Os métodos mais comuns de armazenamento de dados utilizados pelos siste-
mas OLAP são ROLAP e MOLAP, a única diferença entre eles é a tecnologia de ban-
co de dados. O ROLAP usa a tecnologia RDBMS (Relational DataBase Management
System), na qual os dados são armazenados em uma série de tabelas e colunas.
Enquanto o MOLAP usa a tecnologia MDDB (MultiDimensional Database), em que
os dados são armazenados em arrays multidimensionais.
Os dois fornecem uma base sólida para análise e apresentam tanto vantagens
quanto desvantagens. Para se escolher entre os dois métodos deve-se levar em
consideração os requisitos e a abrangência do aplicativo a ser desenvolvido.
4.5. Data Mining
Data mining ou mineração de dados é o processo de análise de conjuntos de
dados que tem por objetivo a descoberta de padrões que possam representar infor-
mações úteis, de acordo com Côrtes. O processo de mineração de dados pode ser
descrito como apresentado na figura 4.
Figura 4: Esquema simplificado do Data Mining
Fonte: Cortês
Conforme observado na figura 4, as funcionalidades no DATA MINING podem
ser Análise Descritiva e Análise de Prognóstico.
A Análise Descritiva representa a área que busca descrever fatos não triviais e
até desconhecidos dos usuários. Pode ser dividida em:
• Análise Prévia: busca identificar anomalias que possam influenciar o resul-
tado da mineração de dados.
• Descobrimento: busca identificar padrões escondidos, sem que exista uma

hipótese clara estabelecida antecipadamente:
Tanto a Análise Prévia como o Descobrimento possuem outras divisões confor-

me a figura 5 apresenta.
Figura 5: Divisões da Análise Descritiva
Fonte: Cortês
Faremos um breve relato de cada divisão:
• Análise de Outliers: objetiva encontrar dados que não obedeçam ao compor-

tamento ou modelo de dados, uma vez encontrados podem ser tratados ou
descartados.
• Análise de Desvios: objetiva detectar mudanças em comportamentos, com-
parando as ações com os padrões.
• Visualização: utilizada quando não se tem ideia da distribuição dos dados e se
queira encontrar alguma disparidade.
• Classificação: consiste em examinar certa característica e atribuir uma clas-
se previamente definida. Pode ser realizada por meio da Discriminação que
se atribui um valor a um atributo no registro para obter seu resultado e por
Caracterização que é a sumarização de um atributo de estudo por uma carac-
terística de um ou mais atributos.
• Análise de Associações: busca descobrir regras de associações condicionadas
à valores de atributos que ocorrem juntos em um conjunto de dados.
• Agrupamento (clustering): objetiva formar grupos baseados no princípio de
que devem ser o mais homogêneos e heterogêneos entre si.
• Descrição: utilizada para tornar mais clara uma ideia que está sendo utilizada.
• Detecção de sequências: objetiva algum tipo de padrão nos dados para deter-
minar tipos de sequências.
• Segmentação: o conjunto de dados é dividido em grupos menores, com com-
portamentos similares nos atributos de segmentação.
• Sumarização e Visualização: fornece aos usuários os resultados em uma for-
ma fácil de ser interpretado, permitindo sua visualização quando não há uma
forma padrão de organização.
• Otimização: busca otimizar os recursos limitados.
• Identificação: objetiva identificar a existência de um item, evento ou ativida-
de nos padrões de dados.
• Análise de Evolução: estuda a regularidade de modelos ou tendências de ob-
jetos que tem seu comportamento alterado no decorrer do tempo.
• Análise em dados no formato texto: como o próprio nome diz, busca trabalhar
em dados armazenados em narrativas, processos etc., visando extrair resul-
tados em técnicas de tratamento de texto.
4.5.1. Análise de Prognóstico
A análise de prognóstico busca inferir resultados a partir de padrões encontra-
dos na Análise Descritiva. Está assim dividida:
• Estimação: processo de predizer algum valor baseado em padrão conhecido.
• Predição: processo de predizer um comportamento futuro.
• Classificação: processo de predizer um valor para uma variável categórica.
4.5.2. Abordagens da Mineração de Dados
As abordagens de mineração de dados descrevem como o usuário irá conduzir o
processo para obtenção de suas funcionalidades. Existem duas abordagens:
• Abordagem top-down: conhecida como teste de hipótese, o usuário parte do
princípio que existe uma hipótese e que deseja confirmar ou refutar.
• Abordagem bottom-up: também chamada busca de conhecimento, o usuário
inicia o processo de mineração na tentativa de descobrir algo novo.
Figura 6: Abordagens no Data Mining
Mineração de Dados
Abordagens/Metodologias
Top-down Bottom-up
– Inicia com hipótese e valida hipóteses. – Analisa os dados e extrai padrões.

– Hipóteses podem ser fornecidas inicial- – Procura por alguma ideia preconcebida
mente da abordagem bottom-up ou de (aplicação direta).
algum conhecimento do mundo real. – Não tem ideia do que está procurando
– Se a hipótese não é satisfeita, então revi- (aplicação indireta).
sa-se a hipótese.
Fonte: Côrtes
A partir dessas abordagens, o usuário definirá se usará para busca de conheci-
mento na forma direta onde sua meta é orientada ou supervisionada, ou na forma
indireta ou não supervisionada, em que não existe uma meta bem definida.
II – Segurança da Informação

1. Conceitos Básicos
Pensar em segurança nos remete a ideia básica de proteger algo ou alguém
que, para nós representa um determinado valor, seja ele sentimental, material etc.
E partindo deste pensamento, buscamos iniciativas que visam possibilitar aquela
ação inicial. Tais iniciativas poderiam ir desde mecanismos de controle de acesso
até a normatização jurídica vigente. Observa-se então que no que concerne a se-
gurança existem várias vertentes que podem ser analisadas.
No que se refere a vertente tecnológica, a informação é o bem mais valioso e
que demanda esforços contínuos para preservação. No ambiente organizacional,
os processos de negócio ocorrem no meio digital e possuem alto valor. Como um
ambiente dinâmico e competitivo em que se inserem as organizações, informações
privilegiadas representam um diferencial importantíssimo. A informação é o princi-
pal insumo para a tomada de decisão por parte da alta administração e desempe-
nha importante papel na elaboração e operacionalização de estratégias.
Neste sentido, adotar medidas para garantir um ambiente seguro em que a
informação circula é o objetivo de se pensar em Segurança da Informação. Tratan-
do-se de uma organização, devem ser observados todos os elementos tangíveis ou
não que tragam valor, desde instalações físicas, tecnologia, colaboradores e nor-
mas e diretrizes.
Lyra1 nos esclarece que a segurança da informação está envolta sob vários as-
pectos importantes e outros autores consideram estes como princípios, em que se
destacam:
• Confidencialidade: é o princípio ou a propriedade em que a informação só
é divulgada para as pessoas devidamente autorizadas.
• Integridade: é o princípio ou propriedade em que existe a preocupação de
garantir que a informação está correta, consistente e que não houve modifi-
cações seja por pessoas autorizadas ou não.
1
Lyra, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Editora Ciên-
cia Moderna, 2008.
• Disponibilidade: é o princípio ou propriedade que busca permitir que a in-
formação estará disponível sempre que necessitar ser acessada por pessoas
devidamente autorizadas.
Aquele autor ainda informa que existem atributos que norteiam a segurança da
informação:
• Autenticidade: é a garantia que pessoas não se passem por terceiros ao
lidar com a informação.
• Legalidade: é a garantia que a informação produzida esteja de acordo com
a legislação vigente.
• Irretratabilidade ou não repúdio: capacidade de provar que um usuário
executou uma determinada ação.
Hintzbergen [et al]2 apresenta outras definições que são tratadas no contexto
de Segurança da Informação:
• Ameaça: agentes ou condições causadoras de incidentes contra ativos orga-
nizacionais.
• Vulnerabilidade: são os pontos frágeis que se apresentam nos ativos da
informação (software; hardware; pessoas; documentos; serviços; processos
de negócio; informação etc), que podem ser efetivamente explorados.
• Evento de segurança da informação: identificação de uma possível viola-
ção da política de segurança da informação ou falha de proteção.
• Diretriz: descrição do que necessita ser feito, e como alcançar os objetivos
definidos nas políticas.
2
Hintabergen, Jule; Hintzbergen, Kees; Smulders, André; Baars, Hans. Fundamentos de Segurança da
Informação: com base na ISO 2701 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
• Impacto: é a análise que determinada consequência, pode causar os proces-
sos de negócios suportados pelo ativo em questão.
• Incidente de segurança: é a ocorrência de um evento que possa causar
interrupções nos processos de negócio como consequência da violação da
confidencialidade, autenticidade, disponibilidade, integridade ou legalidade.
• Política de Segurança: declaração que estabelece a hierarquia aos riscos
de informação e identifica metas de segurança aceitáveis e mecanismos para
atingi-las. Esta declaração origina outras políticas.
• Política de Uso Aceitável: uso aceitável dos recursos da informação e dos
equipamentos das empresas.
• Política de Autorização: diferentes níveis de acesso aos ativos da informa-
ção para diferentes níveis de usuário.
• Plano de recuperação de desastres: estratégias para restaurar os serviços
de computação e comunicação após terem sofrido interrupção causada por
eventos climáticos ou terroristas.
• Plano de Continuidade dos Negócios: concentra-se em como a empresa
pode restaurar suas operações após um desastre.
• Probabilidade: é a chance de uma falha de segurança ocorrer considerando
as vulnerabilidades de um ativo e as ameaças que venham a explorar esta
vulnerabilidade.
• Risco: é o potencial de ameaças explorarem vulnerabilidades de um ativo de
informação ameaças, ou seja, a combinação da probabilidade de um evento
e sua consequência.
No contexto que envolve a Gestão da Segurança da Informação algumas nor-
mas são referências internacionais ao se tratar do tema. Entre elas estão:
• ISO/IEC 27000: norma internacional que fornece a visão geral dos sistemas
de gerenciamento de segurança da informação e os termos e definições co-
mumente usados na ISO/IEC 27001.
• ISO/IEC 27001: norma internacional de gestão de segurança da informação
que descreve os requisitos do Sistema de Gerenciamento de Segurança da
Informação (Information Security Management System – ISMS). Uma espe-
cificação formal para um ISMS.
• ISO/IEC 27002: norma internacional que estabelecer diretrizes e princípios
gerais para iniciar, implementar, manter e melhorar a gestão de segurança
da informação em uma organização. É o código de prática para controles de
segurança da informação, que descreve os controles e objetivos referentes às
boas práticas de controle de segurança da informação.
• ISO/IEC 27005: Gestão de Riscos de Segurança da Informação.
• ISO/IEC 27006: norma internacional que traz requisitos para organismos
fornecedores de auditoria e certificação de sistemas de gestão da segurança
da informação.
• ISO/IEC 27007: diretrizes para auditar Sistemas de Gestão de Segurança
da Informação.
• ISO/IEC 27031: diretrizes para a prontidão e para a continuidade dos ne-
gócios da tecnologia da informação e comunicação.
• COBIT (Control Objectives for Information and related Technology) é um
guia aceito mundialmente para gestão de tecnologia da informação, sendo
dividido em 4 domínios que possuem 34 processos com 318 objetivos de con-
trole, abrangendo amplamente a operação de TIC.
Dentro da organização, a informação é tratada de acordo com sua relevância,
Hintzbergen [et al]3 avalia que a informação dever ser centrada nos princípios da
segurança da informação: confidencialidade, disponibilidade, integridade e auten-
ticidade.
A classificação da informação, norteada sobre o princípio da confidencialidade
pode ser assim apresentada:
• Informação Pública: informação que pode vir a público sem maiores con-
sequências danosas ao funcionamento normal da empresa, e cuja integridade
não é vital;
• Informação Interna: o acesso a esse tipo de informação deve ser evitado,
embora as consequências do uso não autorizado não sejam por demais sé-
rias. Sua integridade é importante, mesmo que não seja vital;

• Informação Confidencial: informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar ao desequilíbrio operacional, e eventualmen-
te, perdas financeiras, ou de confiabilidade perante o cliente externo, além de
permitir vantagem expressiva ao concorrente;
• Informação Secreta: informação crítica para as atividades da empresa,
cuja integridade deve ser preservada a qualquer custo e cujo acesso deve
ser restrito a um número bastante reduzido de pessoas. A manipulação desse
tipo de informação é vital para a companhia. E baseada na tecnologia de in-
formação para enfrentar um desafio proposto pelo ambiente.
Hintzbergen [et al]4 ainda cita que toda a informação no ambiente organiza-
cional se apresenta em um ciclo de vida. Lyra5 informa que a identificação das
3
4
5
cia Moderna, 2008.
necessidades e dos requisitos da informação é a mola propulsora deste ciclo e se

apresenta, entre outras variações autorais, composto e identificado pelos momen-
tos vividos pela informação que a colocam em risco. Os momentos são vivenciados
justamente quando os ativos físicos, tecnológicos e humanos fazem uso da infor-
mação, sustentando processos que, por sua vez, mantêm a operação, por exemplo,
de uma organização. O ciclo de vida pode ser apresentado nas seguintes fases:
• Manuseio – Momento em que a informação é criada e manipulada, seja ao
folhear um maço de papéis, ao digitar informações recém-geradas em uma
aplicação Internet, ou, ainda, ao utilizar uma senha de acesso para autenti-
cação, por exemplo.
• Armazenamento – Momento em que a informação é armazenada, seja em
um banco de dados compartilhado, em uma anotação de papel posterior-
mente postada em um arquivo de ferro, ou, ainda em uma mídia de disquete
depositada na gaveta da mesa de trabalho, por exemplo.
• Transporte – Momento em que a informação é transportada, seja ao en-
caminhar informações por correio eletrônico, ao postar um documento via
aparelho de fax, ou, ainda, ao falar uma informação confidencial por telefone,
por exemplo.
• Descarte – Momento em que a informação é descartada, seja ao depositar
na lixeira da empresa um material impresso, seja ao eliminar um arquivo
eletrônico em seu computador de mesa, ou ainda, ao descartar um CDROM
usado que apresentou falha na leitura.
De acordo com Lyra, os ativos organizacionais são divididos em três aspectos,

sendo a segurança tratada em cada ambiente de forma a diminuir a presença de
vulnerabilidades. São estes os ambientes: o Físico, o Tecnológico e o Humano.
Isto exposto, fica bem claro que ao se pensar em segurança organizacional de-
vem-se observar todos os ambientes e tratar suas possíveis vulnerabilidades sepa-
radamente, ou seja, ter a iniciativa de fazer um levantamento de todas as variáveis

