Auditoria de segurança em aplicações na World Wide Web Portuguesa

Abstract

Numa época em que grande parte dos Sistemas de Informação são desenvolvidos com o objectivo de serem utilizados sobre plataformas Web, e em que grande parte dos utilizadores recorre diariamente a aplicações que são executadas remotamente, é fundamental garantir que essas aplicações são seguras, protegendo as informações confidenciais dos utilizadores e organizações. O aumento da problemática anteriormente frisada é melhor percepcionado dado que, num esforço do próprio governo Português, existe um acréscimo significativo do acesso dos cidadãos a este tipo de aplicações, realizando operações sensíveis, onde a partilha de informação pessoal e confidencial é obrigatória para a execução da maioria dos serviços estatais. Assim, este trabalho tem como objectivo a identificação de grupos críticos, e das aplicações Web mais relevantes dentro do próprio grupo, culminando numa análise quantitativa e qualitativa do grau de segurança associado, numa primeira fase, à aplicação Web per si, e posteriormente ao grupo que a contém. Esta análise procura recolher indicadores que permitam a extrapolação dos resultados obtidos para uma aproximação ao panorama geral em Portugal. A metodologia desenvolvida para a realização desta auditoria não só é fiável e concordante com entidades internacionalmente reconhecidas na área da segurança Web, como flexível e de utilização eficiente em contextos organizacionais variados, levando a uma maior consciencialização por parte das entidades que a implementem, e à consequente melhoria do estado da segurança Web portuguesa.

Nowadays, most information systems are developed towards We b platforms’ usage. These users perform, on a daily basis, operation on these remote applications, making it crucial to ensure their security , protecting users and organizations’ confidential data. This work represents an extremely relevant analysis regarding the study of the security of Portuguese Web applications. The previous problem takes an even bigger relevance on the Portuguese panorama as the Portuguese government is enforcing a huge growth of citizen’s access to public administration Web applications. These services represent the execution of sensitive operations, where sharing personal and confidential data is mandatory. Based on the previous facts, this project has the purpose of identifying critical groups and the most relevant Web applications contained inside them. This will allow to perform a quantitative and qualitative security analysis of the Web applications, the services group they represent and to extrapolate those results towards a loyal approximation of the whole Portuguese panorama. The methodology created for this project it’s not only reliable and in sync with internationally known web application’s security entities, but also flexible and efficient for the usage on several organizational contexts, increasing the awareness on the security levels for the organizations implementing it , leading to an improvement of the National Web security state.