¿Qué es una auditoría de seguridad?

Una auditoría de seguridad es un análisis de la adecuación de la seguridad en un sistema de tecnología de la información. Los tipos de auditorías de seguridad generales incluyen una auditoría de TI para los sistemas de TI totales de la empresa, o una auditoría de seguridad informática para un sistema o proceso parcial de TI. Estos tipos de procesos de auditoría interna se realizan para garantizar que la seguridad sea suficiente para cualquier tipo de sistema de TI dentro de un negocio.

Aquellos que realicen una auditoría de seguridad pueden analizar el cifrado u otros elementos de seguridad en línea o computarizada. Pueden hacer entrevistas de usuarios de computadoras para determinar si el factor humano es un enlace débil en términos de seguridad. Un auditor de seguridad puede realizar una prueba de penetración u otro tipo de evaluación de seguridad, para juzgar cuán seguro puede ser un sistema de TI.

Algunos tipos de auditorías de seguridad son ordenados por el liderazgo empresarial como parte de la protección del resultado final para un negocio. Otras auditorías de seguridad se realizan para proporcionar el cumplimiento de las leyes federales, estatales o locales cuandoLos datos incluyen un elemento de riesgo público. En estos casos, las agencias gubernamentales pueden requerir auditorías de seguridad periódicas para demostrar que una empresa está salvaguardando los datos públicos.

La legislación conocida como la Ley de Portabilidad y Responsabilidad del Seguro de Salud o HIPAA es un principal impulsor de las auditorías de seguridad para las empresas médicas. Las reglas de HIPAA proporcionan una estricta seguridad de datos del paciente, y cada instalación o negocio relacionado con la médica debe cumplir con las regulaciones de HIPAA. Las tareas de auditoría de seguridad pueden incluir atención específica para asegurarse de que HIPAA se siga dentro de la empresa o la red.

Las empresas financieras u otras empresas pueden llevar a cabo una auditoría de seguridad bajo las regulaciones impuestas por la Ley Sarbanes-Oxley. Aunque Sarbanes-Oxley fue diseñado como una protección contra las prácticas de contabilidad corruptas, su legislación puede incluir elementos como las auditorías de seguridad como parte de un proceso de auditoría general. En otros casos, CLa legislación de protección de onsumer puede requerir que una empresa realice una auditoría de seguridad.

Una empresa a menudo puede tener una política de seguridad que exige cuándo y cómo se debe hacer una auditoría de seguridad. La auditoría de seguridad también puede implicar mirar "controles y equilibrios" dentro de un departamento o sistema comercial. Todo este esfuerzo se destina al objetivo general de salvaguardar los datos y proporcionar seguridad competente para cualquier tipo de empresa. Los auditores profesionales están capacitados en las métricas precisas que muestran si un sistema de seguridad es confiable y razonablemente protegido contra ataques externos.