envolvidas nos diversos ambientes e efetivar medidas para tratar possíveis riscos
que impactem de forma negativa.
1.1. Ambiente Físico
É o ambiente em que está instalado fisicamente o hardware – computadores,
servidores, meio de comunicação – podendo ser o escritório da empresa, a fábrica
ou até a residência do usuário no caso de acesso remoto ou uso de computadores
portáteis. A camada física representa o ambiente em que se encontram os com-
putadores e seus periféricos, bem como a rede de telecomunicação com seus mo-
dems, cabos e a memória física, armazenada em disquetes, fitas ou CDs.
As pequenas e a médias empresas têm seus dados armazenados, geralmente,
em servidores de rede ou em estações compartilhadas, e o acesso físico a estes
equipamentos nem sempre é restrito. Na maioria das vezes, esse mesmo servidor
ou estação possui acesso liberado e ilimitado à Internet, o que aumenta o risco de
um incidente de segurança. Na empresa média, o cenário é menos problemático,
porém, não o ideal, principalmente, devido à conscientização dos funcionários so-
bre segurança da informação.
O controle de acesso aos recursos de TI, equipamentos para fornecimento inin-
terrupto de energia e firewalls são algumas das formas de se gerir a segurança des-
ta camada. São exemplos de medidas de segurança neste ambiente, os seguintes
mecanismos de controle de acesso:
• Câmeras para videomonitoramento;
• Crachá com identificação digital;
• Leitores biométricos;
• Catracas para controle de acesso;
• Tokens: dispositivos físicos projetados para prover identidade de usuário;
• Smartcard: dispositivo que contém um chip formatado com a permissão do
usuário;
• UTM (Unified Threat Management): sistemas unificados de gestão de amea-
ças (unifica todos os recursos de Firewall, sistemas de detecção de invasão,
software antivírus e antispyware;
• Computação de alta disponibilidade: plataformas de hardware e software com
reservas de servidores, alta capacidade de armazenamento;
Exemplo: datacenters replicados.
• Sistemas de computação tolerantes a falhas, redundância de hardware, sof-
tware e fornecimento de energia elétrica (hardware extra).
1.2. Ambiente Lógico
A camada lógica é caracterizada pelo uso de softwares – programas de compu-
tador – responsáveis pela funcionalidade do hardware, pela realização de transa-
ções em base de dados organizacionais, criptografia de senhas e mensagens etc.
É nessa camada que estão as “regras, normas, protocolo de comunicação e onde,
efetivamente, ocorrem as transações e consultas”.
A segurança, em nível lógico, refere-se ao acesso que indivíduos têm às aplica-
ções residentes em ambientes informatizados, não importando o tipo de aplicação
ou o tamanho do computador. As ferramentas de controle são, em sua maior parte,
“invisíveis” aos olhos de pessoas externas aos ambientes de informática; estas só
os reconhecem quando têm o seu acesso barrado pelo controle de acesso.
Manter o software de sistema operacional atualizado com a mais recente cor-
reção de segurança disponibilidade pelo fabricante é uma forma de minimizar os
riscos de segurança nesta camada.
São exemplos de mecanismos de segurança neste ambiente o uso de:
• Autenticação em sistemas de informação;
• Autenticação biométrica: sistemas que leem e interpretam traços humanos
individuais (impressões digitais, íris ou voz);
• Criptografia: processo de transformar textos comuns ou dados em um texto
cifrado, lido apenas pelo remetente e o destinatário;
• SSL (Security Socket Layer) e TLS: protocolos que permitem uma conexão
segura entre computadores. HTTPS (Secure Hipertext Transfer Protocol): é
um protocolo que permite o fluxo de dados criptografados pela Internet;
• Certificados digitais: são arquivos de dados emitidos por uma Autoridade Certifi-
cadora que validam a identidade do usuário a fim de proteger transações on-line;
• Firewall: software com função de controle de fluxo de dados;
• Sistemas de detecção de Invasão: monitoram os acessos em busca de com-
portamentos anormais nos acessos de rede;
• Software antivírus e antispyware.
1.3. Ambiente Humano
A camada humana é formada por todos os recursos humanos presentes na or-
ganização, principalmente os que possuem acesso aos recursos de TIC, seja para
manutenção ou uso. São aspectos importantes desta camada: a percepção do risco
pelas pessoas; como elas lidam com os incidentes de segurança que ocorrem; são
usuários instruídos ou ignorantes no uso da TIC; o perigo dos intrusos maliciosos
ou ingênuos; e a engenharia social.
Das três camadas, esta é a mais difícil de se avaliar os riscos e gerenciar a segu-
rança, pois envolve o fator humano, com características psicológicas, socioculturais
e emocionais, que variam de forma individual.
São exemplos de medidas de segurança neste ambiente, na organização, os ní-
veis de acesso a departamentos, assistência à saúde, brigada de incêndio etc.
A gestão da segurança da informação envolve mais do que gerenciar os recursos
de tecnologia – hardware e software – envolve pessoas e processos, porém algu-
mas empresas negligenciam este fator. A política de segurança e a conscientização
dos usuários são algumas das formas de se controlar a segurança desta camada.
Após o reconhecimento de todo o ativo, a atenção à proteção da informação
deve ser prioridade, pois os ativos estão constantemente sob ameaças.
2. Noções sobre Criptografia
É uma tecnologia que sua importância reside no fato de conseguir atender aos
princípios da segurança da informação: confidencialidade; autenticidade; não re-
púdio e sigilo.
Vivemos em um mundo conectado e no meio digital ocorrem inúmeros proces-
sos em meio digital que ocasiona a necessidade da utilização de ferramentas que
possam auxiliar na proteção do sigilo na troca de informações. A assinatura digital
e a certificação digital são importantes para esta proteção. Tanto o sigilo nas co-
municações como a privacidade dos usuários são áreas que necessitam da atuação
forte da Segurança da Informação. A criptografia, devido a estes fatos, é de grande
valor sendo utilizada amplamente em várias soluções tecnológicas, onde são cita-
dos como exemplos:
• A utilização em conversas on-line por meio da telefonia móvel, seja por apli-
cativo ou em ligações;
• Nas compras realizadas em e-commerce;.
• Nas transações bancárias em caixa eletrônico, ou por aplicativos em celulares;
• No acesso remoto entre dispositivos pela Internet;
• Nas redes sem fio;
• Na utilização de certificados digitais como credenciais; e
• Nas assinaturas digitais.
A RFC 2828 (Request for Comments n. 2828)6, define o termo Criptografia como
a ciência matemática que lida com a transformação de dados para mudar seu sig-
nificado em algo ininteligível para o inimigo, escondendo seu conteúdo semântico
prevenindo sua alteração ou uso sem autorização.
De acordo com Tanenbaum7, criptografia tem origem grega; kryptós, “escon-
dido”, e gráphein, “escrita”, e trata da ciência de codificar mensagens de modo a
impedir o conhecimento de seu conteúdo em caso de interceptação. A mensagem,
conhecida como texto simples (plaintext), é inserida e processada por uma função
matemática que utiliza um parâmetro no cálculo conhecido por chave, logo após a
saída deste processo teremos mensagem cifrada ou texto cifrado (ciphertext), que
pode ser transmitida a um receptor que conhece a chave necessária para o pro-
cesso inverso, ou seja, desfazer o processo que tornou cifrada a mensagem para
conhecer a original. Na possibilidade de um intruso ter acesso à mensagem cifrada
sem o conhecimento da chave, este terá maior dificuldade para o conhecimento do

6
Documentos técnicos desenvolvidos e mantidos pelo IETF (Internet Engineering Task Force)
7
Tanenbaum, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Elsevier, 2003.
conteúdo original. O autor deixa claro que o intruso não apenas pode ter acesso
de leitura na mensagem cifrada, como também poderá inserir um texto de seu in-
teresse ou modificar o original de acordo com seus interesses, antes de chegar ao
receptor. Criptoanálise é a arte de solucionar mensagens cifradas e Criptologia é
a arte de criar mensagens cifradas (criptografia) e ter acesso a seu texto original
(criptoanálise).
Tanenbaum8 ainda nos afirma que uma regra fundamental da criptografia é de
considerar que o intruso pode conhecer técnicas de descriptografia e, no tocante a
esta possibilidade, haveria a necessidade de se elaborar nova equação parametri-
zada (algoritmo) para garantir por outro período a cifragem das mensagens. Devi-
do a este esforço para criação, teste e instalação deste optou-se pela utilização de
uma chave. Esta chave consiste em um conjunto de caracteres (string) que permi-
te selecionar uma das várias formas de criptografia. Ao contrário da cifragem, tal

método permite a alteração sempre que necessário. Este formato de parametrizar
uma mensagem simples com uma chave que pode ser alterada a qualquer momen-
to é conhecido como Princípio de Kerckhoff que informa que todos os algoritmos
dever ser públicos e apenas as chaves secretas. Os métodos de criptografia estão
divididos em dois tipos:
• Cifras de Substituição: método que consiste em substituir cada letra ou
grupo de letras por uma letra ou grupo de letras. Este ficou conhecido como
substituição monoalfabética, sendo a chave o alfabeto completo.
• Cifras de transposição: método que consiste em reordenar letras mas não
disfarçá-las ou substituí-las.
Tanenbaum nos diz que existe uma forma de se criar uma cifra inviolável, es-
colhendo uma chave uma string de bits quaisquer e após, o texto simples deve ser
8
convertido em uma string de bits, como o ASCII, posteriormente calcula-se o OR
exclusivo (XOR) dos dois strings. O resultado cifrado não poderá ser violado, por-
que cada letra ocorrerá com a mesma frequência. Esse método é conhecido com
cifra ou chave de uso único (one-time-pad).
Um outro método que possibilita a ocultação de uma informação dentro de ou-
tra, usando o princípio da camuflagem, permite a inserção de mensagem dentro de
arquivos de vídeo, áudio etc. Tal método é conhecido como Esteganografia. A arte
de desvendar estas informações ocultas chama-se Esteganoanálise.
Lyra9 nos revela que as técnicas utilizadas em Criptografia são amplamente uti-
lizadas em vários dispositivos tecnológicos, oferecendo a autenticação, privacidade
e integridade dos dados na comunicação, sem o qual não seria possível popularizar
o comércio eletrônico.
2.1. Princípios da Criptografia
Conforme Tanenbaum10, existem dois princípios que fundamentam a Criptogra-
fia. São eles:
• Redundância: o conteúdo de todas as mensagens criptografadas devem
conter informações não necessárias complementando seu conteúdo, ou seja,
mensagem acrescida fora do contexto.
• Atualidade: algum método deve ser utilizado para garantir que uma mensa-
gem recebida é o mais atual possível, evitando assim que mensagens antigas
sejam reenviadas.
9
cia Moderna, 2008.
10
2.2. Tipos de Sistemas Criptográficos
Hintzbergen [et al]11 relata que para haver a utilização de um sistema criptográ-
fico, tanto o emitente quanto o destinatário devem fazer uso de sistemas similares.
A característica de um algoritmo ser público indica uma boa criptografia. Os algo-
ritmos mais utilizados são do tipo: Simétrico, Assimétrico e Unidirecional ou Hash.
2.2.1. Algoritmo Simétrico
É caracterizado pelo uso de um algoritmo e uma chave secreta que o remetente
e o destinatário compartilham, ou seja, tanto na codificação como na decodificação.
A segurança está em se manter a chave sempre protegida, o uso de um algoritmo
complexo e que haja a troca das chaves antes de ocorrer à comunicação, garantin-
do assim o sigilo do processo, segundo Tanenbaum.
O algoritmo simétrico pode utilizar a técnica de cifragem em Blocos ou em Flu-
xo. No primeiro caso, um bloco de n bits da mensagem de entrada é submetido a
chave privada para envio do texto cifrado e, por sua vez, no receptor o bloco de
texto cifrado é submetido a chave privada para ocorrer a decodificação. No caso da
técnica em Fluxo, um vetor inicia uma sequência de bits com uma chave para obter
um bloco de saída e, depois de codificado obtêm-se um segundo bloco. A sequência
do fluxo de chaves é submetida a uma operação XOR com o texto simples para se
obter o texto cifrado.
Exemplificando o uso do algoritmo simétrico, se um remetente X quiser enviar
uma mensagem M ao destinatário Y, de modo a evitar intrusos, então utilizara uma
chave k, em um algoritmo L para cifra M, então teremos o texto cifrado C = L k (M)
sendo transmitido por um meio de transmissão. É condição no uso de um algoritmo
11
simétrico que X tenha a chave privada de X pois, assim, ao receber o texto cifrado
C = Lk (M) poderá decifrá-lo, utilizando o algoritmo N que realiza uma operação
inversa de L, utilizando a chave k. Teremos então que a mensagem original M será
assim decifrada M = N k(C), pois N k (E k (M) = M.
Alguns algoritmos que utilizam cifras de chave simétrica em blocos são o DES
(Data Encryption Standard – padrão de criptografia de dados) e o AES – (Advanced
Encryption Standard).
O DES, desenvolvido pela IBM, passou a ser utilizado em meados de 1977 pelo
governo dos Estados Unidos para ser usado como padronização em informações
não confidenciais. O algoritmo DES foi projetado para ser parametrizado com uma
chave de 56 bits, recebendo texto simples (texto a ser cifrado, mensagem original)
e o cifrando em blocos de 64 bits. Para tornar o DES mais forte, foi desenvolvi-
da uma técnica chamada wihitening que ocasiona um aumento da chave e, con-
sequentemente, um aumento na demora do processo de encriptação. Em 1977,
Dieffie e Helman, pesquisadores da universidade de Standford, projetaram uma
máquina para decifrar o DES. Em 1979, a IBM, no intuito de aumentar a mensagem
DES, inseriu um processo de criptografia tripla, criando o DES triplo (3DES), que
passou a utilizar uma chave de 112 ou 168 bits em blocos de 64 bits. O AES (Rin-
jndael) foi desenvolvido no intuito de substituir o DES e o 3DES, especificando um
bloco de 128 bits e uma chave com comprimentos de 128, 192 ou 256 bits, explica
Tanenbaum.
Alguns algoritmos que utilizam cifras de chave simétrica em fluxo são o RC (e
suas versões RC2, RC4, RC5) e o OTP (One-Time PAD).
2.2.2. Algoritmo Assimétrico ou Algoritmo de Chave Pública
Em 1976, Diffie e Helman, os mesmos pesquisadores que projetaram uma má-
quina para decifrar o DES, propuseram um sistema de criptografia, onde chaves
de cifrar e decifrar seriam diferentes e esta última chave não poderia ser derivada
da primeira. O algoritmo de cifrar E e o de decifrar D, teriam que atender a três
requisitos: o primeiro seria o de que ao se aplicar D a uma mensagem cifrada E(P)
haveria o acesso à mensagem original P; o segundo que seria complexo encontrar
D a partir de E e o terceiro que E não poderia ser descoberto a partir de um ataque
em texto simples, explica Tanenbaum. Um algoritmo assimétrico muito utilizado é
o RSA, que tem esse nome por conta das iniciais de seus criadores (River, Shamir
e Adleman), cita Tanenbaum.
O algoritmo assimétrico resolve a fragilidade no compartilhamento de chaves do
algoritmo simétrico, assim como também garante a integridade; autenticidade; pri-
vacidade e não repúdio. São usadas duas chaves: uma pública usada para cifragem
ou criptografia, que pode ser conhecida por todos e uma privada que deve ser se-
creta, utilizada para decifrar ou descriptografar a mensagem. O transmissor irá uti-
lizar a chave pública do receptor para criptografar uma mensagem e encaminhá-la;
por usa vez o receptor irá utilizar sua chave privada para descriptografar a mensa-
gem. Dessa forma pode se garantir tanto a integridade quanto a confidencialidade
das mensagens, pois se esta chave privada não precisa ser compartilhada ela não é
vulnerável a ataques, tal como ocorre em um sistema simétrico, segundo Hintzber-
gen.. [et al]12. Os algoritmos assimétricos são relacionados ao termo chave pública
pelo fato de, ao se utilizar duas chaves, uma ficaria em poder do emitente (chave
privada) e a outra chave poderia ser disponibilizada para conhecimento público,
12
resolvendo assim uma deficiência do algoritmo simétrico em relação a distribuição

segura de sua chave secreta, visto que a mesma chave cifra e decifra a mensagem.
2.2.3. Criptografia Unidirecional ou Hash
Segundo Hintzbergen.. [et al], hash é uma função irreversível, sendo utilizado
principalmente para determinar se um dado foi alterado. Uma mensagem é con-
vertida em um valor numérico, o hash. Ao receber a mensagem o receptor pode
utilizar um algoritmo conhecido para verificar se o valor de hash está correto, caso
coincidam a mensagem não foi alterada. É um método utilizado para verificar a in-
tegridade das mensagens não prevendo confidencialidade.
2.2.4. Uso dos Tipos de Criptografia
Os algoritmos criptográficos são combinados de modo a utilizar as melhores

características de cada um, citando o algoritmo simétrico no ciframento de mensa-
gens por ser mais rápido, e o algoritmo assimétrico sendo utilizado para a distri-
buição de chaves e assinatura digital com o uso da função Hash. Na tabela 1 é feita
uma breve comparação.
Tabela 1: Comparativos entre Algoritmos Simétrico e Assimétrico
ALGORITMO SIMÉTRICO ALGORITMO ASSIMÉTRICO

