Auditul securității informaționale și testarea de tip pentesting: evaluarea riscurilor și vulnerabilităților în sistemele informatice

Abstract

Lucrarea de master este dedicată analizei auditului securității informaționale și testării de tip penetration testing, cu accent pe evaluarea riscurilor și vulnerabilităților din sistemele informatice moderne. Structura lucrării este organizată pe mai multe capitole interdependente, care îmbină fundamentele teoretice cu aplicarea practică a metodelor și instrumentelor de securitate. Capitolul 1 prezintă conceptele fundamentale ale securității informaționale și auditului acesteia, definind principiile de bază, tipurile de amenințări și rolul auditului în cadrul managementului riscurilor cibernetice. Capitolul 2 analizează metodele, tipurile de audit, standardele internaționale și instrumentele utilizate în auditul securității informaționale, evidențiind avantajele și limitările acestora. Capitolul 3 este dedicat rolului testării de tip pentesting în managementul riscurilor cibernetice și clasificării principalelor tipuri de vulnerabilități, conform standardelor recunoscute internațional. Capitolul 4 prezintă aplicarea practică a metodelor de pentesting într-un mediu de testare controlat, incluzând identificarea, exploatarea și evaluarea riscurilor asociate vulnerabilităților identificate. Capitolul 5 formulează recomandări tehnice și organizaționale pentru îmbunătățirea nivelului de securitate al sistemelor informatice. Prin conținutul său, lucrarea oferă o abordare integrată și coerentă a securității informaționale, demonstrând importanța combinării auditului de securitate cu testarea de tip pentesting în vederea reducerii riscurilor și protejării eficiente a resurselor informatice.

This master’s thesis focuses on the analysis of information security audit and penetration testing as essential approaches for assessing risks and vulnerabilities in modern information systems. The rapid development of information technologies and the growing number of cyber threats require organizations to adopt systematic and effective methods to ensure the protection of digital assets and the continuity of business processes. The thesis is structured into several interconnected chapters that combine theoretical foundations with practical application. Chapter 1 presents the fundamental concepts of information security and information security audit, highlighting the basic principles, types of cyber threats, and the role of audit in cyber risk management. Chapter 2 analyzes audit methods, audit types, international standards, and software tools used in information security audits, emphasizing their advantages and limitations. Chapter 3 examines the role of penetration testing in cyber risk management and provides a classification of common vulnerabilities based on internationally recognized standards. Chapter 4 addresses the practical application of penetration testing methods within a controlled testing environment, including the identification, exploitation, and risk evaluation of the discovered vulnerabilities. Chapter 5 formulates technical and organizational recommendations aimed at improving the overall level of information security. Through this integrated approach, the thesis demonstrates the importance of combining information security audit with penetration testing techniques in order to reduce cyber risks and enhance the security of modern information systems.