Fortalecendo a segurança de aplicações web: uma abordagem prática

Abstract

Este estudo aborda a análise de segurança em uma aplicação web de uma empresa de tecnologia. A pesquisa é motivada pela crescente preocupação com a segurança da informação nas organizações, especialmente diante das ameaças cibernéticas que evoluem constantemente. A metodologia utilizada incluiu uma revisão teórica sobre segurança da informação e testes de análise de segurança, seguida de um estudo de caso na empresa escolhida. Entre os principais problemas, destacam-se a ausência de políticas formais de segurança, falta de controle de acesso baseado em funções (RBAC), inexistência de testes regulares de intrusão e varreduras de vulnerabilidade, e a falta de treinamento em segurança para os funcionários. A análise revelou a necessidade urgente de melhorias na postura de segurança da empresa, recomendando a adoção de políticas de segurança, implementação de RBAC, realização de testes dinâmicos e estáticos e capacitação contínua dos colaboradores em práticas de segurança da informação. Conclui-se que a implementação dessas medidas é crucial para proteger os sistemas e dados da empresa contra ameaças cibernéticas e garantir a integridade das operações.

This study looks at the security analysis of a web application in a technology company. The research is motivated by the growing concern about information security in organizations, especially in the face of constantly evolving cyber threats. The methodology used included a theoretical review of information security and security analysis tests, followed by a case study at the chosen company. Among the main problems were the absence of formal security policies, the lack of role-based access control (RBAC), the absence of regular intrusion tests and vulnerability scans, and the lack of security training for employees. The analysis revealed an urgent need to improve the company's security posture, recommending the adoption of security policies, implementation of RBAC, dynamic and static testing and continuous training of employees in information security practices. It is concluded that implementing these measures is crucial to protecting the company's systems and data from cyber threats and guaranteeing the integrity of operations.