Não oferece assinatura digital Oferece assinatura digita
Gerência e distribuição das chaves é complexa Gerência e distribuição simples
Cifração rápida Cifração lenta
Fonte: Moreno (2005) com alteração
3. Assinatura Digital
A assinatura digital é uma forma de utilização da criptografia com algoritmos

que pode confirmar que uma mensagem foi enviada por determinado cidadão que
alega ser o emissor. Ela deve apresentar três características ou propriedades im-
portantes:
• Deve haver a confirmação pelo receptor que a assinatura foi realizada pelo
emissor;
• Deve ser possível verificar se houve alteração da mensagem;
• Não haver condições de o emissor negar que o conteúdo da mensagem foi de
sua autoria.
Alguns algoritmos criptográficos de chave pública podem ser utilizados para
gerar uma assinatura digital. O algoritmo RSA, além da operação normal de cifrar
com chave pública e decifrar com chave privada, permite que, cifrando-se com a
chave privada, o processo de decifrar com a chave pública resulte na recuperação
da mensagem original. Pode-se observar que esta operação não garante sigilo da
mensagem, uma vez que a chave pública é de conhecimento público, porém, se
esta operação resulta na mensagem original, pode-se garantir que somente o de-
tentor da chave privada realizou a operação de cifragem. Assim, a assinatura digital
é o resultado da cifração de uma determinada mensagem, ou bloco desta mensa-
gem, pelo uso de quem assina em um algoritmo assimétrico. A verificação é feita
decifrando a mensagem com a chave pública correspondente, cita Moreno [et all]13.
O funcionamento do algoritmo assimétrico para assinatura digital da forma descri-
ta o tornaria muito lento devido ao processamento necessário para a encriptação,
pois são baseados em problemas matemáticos que se utilizam de fatoração inteira,
logaritmo discreto, e curva elíptica. Devido a esta condição, torna-se demasiada-
mente demorado assinar mensagens grandes.
13
Moreno, Edward David; Pereira; Fábio Dacêncio; Chiaramonte, Rodolfo Barros. Criptografia em Software e
Hardware. São Paulo: Novatec, 2005.
Desse modo é utilizado a função Hash, também conhecida como Sumário de
Mensagem (Message Digest), que gera um valor pequeno, de tamanho fixo, de-
rivado da mensagem que se quer assinar. O uso desta função, além de agilizar a
assinatura digital, oferece integridade ao conteúdo da mensagem.
Das funções de sumário de mensagens as mais utilizadas são o MD5 e o SHA-1.
O MD5 é uma função de espalhamento unidirecional projetado para gerar um valor
hash de 128 bits. O SHA-1 – Secure Hash Algorithm, gera uma chave de 160 bits e
apresentou melhorias em relação ao MD5.
4. Certificado Digital
Um certificado digital consiste em uma chave pública assinada por uma organi-
zação que possui credibilidade para certificar chaves públicas, chamada CA (Certi-
fication Authority – autoridade de certificação), que funciona comparativamente a
um cartório eletrônico. Como informa Tanenbaum, embora a função do certificado
seja vincular uma chave pública a um protagonista, este também pode ser usado
para vincular uma chave pública a um atributo. Um certificado digital é um do-
cumento eletrônico, assinado digitalmente por uma terceira parte confiável, que
associa nome e atributos de uma pessoa ou instituição a uma chave pública. Estes
desempenham importante papel em um grande número de protocolos utilizados na
segurança do comércio eletrônico, conforme cita Moreno..[et all]14.
De forma a permitir o gerenciamento da certificação de chaves públicas foi
criada uma infraestrutura identificada pelo nome PKI (Public Key Infrastructure),
que define as operações com certificados digitais: armazenagem, recuperação, di-
retórios para armazenagem e revogação, bem como emissões periódicas de uma
14
Moreno, Edward David; Pereira; Fábio Dacêncio; Chiaramonte, Rodolfo Barros. Criptografia em Software e
Hardware. São Paulo: Novatec, 2005.
lista de certificados revogados (Certificate Revocation List – lista de revogação de
certificados – CRL).
5. Autenticação
Stallings15 informa que a autenticação busca garantir uma comunicação autên-
tica. Em um diálogo em andamento, com dois hosts (computadores, dispositivos
móveis, ativos de rede etc.), o serviço de autenticação procura garantir que os en-
volvidos no processo de comunicação sejam quem afirmam ser e que não haverá
interrupção ou intrusão não autorizada nesta troca de mensagens.
Tanenbaum comunica que a Autenticação é a técnica em que é possível con-
firmar em um processo de comunicação que os participantes são quem dizem ser.
Uma autenticação lida com a questão de saber que as pessoas envolvidas em um
processo de comunicação são autênticas e a autorização se preocupa com as per-
missões que serão dadas a este processo.
Dois serviços de autenticação específicos são definidos, segundo Stallings, no
padrão:
• Autenticação de entidade parceira: provê a confirmação da identidade de
uma entidade parceira em uma associação. Duas entidades são consideradas
parceiras se implementam o mesmo protocolo em sistemas diferentes (por
exemplo, dois usuários TCP em dois sistemas comunicantes). A autenticação
de entidade parceira deve ser utilizada no estabelecimento de uma conexão
ou, algumas vezes, durante a fase de transferência de dados de uma cone-
xão. O intuito é dar garantias de que uma entidade não está executando uma
personificação ou repetindo uma conexão anterior de forma não autorizada.
15
Stallings, William; Brown, Lawrie. Segurança de Computadores. Princípios e práticas. 2 ed. Rio de Janeiro:
Elsevier, 2014
• Autenticação da origem de dados: fornece confirmação da origem de uma
unidade de dados. Não provê proteção contra a duplicação ou modificação de
unidades de dados. Esse tipo de serviço fornece suporte a aplicações como
correio eletrônico, nas quais não há qualquer interação anterior entre as en-
tidades comunicantes.
Existem fatores relacionados à autenticação de identidade de usuário:
• Algo que o indivíduo conhece ou saiba. Autenticação baseada em senhas:
método baseado na comparação de um nome ou identificador (ID) com uma
senha anteriormente armazenada. O ID provê segurança quando: – deter-
mina se o ID tem autorização para acesso ao sistema; – o ID determina os
privilégios concedidos aos usuários.
• Algo que o indivíduo possui: o uso de cartões eletrônicos com senha,
smart cards e chaves físicas ou tokens.
• Algo que o indivíduo é (biometria estática): reconhecimento facial, por
impressão digital, retina etc.
• Algo que o indivíduo é (biométrica dinâmica): reconhecimento do pa-
drão de voz, características de escrita e ritmo de digitação etc.
As principais ferramentas de autenticação são:
• Senhas: linha de defesa amplamente usada contra intrusos. Todos sistemas
multiusuários, servidores em rede, sites de e-commerce. O ID provê segu-
rança das seguintes formas: o ID determina se o usuário obterá acesso ao
sistema; o ID determina privilégios concedidos ao usuário como usuários co-
muns, superusuários etc. A maior vulnerabilidade das senhas está no próprio
usuário que não tem a cultura de criar senhas mais complexas.
• Biometria: é o modo de autenticação em que é utilizada uma característica
física do indivíduo para a autenticação como exemplo características faciais,
impressões digitais, geometria da mão, padrão de retira, Iris etc.
6. Ferramentas Normativas da Segurança da Informação
No contexto organizacional, a segurança representa um tema que envolve des-
de a alta administração até as áreas operacionais e deve ser pensada em um con-
texto global tendo em vista que está relacionada com a proteção dos ativos orga-
nizacionais tangíveis e intangíveis nos três aspectos:
• Físico – instalações prediais;
• Lógico – relaciona-se com a área de tecnologia da informação;
• Humana – relaciona-se à ação de todos os colaboradores.
Para o funcionamento alinhado de todas as áreas, necessário se faz o estabele-
cimento de orientações para direcionar as ações de todos para o alcance de metas
e objetivos. Para tanto são criados políticas, diretrizes, regulamentos, normas e
procedimentos com o intuito de haver um planejamento estratégico ajustado com
a missão, visão e valores da organização.
Uma política norteia a organização estabelecendo diretrizes para o alcance dos
objetivos. As diretrizes orientam e direcionam os planos de ação e servem de re-
ferência para estabelecer as normas e seus respectivos procedimentos. As normas
regulamentam regras que devem ser seguidas para determinado objetivo e os
procedimentos detalham a forma de se executar atividades necessárias para con-
cretizar os objetivos.
Na alta administração ou, hierarquicamente, no nível estratégico, temos a ela-
boração das políticas com as diretrizes; no nível gerencial ou tático temos as nor-
mas e, no nível operacional os procedimentos. Observem o quão amplo é o alcance
destas definições em e para toda organização. Uma política não é definida apenas
por uma área ou departamento, ela é elaborada com a participação de represen-
tantes das áreas envolvidas em um comitê.
Podemos exemplificar no aspecto Humano dos ativos organizacionais a Política
de Qualidade de Vida no Trabalho; no Físico a Política Patrimonial e no Lógico, rela-
cionado a tecnologia, a Política de Segurança da Informação.
Nos primeiros capítulos conversamos sobre conceitos, termos e contextualiza-
mos a segurança na área de tecnologia, ou seja, sobre a Segurança da Informação.
Mencionamos alguns tipos de ferramentas utilizadas para garantir a confidenciali-
dade, integridade, disponibilidade, autenticidade da informação. O objetivo deste
capítulo é tratar sobre as ferramentas normativas da Gestão da Segurança da In-
formação
Uma organização necessita definir estratégias para direcionar ações. As estra-
tégias definidas devem levar em conta o cenário e os processos de negócio que
compõem a gestão. Um levantamento é requerido para identificar as ações existen-
tes e permitir procedimentos para propor melhorias. Tais procedimentos alinhados
permitirão o registro das possíveis situações e respectivos objetivos e ações. Tais
registros irão figurar como diretrizes, políticas, normas etc.
Estes documentos devem ser de conhecimento de todos na organização, permi-
tindo o compartilhamento da informação. O registro dos procedimentos permitem
que sejam monitorados e continuamente melhorado auxiliando a organização a
alcançar seus objetivos.
No que se relaciona a Segurança da Informação, o objetivo é evitar a ocorrência
de incidentes de segurança, seja pela exploração de uma vulnerabilidade, descuido
etc. O levantamento de requisitos dos ativos organizacionais e de suas vulnerabi-
lidades, a partir da análise de riscos, processo da Gestão de Riscos, irá orientar o
tratamento do possível impacto. Com os tratamentos definidos para cada evento
e com anuência da alta direção, possibilitara a criação da Política de Segurança da
Informação (PSI).
Para garantir que tais controles estejam alinhados com as estratégias organiza-
cionais e sendo executados corretamente deve ser realizado o processo de audito-
ria. A auditoria irá analisar se o Ponto de controle ou, o que está sendo auditado,
com o controle expresso na PSI.
A PSI deve seguir as melhores práticas e estar alinhada com normas e padrões,
conseguindo assim a conformidade com as leis.
6.1. Gestão de Riscos
A norma ABNT ISO/IEC 27005:201116 fornece diretrizes para o processo de ges-
tão de riscos de segurança da informação.
Figura 1: Atividades Envolvidas na Gestão de Riscos
16
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27005:2011: Gestão de Riscos de
Segurança da Informações. Rio de Janeiro, 2011.
Fonte: Norma ABNT ISO/IEC 27005:2011
Gestão de riscos é um processo sistemático de políticas de gerenciamento, pro-
cedimentos e práticas às atividades de comunicar, consultar, estabelecer o contexto,
identificar, analisar, avaliar, tratar, monitorar e revisar o risco. Seguindo a premissa
de que o risco impede de se chegar a resultados, e que estes são planejados anteci-
padamente oriundos de definições de ações, podemos visualizar que o processo de
Gestão de Riscos tem um alcance muito maior em outras áreas do conhecimento,
como Gestão, Contabilidade, Contratações etc. As atividades envolvidas na Gestão
de Riscos podem ser observadas na figura 1 e a seguir descritas:
• Definição do contexto: é o responsável pela definição do ambiente, escopo
e critérios de avaliação;
• Análise de riscos: é processo que visa entender a probabilidade de deter-
minada situação acontecer, quantificando o impacto de possíveis ameaças.
Fazem parte deste processo dois subprocessos:
– Identificação do risco;
– Estimativa do risco.
• Avaliação do risco: processo que envolve comparar o nível de risco encon-
trado durante o processo de análise com os critérios de risco estabelecidos
quando o contexto foi considerado.
• Tratamento do risco: é o processo de seleção e implementação de medidas
para gerenciar o risco. Envolve, normalmente, as seguintes ações de aceitar,
mitigar, prevenir ou evitar o risco.
• Aceitação do risco: processo que assegura os riscos aceitos pela organi-
zação, ou seja, os riscos que por algum motivo não serão tratados ou serão
tratados parcialmente.
• Comunicação do risco: processo em que é feito a comunicação do risco e da
forma como será tratado, para todas as áreas operacionais e seus gestores.
• Monitoramento e análise crítica: são as atividades de acompanhamento
dos resultados, implementação dos controles e de análise crítica para a me-
lhoria contínua do processo de gestão de riscos.
6.2. Política de Segurança da Informação (PSI)
De acordo com a norma ABNT ISO/IEC 27002:201317,
A segurança da informação é alcançada pela implementação de um conjunto adequado

de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e
funções de software e hardware. Estes controles precisam ser estabelecidos, implemen-
tados, monitorados, analisados criticamente e melhorados, quando necessário, para
assegurar que os objetivos do negócio e a segurança da informação são atendidos.
17
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2013: Tecnologia da infor-
mação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de
Janeiro, 2013.
Para o estabelecimento de controles faz-se necessário a identificação dos requi-
sitos de segurança da informação. Segundo a ABNT ISO/IEC 27002:201318, exis-
tem três fontes para estabelecer estes requisitos:
a) A partir da avaliação de riscos, em que são considerados os objetivos e es-
tratégias de negócio, são identificadas as ameaças aos ativos organizacionais, suas
vulnerabilidades, uma estimativa da probabilidade da ocorrência e o impacto ao
negócio.
b) A partir da legislação vigente, estatutos, regulamentações.
c) A terceira fonte são os princípios, objetivos e requisitos do negócio durante
o ciclo de vida da informação que existem em uma organização para apoiar suas
operações.
A etapa de Gestão de Riscos permitirá a seleção, de acordo com os critérios de-
finidos na etapa de tratamento de riscos, das ações a serem tomadas em relação
a sua probabilidade e impacto e tais ações serão registradas como procedimentos
na PSI.
De acordo com aquela norma, a PSI deve estar alinhada com os objetivos e ne-
gócios da organização e estar estruturada em diretrizes, normas e procedimentos.
Esta estrutura deve ser definida por um Comitê Gestor de Segurança da Informa-
ção com a participação de outras áreas da organização, apresentado para aprova-
ção pela alta direção, publicado e ter uma ampla comunicação.
A sequência de passos para a elaboração e implantação de uma PSI, pode ser
apresentado da seguinte forma:
18
Janeiro, 2013.
1. Estabelecer o método de trabalho: definições gerais; Objetivos e metas;
Diretrizes; responsabilidades; definições de registros de incidentes e atualizações
da PSI.
2. Avaliação relacionada as questões do negócio; legais e contratuais.
3. Definição do contexto e do risco.
4. Construção da PSI.
5. Aprovação da PSI.
6. Ampla divulgação da PSI.
Outras políticas apoiam a PSI e também estão inseridas no contexto de segu-
rança da informação: alguns exemplos são apresentados a seguir:
a) Controle de acesso (ver 9);
b) Classificação e tratamento da informação;
c) Segurança física e do ambiente;
d) Tópicos orientados aos usuários finais:
1) Uso aceitável dos ativos;
2) Mesa Limpa e Tela Limpa;
3) Transferência de informações;
4) Dispositivos móveis e trabalho remoto;
5) Restrições sobre o uso e instalação de software;
e) Backup;
f) Transferência da informação;
g) Proteção contra códigos maliciosos;
h) Gerenciamento de vulnerabilidades técnicas;
i) Controles criptográficos;
j) Segurança nas comunicações;
k) Proteção e privacidade da informação de identificação pessoal.
Em se tratando de Governança Corporativa e da Governança da Tecnologia da
Informação, a PSI estará alinhada ao Plano Diretor de Tecnologia da Informação e
Comunicação e ao Plano Estratégico de Tecnologia da Informação.
6.3. Plano de Continuidade de Negócios
Pensando, como exemplo, na travessia na avenida e da necessidade de chegar ao
outro lado, pois você, concurseiro(a), está atrasado(a). Neste momento a chuva
resolve cair e há uma enxurrada a sua frente, o que fazer? A certeza é que você
precisa chegar, então, tomará alguma decisão que o leve a cumprir sua missão,
alguma medida para dar continuidade a seu trajeto..
No que ser refere a Segurança da Informação, as empresas devem estar aten-
tas à situações que podem impactar a disponibilidade de seus sistemas, que as
impeçam de chegar a seu objetivo. Os processos de negócios que ocorrem em uma
organização e permitem sua manutenção dependem diretamente de condições que
tenham em vista a preocupação com sua continuidade. Falhas em sistemas de
comunicação, como telefonia e infraestrutura de rede acarretam prejuízos incal-
culáveis além de comprometer toda a existência de qualquer negócio. Do mesmo
modo, o prazo para o restabelecimento das áreas que apresentaram falhas aumen-
ta exponencialmente o prejuízo.
Quando a organização cogita antecipadamente nas ações a serem adotadas na
ocorrência de um desastre, em seu resultado e nas principais iniciativas para sua
proteção, estará tratando da gestão de continuidade de negócios.
Segundo Hintzbergen [et al]19:
O propósito da gestão de continuidade de negócios (Business Continuity Management

