Para as diversas áreas de intervenção dos sistemas de suporte à decisão, e em particular da BI - Business Intelligence, é fundamental garantir a Segurança dos dados que vão existir nos diversos tipos de sistemas que intervêm ao nível da exploração que é feita para se obterem os resultados que vão servir para suportar o processo de decisão, aos mais variados níveis: estratégico, táctico e operacional. Convém recordar que BI - Business Intelligence designa um conjunto muito alargado de aplicações, e tecnologias, que alargam o conceito de sistemas de suporte à decisão (nos mais variados contextos e que agora também incluem a Internet) compreendendo funções que têm a ver com interrogações às bases de dados, emissão de relatórios, utilização de ferramentas designadas por OLAP – On-Line Analytical Processing análises estatísticas (onde se incluem também as previsões estatísticas) bem como Data Mining. Quando aqui referimos o conceito de Segurança estaremos obviamente a considerar a designada “Segurança dos Sistemas de Informação” a qual pode ser definida genericamente como:
“O conjunto de medidas, e procedimentos, destinados a evitar que a informação seja destruída, alterada, ou acedida, acidentalmente ou intencionalmente, de uma forma não autorizada.”
Quer isto dizer, na prática, que não estaremos a considerar apenas as bases de dados operacionais das organizações, as quais são geridas pelos sistemas com a tecnologia OLTP – On-Line Transaction Processing, mas também aquelas que são utilizadas no caso da BI - Business Intelligence, e em particular as que utilizam a tecnologia Data Warehouse, que vai ser a infraestrutura de suporte a estes sistemas com aplicações hoje em dia de âmbito cada vez mais alargado incluindo praticamente todas as áreas das organizações, a saber: recursos humanos, financeira, logística, comercial, marketing e também todas as que dizem respeito ao relacionamento com os clientes, sem esquecer o suporte fundamental à presença na Internet.
Caso específico da Segurança de uma Data Warehouse
Caracterização de uma Data Warehouse
Antes de entrarmos mais em pormenor nas questões da Segurança da Data Warehouse vamos em primeiro lugar definir o que é que se entende efectivamente por esta tecnologia. É interessante ter em atenção que a tecnologia de Data Warehouse foi definida pela primeira vez pela empresa IBM em 1988 e anunciada em 1991. Esta tecnologia tinha na altura como grande objectivo permitir aos utilizadores aceder à informação em várias plataformas de hardware diferentes. Verdadeiramente a definição de Data Warehouse que consideramos mais importante é aquela que foi enunciada por William H. Inmon e que passamos a transcrever:
“A Data Warehouse é um conjunto de dados para apoiar o processo de decisão, que está organizado por assuntos/necessidades de análise, é integrado e que varia com o tempo e é inalterável.”
Dada a sua importância vamos analisar mais em pormenor os pontos que se assinalaram na definição anterior. Assim, teremos:
Organizado por assuntos/necessidades de análise – os sistemas operacionais têm o seu enfoque tradicional nas necessidades da gestão quotidiana das organizações. Com a implementação da reengenharia de processos nas organizações a orientação dos sistemas passou a estar centrada na execução dos processos, e em particular nos que são considerados os mais críticos actualmente, isto é, todos os que dizem respeito à gestão do relacionamento com os clientes. As Data Warehouse concentram-se pois em construir a infraestrutura que vai servir de suporte à utilização de ferramentas de exploração (como sejam o OLAP – On-line Analytical Processing e o Data Mining) da qual vai resultar a satisfação das necessidades de informação que vão suportar as decisões dos responsáveis das organizações.
Integrado – como já referimos anteriormente os dados que vão ser armazenados na Data Warehouse são extraídos a partir dos dados que são processados nos sistemas operacionais das organizações podendo ser mesmo complementados com dados externos que serão úteis para as análises que têm como objectivo comparar a organização com outras (por exemplo, no contexto de análises de Benchmarking em termos de vendas ou desempenho dessa organização) ou para outro tipo de análises que se façam necessárias. Nesta perspectiva o conceito de dados integrados tem a ver com o facto de eles deverem ter uma definição única dentro da organização. Esta é uma característica muito importante na medida em que há necessidades de gestão que assentam nesse conceito. Como exemplo dessas necessidades salientaremos aqui a designada “visão única dos clientes” em que assenta o CRM – Customer Relationship Management (a gestão do relacionamento com os clientes).
