O que é uma auditoria de segurança?
Uma auditoria de segurança é uma análise da adequação da segurança em um sistema de tecnologia da informação. Os tipos de auditorias gerais de segurança incluem uma auditoria de TI para o total de sistemas de TI da empresa ou uma auditoria de segurança de computadores para um processo ou sistema de TI parcial. Esses tipos de processos de auditoria interna são realizados para garantir que a segurança seja suficiente para qualquer tipo de sistema de TI em uma empresa.
Aqueles que realizam uma auditoria de segurança podem examinar a criptografia ou outros elementos de segurança online ou computadorizada. Eles podem fazer entrevistas com usuários de computadores para determinar se o fator humano é um elo fraco em termos de segurança. Um auditor de segurança pode realizar um teste de penetração ou outro tipo de avaliação de segurança para avaliar a segurança de um sistema de TI.
Alguns tipos de auditorias de segurança são solicitadas pela liderança comercial como parte da proteção dos resultados financeiros de uma empresa. Outras auditorias de segurança são realizadas para garantir a conformidade com as leis federais, estaduais ou locais quando os dados corporativos incluem um elemento de risco público. Nesses casos, as agências governamentais podem exigir auditorias periódicas de segurança para mostrar que uma empresa está protegendo dados públicos.
A legislação conhecida como Lei de Portabilidade e Responsabilidade do Seguro de Saúde ou HIPAA é o principal fator de auditorias de segurança para empresas médicas. As regras da HIPAA prevêem segurança rigorosa dos dados do paciente, e todas as instalações ou empresas relacionadas à área médica devem cumprir os regulamentos da HIPAA. As tarefas de auditoria de segurança podem incluir atenção específica para garantir que o HIPAA seja seguido na empresa ou na rede.
Negócios ou outros negócios financeiros podem realizar uma auditoria de segurança de acordo com os regulamentos impostos pela lei Sarbanes-Oxley. Embora a Sarbanes-Oxley tenha sido projetada como uma proteção contra práticas contábeis corruptas, sua legislação pode incluir elementos como auditorias de segurança como parte de um processo geral de auditoria. Em outros casos, a legislação de proteção ao consumidor pode exigir que uma empresa realize uma auditoria de segurança.
Uma empresa geralmente pode ter uma política de segurança que determina quando e como uma auditoria de segurança deve ser realizada. A auditoria de segurança também pode envolver a análise de "freios e contrapesos" em um departamento ou sistema comercial. Todo esse esforço é direcionado ao objetivo geral de proteger os dados e fornecer segurança competente para qualquer tipo de empresa. Os auditores profissionais são treinados nas métricas precisas que mostram se um sistema de segurança é confiável e razoavelmente protegido contra ataques externos.