Když s vámi na schůzce sedí IT manažer a mluví o tom, že by firma měla „něco udělat s bezpečností“, většinou nemáte jasno, co přesně potřebujete. Někdo říká, že musíte mít audit kvůli ISO certifikaci. Jiní zase tvrdí, že bez penetračního testu nemáte šanci odhalit skutečné zranitelnosti. A vy se ptáte: co z toho vlastně potřebujeme? Nebo snad obojí?
Tahle nejistota je naprosto legitimní. V oblasti kyberbezpečnosti existuje spousta pojmů, které zní podobně, ale ve skutečnosti znamenají něco úplně jiného. A právě bezpečnostní audit vs. penetrační test je klasickým příkladem dvou služeb, které se na první pohled mohou zdát zaměnitelné, ale slouží k úplně odlišným účelům.


Shrnutí pro ty, co nemají čas číst celý článek

  • Bezpečnostní audit kontroluje procesy, dokumentaci a shodu s normami (ISO 27001, GDPR, NIS2) – jde o formální přístup zaměřený na dodržování pravidel a organizační bezpečnost.
  • Penetrační test technicky simuluje skutečný hackerský útok na vaše systémy – odhaluje konkrétní zranitelnosti, které by útočník mohl zneužít.
  • Audit potřebujete při certifikaci, plnění legislativních požadavků nebo přípravě due diligence – jde o papírovou stopu a procesní kontrolu.
  • Pentest je nezbytný po změnách v IT, před spuštěním nové aplikace nebo když chcete vědět, jak odolní jste proti reálnému útoku – jde o technickou realitu.
  • Ideální je kombinace obou služeb – audit řekne, jestli máte správné procesy, pentest prozradí, jestli technicky fungují a kde jsou díry v obraně.

Přečtěte si také: TOP 10 slabin, které odhalí penetrační test


Co je bezpečnostní audit a proč ho potřebujete

Bezpečnostní audit je systematická kontrola toho, jak vaše firma řídí a zabezpečuje informace. Představte si to jako inspekci, kde auditor prochází dokumenty, procesy, politiky a kontroluje, jestli odpovídají stanoveným normám a zákonným požadavkům.
Na rozdíl od penetračního testu se audit primárně nezaměřuje na technické zranitelnosti. Místo toho zkoumá, jestli máte správně nastavené procesy pro řízení bezpečnosti, jestli zaměstnanci vědí, co dělat v případě bezpečnostního incidentu, jestli máte aktuální dokumentaci a jestli dodržujete legislativní požadavky jako GDPR nebo zákon o kybernetické bezpečnosti.
Typický bezpečnostní audit se ptá: Máte zpracovaný plán obnovy po havárii? Jak školíte zaměstnance v oblasti bezpečnosti? Kdo má přístup k citlivým datům a jak to kontrolujete? Jsou vaše bezpečnostní politiky aktualizované? Dokumentujete bezpečnostní incidenty?
Audit je často povinný nebo silně doporučený v několika situacích. Pokud chcete získat certifikaci podle normy ISO 27001, musíte projít auditem, který ověří, že váš systém řízení informační bezpečnosti skutečně funguje. Stejně tak pokud zpracováváte citlivá osobní data a musíte dokázat shodu s GDPR, audit je téměř nevyhnutelný.
TIP: Chcete konzultaci ohledně toho, co by vaše firma mohla potřebovat? Kontaktujte nás.
Bezpečnostní audit

Bezpečnostní audit

Typy bezpečnostních auditů

  • Compliance audit kontroluje, jestli splňujete požadavky konkrétních norem nebo regulací. Nejčastěji půjde o ISO 27001, GDPR nebo audit podle zákona o kybernetické bezpečnosti, pokud spadáte pod dohled NÚKIB.
  • Procesní audit se zaměřuje na to, jak ve vaší firmě fungují bezpečnostní procesy. Zkoumá, jestli máte jasně definované postupy pro správu přístupových práv, zálohování dat, hlášení bezpečnostních incidentů nebo aktualizaci systémů.
  • Organizační audit mapuje celkovou strukturu bezpečnosti ve firmě. Kdo je zodpovědný za bezpečnost? Existuje bezpečnostní tým? Jak je bezpečnost integrována do firemní kultury?

Co je penetrační test a kdy ho provést

Penetrační test (pentest) je simulace skutečného útoku hackera na vaše systémy. Najímáte etického hackera, který dostane za úkol proniknout do vašich systémů legálním způsobem. Používá stejné techniky, nástroje a postupy jako skuteční kyberzločinci. Cílem je odhalit konkrétní technické zranitelnosti.
Pentest odpovídá na otázky typu: Dokáže se někdo dostat do naší firemní sítě zvenčí? Má naše webová aplikace zranitelnosti? Jsou naše hesla dostatečně silná? Můžeme být oběťmi ransomwaru?

Jak probíhá penetrační test

  • Průzkum – tester sbírá veřejně dostupné informace o vaší firmě, doménách, IP adresách nebo používaných technologiích. Dělá to samé, co by dělal skutečný útočník.
  • Skenování – aktivně zkoumá vaše systémy, hledá otevřené porty, zastaralé verze software nebo známé zranitelnosti.
  • Exploitace – skutečný pokus o průnik. Tester se pokouší zneužít nalezené zranitelnosti a získat přístup k systémům.
  • Reportování – dostanete podrobnou zprávu o nalezených zranitelnostech, jejich závažnosti a doporučení, jak je opravit.