– BCM) é prevenir que as atividades da empresa sejam interrompidas, proteger proces-
sos críticos das consequências de grandes perturbações nos sistemas de informação e
permitir uma rápida recuperação.
A norma ISO/IEC 27002: 2013, traz em seu texto o seguinte, a respeito da con-
tinuidade da segurança da informação:
Convém que uma organização assegure-se de que:

a) uma estrutura de gerenciamento adequada está implementada para mitigar e res-
ponder a um evento de interrupção, usando pessoal com a necessária autoridade, ex-
periência e competência;
b) o pessoal de resposta a incidente com a necessária responsabilidade, autoridade e
competência para gerenciar um incidente e garantir a segurança da informação, está
designado;
c) planos documentados, procedimentos de recuperação e resposta estejam desenvolvi-
dos e aprovados, detalhando como a organização irá gerenciar um evento de interrup-
ção e como manterá a sua segurança da informação em um nível pré-determinado, com
base nos objetivos de continuidade da segurança da informação aprovado pela direção
A gestão de continuidade de negócios é tratada em planos intrinsecamente re-
lacionados e seus documentos formais:
• O Planejamento de Continuidade de Negócios, ou Business Continuity
Planning (BCP) que formaliza o Plano de Continuidade de Negócios;
• O Planejamento de Recuperação de Desastres, ou Disaster Recovery Planning
(DRP) que formaliza o Plano de Recuperação de Desastres;
• O Planejamento de Contingência ou Planning Contingency que formaliza o
Plano de Contingência;
• O Planejamento de Gerenciamento de Crises que formaliza o Plano de Geren-
ciamento de Crises;
19
• O Planejamento de Continuidade Operacional que formaliza o Plano de Con-
tinuidade Operacional.
A gestão da continuidade de negócios (Business Continuity Management – BCM),
está descrita na ISO/IEC 27031:2015 no contexto organizacional, enquanto a nor-
ma ISO/IEC 27002:2013 tenha algumas medidas de BCM relacionadas à tecnologia
da informação. A continuidade diz respeito a disponibilidade dos sistemas de infor-
mação quando necessários e diversos requisitos podem diferir entre organizações e
até mesmo dentro de uma organização e um desastre diz respeito a uma ocorrên-
cia que venha a impactar de forma significativa a continuidade de um negócio. Nos
ambientes dos ativos organizacionais, o humano tem prioridade sobre o Físico e o
Tecnológico, então medidas de evacuação tem prioridade sobre os outros planos de
segurança.
Hintzbergen [et al]: nos informa que a diferença entre o Plano de Continuidade
de Negócios (BCP) e o Plano de Recuperação de Desastres (DRP) e de que este úl-
timo busca minimizar as consequências de um desastre e planejar iniciativas para
garantir que os ativos da informação estejam disponíveis dentro de um tempo acei-
tável. No BCP, são organizadas medidas e procedimentos para falhas que duram
um período maior focando de forma mais ampla no planejamento de um local al-
ternativo para o funcionamento dos negócios, mesmo que parcialmente até a recu-
peração total após o desastre. Diversas soluções podem ser consideradas para ter
os processos de negócio funcionando novamente, sendo que havendo a definição
de que devem estar disponíveis em curto prazo, então devem ser desenvolvidos
planos para um sistema de contingência. O Plano de Contingência fornece procedi-
mentos e capacidades necessárias para a recuperação de uma aplicação específica
e tem o foco em interrupções nos sistemas de TI com efeitos de curto prazo.
De acordo com Lyra20, os principais objetivos a serem atingidos com o PCN são:
• Garantir a segurança dos colaboradores;
• Minimizar danos imediatos e perdas numa situação de emergência;
• Assegurar a restauração das atividades, instalações e equipamentos de forma
mais rápida;
• Assegurar o rápido retorno dos processos de negócio críticos;
• Conscientizar e fornecer treinamento para as pessoas encarregadas desta
atividade.
O Plano de Gerenciamento de Crise ou Plano de Administração de Crise tem o
propósito de definir os procedimentos das equipes em relação ao acionamento da
contingência antes, durante e depois do incidente, tendo também que definir as
ações necessárias para o retorno a normalidade do negócio, exemplificando, a co-
municação a imprensa do ocorrido.
O Plano de Continuidade Operacional tem a finalidade de definir procedimentos
para contingência dos ativos que suportam cada processo do negócio, no intuito de
diminuir o tempo de recuperação do ativo e dos impactos ao negócio.
Em apoio ao DRP estar atrelado o Plano de Contingência com o propósito de
definir estratégias e alternativas para o funcionamento da empresa em caso de um
evento que impeça as atividades normais da empresa. Seguem algumas estraté-
gias de contingência:
• Backup: procedimento utilizado para garantir a salvaguarda de informações
em caso de perdas, permitindo a sua rápida recuperação. Um backup pode
ser total onde haverá a cópia integral dos dados; incremental onde são
20
cia Moderna, 2008.
copiados apenas os dados que foram alterados e diferencial onde, após a
realização de um backup completo, são copiados os arquivos que foram alte-
rados .
• Hot-Site: é um local já equipado com sistemas de TIC que permite que as
bases de dados estejam atualizadas e prontas a serem utilizadas, no período
de 0 a 24 horas, normalmente é um local de alto custo para manutenção, pois
ele funciona como um local redundante ou secundário ao principal.
• Warm-Site: local com alguma capacidade com um “hot-site”, porém com
estrutura bem inferior e que possibilita um prazo de recuperação de 24horas
a 72 horas.
• Cold-Site: local mais desprovido de estrutura que permite um prazo de re-
cuperação dos processos de negócio mais longos, cerca de mais de 72 horas.
• Redundância: deve haver um local com uma cópia física e lógica do centro
de computação com os dados replicados de modo a permitir seu acionamento
imediato em caso de falha do ambiente principal.
• Acordo de Reciprocidade: propõe a aproximação de empresas com carac-
terísticas/serviços semelhantes por meio de um acordo formal para que pos-
sam servir como uma alternativa operacional.
• Bureau de Serviços: estratégia que considera a possibilidade de transferir a
operacionalização da atividade atingida para um ambiente terceirizado.
• Realocação de operação: estratégia que objetiva desviar a atividade atin-
gida pelo evento que provocou a quebra de segurança, para outro ambiente
físico, pertencente a mesma empresa.
6.4. Auditoria
Segurança da Informação, que nada mais é do que um conjunto de estraté-
gias cujo objetivo é gerenciar ferramentas, processos e políticas necessárias para
prevenir, detectar, documentar e agir contra ameaças à informação. Em resumo:
Segurança da Informação é pensar na prevenção, ou seja, em estratégias para
prevenir que algum dano seja causado aos dados da organização.
Uma auditoria em Segurança da Informação é uma avaliação sistemática da se-
gurança do sistema de informação de uma empresa. Basicamente, ela busca medir
o quanto o sistema está em conformidade com um conjunto de critérios estabe-
lecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da Informação
conduz uma avaliação com o objetivo de garantir que processos e infraestrutura
estejam atualizados.
Durante o processo de auditoria, auditores realizam entrevistas pessoais, varre-
dura de vulnerabilidades, análise de configurações do sistema operacional, análises
de compartilhamentos de rede e análise de dados históricos. A preocupação está
em como as políticas de segurança estão sendo aplicadas.
Bom, o fato é que sem uma política de segurança não tem como conduzir uma
auditoria para verificar a segurança das informações. Isso porque a política é o pri-
meiro passo para o estabelecimento de estratégias.
Lyra21 informa que é necessário definir uma metodologia de trabalho que seja
flexível e aderente a todas modalidades de auditoria em sistemas de informação
sem ficar distante das melhores práticas de auditoria de organizações competen-
tes. Tal metodologia também deveria estar alinhada com o Processo de Auditoria de
TI está baseado (como não poderia deixar de ser) no CISA® (Certified Information
21
cia Moderna, 2008.
Systems Auditor), que é uma publicação da ISACA (Information Systems Audit and
Control Association – Associação de Auditoria e Controle de Sistemas de Informa-
ção). A estrutura desta metodologia apresentaria as seguintes etapas, observando
que não se trata de algo rígido esta estrutura, dever ser coerente o suficiente para
o auditor obter o entendimento necessário sobre o objeto auditado:
1. Planejamento e Controle do Projeto de Auditoria de Sistemas da Informação:
estabelecer o planejamento inicial das ações e recursos necessários para execução
da auditoria, de acordo com as diretrizes da alta administração. Nesta etapa se
define o escopo do trabalho, ou seja, o alcance do projeto de auditoria em relação
aos processos de negócio da Segurança da Informação na área de Tecnologia da
Informação e Comunicação.
2. Formulação dos objetivos: verificar o que realmente se procura encontrar
com a realização da auditoria e pontos a serem destacados. É a definição do pro-
pósito da auditoria.
3. Identificação e inventário dos pontos de controle: compreende analisar o
sistema de controle interno, identificando os diversos pontos de controle que me-
recem ser validados. Define-se os objetos de Auditoria (AO), estes objetos são
elencados de acordo com os propósitos da auditoria e, em seguida, define-se os
pontos de controle (PC) para cada objeto a ser auditado. No contexto da Seguran-
ça da Informação, os pontos de controle podem remeter a artefatos físicos, como
instalações físicas; artefatos lógicos como senhas de acesso etc.
4. Definição de técnicas e Procedimentos de Controle: identifica e seleciona o
método de auditoria para verificar e testar os controles. Identificar e listar pessoas
a serem entrevistadas. Identificar e obter as políticas organizacionais, normas e
diretrizes para avaliação. Desenvolver ferramentas para testar e verificar os con-
troles.
5. Procedimentos para avaliação dos pontos de controle e revisão dos resulta-
dos: estabelece procedimentos de avaliação dos testes e dos resultados obtidos.
6. Procedimentos para comunicação com a organização: estabelecer os proce-
dimentos para comunicar aos gestores.
7. Preparação do Relatório de Auditoria: identificar os procedimentos para ava-
liar a eficiência e eficácia operacional, rever e avaliar a políticas e procedimentos.
Como toda análise, pode-se incorrer em erro de alguma avaliação, motivada
ou não por alguma situação no decorrer da auditoria. Nestes casos ocorre o Risco
de Auditoria, que é a probabilidade que o auditor emita uma opinião inadequada
sobre um objeto que contém distorções. De acordo com o ISACA, o risco da audi-
toria é calculado em função do risco de detecção e do risco de distorção relevante,
sendo que o primeiro se relaciona com a natureza da auditoria, a época em que é
realizada e com a extensão dos procedimentos executados, já o risco de distorção
relevante é o risco ou a probabilidade de ocorrência de erro ou fraude relevante
que é obtido, considerando o risco inerente que é a probabilidade das ocorrências
de distorções relevantes e o risco de controle que é a probabilidade de os controles
internos não prevenirem ou detectarem erros e fraudes relevantes.
Rodrigues22 esclarece que os objetos de auditoria e pontos de controle organi-
zam as situações, ocorrências e evidências e parecem merecer a atenção da segu-
rança da informação.
As auditorias de segurança são divididas em:
• Auditoria de Gestão: verifica as ações e decisões relacionadas com o gestor,
por exemplo, relacionadas a política de segurança; estrutura de segurança;
planos de segurança etc.
22
Rodrigues, Roberto Wagner da Silva; Fernandes, Jorge Henrique Cabral Fernandes. Auditoria e Conformi-
dade de Segurança da Informação. GSIC345.
• Auditoria Operacional: se baseia em indicadores de desempenho e na cons-
tatação de que todas as ações de segurança estão ou não funcionando, por
exemplo, a eficiência da segurança; usuários; controles físicos e ambientais;
controles lógicos etc. Deve-se utilizar a norma ISO/IEC 27002 com o objetivo
de elencar as diretrizes de controle de acesso que se relacionam com os ati-
vos da informação.
• Auditoria de conformidade: normas, integridade de informações, disponibili-
dade, confidencialidade. Explicada no próximo tópico.
6.5. Conformidade
A conformidade é descrita como a obrigação, flexibilidade, tolerância e obedi-
ência da organização observar seus próprios regulamentos internos, bem como as
leis do país e os requisitos da legislação. Trata da adequação e cumprimentos as
normas e regulamentos, de acordo com Hintzbergen [et al]23:
Organizações que elaboram políticas internas estão buscando se adequar a con-
formidade, declarando que está alinhada com a legislação nacional e local, e aos
regulamentos vigentes. Um exemplo seria a utilização de software não licenciado,
pois este é coberto por uma legislação que protege os direitos de propriedade in-
telectual.
A política de segurança da informação é o documento em que a auditoria de
conformidade irá ter como referência e este documento está diretamente relacio-
nado às normas e diretrizes internas em cada órgão alinhadas com decretos, dire-
trizes e instruções de características normativas expedidos por órgãos como:
23
• Departamento de Segurança da Informação e Comunicações do Gabinete de
Segurança Institucional da Presidência da República;
• Secretaria de Tecnologia da Informação e Comunicação do Ministério do Pla-
nejamento;
• Controladoria Geral da União;
• Tribunal de Contas da União.
Conforme a ABNT ISO/IEC 27002:201324, que fornece diretrizes para práticas
de gestão de segurança da informação e normas de segurança da informação para
as organizações, são aplicáveis a conformidade as seguintes medidas:
• Conformidade com requisitos legais e contratuais: assegura que normas
e diretrizes sejam observadas, buscando auxílio das áreas jurídicas compe-
tentes para aconselhamento. Devem ser identificados nos ativos da organiza-
ção quais componentes estão inseridos em alguma normatização ou diretriz.
• Direitos de propriedade intelectual: observar, por exemplo, que programas
de computador estão sujeitos a direitos de propriedade intelectual e são for-
necidos com base em um contrato de licença com suas respectivas condições.
• Proteção de registros: garantir que ferramentas utilizadas por uma audito-
ria, exemplificando, sejam separadas dos sistemas da organização, limitando
o acesso a locais que esteja relacionado ao trabalho do auditor, auxiliam no
alcance deste objetivo.
• Proteção e privacidade de informações de identificação pessoal: o di-
reito a privacidade é amplamente divulgado e também observado a nível da
segurança da informação pela proteção e privacidade dos dados. Uma orga-

nização deve estar atenta para estas questões em todo o seu cenário interno,
24
Janeiro, 2013.
além de observar a legislação, os regulamentos determinados na esfera ex-

terna e obrigações contratuais. A empresa, a conformidade cuida em traduzir
tais regras para as diretrizes internas da organização.
• Regulamentação de controles de criptografia;
• Análise crítica da segurança da informação: convém que a análise crí-
tica independente seja iniciada pela direção. Tal análise crítica independente
é necessária para assegurar a contínua pertinência, adequação e eficácia do
enfoque da organização para gerenciar a segurança da informação. Convém
que a análise crítica inclua a avaliação de oportunidades para melhoria e a
necessidade de mudanças para o enfoque da segurança da informação, in-
cluindo a política e os objetivos de controle. Convém que análise crítica seja
executada por pessoas independentes da área avaliada, como, por exemplo,
uma função de auditoria interna, um gerente independente ou uma organi-
zação de externa especializada em tais análises críticas. Convém que as pes-
soas que realizem estas análises críticas possuam habilidade e experiência
apropriadas.
• Conformidade com as políticas e procedimentos de segurança da in-
formação: existem normas, organizações e padrões sobre segurança da in-
formação. Cada padrão apresenta um elemento particular que a diferencia de
outros padrões. São exemplos:
– Decreto n. 9.637, de 26/12/2018 – institui a Política Nacional de Segu-
rança da Informação, dispõe sobre a governança da segurança da informa-
ção, e altera o Decreto n. 2.295, de 4 de agosto de 1997, que regulamenta
o disposto no art. 24, caput, inciso IX, da Lei n. 8.666, de 21 de junho de
1993. Este revogou os Decretos n. 3.505, de 13 de junho de 2000 e Decre-
to n. 8.125, de 04 de novembro de 2013.
– ISO (International Organization for Standardization): é uma federa-

