Setelah melakukan survei pendahuluan dan telah dilakukan penilaian terhadap web server dan web aplikasi yang akan diaudit ada beberapa hal lain yang menjadi pertimbangan auditor saat melakukan audit terhadap web server dan web aplikasi, yaitu:
a.Keamanan fisik
Dalam memeriksa keamanan fisik, auditor harus memperhatikan lokasi fisik sistem dan lokasi fisik sistem dapat diakses.
Untuk kebanyakan perusahaan, server data dan perangkat keras server diletakkan di ruangan ber-AC yang tidak memiliki jendela dan tidak mudah diakses (diakses menggunakan kartu keamanan atau sistem entri kode kunci). Untuk sistem yang lebih kritis, mungkin penting juga untuk memeriksa para pemegang kartu keamanan tersebut atau mengubah kode kunci yang digunakan untuk memasuki ruang server secara teratur.
Bergantung pada tingkat keamanan yang diperlukan, mungkin perlu untuk memeriksa bahwa penjaga keamanan dipekerjakan untuk menjaga dari penyusup  dapat dipercaya dan dapat diandalkan serta telah menjalani pemeriksaan pihak keamanan.
Perlu juga memeriksa lokasi web server cadangan yang berperan sebagai mirroring atau backup web server utama jika terjadi bencana termasuk provider internetnya. Apakah hanya menggunakan satu isp atau lebih sebagai cadangan jika terjadi masalah dengan ispnya. Begitu juga jaringan router, hub, firewall dan lainnya.
b.Prosedur, Peran, dan Tanggung Jawab
Ini adalah area yang terlalu sering diabaikan dalam audit keamanan. Auditor sering memusatkan perhatian pada aspek fisik dan teknis dari keamanan dan lupa untuk memastikan bahwa prosedur yang tepat telah tersedia, telah ditulis, dan diikuti. Namun itu bisa menjadi bagian kunci yang jika hilang akan menciptakan ancaman terbesar bagi keamanan.
Penting untuk memastikan bahwa kebijakan diterapkan untuk memastikan bahwa hasil audit dan rekomendasi audit selama ini telah digunakan secara efektif. Beberapa sistem akan diminta untuk mencatat lebih banyak daripada yang lain (untuk alasan hukum atau operasional), tetapi audit minimum yang harus dilakukan harus mencatat upaya login mana yang gagal dan dari alamat IP mana asalnya.
Apakah ada prosedur untuk memastikan bahwa log audit aktivitas sistem ditinjau secara berkala untuk mencari tanda-tanda niat jahat (seperti login berulang yang gagal)? Siapa yang melakukan prosedur ini, dan seberapa sering? Apakah mereka efektif?
Apakah ada kebijakan yang memastikan sandi tidak mudah ditebak? Misalnya, apakah kata sandi wajib terdiri dari delapan karakter dan terdiri dari campuran angka dan huruf? Apakah sistem memaksa pengguna untuk mengubah sandi secara teratur?
Perangkat lunak pemindai virus paling efektif di dunia tidak akan mampu mengatasi virus yang sangat baru sehingga belum ada "penawar" yang diciptakan. Adakah ada prosedur yang harus dilakukan jika diserang oleh virus? Banyak dari virus terbaru yang paling mematikan menggunakan VBScript untuk menulis sendiri ke halaman Web dan juga ke email, jadi ini dapat menjadi pertimbangan.
Dalam kemungkinan seperti itu, siapa yang harus diberitahu tentang wabah tersebut? Siapa yang bertanggung jawab untuk membuat keputusan tentang seberapa serius serangan tersebut?
Penting juga bagi auditor untuk memeriksa bahwa prosedur ini tidak hanya ditulis dalam dokumen dan dilupakan, tetapi juga diketahui oleh mereka yang perlu mengikutinya dan bahwa prosedur tersebut dilaksanakan secara efektif bila diperlukan.
Auditor yang efektif harus melihat tidak hanya semua rute fisik ke dalam sistem (perangkat keras), tetapi juga rute logis ke dalam sistem --- yaitu, dari jaringan mana sistem dapat diakses dan bagaimana? Apakah ada VPN yang mengizinkan akses ke jaringan area lokal dari luar gedung fisik? Apakah akses diperbolehkan dari situs Web ke bagian mana pun dari sistem? Dapatkah anggota staf melakukan panggilan langsung ke sistem internal menggunakan telepon rumah mereka?
Untuk setiap jalur akses logis, auditor harus memeriksa bahwa ada cara yang efektif untuk mengidentifikasi dan mengautentikasi kelompok pengguna yang diizinkan mengakses dari titik itu.
c.Persyaratan Arsitektur Teknis
Auditor harus memastikan bahwa arsitektur teknis dapat mendukung tingkat keamanan yang diperlukan.
