¿Qué es una auditoría de seguridad?
Una auditoría de seguridad es un análisis de la idoneidad de la seguridad en un sistema de tecnología de la información. Los tipos de auditorías de seguridad generales incluyen una auditoría de TI para todos los sistemas de TI de la empresa, o una auditoría de seguridad informática para un sistema o proceso de TI parcial. Estos tipos de procesos de auditoría interna se realizan para garantizar que la seguridad sea suficiente para cualquier tipo de sistema de TI dentro de una empresa.
Aquellos que realizan una auditoría de seguridad pueden ver el cifrado u otros elementos de seguridad en línea o computarizada. Pueden hacer entrevistas a usuarios de computadoras para determinar si el factor humano es un eslabón débil en términos de seguridad. Un auditor de seguridad puede realizar una prueba de penetración u otro tipo de evaluación de seguridad para juzgar qué tan seguro puede ser un sistema de TI.
El liderazgo empresarial ordena algunos tipos de auditorías de seguridad como parte de la protección del resultado final de una empresa. Se realizan otras auditorías de seguridad para cumplir con las leyes federales, estatales o locales cuando los datos corporativos incluyen un elemento de riesgo público. En estos casos, las agencias gubernamentales pueden requerir auditorías de seguridad periódicas para demostrar que una empresa está protegiendo los datos públicos.
La legislación conocida como la Ley de Responsabilidad y Portabilidad del Seguro de Salud o HIPAA es el principal impulsor de las auditorías de seguridad para las empresas médicas. Las reglas de HIPAA brindan una estricta seguridad de los datos del paciente, y todas las instalaciones o negocios relacionados con la medicina deben cumplir con las regulaciones de HIPAA. Las tareas de auditoría de seguridad pueden incluir atención específica para asegurarse de que HIPAA se siga dentro de la empresa o la red.
Las empresas financieras o de otro tipo pueden llevar a cabo una auditoría de seguridad bajo las regulaciones impuestas por la ley Sarbanes-Oxley. Aunque Sarbanes-Oxley fue diseñado como una protección contra las prácticas contables corruptas, su legislación puede incluir elementos como auditorías de seguridad como parte de un proceso general de auditoría. En otros casos, la legislación de protección al consumidor puede requerir que una empresa realice una auditoría de seguridad.
Una empresa a menudo puede tener una política de seguridad que exige cuándo y cómo se debe realizar una auditoría de seguridad. La auditoría de seguridad también puede implicar la observación de "controles y equilibrios" dentro de un departamento o sistema comercial. Todo este esfuerzo se dirige hacia el objetivo general de proteger los datos y proporcionar seguridad competente para cualquier tipo de empresa. Los auditores profesionales están capacitados en las métricas precisas que muestran si un sistema de seguridad es confiable y está razonablemente protegido contra ataques externos.