ção mundial de organismos nacionais de normatização. O American Natio-
nal Standards Institute (ANSI), representa os EUA e a Associação Brasileira
de Normas Técnicas (ABNT) representando o Brasil.
– NIST (National Institute of Standards and Tecnology): apresenta publi-
cações importantes sobre avaliar e documentar ameaças e vulnerabilidades.
– ANSI (American National Standards Institute): principal organização para
fomento do desenvolvimento de padrões de tecnologia nos Estados Unidos.
– ITU-T (Telecommunication Standardization Sector of the Inter-
national Telecommunications Union): conhecida anteriormente com
CCITT, está localizada na Suíça, e é o principal organismo internacional
para promoção de padrões cooperativos para equipamentos e sistemas de
telecomunicações.
6.6. Vulnerabilidades
Vulnerabilidades são os pontos frágeis que se apresentam nos ativos da infor-
mação (software; hardware; pessoas; documentos; serviços; processos de negó-
cio; informação etc.), que podem ser efetivamente explorados por alguma amea-
ça. A norma ISO/IEC 27002 detalha os pontos de controle a serem seguidos nos
ambientes relacionados aos ativos da organização. As possíveis vulnerabilidades
destes ambientes podem ser assim exemplificadas:
• Físico – a norma ISO/IEC 27002 trata deste ambiente no tópico referente a
Segurança Física e do Ambiente. As vulnerabilidades deste ambiente pode-
riam ser assim exemplificadas: falta de extintores de incêndio; falta de mo-
nitoramento; falta de controle de acesso; serviço de vigilância ineficiente etc.
• Lógico – a norma ISO/IEC 27002 trata deste ambiente em vários tópicos,
então as vulnerabilidades neste ambiente poderiam ser exemplificadas: falta
de fonte redundante de energia; equipamentos com problemas técnicos; ser-
viços interrompidos; ataque de cibervandalos etc.
• Humana a norma ISO/IEC 27002 trata deste ambiente no tópico Seguran-
ça em Recursos Humanos. As vulnerabilidades deste ambiente poderiam ser
assim exemplificadas: acesso não autorizado; reengenharia social; problema
com qualificação etc. É o ambiente que apresenta maior vulnerabilidade.
RESUMO
É Importante Lembrar a Arquitetura em Três Níveis:
• Nível interno: utiliza um esquema interno que descreve, por intermédio de
um modelo de dados físicos, os detalhes do armazenamento físico e caminho
de acesso para o banco de dados.
• Nível conceitual: descreve a estrutura do banco de dados de uma forma lógi-
ca, como a descrição de entidades, os tidos de relacionamentos, as operações
com os usuários, restrições etc. Segundo Date, neste nível existe a definição
do esquema conceitual, que inclui detalhamento de cada um dos tipos de
registros conceituais. Este esquema é escrito por meio de uma linguagem de
definição de dados, a DDL conceitual.
• Nível externo: utiliza um esquema externo que descreve a parte do banco de
dados destinado a determinado grupo de usuários e oculta o restante.
Independência física de dados – capacidade de alteração do esquema interno
sem alterar o esquema conceitual, ou seja, mudanças na estrutura física do banco
de dados não afetaria os programas e usuários.
Independência lógica de dados – capacidade de alteração do esquema concei-
tual sem ter que alterar os esquemas externos ou os sistemas aplicativos, ou seja,
mudanças na estrutura lógica do banco de dados não afetaria os programas e usu-
ários.
Mapeamento conceitual/interno – define a correspondência entre o nível concei-
tual e o banco de dados, especificando o modo como registros e campos conceituais
são representados no nível interno. A alteração na estrutura do banco de dados
enseja uma alteração no mapeamento.
Mapeamento externo/conceitual – define a correspondência entre o nível exter-
no e o nível conceitual.
Fases do Projeto de Banco de Dados
• Levantamento de requisitos em que são identificados junto aos futuros usuá-
rios a necessidade em relação a características dos dados que virão a ser ar-
mazenados – conhecido como requisitos de dados – e conhecer as regras de
negócios referentes as transações da aplicação com estes dados – conhecido
como requisitos funcionais.
• A etapa de projeto conceitual visa a utilização de um modelo de dados para a
criação de um esquema conceitual, este procura atender a todos os requisitos
de dados dos usuários e possibilita a verificação se todas as operações descri-
tas nos requisitos funcionais podem ser realizadas, atendendo assim aquelas
regras de negócio da aplicação.
• A etapa de projeto lógico irá trabalhar com o esquema conceitual de modo a
transformá-lo em um modelo de dados para implementação em um Sistemas
Gerenciador de Banco de Dados conhecido, como o Postgress; o Oracle; o
Mysql; o Sql Server etc.
• O projeto físico, são especificados parâmetros físicos para o banco de dados,
como estruturas de armazenamento, índices etc.
Notação Diagramas ER
Entidade
Entidade Fraca
Entidade Associativa
Relacionamento
Relacionamento
identificador
de entidade fraca
Atributo
Atributo Chave
Atributo multivalorado
Atributo composto
Atributo
identificador
Relacionamento
identificador
Generalização/Especialização
Conceitos Modelo Conceitual
• Modelo traduz regras para estruturação de dados.
• Um esquema apresenta o projeto geral do banco de dados com sua descrição
e regras para verificação de instâncias.
• Instâncias são a coleção de dados armazenados no banco de dados ou o pró-
prio banco.
• Uma entidade é a representação de algo com uma existência independente.
• Atributos Simples ou Atômicos: são os atributos que não são divisíveis,
como exemplo, o atributo CEP não permite subdivisão.
• Atributos Compostos: podem ser divididos em partes menores, como
exemplo, um atributo Endereço pode ser definido em Quadra, Número e Bair-
ro. O valor de um atributo composto é obtido com a concatenação de seus
atributos simples.
• Atributos de valor único ou Monovalorados: aqueles que apresentam
apenas um valor para determinada entidade. O atributo IDADE, por exemplo,
só pode receber um valor.
• Atributos multivalorados: atributos que apresentam diversos valores.
Como, por exemplo, o atributo CORES de uma entidade CARRO, pode assu-
mir diversos valores.
• Atributos Derivados: são aqueles que apresentam uma relação entre dois
ou mais atributos, como exemplo, a IDADE e DATA_NASCIMENTO. É possí-
vel determinar uma idade por intermédio da data de nascimento com a data
atual.
• Atributos armazenados: representa o nome dado ao atributo que origina o
atributo derivado. Como exemplo, o atributo DATA_NASCIMENTO é o atributo
que originou o atributo IDADE
• Atributo-chave: um tipo de atributo que pode apresentar valor distinto para
cada entidade em um conjunto de entidades. O CPF constitui um atributo-chave
para uma entidade FUNCIONÁRIO. Pode ocorrer situações em que um conjunto
de atributos represente uma chave, ou uma entidade possuir mais de um atribu-
to-chave, também conhecido por chave primária (PK – Primary Key).
• Atributo com valor NULL: ocorre quando uma entidade não tem um valor
para um atributo, como exemplo, um atributo CASA não poderia informar o
atributo N._APTO.
• Domínio de um atributo: representa o conjunto de valores possíveis de um
atributo.
• Cardinalidade máxima: número máximo de ocorrências de entidades asso-
• Cardinalidade mínima: número mínimo de ocorrências de entidades asso-
• 1:1 – um-para-um
• 1:N – um-para-muitos
• N:N – muitos para muitos (neste caso haverá a criação de uma nova entida-
de, que será denominada Entidade Associativa)
Modelo Lógico
• 1FN – Uma tabela está na 1FN quando todas as suas colunas forem atributos
simples (atômicos).
– 2FN: uma tabela está na 2FN quando estiver na 1FN e as suas colunas que
não são chave primária, dependam unicamente da chave primária.
– 3FN: uma tabela está na 3FN quando estiver na 2FN e se toda coluna que
não pertence a chave primária, não depender de outra coluna ou atributo
que não a chave, ou seja, a coluna depende funcionalmente de outra coluna
– BCFN: forma normal de Boyce-Codd, informa que uma tabela está na BCFN
se já estiver na 3FN e não existir dependência funcional dentro da chave
primária.
– 4FN: uma tabela está na 4FN se estiver na 3FN e não possui dependências
com multivalores.
– 5FN: uma tabela se apresenta na 5FN se não puder ser mais decomposta
sem perder dados.
Modelo Relacional
• Chave primária: também definida por PK – Primary Key, ou também chave
convidada, é um tipo de chave que estabelece um identificador único para
tabela, podendo ser um atributo (chave simples), ou um conjunto de atribu-
tos (chave composta), em que nenhuma linha poderá ter o mesmo valor que
outra. O critério de se estabelecer uma chave simples ou composta refere-se
a questão de minimalidade, isto é, a chave é mínima quanto o atributo ou
todos atributos que a formam, forem necessários para garantir a unicidade
de valores das chaves.
• Chave estrangeira: também definida por FK – foreign key, é um tipo de cha-
ve que pode ser um atributo ou conjunto de atributos que, necessariamente,
aparecem em uma tabela e são chaves primárias em outra tabela, estabe-
lecendo assim um relacionamento entre entidades, conforme abordado no
modelo conceitual.
• Chave alternativa: a chave alternativa ocorre quando em uma tabela é possí-
vel definir um atributo composto como chave primária, mas por questões de
projeto, apenas uma destas é definida como primária.
Restrições de integridade:
• De domínio: o valor atribuído a um campo deve obedecer aquele previamen-
te definido (domínio da coluna). Se um campo for atribuído como numérico
em seu domínio, não haverá possibilidade de seu valor ser atribuído ser um
alfanumérico.
• De vazio: é a restrição que especifica se os campos de uma coluna podem ou
não ser vazios – null.
• De chave: é a restrição que define que valores dos atributos definidos como
chave primária devem ser únicos.
• Referencial: é a restrição que impõe que os valores de uma chave estrangeira
devem, também, estar na chave primária da respectiva tabela.
Noções básicas de SQL:
• Linguagem de definição de Dados – Data Definition Language (DDL): for-
nece comandos para definir esquemas de relação, modificação de esquemas.
São os comandos que interagem com os objetos do banco como CREATE,
ALTER e DROP.
• Linguagem de manipulação de dados interativa – Data Manipulation
Language (DML): fornece comandos para operações de inserção, exclusão
e modificação de tuplas no banco de dados. São eles: INSERT, DELETE e UP-
DATE.
• Linguagem de Consulta de Dados – Data Query Language (DQL): for-
nece comandos para especificar restrições de integridade que precisam ser
satisfeitas pelos dados armazenados no banco de dados. Um comando DQL
muito usado é o SELECT. Este comando é informado por alguns autores como
fazendo parte da DML.
• Linguagem de Transação de Dados – Data Transaction Language (DTL):
são comandos para controlar transações. São eles BEGIN TRANSACTION,
COMMIT e ROLLBACK.
• Linguagem de controle de Dados – Data Control Language (DCL): são
comandos para controlar a parte de segurança do banco de dados. São co-
mandos DCL o GRANT, REVOKE e DENY.
Exemplos de SQL:
CREATE TABLE CLIENTE (
CODIGO_CLIENTE SMALLINT NOT NULL UNIQUE,
NOME_CLIENTE CHAR(20),
ENDERECO CHAR(30),
CIDADE CHAR(15),
CEP CHAR(8),
UF CHAR(2),
CGC CHAR(20),
IE CHAR(20),
PRIMARY KEY (CODIGO_CLIENTE)
CREATE TABLE PEDIDO (
NUM_PEDIDO INT NOT NULL UNIQUE,
PRAZO_ENTREGA SMALLINT NOT NULL,
CODIGO_CLIENTE SMALLINT NOT NULL,
CODIGO_VENDEDOR SMALLINT NOT NULL,
PRIMARY KEY (NUM_PEDIDO),
FOREIGN KEY (CODIGO_CLIENTE) REFERENCES CLIENTE,
FOREIGN KEY (CODIGO_VENDEDOR) REFERENCES VENDEDOR
• Adicionar o produto parafuso à tabela produto:
INSERT INTO PRODUTO VALUES (108, ‘PARAFUSO’, ‘KG’, 1.25)
• Alterar o valor unitário do produto ‘parafuso’ de R$1.25 para R$1.62:
UPDATE PRODUTO SET VAL_UNIT = 1.62 WHERE DESCRICAO_PRODUTO = ‘PA-
RAFUSO’
• Listar todos os produtos com as respectivas descrições, unidades e valores
unitários:
SELECT DESCRICAO_PRODUTO, UNIDADE, VAL_UNIT FROM PRODUTO
• Listar o nome do cliente com seu endereço e CGC:
SELECT NOME_CLIENTE, ENDERECO, CGC FROM CLIENTE
• Listar os pedidos que têm mais do que 3 produtos.
R. SELECTNUM_PEDIDO, TOTAL_PRODUTOS = COUNT(*) FROM ITEM_PEDIDO
GROUP BY NUM_PEDIDO HAVING COUNT(*) > 3
Conceitos de Business Intelligence:
• Granularidade ou grão: corresponde ao nível de detalhamento a ser levado
em conta para definição das métricas a serem armazenadas.
• Dimensões: contém os atributos textuais dos dados a serem armazenados.
Se uma dimensão puder ser compartilhada com outras tabelas de fatos se diz
conformada.
• Fato: contém os números do que se deseja analisar por meio das dimensões
em um DW. Existem alguns tipos de Fatos:
– Fato Aditivo: quando pode ser agregado em todas as dimensões.
– Fato Semiaditivo: quando não é aditivo em uma dimensão.
– Fato Não Aditivo: quando não pode ser agregado a nenhuma dimensão.
• Dois esquemas para implementação física:
– Esquema estrela (Star Schema).
– Esquema floco de neve (Snow Flake).
ETL
É um processo descrito em três fases:
• Extração (Extract): os dados são extraídos de sistemas OLPT e inseridos em
uma área de transição (staging area), em que serão padronizados (alterados
para um mesmo formato), para serem tratados adequadamente.
• Transformação (Transform): os dados serão transformados de acordo coma
as regras do negócio.
• Carga (Load): é a fase de persistência de dados tratados para o ambiente
do DW.
OLAP
• As funções do OLAP são:
– Visualização multidimensional dos dados;
– Exploração;
– Rotação;
– Vários modos de visualização.
O OLAP se apresenta como uma interface com o usuário que se utiliza do para
apresentar as informações de métodos de armazenamento, que podem ser:
• ROLAP (OLAP Relacional): os dados são armazenados de forma relacional.
Os dados são armazenados em tabelas e colunas, como em um banco de da-
dos relacional. É indicado para DW devido ao maior número de funções que
podem ser utilizadas
• MOLAP (OLAP Multidimensional): os dados são armazenados de forma multi-
dimensional. Indicado para Data Marts, devido ao pouco detalhes nas infor-
mações e a dimensão limitada.
• HOLAP (OLAP Híbrido): uma combinação dos métodos ROLAP e MOLAP.
• DOLAP (OLAP Desktop): o conjunto de dados multidimensionais deve ser
criado no servidor e transferido para o desktop. Permite portabilidade aos
usuários OLAP que não possuem acesso direto ao servidor.
Data Mining:
• Mineração de dados.
• As funcionalidades no DATA MINIG podem ser Análise Descritiva e Análise de
Prognóstico.
A Análise Descritiva representa a área que busca descrever fatos não triviais e
até desconhecidos dos usuários. Pode ser dividida em:
• Análise Prévia: busca identificar anomalias que possam influenciar o resulta-
do da mineração de dados.
• Descobrimento: busca identificar padrões escondidos, sem que exista uma
hipótese clara estabelecida antecipadamente.
• Análise de Outliers: objetiva encontrar dados que não obedeçam ao compor-
tamento ou modelo de dados, uma vez encontrados podem ser tratados ou
descartados.
• Análise de Desvios: objetiva detectar mudanças em comportamentos, com-
parando as ações com os padrões.
• Visualização: utilizada quando não se tem ideia da distribuição dos dados e se
queira encontrar alguma disparidade.
• Classificação: consiste em examinar certa característica e atribuir uma clas-
se previamente definida. Pode ser realizada por meio da discriminação que
se atribui um valor a um atributo no registro para obter seu resultado e por
caracterização que é a sumarização de um atributo de estudo por uma carac-
terística de um ou mais atributos.
• Análise de Associações: busca descobrir regras de associações condicionadas
à valores de atributos que ocorrem juntos em um conjunto de dados.
• Agrupamento (clustering): objetiva formar grupos baseados no princípio de
que devem ser o mais homogêneos e heterogêneos entre si.
• Descrição: utilizada para tornar mais clara uma ideia que está sendo utilizada.
• Detecção de sequências: objetiva algum tipo de padrão nos dados para deter-
minar tipos de sequências.
• Segmentação: o conjunto de dados é dividido em grupos menores, com com-
portamentos similares nos atributos de segmentação.
• Sumarização e Visualização: fornece aos usuários os resultados em uma for-
ma fácil de ser interpretado, permitindo sua visualização quando não há uma
forma padrão de organização.
• Otimização: busca otimizar os recursos limitados.
• Identificação: objetiva identificar a existência de um item, evento ou ativida-
de nos padrões de dados.
• Análise de Evolução: estuda a regularidade de modelos ou tendências de ob-
jetos que tem seu comportamento alterado no decorrer do tempo.
Análise em dados no formato texto: como o próprio nome diz, busca trabalhar
em dados armazenados em narrativas, processos etc., visando extrair resultados
em técnicas de tratamento de texto.
Análise de Prognóstico:
A análise de prognóstico busca inferir resultados a partir de padrões encontra-
dos na Análise Descritiva. Está assim dividida:
• Estimação: processo de predizer algum valor baseado em padrão conhecido.
• Predição: processo de predizer um comportamento futuro.
• Classificação: processo de predizer um valor para uma variável categórica.
Abordagens da Mineração de Dados
• Abordagem top-down: conhecida como teste de hipótese, o usuário parte do
princípio que existe uma hipótese e que deseja confirmar ou refutar.
• Abordagem bottom-up: também chamada busca de conhecimento, o usuário
inicia o processo de mineração na tentativa de descobrir algo novo.
É bom relembrar os princípios da segurança da informação:
• Confidencialidade: é o princípio ou a propriedade em que a informação só
é divulgada para as pessoas devidamente autorizadas;
• Integridade: é o princípio ou propriedade em que existe a preocupação de
garantir que a informação está correta, consistente e que não houve modifi-
cações seja por pessoas autorizadas ou não;
• Disponibilidade: é o princípio ou propriedade que busca permitir que a in-
formação estará disponível sempre que necessitar ser acessada por pessoas
devidamente autorizadas;
• Autenticidade: é a garantia que pessoas não se passem por terceiros ao
lidar com a informação;
• Legalidade: é a garantia que a informação produzida esteja de acordo com
a legislação vigente;
• Irretratabilidade ou não repúdio: capacidade de provar que um usuário
executou uma determinada ação.
Estes Conceitos Também são Importantes:
• Ameaça: agentes ou condições causadoras de incidentes contra ativos orga-
nizacionais;
• Vulnerabilidade: são os pontos frágeis que se apresentam nos ativos da
informação (software; hardware; pessoas; documentos; serviços; processos
de negócio; informação etc), que podem ser efetivamente explorados;
• Evento de segurança da informação: identificação de uma possível viola-
ção da política de segurança da informação ou falha de proteção;
• Diretriz: descrição do que necessita ser feito, e como alcançar os objetivos
definidos nas políticas;
• Impacto: é a análise que determinada consequência, pode causar os proces-
sos de negócios suportados pelo ativo em questão;
• Incidente de segurança: é a ocorrência de um evento que possa causar
interrupções nos processos de negócio como consequência da violação da
confidencialidade, autenticidade, disponibilidade, integridade ou legalidade;
• Política de Segurança: declaração que estabelece a hierarquia aos riscos
de informação e identifica metas de segurança aceitáveis e mecanismos para
atingi-las. Esta declaração origina outras políticas;
• Política de Uso Aceitável: uso aceitável dos recursos da informação e dos
equipamentos das empresas;
• Política de Autorização: diferentes níveis de acesso aos ativos da informa-
ção para diferentes níveis de usuário;
• Plano de recuperação de desastres: estratégias para restaurar os serviços
de computação e comunicação após terem sofrido interrupção causada por
eventos climáticos ou terroristas;
• Plano de Continuidade dos Negócios: concentra-se em como a empresa
pode restaurar suas operações após um desastre;
• Probabilidade: é a chance de uma falha de segurança ocorrer considerando
as vulnerabilidades de um ativo e as ameaças que venham a explorar esta
vulnerabilidade;
• Risco: é o potencial de ameaças explorarem vulnerabilidades de um ativo de
informação ameaças, ou seja, a combinação da probabilidade de um evento
e sua consequência.
A segurança abrange três ambientes ou aspectos, tanto a segurança organiza-
cional com a segurança da informação:
• Ambiente Físico: instalações físicas;
• Ambiente Lógico: ativos tecnológicos;
• Ambiente Humano: colaboradores humanos.
A CRIPTOGRAFIA é a ciência de codificar mensagens de modo a impedir o co-
nhecimento de seu conteúdo em caso de interceptação.
PRINCÍPIO DE KERCKHOFF informa que todos os algoritmos dever ser públicos
e apenas as chaves secretas.
Os Métodos de Criptografia Estão Divididos em Dois Tipos:

