Justificativas da escolha da solução. Durante a execução deste ESTUDO TÉCNICO, foram inventariados e analisados diversos modelos e dezenas de processos de contratação existentes na Administração Pública, em outras instâncias de governo e na iniciativa privada. Em algumas dessas análises recorremos, inclusive, a materiais de suporte providos pela consultoria global Gartner (através de contrato de licenciamento mantido com esta unidade técnica). Avaliamos que, observada a aderência ao regramento legal e normativo, as melhores contratações são aquelas nas quais o órgão contratante promoveu adequada estruturação do modelo segundo suas necessidades e características específicas – incluindo seu respectivo nível de maturidade técnica e negocial. Também notamos de forma clara o quão ineficientes e desastrosas podem ser os modelos baseados em definições generalistas e adensamento de regras adotadas sem análise crítica. Destacamos, também, que no âmbito dessa própria unidade técnica sempre buscamos por encaixar o modelo de contratação mais adequado a cada tipo de necessidade – sendo, portanto, adotados atualmente diversos modelos de serviços, tais como:
Justificativas da escolha da solução. O monitoramento de atividades em bancos de dados (Database Activity Monitoring - DAM, também conhecido como auditoria de banco de dados empresarial e proteção em tempo real) é uma tecnologia de segurança de banco de dados para monitorar e analisar a atividade do banco de dados. As soluções de DAM pode combinar dados de monitoramento baseado em rede e informações de auditoria nativas para fornecer uma imagem abrangente da atividade do banco de dados. Os dados coletados são usados para analisar e relatar a atividade do banco de dados, dar suporte a investigações de violação e alertar sobre anomalias – uma vez que normalmente é executado continuamente e em tempo real. Globalmente, o monitoramento e prevenção de atividades de banco de dados (DAMP) é uma extensão do DAM que vai além do monitoramento e alerta para também bloquear atividades não autorizadas. O DAM ajuda as organizações a atender a exigências de conformidade regulatória, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), a Lei Sarbanes-Oxley (SOX), regulamentos do governo dos EUA, como NIST 800-53, e regulamentos da UE. DAM também é uma tecnologia importante para proteger bancos de dados confidenciais de ataques externos de cibercriminosos. De acordo com o Relatório de Investigações de Violação de Dados de 2009 da Verizon Business - com base em dados analisados do número de casos de 90 violações confirmadas da Verizon Business envolvendo 285 milhões de registros comprometidos durante 2008 - 75% de todos os registros violados vieram de servidores de banco de dados comprometidos. De acordo com o Gartner, “o DAM fornece monitoramento de acesso privilegiado de usuários e aplicativos que é independente do registro de banco de dados nativo e das funções de auditoria. Ele pode funcionar como um controle de compensação para problemas de separação de funções de usuários privilegiados, monitorando a atividade do administrador. A tecnologia também melhora a segurança do banco de dados ao detectar atividades incomuns de leitura e atualização do banco de dados da camada do aplicativo. A agregação, correlação e geração de relatórios de eventos de banco de dados fornecem um recurso de auditoria de banco de dados sem a necessidade de habilitar funções de auditoria de banco de dados nativas (que se tornam intensivas em recursos à medida que o nível de auditoria aumenta).”