Varia com o tempo – quer isto dizer que os dados da Data Warehouse estão também associados a uma cronologia, isto é, estão datados para poderem ser utilizados para obtenção de previsões, tendências e comparações em termos de evolução ao longo do tempo.
Inalterável – quando se refere que os dados da Data Warehouse são inalteráveis isto quer dizer esses dados serão apenas de leitura, não sendo alterados para evitar resultados diferentes se as análises fossem realizadas em dois momentos em que os mesmos dados tivessem sido modificados.
Segurança de uma Data Warehouse – aspectos principais
Como se pode depreender do que foi exposto anteriormente pode facilmente concluir-se que a (s) Data Warehouse (s) que possam existir nas organizações representam um dos seus activos mais importantes na medida em que aí estarão armazenados não só dados mas também informação (não esquecendo que a informação não é mais do que um conjunto de dados que foram processados e estão organizados por forma a terem um significado para o seu utilizador – exemplo: os clientes da região centro compraram 1500 unidades do produto XYZ no primeiro semestre de 2007) e o conhecimento (em que o conhecimento não é mais do que um conjunto de dados que foram processados e estão organizados por forma a se obter compreensão, experiência e especialização sobre uma determinada actividade, ou problema – exemplo: porque é que os clientes que compraram o produto ABC não compraram o produto XYZ) da organização. No caso específico da Data Warehouse os aspectos da Segurança são bem específicos na medida em que em função do utilizador assim se terão que estabelecer níveis diferentes de Segurança. Com efeito existem muitos utilizadores da Data Warehouse variando de acordo com a natureza das acções que têm que realizar sobre ela desde os gestores, para visualizarem a informação, até aos analistas que necessitam de aceder aos dados para preparem interrogações, e outras análises mais sofisticadas. Impõe-se pois a criação de uma política de segurança que deverá ter em atenção, entre outros (mais específicos de cada organização) os seguintes pontos:
1. Âmbito da informação coberta pela política de segurança
2. Aspectos relacionados com a segurança física dos dados
3. Privilégios de acesso ao nível dos vários tipos de utilizadores
4. Autorizações de Segurança para o carregamento dos dados a partir das várias origens dos dados
5. Segurança ao nível dos vários tipos de processamento nomeadamente no que se refere a cálculos que tenham que ser efectuados antes de os dados serem armazenados na Data Warehouse (por exemplo se é necessário fazer acumulados de dados, isto é, imaginemos que temos as vendas mensais de um produto e que também é necessário ter os acumulados por trimestre, semestre ou ano para outro tipo de análises)
6. Segurança ao nível da Metadata que não é mais que a entidade que contém toda a informação sobre os dados da Data Warehouse como seja: de onde vieram os dados, como foram transformados, quem pode aceder aos dados, qual é o significado dos dados (descrição, tipo, …)
7. Segurança ao nível da Internet no caso da Data Warehouse poder ser acedida através do site da organização
8. Resolução de violações da segurança que também terá que estar prevista nessa política de segurança
Para esclarecer melhor estes aspectos vamos considerar em seguida o caso particular dos acessos dos vários tipos de utilizadores de uma Data Warehouse, que vão diferir do caso específico das bases de dados operacionais das organizações, que são geridas por sistemas que recorrem à tecnologia OLTP como referido anteriormente. Neste caso, e tendo em atenção a implementação da referida política de segurança, poderemos ter a seguinte tabela que vai definir os privilégios dos acessos dos vários tipos de utilizadores de uma Data Warehouse tendo em atenção que se estão aqui a considerar quatro factores principais, a saber, o sistema, a administração da base de dados (que constitui a infraestrutura da Data Warehouse) bem como as tabelas, que estruturam os dados e a informação, e as vistas dos vários utilizadores (isto é, as várias formas de visualização dos dados que são definidas para cada utilizador):
|
Utilizadores
|
Responsabilidades
|
Privilégios de Acesso
|
Tabelas e Vistas
|
|
Sistema
|
Admin. B.D.