• Cifras de Substituição: método que consiste em substituir cada letra ou
grupo de letras por uma letra ou grupo de letras. Este ficou conhecido como
substituição monoalfabética, sendo a chave o alfabeto completo.
• Cifras de transposição: método que consiste em reordenar letras mas não
disfarçá-las ou substituí-las.
Conceitos de Criptografia:
• Criptoanálise é a arte de solucionar mensagens cifradas;
• Criptologia é a arte de criar mensagens cifradas (criptografia) e ter acesso
a seu texto original (criptoanálise);
• Esteganografia: método que possibilita a ocultação de uma informação den-
tro de outra, usando o princípio da camuflagem, permite a inserção de men-
sagem dentro de arquivos de vídeo, áudio etc.;
• Esteganoanálise: a arte de desvendar estas informações ocultas.
Princípios da Criptografia:
• Redundância: o conteúdo de todas as mensagens criptografadas deve con-
ter informações não necessárias complementando seu conteúdo, ou seja,
mensagem acrescida fora do contexto;
• Atualidade: algum método deve ser utilizado para garantir que uma mensa-
gem recebida é o mais atual possível, evitando assim que mensagens antigas
sejam reenviadas.
Tipos de Sistemas Criptográficos:

• Algoritmo simétrico:
– É caracterizado pelo uso de um algoritmo e uma chave secreta que o re-
metente e o destinatário compartilham, ou seja, tanto na codificação como
na decodificação;
– Alguns algoritmos que utilizam cifras de chave simétrica em blocos são o
DES (Data Encryption Standard – padrão de criptografia de dados); o AES
– (Advanced Encryption Standard);
– Alguns algoritmos que utilizam cifras de chave simétrica em fluxo são o RC
(e suas versões RC2, RC4, RC5) e o OTP (One-Time PAD).
• Algoritmo assimétrico ou algoritmo de chave pública:
– Chaves de cifrar e decifrar seriam diferentes e esta última chave não pode-
ria ser derivada da primeira;
– Um algoritmo assimétrico muito utilizado é o RSA.
• Criptografia unidirecional ou hash:
– Uma mensagem é convertida em um valor numérico, o hash.
Comparativos entre Algoritmos Simétrico e Assimétrico:
ALGORITMO SIMÉTRICO ALGORITMO ASSIMÉTRICO

