Cos'è un audit di sicurezza?
Un audit di sicurezza è un'analisi dell'adeguatezza della sicurezza in un sistema di tecnologia dell'informazione. I tipi di audit di sicurezza generale includono un audit IT per i sistemi IT totali dell'azienda o un audit di sicurezza informatica per un sistema o processo parziale IT. Questi tipi di processi di audit interni vengono eseguiti per garantire che la sicurezza sia sufficiente per qualsiasi tipo di sistema IT all'interno di un'azienda.
Coloro che conducono un audit di sicurezza possono esaminare la crittografia o altri elementi di sicurezza online o computerizzata. Possono fare interviste agli utenti di computer per determinare se il fattore umano è un collegamento debole in termini di sicurezza. Un revisore dei conti di sicurezza può perseguire un test di penetrazione o altro tipo di valutazione della sicurezza, per giudicare quanto possa essere sicuro un sistema IT.
Alcuni tipi di audit di sicurezza sono ordinati dalla leadership aziendale come parte della protezione dei profitti per un'azienda. Altri audit di sicurezza vengono effettuati al fine di fornire conformità con le leggi federali, statali o locali quando le societàI dati includono un elemento di rischio pubblico. In questi casi, le agenzie governative possono richiedere audit di sicurezza periodici per dimostrare che un'azienda sta salvaguardando i dati pubblici.
La legislazione nota come legge sulla portabilità e responsabilità dell'assicurazione sanitaria o HIPAA è un fattore principale di audit di sicurezza per le imprese mediche. Le regole HIPAA prevedono una rigorosa sicurezza dei dati dei pazienti e ogni impianto o azienda correlati medici deve essere conforme alle normative HIPAA. Le attività di audit di sicurezza possono includere un'attenzione specifica per assicurarsi che l'HIPAA sia seguito all'interno dell'azienda o della rete.
Le imprese finanziarie o di altro tipo possono condurre un audit di sicurezza ai sensi dei regolamenti imposti dal Sarbanes-Oxley Act. Sebbene Sarbanes-Oxley sia stato progettato come una protezione contro le pratiche contabili corrotte, la sua legislazione può includere elementi come gli audit di sicurezza come parte di un processo di revisione generale. In altri casi, cLa legislazione sulla protezione dell'onsumer può richiedere a un'azienda di condurre un audit di sicurezza.
Un'azienda può spesso avere una politica di sicurezza che impone quando e come dovrebbe essere fatto un audit di sicurezza. L'audit di sicurezza può anche comportare la ricerca di "assegni e saldi" all'interno di un dipartimento o di un sistema aziendale. Tutto questo sforzo è destinato all'obiettivo generale di salvaguardare i dati e fornire sicurezza competente a qualsiasi tipo di impresa. I revisori professionisti sono addestrati in metriche precise che mostrano se un sistema di sicurezza è affidabile e ragionevolmente protetto contro gli attacchi esterni.