|
|
Utilizadores Finais
|
Executar interrogações e relatórios pré-definidos
|
Não
|
Não
|
Seleccionadas
|
|
Analistas de Dados
|
Executar interrogações ad-hoc, conceber e executar relatórios
|
Não
|
Não
|
Todas
|
|
Helpdesk
|
Ajudar os utilizadores relativamente às interrogações e relatórios; analisar e explicar o que for necessário
|
Não
|
Não
|
Todas
|
|
Especialistas do sistema de interrogação e do OLAP
|
Instalar e resolver problemas dos utilizadores finais
|
Não
|
Não
|
Todas
|
|
Administração da Segurança
|
Atribuir e revogar privilégios de acesso; controlar a utilização da Data Warehouse
|
Sim
|
Sim
|
Todas
|
|
Administrador da Rede
|
Instalar, e manter, sistemas operativos e redes informáticas
|
Sim
|
Não
|
Nenhuma
|
|
Administração da Data Warehouse
|
Instalar, e manter, a infraestrutura de suporte à Data Warehouse incluindo o backup e a sua recuperação em caso de incidente
|
Sim
|
Sim
|
Todas
|
Cremos que este é um exemplo interessante de apenas um dos aspectos da política de segurança que é necessário implementar quando se pretende instalar uma Data Warehouse numa organização. Com efeito, a instalação deste tipo de sistemas obriga a uma reformulação dos processos de segurança que as organizações adoptam, no geral, mas que neste caso específico obrigam à introdução de processos mais complexos. Deve ter-se em atenção que não estão aqui referidos todos os aspectos que dizem respeito à segurança das Data Warehouse dado que existem ainda muitos outros pontos a considerar nomeadamente a possibilidade de implementar uma solução especificamente para a segurança dos dados.
Considerações sobre as soluções de Segurança
A implementação de uma solução de segurança de dados vai necessitar de um planeamento rigoroso que garanta que todos os impactos serão previstos antecipadamente. Esses impactos vão fazer-se sentir ao nível de toda a infraestrutura de sistemas e tecnologias de informação acrescentando problemas de segurança específicos que é necessário prever, e integrar, com as soluções já existentes. De uma forma resumida podemos então dizer que os pontos a ter em atenção na implementação desta solução serão os seguintes:
Compreender, e minimizar o impacto no desempenho
A implementação destes sistemas de segurança acarreta normalmente perdas de capacidade se não forem devidamente acauteladas essas situações. Quer isto dizer que deverão ser reanalisados os processos associados à segurança geral dos sistemas de informação da organização passando a integrar também estes sistemas específicos. Como consequência dessa reengenharia de processos será eventualmente necessário rever também as configurações existentes, de hardware e software, de forma a garantir que seja possível não haver problemas de desempenho e também de disponibilidade dos sistemas.
Assegurar o envolvimento de todas as áreas das tecnologias de informação
Este aspecto tem que ser efectivamente garantido para que a implementação dos sistemas de BI – Business Intelligence tenha sucesso na medida em que sem se garantir a segurança dos dados isso não será possível. Com efeito, a instalação de sistemas de BI – Business Intelligence tem impacto normalmente ao nível de toda a organização quer se trate de áreas específicas da organização, ou áreas mais generalistas, pelo que os níveis de segurança a garantir acompanharão forçosamente o âmbito da implementação do BI – Business Intelligence.
Em conclusão pode pois afirmar-se que é fundamental analisar as características das várias soluções de segurança a implementar de forma a garantir-se que a sua implementação vai assegurar os níveis de privacidade de dados que são exigidos bem como a sua integração com as eventuais soluções já existentes.
Notas Finais
A implementação de sistemas BI – Business Intelligence é cada vez mais uma necessidade que todas as organizações sentem para que possam tomar decisões de melhor qualidade, sustentadas e sobretudo atempadas numa atitude proactiva que antecipará a concorrência. Neste contexto a Segurança dos dados, e da informação em geral, assume uma importância capital na medida em que serão vantagens competitivas, dependendo obviamente a sua importância dos mercados onde essas organizações estão inseridas. Com efeito, existem hoje em dia áreas de actividade onde a informação é de facto poder, isto é, saber mais sobre os mercados, os clientes e a concorrência é uma vantagem desde que esses dados, e informação, sejam de facto utilizados proactivamente antecipando as acções dos outros players do mercado.
Francisco Ferrão |