Não oferece assinatura digital Oferece assinatura digita
Gerência e distribuição das chaves é complexa Gerência e distribuição simples
Cifração rápida Cifração lenta
Assinatura Digital:
• A assinatura digital é uma forma de utilização da criptografia com algoritmos
que pode confirmar que uma mensagem foi enviada por determinado cidadão
que alega ser o emissor:
– Deve haver a confirmação pelo receptor que a assinatura foi realizada pelo
emissor;
– Deve ser possível verificar se houve alteração da mensagem;
– Não haver condições de o emissor negar que o conteúdo da mensagem foi
de sua autoria.
• Desse modo é utilizado a função Hash, também conhecida como Sumário de
Mensagem (Message Digest), que gera um valor pequeno, de tamanho fixo,
derivado da mensagem que se quer assinar. O uso desta função, além de
agilizar a assinatura digital, oferece integridade ao conteúdo da mensagem;
• Das funções de sumário de mensagens as mais utilizadas são o MD5 e o SHA-
1. O MD5 é uma função de espalhamento unidirecional projetado para gerar
um valor hash de 128 bits. O SHA-1 – Secure Hash Algorithm, gera uma cha-
ve de 160 bits e apresentou melhorias em relação ao MD5.
Certificado Digital:
• Um certificado digital consiste em uma chave pública assinada por uma orga-
nização que possui credibilidade para certificar chaves públicas, chamada CA
(Certification Authority – autoridade de certificação), que funciona compa-
rativamente a um cartório eletrônico;
• Uma infraestrutura identificada pelo nome PKI (Public Key Infrastructure),
que define as operações com certificados digitais: armazenagem, recupera-
ção, diretórios para armazenagem e revogação, bem como emissões periódi-
cas de uma lista de certificados revogados (Certificate Revocation List – lista
de revogação de certificados – CRL).
Autenticação:
• Algo que o indivíduo conhece ou saiba. Autenticação baseada em senhas:
método baseado na comparação de um nome ou identificador (ID) com uma
senha anteriormente armazenada. O ID provê segurança quando: determina
se o ID tem autorização para acesso ao sistema; o ID determina os privilégios
concedidos aos usuários;
• Algo que o indivíduo possui: o uso de cartões eletrônicos com senha,
smart cards e chaves físicas ou tokens;
• Algo que o indivíduo é (biometria estática): reconhecimento facial, por
impressão digital, retina etc.;
• Algo que o indivíduo é (biométrica dinâmica): reconhecimento do pa-
drão de voz, características de escrita e ritmo de digitação etc.
QUESTÕES DE CONCURSO
Questão 1 (VUNESP/ANALISTA/2016) Em um modelo multidimensional utilizado
na modelagem de data warehouses
a) a tabela fato deve conter somente atributos literais.
b) as tabelas dimensão devem ter um tipo único de dados para todos seus atributos.
c) as tabelas dimensão não têm chaves primárias definidas.
d) cada tabela dimensão comporta um máximo de 20 atributos.
e) não há limite teórico para o número de dimensões modeladas.
Questão 2 (VUNESP/ANALISTA/2016) A reengenharia de processos de negócio
constitui-se em
a) alterar o local da sede da empresa.
b) aprimorar um processo de negócio, sem realizar grandes mudanças.
c) contratar uma equipe experiente de administração.
d) realizar uma grande alteração nos processos de negócio utilizados por uma em-
presa.
e) reduzir a folha de pagamento da empresa.
Questão 3 (VUNESP/ANALISTA/2016) O BPMS (Business Process Management
Suite) se constitui em um ambiente cujo foco mais amplo é automatizar, em uma
empresa,
a) a gestão de processo de negócio.
b) a gestão dos recursos financeiros.
c) o controle de estoques.
d) o controle dos projetos de tecnologia da informação.
e) o controle de recursos humanos.
Questão 4 (VUNESP/MINISTÉRIO PÚBLICO ESTADUAL/ANALISTA TÉCNICO/2016)
Considerando bancos de dados relacionais, no modelo relacional há os conceitos de
chaves candidata, primária e estrangeira, sobre os quais é correto afirmar que uma
a) chave estrangeira deve ser criptografada.
b) chave estrangeira deve ser do tipo simples (ter apenas um atributo).
c) chave primária deve ser do tipo autoincremento.
d) chave primária deve ser do tipo composto (ter mais de um atributo).
e) relação pode ter mais de uma chave candidata.
Na modelagem de bancos de dados relacionais, considerando o modelo entidade-
-relacionamento, um conjunto de relacionamentos binários é aquele que
a) é implementado por duas tabelas.
b) estabelece um relacionamento do tipo um para um.
c) relaciona dois conjuntos de entidades distintos.
d) possui duas chaves primárias.
e) possui duas chaves primárias.
Considere a seguinte tabela de um banco de dados relacional:
Para que a consulta atenda ao especificado, o valor de X deve ser substituído por:
a) CASCADE
b) HAVING
c) ORDER BY
d) TOTAL
e) WHERE
Questão 7 (VUNESP/PREFEITURA DE PRESIDENTE PRUDENTE/ANALISTA DE BAN-
CO DE DADOS/2016) Dentre os fatores a serem considerados no tuning de bancos
de dados, há um que visa evitar gargalos, considerando, por exemplo, alocação
de memória e requisitos de entrada/saída do banco de dados. Esse fator recebe a
denominação de tuning de
a) SQL.
b) equipe.
c) instância.
d) estatística.
e) documentação.
CO DE DADOS/2016) Os sistemas gerenciadores de bancos de dados contêm um
módulo denominado compilador de DML (Data Manipulation Language), sobre o
qual é correto afirmar que sua função principal é:
a) otimizar as consultas SQL submetidas.
b) verificar a sintaxe das consultas SQL submetidas.
c) calcular o tempo necessário para a geração da resposta ao usuário.
d) verificar as autorizações possuídas pelos usuários.
e) atualizar o dicionário de dados do banco de dados.
CO DE DADOS/2016) Dentre as 4 propriedades básicas que devem ser respeitadas
por transações em bancos de dados relacionais, está a que estabelece que uma
transação deve ter todas as suas operações materializadas no banco de dados, não
podendo ter apenas parte de suas operações concretizadas. A propriedade descrita
corresponde
a) à atomicidade.
b) à confiabilidade.
c) à consistência.
d) à inversibilidade.
e) ao isolamento.
Questão 10 (VUNESP/PREFEITURA DE PRESIDENTE PRUDENTE/ANALISTA DE
BANCO DE DADOS/2016) Uma das formas de implementação da integridade refe-
rencial em bancos de dados relacionais é por meio da utilização das chaves estran-
geiras, sobre as quais é correto afirmar que
a) devem ser criptografadas.
b) aplicam-se apenas a tabelas com grande número de registros.
c) podem ser simples ou compostas.
d) não podem conter atributos numéricos.
e) não são armazenadas no banco de dados.
BANCO DE DADOS/2016) Para que, em um banco de dados relacional, uma relação
atenda à Primeira Forma Normal, é necessário que
a) contenha apenas um atributo do tipo numérico entre seus atributos.
b) não possua chave estrangeira entre seus atributos.
c) o domínio de seus atributos contenha apenas valores não divisíveis logicamente.
d) sua chave primária seja do tipo literal.
e) tenha um número máximo, predeterminado, de registros.
BANCO DE DADOS/2016) Considere o seguinte diagrama de classes feito para re-
presentar, em orientação a objetos, um modelo de banco de dados:
Na figura, os atributos sublinhados representam atributos chave. Na transformação
desse modelo para tabelas de um banco de dados relacional, de forma que as ta-
belas estejam na Terceira Forma Normal, o correto é
a) A (a1, a2) e B (b1, b2, b3).
b) A (a1, a2) e B (b1, b2, b3, a1).
c) A (a1, a2, b1) e B (b1, b2, b3).
d) A (a1, a2, b1) e B (b1, b2, b3, a1).
e) AB (a1, a2, b1, b2, b3).
Questão 13 (VUNESP/PREFEITURA DE PRESIDENTE PRUDENTE/ANALISTA DE BANCO
DE DADOS/2016) Considere a seguinte tabela de um banco de dados relacional:
O comando X que completa corretamente a consulta desejada é:
a) WHERE Nome = “%MS%”
b) WHERE Nome = “%M%S%”
c) WHERE Nome IN “M%S”
d) WHERE Nome LIKE “M%S”
e) WHERE Nome LIKE “%M%S%”
BANCO DE DADOS/2016) Considere a seguinte tabela de um banco de dados rela-
cional:
Venda (Cod, Item, Qtde, Valor, Data)
O comando SQL para obter a quantidade de itens vendidos, considerando apenas
os produtos de valor inferior a R$ 200,00 e cujo campo Item não contenha valor
nulo (ausência de valor) é:
a) SELECT COUNT(Qtde)
FROM Venda
WHERE Valor < 200,00 AND Item IN
b) SELECT COUNT(Qtde)
FROM Venda
WHERE Valor < 200,00 AND Item IN NULL
c) SELECT CALC(Qtde)
FROM Venda
WHERE Valor < 200,00 AND Item LIKE “NULL”
d) SELECT TOTAL(Qtde)
FROM Venda
WHERE Valor < 200,00 AND Item NEAR NULL
e) SELECT SUM(Qtde)
FROM Venda
WHERE Valor < 200,00 AND Item IS NOT NULL
BANCO DE DADOS/2016) Assinale a alternativa que apresenta uma afirmação ver-
dadeira sobre o modelo entidade-relacionamento.
a) Entre dois conjuntos de entidades somente pode haver um conjunto de relacio-
namentos.
b) Um atributo derivado possui mais de 50% de valores nulos.
c) Um atributo simples não pode ser do tipo numérico.
d) Um conjunto de relacionamentos pode ter atributos.
e) Um conjunto de relacionamentos recursivo estabelece relacionamento entre três
conjuntos de entidades distintos.
BANCO DE DADOS/2016) Em um modelo entidade-relacionamento foi representa-
do um conjunto de entidades fraco C. Sobre a tabela correspondente a esse con-
junto C, é correto afirmar que
a) não irá conter uma chave primária.
b) não pode conter atributos do tipo chave estrangeira.
c) sua chave primária deve incorporar a chave primária do conjunto de entidades
do qual C depende.
d) terá uma limitação no que se refere ao número de atributos dessa tabela.
e) terá uma limitação no que se refere ao número máximo de registros.
BANCO DE DADOS/2016) O projeto de um banco de dados envolve, dentre outras
etapas, os projetos lógico e físico. A etapa de projeto lógico corresponde a
a) compilar todos os arquivos que irão formar a estrutura do banco de dados.
b) converter o esquema conceitual de alto nível do banco de dados para o modelo
de dados utilizado no projeto.
c) definir o esquema e algoritmos de criptografia a serem utilizados.
d) determinar os recursos de hardware que o servidor de banco de dados deve
conter.
e) instalar o sistema gerenciador de banco de dados que será utilizado.
SISTEMA SÊNIOR/2016) As transações em um banco de dados relacional devem
respeitar as propriedades conhecidas como ACID, sendo que o D do acrônimo sig-
nifica Durabilidade. Essa propriedade indica que
a) as tabelas de um banco de dados com tal propriedade violam a Terceira Forma
Normal.
b) alguns dos índices montados no banco de dados podem ficar inconsistentes por
um período.
c) após uma transação ter sido completada, eventuais alterações no banco de da-
dos tornam-se persistentes.
d) o conteúdo do banco de dados não pode sofrer um processo de backup.
e) não é possível a execução simultânea de duas ou mais transações no banco de
dados.
SISTEMA SÊNIOR/ 2016) A implementação do controle de concorrência em bancos
de dados normalmente é feita por meio dos chamados bloqueios. Há um tipo de
bloqueio no qual certa transação pode efetuar leituras, mas não escritas sobre itens
do banco de dados. Esse bloqueio é do tipo
a) compartilhado.
b) exclusivo.
c) impeditivo.
d) preliminar.
e) provisório.
SISTEMA SÊNIOR/ 2016) O comando do SQL ANSI para excluir, da tabela X, os re-
gistros cujo valor do atributo A seja igual a 20 é:
a) DROP X
WHERE A = 20
b) DELETE FROM X
WHERE A = 20
c) ELIMINE FROM X
FOR A = 20
d) REMOVE FROM X
HAVING A = 20
e) EXCLUDE IN X
FOR A = 20
Questão 21 (VUNESP/TRIBUNAL DE CONTAS ESTADUAL/AGENTE DA FISCALIZA-
ÇÃO/2015) As diferentes técnicas de criptografia são utilizadas para aumentar a
segurança da troca de informações pela rede de computadores. No acesso às pági-
nas Web de forma segura, utilizando o HTTPS, a criptografia utilizada para o acesso
aos dados possui o esquema de chave
a) assimétrica devido à não necessidade da troca de chave com o usuário.
b) assimétrica devido à maior velocidade para criptografar se comparado com a
simétrica.
c) simétrica devido à maior segurança do algoritmo de criptografia se comparada
com a assimétrica.
d) simétrica, pois utiliza chave de maior tamanho, sendo assim mais seguro que a
assimétrica.
e) simétrica, pois utiliza a mesma chave para criptografar e descriptografar o dado.
Questão 22 (VUNESP/COMPANHIA DE SERVIÇO DE ÁGUA, ESGOTO E RESÍDUOS
DE GUARATINGUETÁ/ANALISTA DE SERVIÇOS/2015) Considere a seguinte afirma-
ção referente a sistemas de informação: “informações sigilosas devem ser protegi-
das contra acessos não autorizados”. Tal afirmação está relacionada ao conceito de
a) autenticidade.
b) confiabilidade.
c) confidencialidade.
d) disponibilidade.
e) integridade.
DE GUARATINGUETÁ/ANALISTA DE SERVIÇOS/2015) A política de segurança da in-
formação é um mecanismo vital a praticamente todas as modernas organizações e
a) aplica-se apenas a informações financeiras das organizações.
b) aplica-se apenas a informações mais recentes (com até 6 meses de sua obtenção).
c) não se estende ao pessoal de apoio que faz parte da organização.
d) aplica-se somente a gerentes e diretores da organização.
e) deve ser publicada e divulgada a todos integrantes da organização.
DE GUARATINGUETÁ/ANALISTA DE SERVIÇOS/2015) Assinale a alternativa correta
com relação a trilhas de auditoria realizadas em sistemas de informação.
a) Não abrangem as informações de data e horário de cada acesso aos arquivos
digitais.
b) Não contêm a informação da pessoa responsável por cada acesso aos arquivos
digitais.
c) Não são implementadas no caso de sistemas de informação de órgãos públicos.
d) Seu armazenamento é feito apenas em mídias de armazenamento temporário,
como a memória RAM do computador.
e) Representam um histórico de acessos feitos a arquivos digitais em geral.
DE GUARATINGUETÁ/ANALISTA DE SERVIÇOS/2015) O analista em tecnologia da
informação deve selecionar um algoritmo de criptografia que permita que a trans-
ferência de informações seja feita sem a necessidade de enviar a chave criptográ-

fica secreta para o interlocutor que enviará a informação. Para essa finalidade, ele
deve escolher o
a) AES.
b) DES.
c) RC5.
d) RSA.
e) IDEA.
Questão 26 (VUNESP/PC-SP/ PERITO CRIMINAL/2013) A criptografia hash permi-

te que seja calculado um identificador digital de tamanho fixo, chamado de valor
hash, a partir de uma string de qualquer tamanho.
Assinale a alternativa que contém o algoritmo hash que trabalha com o valor fixo
de 20 bytes.
a) SHA-1
b) SHA-2
c) MD2
d) MD5
e) MD4.0
Questão 27 (VUNESP/TRF3/ANALISTA JUDICIÁRIO/2002) A principal utilidade da

