Efektivní implementace penetračního testování v malých a středních podnicích: Analýza metodik a nástrojů
| Název práce: | Efektivní implementace penetračního testování v malých a středních podnicích: Analýza metodik a nástrojů |
|---|---|
| Autor(ka) práce: | Caldr, Dan |
| Typ práce: | Bakalářská práce |
| Vedoucí práce: | Doucek, Petr |
| Oponenti práce: | Klíma, Tomáš |
| Jazyk práce: | Česky |
| Abstrakt: | Penetrační testování představuje nástroj pro ověřování bezpečnosti digitálních systémů, jeho efektivní implementace však pro malé a střední podniky (MSP) zůstává výzvou, často kvůli omezeným finančním a personálním zdrojům či nedostatečnému povědomí o relevantních kybernetických rizicích. Práce se zaměřuje na MSP dodávající e-shopová řešení a provádí systematickou analýzu čtyř metodik - NIST SP 800-115, PTES, OSSTMM a OWASP WSTG - z hlediska jejich aktuálnosti, flexibility, nákladovosti a komplexnosti pokrytí jednotlivých fází penetračního testování s ohledem na specifika MSP. Výsledky komparativní analýzy ukazují, že pro tyto MSP je nejvhodnější kombinace procesního rámce PTES pro plánování a reporting s technickými postupy OWASP WSTG pro testování webových aplikací, jelikož žádná samostatná metodika plně nevyhovuje. Praktická případová studie na platformě OWASP Juice Shop potvrdila efektivitu navrženého přístupu identifikací osmi zranitelností, včetně dvou kritických, ale zároveň poukázala na obtížnost objektivního ověření úplnosti provedených testů, což představuje obecnější problém v této oblasti. Přehled dostupných nástrojů a doporučený metodický postup nabízí MSP vyvíjejícím e-shopy praktický návod pro systematické zlepšování kybernetické bezpečnosti jejich produktů. |
| Klíčová slova: | Penetrační testování; E-commerce platformy; Kybernetická bezpečnost; Malé a střední podniky (MSP); Metodiky penetračního testování |
| Název práce: | Effective Implementation of Penetration Testing in Small and Medium-sized Enterprises: Analysis of Methodologies and Tools |
|---|---|
| Autor(ka) práce: | Caldr, Dan |
| Typ práce: | Bachelor thesis |
| Vedoucí práce: | Doucek, Petr |
| Oponenti práce: | Klíma, Tomáš |
| Jazyk práce: | Česky |
| Abstrakt: | Penetration testing is a tool for verifying the security of digital systems, yet its effective implementation remains a challenge for small and medium-sized enterprises (SMEs), often due to limited financial and personnel resources or insufficient awareness of relevant cybersecurity risks. This work focuses on SMEs supplying e-shop solutions and performs a systematic analysis of four methodologies - NIST SP 800-115, PTES, OSSTMM, and OWASP WSTG, evaluating their actuality, flexibility, cost-effectiveness, and the comprehensiveness of penetration testing phase coverage considering SME specifics. The results of the comparative analysis indicate that the most suitable approach for these SMEs is a combination of the PTES process framework for planning and reporting with the technical procedures of OWASP WSTG for web application testing, as no single methodology is fully adequate. A practical case study on the OWASP Juice Shop platform confirmed the effectiveness of the proposed approach by identifying eight vulnerabilities, including two critical ones, while also highlighting the difficulty of objectively verifying the completeness of the tests performed, which represents a more general problem in this area. The overview of available tools and the recommended methodological procedure offers SMEs developing e-shops practical guidance for systematically improving the cybersecurity of their products. |
| Klíčová slova: | Small and medium-sized enterprises (SME); Penetration testing; Penetration testing methodologies; Cybersecurity; E-commerce platforms |
Informace o studiu
| Studijní program / obor: | Aplikovaná informatika |
|---|---|
| Typ studijního programu: | Bakalářský studijní program |
| Přidělovaná hodnost: | Bc. |
| Instituce přidělující hodnost: | Vysoká škola ekonomická v Praze |
| Fakulta: | Fakulta informatiky a statistiky |
| Katedra: | Katedra systémové analýzy |
Informace o odevzdání a obhajobě
| Datum zadání práce: | 4. 2. 2025 |
|---|---|
| Datum podání práce: | 12. 5. 2025 |
| Datum obhajoby: | 17. 6. 2025 |
| Identifikátor v systému InSIS: | https://insis.vse.cz/zp/91254/podrobnosti |