Co je security audit

Co security audit zahrnuje

Bezpečnostní audit může mít různý rozsah podle typu projektu. U webu nebo serveru obvykle zahrnuje technickou kontrolu konfigurace, přístupových práv a aktuálnosti softwaru. Typicky se prověřuje například:

• nastavení serveru a bezpečnostní hlavičky
• používání HTTPS a konfigurace TLS
• správa uživatelských účtů a oprávnění
• aktualizace systému a aplikací
• ochrana proti běžným útokům (XSS, CSRF, RCE apod.)
• backup a disaster recovery plán

Rozsah auditu se vždy přizpůsobuje konkrétnímu prostředí.

Interní vs. externí security audit

Security audit může provádět interní IT tým nebo externí specializovaná firma. Externí audit bývá nezávislejší a často detailnější, protože auditor není zatížen každodenním provozem systému. Externí audit se využívá například:

• před spuštěním nové aplikace
• před certifikací (např. ISO 27001)
• po bezpečnostním incidentu
• u projektů s vysokými nároky na dostupnost a ochranu dat

Interní audit se častěji používá jako pravidelná kontrola bezpečnostního stavu.

Security audit není totéž co penetrační test. Bezpečnostní audit se zaměřuje na systematickou kontrolu nastavení a procesů, zatímco penetrační test simuluje reálný útok s cílem najít konkrétní zranitelnost.

Jak často security audit provádět

Frekvence auditu závisí na typu projektu a citlivosti dat. U běžných webů doporučujeme alespoň pravidelnou roční kontrolu, u kritických systémů častěji nebo po každé větší změně infrastruktury. Audit má smysl také:

• po migraci serveru
• po zásadní aktualizaci aplikace
• při změně poskytovatele hostingu

Bez pravidelné kontroly může bezpečnost postupně oslabovat.

Výstup security auditu

Výsledkem auditu bývá zpráva, která obsahuje seznam zjištěných rizik, jejich závažnost a doporučení k nápravě. Kvalitní audit by měl rizika nejen identifikovat, ale také prioritizovat podle dopadu.

Důležité je, že audit sám o sobě bezpečnost nezvyšuje — zvyšují ji až implementovaná opatření.