Bezpečnostní audit vs. penetrační test: Hlavní rozdíly

  • Metodika – audit je formální proces založený na kontrolních seznamech a normách. Pentest je dynamický proces, kde tester myslí jako útočník.
  • Zaměření – audit se ptá: „Máte správné procesy?“ Pentest se ptá: „Funguje to v praxi a můžete odolat útoku?“
  • Výstupy – z auditu dostanete zprávu o shodě s normami a seznam procesních nedostatků. Z pentestu dostanete technickou zprávu s konkrétními zranitelnostmi.
  • Právní závaznost – audit často musíte mít ze zákona nebo kvůli certifikaci. Pentest je většinou dobrovolný.

Přečtěte si také: Jak vám Red Teaming pomůže odhalit slabiny, které pentest nepostihne

Potřebujete bezpečnostní audit nebo pentest?

Potřebujete bezpečnostní audit nebo pentest?

Kdy potřebujete bezpečnostní audit

  • Legislativní povinnosti – pokud spadáte pod zákon o kybernetické bezpečnosti nebo NIS2.
  • Příprava na certifikaci – ISO 27001, ISO 27017 nebo jiné standardy.
  • Due diligence – před investicí, prodejem firmy nebo fúzí.
  • Pravidelná kontrola pravidel – GDPR, ochrana osobních údajů.
  • Požadavek partnera – velcí klienti často vyžadují důkaz o bezpečnostních standardech.

Kdy potřebujete penetrační test

  • Po změnách v IT infrastruktuře – migrace do cloudu, nové servery, změna sítě.
  • Před spuštěním nové aplikace – zejména pokud sbíráte citlivá data nebo platební údaje.
  • Po bezpečnostním incidentu – ověření, že jste opravili všechny zranitelnosti.
  • Pravidelná kontrola – ideálně alespoň jednou ročně.
  • Požadavek pojišťovny – kybernetické pojištění často vyžaduje pravidelné pentesty.

Přečtěte si také: Jak se dělá penetrační test

Proč byste měli mít obojí

Bezpečnostní audit vs. penetrační test není bitva, kde musíte vybrat jednoho vítěze. Jsou to komplementární služby, které se vzájemně doplňují.
  • Audit odhalí slabiny v procesech – například zjistíte, že nemáte jasně definované role při bezpečnostním incidentu nebo že vaši zaměstnanci neprošli školením o phishingu. To jsou organizační problémy, které technický test neodhalí.
  • Pentest odhalí technické zranitelnosti – třeba že vaše webová aplikace má SQL injection, hesla jsou slabá nebo že máte otevřené porty, které by neměly být přístupné z internetu. To jsou konkrétní díry, které audit nezjistí.

Jak vybrat správného partnera

Při výběru partnera pro bezpečnostní audit vs. penetrační test se zaměřte na:
  • Certifikace a zkušenosti – auditor by měl mít certifikaci pro konkrétní normu (ISO 27001 Lead Auditor), pentest tým by měl mít certifikace jako CEH, OSCP nebo GPEN.
  • Reference – ptejte se na konkrétní projekty podobné velikosti a odvětví jako je vaše firma.
  • Přístup k reportingu – zpráva musí být praktická, srozumitelná a obsahovat konkrétní doporučení, ne jen seznam problémů.
  • Podpora po testu – dobrý partner vám pomůže s implementací doporučení a ověří, že jste opravili kritické problémy.

Potřebujete poradit, co je pro vás správná cesta?

Rozhodování mezi bezpečnostním auditem a penetračním testem nemusí být složité. Každá firma má specifické potřeby, legislativní požadavky a úroveň rizika. Ideální je začít konzultací, kde si společně projdeme vaši situaci a navrhneme optimální řešení.
Objednejte si bezplatnou konzultaci a my vám pomůžeme vybrat, jestli potřebujete audit, pentest nebo kombinaci obou služeb. Během konzultace zjistíme, jaké jsou vaše priority, co vyžaduje legislativa a jak nejefektivněji investovat do bezpečnosti vaší firmy.
Bezpečnostní audit vs penetračný test

Bezpečnostní audit vs penetračný test

Často kladené otázky

Kolik stojí bezpečnostní audit vs. penetrační test?
Cena závisí na velikosti firmy a rozsahu práce. Audit pro malou firmu může stát 50-150 tisíc Kč, pro větší organizace klidně stovky tisíc. Pentest se pohybuje od 30 tisíc pro jednoduchý test webové aplikace až po stovky tisíc za komplexní test celé infrastruktury. Investice se ale vrátí – jedna zneužitá zranitelnost vás může stát mnohem víc.
Jak dlouho trvá bezpečnostní audit nebo penetrační test?
Audit obvykle trvá několik týdnů až měsíců, v závislosti na velikosti organizace a rozsahu certifikace. Pentest je rychlejší – základní test webové aplikace může být hotový za týden, komplexní test infrastruktury může trvat 2-4 týdny.
Musím mít bezpečnostní audit ze zákona?
Záleží na vašem odvětví a velikosti. Pokud spadáte pod zákon o kybernetické bezpečnosti (energie, zdravotnictví, finance, doprava…) nebo NIS2, audit je povinný. Pro ostatní je dobrovolný, ale silně doporučený, zejména pokud chcete certifikaci nebo pracujete s citlivými daty.
Jak často bych měl opakovat pentest?
Ideálně alespoň jednou ročně, ale závisí na dynamice vašeho IT prostředí. Po významných změnách (nová aplikace, migrace, změna infrastruktury) byste měli pentest zopakovat. Některé regulace nebo pojišťovny vyžadují pentest každých 6-12 měsíců.
Co když pentest najde kritické zranitelnosti?
To je přesně účel testu – najít problémy dřív, než je najde útočník. Dostanete report s prioritizací zranitelností podle závažnosti a doporučení, jak je opravit. Kritické zranitelnosti byste měli řešit okamžitě, ostatní podle plánu. Dobrý partner vám s implementací oprav pomůže.