Investor's wiki

Audit Keselamatan

Audit Keselamatan

Audit keselamatan terdiri daripada analisis sistematik aplikasi, sistem atau pangkalan data untuk menilai sejauh mana ia kukuh dan selamat. Dalam konteks rantaian blok, audit keselamatan terdiri daripada semakan rakan sebaya kontrak pintar atau kod rantaian blok untuk mengenal pasti potensi pepijat atau kecacatan.

Mengambil kira definisi tradisional, audit keselamatan menyiasat proses mengikut garis panduan yang telah ditetapkan atau berkaitan dengan standard, seperti Kriteria Biasa untuk Penilaian Keselamatan IT. Banyak syarikat melakukan audit keselamatan sebagai satu cara untuk memastikan sistem mereka cukup kuat terhadap kemungkinan kebocoran, pencerobohan atau serangan siber.

Selain itu, audit keselamatan adalah sangat penting dalam menentukan pematuhan kawal selia kerana ia menjelaskan cara syarikat atau institusi mengendalikan dan melindungi data sensitif. Audit juga mungkin meneliti akses fizikal kepada kemudahan dan sistem maklumat syarikat, serta strategi pencegahan yang ditetapkan terhadap kemungkinan serangan.

Audit keselamatan boleh dianggap sebagai salah satu daripada tiga jenis kaedah diagnostik keselamatan utama, bersama-sama dengan penilaian kerentanan dan ujian penembusan (aka. ujian pen). Walau bagaimanapun, audit keselamatan penuh selalunya termasuk ujian pen dan penilaian kerentanan, jadi definisi istilah mungkin berubah bergantung pada konteks.

Seperti yang dinyatakan, audit keselamatan biasanya menilai keselamatan sistem maklumat berhubung dengan senarai kriteria. Sebaliknya, penilaian kerentanan bergantung pada analisis menyeluruh keseluruhan sistem untuk akhirnya mengenal pasti kelemahan keselamatan. Dalam erti kata lain, audit keselamatan adalah lebih khusus, tertumpu pada niche tertentu, dan penilaian kelemahan adalah lebih umum. Akhir sekali, kami mempunyai ujian penembusan, yang terdiri daripada serangan simulasi sebagai cara untuk menguji kedua-dua kelemahan dan kekuatan sistem. Dalam sesetengah kes, penggodam topi putih diupah hanya untuk melakukan serangan siber yang dibenarkan ini. Sesetengah syarikat juga menawarkan ganjaran melalui program Bug Bounty.

Sebaik-baiknya, audit keselamatan perlu dijalankan sekurang-kurangnya sekali setahun, untuk memastikan mekanisme pertahanan dikemas kini terhadap ancaman terkini.