Qu'est-ce qu'un audit de sécurité?
Un audit de sécurité est une analyse de l'adéquation de la sécurité dans un système de technologie de l'information. Les types d'audits de sécurité généraux incluent un audit informatique pour le total des systèmes informatiques de l'entreprise, ou un audit de sécurité informatique pour un système informatique ou un processus partiel. Ces types de processus d'audit interne sont effectués pour garantir que la sécurité est suffisante pour tout type de système informatique au sein d'une entreprise.
Ceux qui effectuent un audit de sécurité peuvent examiner le chiffrement ou d'autres éléments de sécurité en ligne ou informatisée. Ils peuvent faire des entretiens d'utilisateurs d'ordinateurs pour déterminer si le facteur humain est un lien faible en termes de sécurité. Un auditeur de sécurité peut poursuivre un test de pénétration, ou un autre type d'évaluation de la sécurité, pour juger de la sécurité d'un système informatique.
Certains types d'audits de sécurité sont commandés par le leadership d'entreprise dans le cadre de la protection des résultats pour une entreprise. D'autres audits de sécurité sont effectués afin de se conformer aux lois fédérales, étatiques ou locales lorsque l'entrepriseLes données comprennent un élément de risque public. Dans ces cas, les agences gouvernementales peuvent nécessiter des audits de sécurité périodiques pour montrer qu'une entreprise protége les données publiques.
La législation connue sous le nom de Loi sur la portabilité et la responsabilité de l'assurance maladie ou HIPAA est un principal moteur des audits de sécurité pour les entreprises médicales. Les règles de HIPAA prévoient une sécurité stricte des données des patients, et chaque établissement ou entreprise lié à un médecin doit se conformer aux réglementations HIPAA. Les tâches d'audit de sécurité peuvent inclure une attention spécifique pour s'assurer que HIPAA est suivi au sein de l'entreprise ou du réseau.
Les entreprises financières ou autres peuvent procéder à un audit de sécurité en vertu des réglementations imposées par la loi Sarbanes-Oxley. Bien que Sarbanes-Oxley ait été conçu comme une protection contre les pratiques comptables corrompues, sa législation peut inclure des éléments tels que des audits de sécurité dans le cadre d'un processus d'audit global. Dans d'autres cas, CLa législation sur la protection de l'on peut exiger qu'une entreprise produisait un audit de sécurité.
Une entreprise peut souvent avoir une politique de sécurité qui oblige quand et comment un audit de sécurité doit être effectué. L'audit de sécurité peut également impliquer de rechercher des «chèques et contrepoids» au sein d'un département ou d'un système commercial. Tous ces efforts sont consacrés à l'objectif global de protéger les données et d'assurer une sécurité compétente pour tout type d'entreprise. Les auditeurs professionnels sont formés dans les mesures précises qui montrent si un système de sécurité est fiable et raisonnablement protégé contre les attaques extérieures.