criptografia é
a) aumentar a taxa de transmissão de dados pelo meio de transmissão.
b) proteger dados a serem transmitidos contra acesso indevido.
c) divulgar o conteúdo de dados na Internet e em Intranets.
d) aumentar a disponibilidade do canal de transmissão de dados.
e) permitir a recuperação do conteúdo de dados recebidos de forma incompleta.
Questão 28 (VUNESP/TRF3/ANALISTA JUDICIÁRIO/2002) No processo de assina-
tura eletrônica ou digital, supondo que um usuário A envie uma mensagem ao usu-
ário B, a mensagem é codificada com a chave
a) privada do usuário B.
b) pública do usuário A.
c) privada do usuário A.
d) pública do administrador da rede.
e) pública do usuário B.
Questão 29 (CESPE/CGM/AUDITOR MUNICIPAL DE CONTROLE INTERNO/2018)
Acerca de integridade, disponibilidade e confidencialidade em segurança da infor-
mação, julgue o item a seguir.
A disponibilidade pressupõe que uma informação deva estar disponível a qualquer
pessoa de direito, sempre que necessário.
A confidencialidade determina que uma informação seja criptografada com cifra
assimétrica.
A integridade, propriedade da segurança da informação, garante que uma informa-
ção ou um dado não seja alterado por pessoa ou processo não autorizado.
Julgue o seguinte item, a respeito de criptografia e assinatura digital, utilizadas
para dar determinadas garantias de segurança da informação.
Na criptografia assimétrica, a chave pública usada no processo de criptografar a
mensagem é também a chave que permite a fatoração da chave privada para fins
de verificação de integridade.
Julgue o seguinte item, a respeito de criptografia e assinatura digital, utilizadas
para dar determinadas garantias de segurança da informação.
Na criptografia simétrica, é comum o uso de duas chaves distintas: uma delas ser-
ve para a proteção de bloco; a outra, para a geração do fluxo do criptograma.
Questão 34 (CESPE/STM/ANALISTA JUDICIÁRIO/2018) Julgue o seguinte item,
a respeito de criptografia e assinatura digital, utilizadas para dar determinadas ga-
rantias de segurança da informação.
A assinatura digital utiliza funções resumo (message digest) de uma via.
Questão 35 (CESPE/STM/ANALISTA JUDICIÁRIO/2018) Acerca de segurança da
informação, julgue o item a seguir.
Segundo a propriedade de disponibilidade, qualquer usuário legítimo terá acesso
irrestrito a qualquer tipo de informação disponível no sistema.
A confidencialidade é uma propriedade da segurança da informação que está ligada
ao uso de criptografia.
A integridade tem por finalidade permitir que um usuário autorizado tenha condi-
ções de alterar, de maneira legítima, dado ou informação no sistema.
Questão 38 (CESPE/STM/ANALISTA JUDICIÁRIO/2018) Julgue o item seguinte,
relativo a mecanismos de segurança em um ambiente computacional.
O registro de atividades gerado por programas e serviços de um computador não é
visto como um mecanismo de segurança, já que está associado à análise forense.
Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de
sistemas de computação ou de redes de computadores é visto como um incidente
de segurança.
Questão 40 (CESPE/IPHAN/ANALISTA/2018) Em relação aos sistemas de gestão
da segurança da informação, julgue o item a seguir.
No processo de verificação, análise crítica e avaliação da continuidade da segurança
da informação, recomenda-se, quando possível, integrar a verificação dos contro-
les da continuidade da segurança da informação com os testes de recuperação de
desastre ou da continuidade dos negócios da organização.
Questão 41 (CESPE/EBSERH/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO/2018)
Julgue o próximo item, a respeito da segurança da informação.
Uma auditoria no plano de continuidade de negócios de uma organização precisa
verificar se o plano é exequível e se o pessoal está treinado para executá-lo.
Como medida necessária para viabilizar a operação alternativa dos negócios da or-
ganização em caso de indisponibilidade dos recursos originais, o plano de continui-
dade de negócios estabelece que esses recursos sejam sistematicamente mantidos
em duplicidade.
Questão 43 (CESPE/TCE-PA/AUDITOR DE CONTROLE EXTERNO/ANALISTA DE SE-
GURANÇA/2016) Com base na NBR ISO 22301:2013, que dispõe requisitos para a
gestão de continuidade de negócios, julgue o item que se segue.
Os objetivos da continuidade de negócios devem ser monitorados e, quando neces-
sário, atualizados.
Questão 44 (CESPE/TRT8/ANALISTA JUDICIÁRIO/TECNOLOGIA DA INFORMA-
ÇÃO/2016) Um dos objetivos da gestão de continuidade de negócios é
a) prover recursos financeiros suficientes para evitar que os sistemas operacionais
da organização sejam atingidos por falhas ou desastres.
b) assumir a gestão de riscos dos recursos de TI para garantir e manter a opera-
cionalidade da organização.
c) proteger os processos críticos da organização contra impactos causados por fa-
lhas ou desastres.
d) tornar a organização cada vez menos dependente de tecnologia e de sistemas
computacionais.
e) responsabilizar a gerência de segurança da informação pela implementação in-
tegral do plano de continuidade de negócios.
Questão 45 (CESPE/ABIN/OFICIAL DE INTELIGENCIA) Com relação à análise de
linha do tempo e à aquisição de dados em memória, julgue o seguinte item.
A análise de linha do tempo de eventos de interesse forense requer a existência
sistematizada de registros de logs dos sistemas periciados para ser realizada, sen-
do sua aplicação limitada à análise forense de sistemas corporativos que dispõem
desses recursos.
Questão 46 (CESPE/MEC/GERENTE DE SUPORTE/2015) Acerca de gestão da se-
gurança da informação, julgue o item a seguir.
A gerência da auditoria de segurança engloba, entre outros aspectos, a administra-
ção da política de segurança e os procedimentos de recuperação após desastres;
além disso, é de responsabilidade dessa gerência a constante atualização com res-
peito a problemas e riscos de segurança.
Questão 47 (CESPE/TCE-RN/ASSESSOR TÉCNICO DE INFORMÁTICA/2015) Julgue
o item a seguir, acerca de gestão de segurança da informação à luz das normas
ISO/IEC 27001 e 27002.
Um dos objetivos das auditorias internas do SGSI é determinar se seus controles
são executados conforme esperado.
Questão 48 (CESPE/TJ-SE/ANALISTA JUDICIÁRIO/2014) Acerca de auditoria e
conformidade, julgue o item subsequente, a respeito de segurança da informação.
A execução correta dos procedimentos de segurança da informação, em conformi-
dade com normas e com a política de segurança da empresa, deve ser garantida
pelos vários gestores, cada um em sua área.
Atividades de usuários, exceções e outros eventos são registros ou logs de eventos
produzidos e mantidos pela instituição, mas, por constituírem eventos qualitativos,
não são objetos apropriados para futuras investigações ou auditorias.
Conformidade é um conceito relacionado à adesão dos sistemas de informação às
políticas e às normas organizacionais de segurança da informação.
GABARITO
1. e 24. e 47. C
2. d 25. d 48. C
3. a 26. a 49. E
4. e 27. b 50. C
5. c 28. e
6. b 29. C
7. c 30. E
8. b 31. C
9. a 32. E
10. c 33. E
11. c 34. C
12. b 35. E
13. d 36. C
14. e 37. C
15. d 38. E
16. c 39. C
17. b 40. C
18. c 41. C
19. a 42. C
20. b 43. C
21. a 44. c
22. c 45. C
23. e 46. E
QUESTÕES COMENTADAS
Questão 1 (VUNESP/ANALISTA/2016) Em um modelo multidimensional utilizado
na modelagem de data warehouses
a) a tabela fato deve conter somente atributos literais.
b) as tabelas dimensão devem ter um tipo único de dados para todos seus atribu-
tos.
c) as tabelas dimensão não têm chaves primárias definidas.
d) cada tabela dimensão comporta um máximo de 20 atributos.
e) não há limite teórico para o número de dimensões modeladas.
Letra e.
A tabela fato é a principal tabela do data warehouse (DW) que se relaciona com as
dimensões. Ela armazena as métricas, que são os fatos propriamente ditos (aquilo
que quer medir), e as chaves estrangeiras (foreign keys), que servem para ligar os
dados das dimensões com o fato. Assim, o contexto da modelagem de negócio no
DW é que determinará, a princípio, a quantidade de dimensões associadas à uma
tabela fato. Portanto, pode-se inferir que não há um limite teórico para o número
de dimensões modeladas.
A disponibilidade pressupõe que uma informação deva estar disponível a qualquer
pessoa de direito, sempre que necessário.
Certo.
Conforme visto na definição do princípio de disponibilidade, que trata-se de garan-
tir o acesso a qualquer tempo da informação a pessoas autorizadas.
A confidencialidade determina que uma informação seja criptografada com cifra
assimétrica.
Errado.
A confidencialidade não determina que uma informação seja criptografada. Seu
objetivo é divulgar a informação apenas às pessoas autorizadas.
A integridade, propriedade da segurança da informação, garante que uma informa-
ção ou um dado não seja alterado por pessoa ou processo não autorizado.
Certo.
Perfeitamente. A integridade é a garantia de que a informação manterá suas carac-
terísticas originais.
Questão 5 (CESPE/CGM/AUDITOR MUNICIPAL DE CONTROLE INTERNO/2018) Jul-
gue o seguinte item, a respeito de criptografia e assinatura digital, utilizadas para
dar determinadas garantias de segurança da informação.
Na criptografia assimétrica, a chave pública usada no processo de criptografar a
mensagem é também a chave que permite a fatoração da chave privada para fins
de verificação de integridade.
Errado.
Como visto, são utilizadas duas chaves, uma pública e uma privada, sendo cada
uma utilizada em um momento na transmissão e recepção da mensagem.
Questão 6 (CESPE/CGM/AUDITOR MUNICIPAL DE CONTROLE INTERNO/2018) Jul-
gue o seguinte item, a respeito de criptografia e assinatura digital, utilizadas para
dar determinadas garantias de segurança da informação.
Na criptografia simétrica, é comum o uso de duas chaves distintas: uma delas ser-
ve para a proteção de bloco; a outra, para a geração do fluxo do criptograma.
Errado.
Na criptografia simétrica de bloco, a utilização de uma das chaves é a de inicializar
o processo de criptografia
Questão 7 (CESPE/STM/ANALISTA JUDICIÁRIO/2018) Julgue o seguinte item,
a respeito de criptografia e assinatura digital, utilizadas para dar determinadas ga-
rantias de segurança da informação.
A assinatura digital utiliza funções resumo (message digest) de uma via.
Certo.
A função Hash também é conhecida como Message Digest e a Assinatura Digital se
utiliza da função hash para garantir a autenticidade da assinatura.
Questão 8 (CESPE/STM/ANALISTA JUDICIÁRIO/2018) Acerca de segurança da in-
formação, julgue o item a seguir.
A confidencialidade é uma propriedade da segurança da informação que está ligada
ao uso de criptografia.
Certo.
A ocultação da mensagem original de modo a evitar o seu conhecimento por pes-
soas não autorizadas remete ao princípio da confidencialidade.
Questão 9 (CESPE/STM/ANALISTA JUDICIÁRIO/2018) Acerca de segurança da in-
formação, julgue o item a seguir.
A integridade tem por finalidade permitir que um usuário autorizado tenha condi-
ções de alterar, de maneira legítima, dado ou informação no sistema.
Certo.
Esta é a definição do princípio da integridade relacionado à Segurança da Informação.
O registro de atividades gerado por programas e serviços de um computador não é
visto como um mecanismo de segurança, já que está associado à análise forense.
Errado.
O registro de atividades de programas e serviços, também conhecido como “log” é
sim um insumo importante para análise forense.
Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de
sistemas de computação ou de redes de computadores é visto como um incidente
de segurança.
Certo.
Está correto, pois eventos adversos são considerados ameaças a continuidade dos
serviços.
Questão 12 (CESPE/IPHAN/ANALISTA/2018) Em relação aos sistemas de gestão
da segurança da informação, julgue o item a seguir.
No processo de verificação, análise crítica e avaliação da continuidade da segurança
da informação, recomenda-se, quando possível, integrar a verificação dos contro-
les da continuidade da segurança da informação com os testes de recuperação de
desastre ou da continuidade dos negócios da organização.
Certo.
Os processos referentes a Continuidade da Segurança da Informação devem sem-
pre estar alinhados com os planos Organizacionais.
Uma auditoria no plano de continuidade de negócios de uma organização precisa
verificar se o plano é exequível e se o pessoal está treinado para executá-lo.
Certo.
Uma auditoria precisa ser criteriosa quanto ao objeto auditado e deverá verificar se
há treinamento e se é possível executar aquele plano de continuidade.
Como medida necessária para viabilizar a operação alternativa dos negócios da or-
ganização em caso de indisponibilidade dos recursos originais, o plano de continui-
dade de negócios estabelece que esses recursos sejam sistematicamente mantidos
em duplicidade.
Certo.
O plano de continuidade de negócios garante medidas de contingência para situ-
ações críticas mas não a obrigatoriedade de se manter duplicidade de serviços,
principalmente ocasionado pelo custo.
Questão 15 (CESPE/TCE-PA/AUDITOR DE CONTROLE EXTERNO/ANALISTA DE SE-
GURANÇA/2016) Com base na NBR ISO 22301:2013, que dispõe requisitos para a
gestão de continuidade de negócios, julgue o item que se segue.
Os objetivos da continuidade de negócios devem ser monitorados e, quando neces-
sário, atualizados.
Certo.
Como todo processo organizacional, o ciclo de melhoria contínua (PDCA) exige a
atualização.
Questão 16 (CESPE/TRT8/ANALISTA JUDICIÁRIO/TECNOLOGIA DA INFORMA-
ÇÃO/2016) Um dos objetivos da gestão de continuidade de negócios é
a) prover recursos financeiros suficientes para evitar que os sistemas operacionais
da organização sejam atingidos por falhas ou desastres.
b) assumir a gestão de riscos dos recursos de TI para garantir e manter a opera-
cionalidade da organização.
c) proteger os processos críticos da organização contra impactos causados por fa-
lhas ou desastres.
d) tornar a organização cada vez menos dependente de tecnologia e de sistemas
computacionais.
e) responsabilizar a gerência de segurança da informação pela implementação in-
tegral do plano de continuidade de negócios.
Letra c.
Este é o maior objetivo da Gestão de Continuidade de Negócios, reduzir o impacto
e tornar disponíveis os serviços no menor tempo possível
Questão 17 (CESPE/ABIN/OFICIAL DE INTELIGENCIA) Com relação à análise de
linha do tempo e à aquisição de dados em memória, julgue o seguinte item.
A análise de linha do tempo de eventos de interesse forense requer a existência
sistematizada de registros de logs dos sistemas periciados para ser realizada, sen-
do sua aplicação limitada à análise forense de sistemas corporativos que dispõem
desses recursos.
Certo.
A análise de uma auditoria é abrangente e não apenas parcial em relação ao objeto
de controle.
Questão 18 (CESPE/MEC/GERENTE DE SUPORTE/2015) Acerca de gestão da se-
gurança da informação, julgue o item a seguir.
A gerência da auditoria de segurança engloba, entre outros aspectos, a administra-
ção da política de segurança e os procedimentos de recuperação após desastres;
além disso, é de responsabilidade dessa gerência a constante atualização com res-
peito a problemas e riscos de segurança.
Errado.
A administração da política de segurança e os procedimentos para recuperação de
desastres é de responsabilidade das respectivas equipes do gerenciamento de TIC
e de Continuidade dos Negócios.
Questão 19 (CESPE/TCE-RN/ASSESSOR TÉCNICO DE INFORMÁTICA/2015) Julgue
o item a seguir, acerca de gestão de segurança da informação à luz das normas
ISO/IEC 27001 e 27002.
Um dos objetivos das auditorias internas do SGSI é determinar se seus controles
são executados conforme esperado.
Certo.
O objetivo do controle interno ou auditoria interna é se os controles são executados
conforme o disposto na respectiva norma ou política.
A execução correta dos procedimentos de segurança da informação, em conformi-
dade com normas e com a política de segurança da empresa, deve ser garantida
pelos vários gestores, cada um em sua área.
Certo.
A responsabilidade pelo processo de cada área é do gestor daquela área.
Atividades de usuários, exceções e outros eventos são registros ou logs de eventos
produzidos e mantidos pela instituição, mas, por constituírem eventos qualitativos,
não são objetos apropriados para futuras investigações ou auditorias.
Errado.
Todos os eventos são passíveis de auditoria.
Conformidade é um conceito relacionado à adesão dos sistemas de informação às
políticas e às normas organizacionais de segurança da informação.
Certo.
A conformidade está alinhada com a Governança de TIC e com a Governança Cor-
porativa.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2013:
Tecnologia da informação — Técnicas de segurança — Código de prática para con-
troles de segurança da informação. Rio de Janeiro, 2013.
Date, C. J.. Introdução a Sistemas de Bancos de Dados. Tradução da 8ª edição
americana. Rio de Janeiro: Elsevier, 2004.
Elmasri, Ramez; Navayhe, Shamkant b. Sistemas de bando de dados 6ed. São
Paulo: Pearson, 2010.
Gonçalves, Eduardo. SQL. Uma abordagem para banco de dados Oracle. São Paulo:
Casa do Código, 1998.
Heuser, Carlos Alberto. Projeto de Banco de Dados.6ed. São Paulo: Bookman:2008.
Silberschatz, Abraham; Kort, Henry F.; Sudarshan, S..Sistema de Banco de Da-
dos.5ed. Rio de Janeiro: Elsevier, 2006.
Operadores de cálculo e ordem de execução no Excel. Disponível em:< https://
support.office.com/pt-pt/article/operadores-de-cálculo-e -ordem-de-execução-
-no-excel-48be406d-4975-4d31- b2b8-7af9e0e2878a>. Acesso em 01 de março
de 2019.
Cunha, Juscelino Cássio Vieira da. Business Intelligence; conceitos, técnicas, sis-
temas e ferramentas. Disponível em: <http://www.unibratec.edu.br/tecnologus/
wp-content/uploads/2015/12/tecnologus_edicao_09_artigo_01.pdf>.
Côrtes, Sérfio da costa; Porcaro, Rosa maria; Lifschitz, Sérgio. Mineração de Da-
dos - funcionalidades, técnicas e abordagens. Disponível em:<ftp://obaluae.inf.
puc-rio.br/pub/docs/techreports/02_10_cortes.pdf>
Takai, Osvaldo Kotaro; Italizano, Isabel Cristina; Ferreira, João Eduardo. Introdução
a Banco de dados. Disponível em: <https://www.ime.usp.br/~jef/apostila.pdf>

Banco de Dados Seguranca Da Informacao Modelagem Business Intelligence

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Banco de Dados Seguranca Da Informacao Modelagem Business Intelligence

Enviado por

Direitos autorais:

Formatos disponíveis

TECNOLOGIA DA

É formado em Tecnólogo em Redes de

Banco de Dados e Segurança da Informação...................................................4

BANCO DE DADOS E SEGURANÇA DA INFORMAÇÃO

queiras que passamos despercebidos de todos os processos que estão envolvidos

naquela situação. Exemplificando, a passagem rápida em um comércio qualquer

para aquisição de algum produto importante para a realização de alguma atividade,

adentramos o estabelecimento, procuramos aquele produto e ao encontrarmos o

levamos ao setor responsável pelo acerto financeiro, comumente chamado “caixa”.

O colaborador do caixa ao receber o produto, efetua o seu registro em algum sis-

devolve a diferença (troco) junto a nota fiscal eletrônica de venda ao consumidor.

Situação esta hipotética em um estabelecimento que possua um controle de entra-

da e saída de mercadorias informatizado. Neste cenário iremos dar ênfase aquele

processo de recebimento do produto, registro, acerto financeiro, emissão de nota

e entrega. No momento em que houve o registro da mercadoria no sistema, houve

exemplo, a evolução do estoque. Este registro foi realizado em um estrutura conhe-

cida por banco de dados.

Segundo Date, um banco de dados é parte de um sistema computadorizado cuja

finalidade geral é armazenar dados e permitir que os usuários busquem e atualizem

o registro bruto do que é armazenado em um banco de dados e informação seria

cado. Exemplificando, o registro da saída do produto seria o dado e o quantitativo

compra planejada. Para uma melhor compreensão veja a figura 1.

Utilizando-se do exemplo do comércio descrito acima, o cliente entregaria o

um sistema informatizado onde iria inserir os dados referentes ao produto; (2) ao

pressionar o botão responsável pelo cadastramento da operação na aplicação (ca-

mada de visualização do sistema) haveria o início de alguns processos internos ao

sistema; (3) o dado registrado seria tratado na camada de negócio da aplicação

a estrutura da respectiva entidade (ou tabela, no modelo físico) para o registro do

de dado (CREATE – operação para acesso e registro do dado) e no sentido de (6) a

e leitura a base de dados).

Figura 1: Diagrama de uma Aplicação com Estrutura de Banco de Dados

Sistema tipo Aplicação

Camada para processar

Camada para processar conexões

Modelo da Banco de Dados

a definição de um Sistema Gerenciador de Banco de Dados (SGBD – Database

Management System) que seria a de componentes de programas que permitem

o acesso e manutenção de um banco de dados. Ainda de acordo com Elmasri,

um SGBD facilita o processo de definição – especificação de tipos, estruturas

e restrições dos dados armazenados, descrevendo em forma de um catálogo

chamado de metadados; construção – processo de armazenamento em local

atualização para recuperação e alterações nos dados armazenados e o compar-

tilhamento – processo que permite o acesso simultâneo ao banco de dados por

Uma característica importante ao se utilizar um SGBD é que os dados são arma-

zenados na estrutura descrita pelo catálogo ou metadados, permitindo uma inde-

alteração nos dados já registrados. Outra característica importante que permite a

independência do sistema aplicativo e suas operações da base de dados, é chama-

armazenados, conforme Elmasri. A última característica é utilizada na modelagem

de dados, comentada no tópico 2.

1.1. Arquitetura de Banco de Dados em Três Níveis

parar as aplicações do usuário. Os três níveis estão ilustrados na Figura 2 e assim

• Nível interno: utiliza um esquema interno que descreve, por intermédio de

um modelo de dados físico, os detalhes do armazenamento físico e caminho

de acesso para o banco de dados.

• Nível conceitual: descreve a estrutura do banco de dados de uma forma

lógica, como a descrição de entidades, os tidos de relacionamentos, as ope-

definição do esquema conceitual, que inclui detalhamento cada um dos tipos

de registros conceituais. Este esquema é escrito por meio de uma linguagem

de definição de dados, a DDL conceitual.

• Nível externo: utiliza um esquema externo que descreve a parte do banco

de dados destinado a determinado grupo de usuários e oculta o restante.

a independência física de dados – capacidade de alteração do esquema interno sem

alterar o esquema conceitual, ou seja, mudanças na estrutura física do banco de dados