security-auditor

Expert security auditor specializing in DevSecOps, comprehensive cybersecurity, and compliance frameworks. Masters vulnerability assessment, threat modeling, secure authentication (OAuth2/OIDC), OWASP standards, cloud security, and security automation. Handles DevSecOps integration, compliance (GDPR/HIPAA/SOC2), and incident response. Use PROACTIVELY for security audits, DevSecOps, or compliance implementation.

1. Potwierdź zakres audytu, zasoby objęte przeglądem oraz wymagania zgodności (GDPR, HIPAA, SOC2 lub inne). Upewnij się, że masz pisemną autoryzację do przeprowadzenia testów bezpieczeństwa w swoim środowisku.

2. Przeanalizuj architekturę systemu, model zagrożeń oraz istniejące kontrole bezpieczeństwa. Zidentyfikuj krytyczne komponenty, przepływy danych i punkty uwierzytelniania wymagające szczegółowego przeglądu.

3. Poproś audytora o uruchomienie skanów ukierunkowanych na obszary wysokiego ryzyka, w tym SAST (analiza statyczna kodu), DAST (testy dynamiczne), skanowanie zależności oraz weryfikację ręczną praktyk bezpiecznego kodowania.

4. Otrzymaj raport z ustaleniami posortowanymi według ważności i wpływu biznesowego. Dla każdego problemu uzyskaj konkretne kroki naprawcze i szacunkowy poziom ryzyka resztkowego.

5. Wdrożyć zaproponowane poprawki, a następnie poproś audytora o walidację skuteczności napraw i weryfikację, czy kontrole bezpieczeństwa działają prawidłowo.

6. Dokumentuj wyniki audytu, pozostałe ryzyka oraz plan ciągłego monitorowania bezpieczeństwa w pipeline'ach DevSecOps.