Misalnya, persyaratan keamanan yang sangat berbeda ada untuk arsitektur teknis untuk menjalankan intranet daripada yang menjalankan situs Web Internet.
Arsitektur teknis intranet dirancang untuk memungkinkan akses ke data dan sistem internal hanya untuk pengguna internal (biasanya karyawan). Dalam skenario seperti itu, satu firewall atau server proxy mungkin menyediakan gateway di mana semua karyawan dapat mengakses Internet, tetapi tidak ada seorang pun di Internet yang dapat mengakses sistem internal.
d.Konfigurasi Server Web
Selain memeriksa penggunaan file, direktori, dan keamanan database di server Web, penting untuk memeriksa banyak aspek lain dari konfigurasi server Web. Instalasi dan konfigurasi server web telah ditentukan oleh Sans sebagai satu-satunya penyebab pelanggaran keamanan terbesar.
Sejumlah masalah instalasi / konfigurasi dan "lubang" keamanan telah ditemukan (dan akan terus ditemukan) di banyak server Web terkemuka, jadi sangat penting untuk memeriksa apakah administrator server Web selalu up-to-date dengan update system keamanan yang memperbaiki lubang keamanan tersebut.
Microsoft menyediakan alat untuk melakukan konfigurasi untuk aplikasi web server yang mereka sediakan yang dapat diakses melalui situs resmi mereka http://www.microsoft.com/technet/security/tools/locktool.asp.
e.Pengembangan Perangkat Lunak
Auditor harus memperhatikan dengan cermat cara pengembangan perangkat lunak untuk digunakan dalam sistem yang diaudit. Banyak masalah terkait keamanan di beberapa bagian karena "bug" yang diperkenalkan selama tahap pemrograman.
Desain, pengembangan, tinjauan kode, pengujian, dan kontrol kode sumber / proses manajemen perubahan harus diperiksa dengan cermat untuk memastikan bahwa mereka direkayasa untuk mengurangi kemungkinan masuknya bug ke dalam sistem.
f.Perangkat Lunak Pemindai Virus
Kebijakan ini akan memastikan bahwa semua PC yang mengakses jaringan telah menginstal dan mengaktifkan antivirus dan memperbarui secara teratur (seberapa sering tergantung pada risiko yang dianggap organisasi). Jika suatu sistem pernah menonaktifkan pemindaian virus, seluruh sistem harus dipindai lagi sebelum terhubung kembali ke jaringan. Selanjutnya, server file dan server Web (dan perangkat keras lain yang terhubung ke jaringan) harus memiliki virus- perangkat lunak pemindaian terpasang.
g.Konfigurasi Browser
Auditor keamanan harus memastikan bahwa browser di seluruh perusahaan diatur untuk menerapkan kebijakan seluruh perusahaan yang disepakati di mana konten harus dapat diunduh / digunakan dalam perusahaan.
Implikasi dari mengizinkan kontrol ActiveX yang tidak diotorisasi dan skrip VB di dalam browser harus dipertimbangkan dengan sangat hati-hati, karena teknologi seperti itu, meskipun kuat, akan tetapi membawa serta risiko keamanan yang besar: Mereka memungkinkan konten yang diunduh untuk berinteraksi dengan file dan sistem operasi pada mesin klien.
Kesimpulan
Saat ini diera digitalisasi, keberadaan sebuah web server dan web aplikasi banyak membantu manusia dalam menjalankan aktivitasnya terutama terkait dengan sebuah organisasi perusahaan, oleh karena itu penting untuk menjaga keamanan dari sebuah fasilitas web server dan web aplikasi yang digunakan karena hampir dipastikan investasi yang dilakukan tidak sedikit dan sangat mempengaruhi kegiatan operasional sebuah organisasi perusahaan.
Dalam melakukan audit terhadap web server dan web aplikasi, auditor harus terlebih dahulu memahami profil pengguna web server dan web aplikasi tersebut, bagaimana web server dan web aplikasi tersebut diperuntukkan, kontrol atas  akses ke web server dan web aplikasi tersebut. Sehingga audit program dapat dirancang dengan komprehensif dan menghasilkan sebuah hasil atau rekomendasi yang benar-benar dibutuhkan dan bisa diaplikasikan.
Daftar Pustaka
Web Server. (2017). Encyclopedia of GIS, 2498--2498.
Webb, A. (2001). Why Audit a Web Server? Network Security, 2001(9), 11--14.
