O que é uma auditoria de segurança?
Uma auditoria de segurança é uma análise da adequação da segurança em um sistema de tecnologia da informação. Os tipos de auditorias gerais de segurança incluem uma auditoria de TI para o total de sistemas de TI da empresa ou uma auditoria de segurança de computador para um sistema ou processo parcial de TI. Esses tipos de processos de auditoria interna são feitos para garantir que a segurança seja suficiente para qualquer tipo de sistema de TI dentro de uma empresa.
Aqueles que conduzem uma auditoria de segurança podem observar a criptografia ou outros elementos de segurança online ou computadorizada. Eles podem fazer entrevistas de usuários de computador para determinar se o fator humano é um vínculo fraco em termos de segurança. Um auditor de segurança pode buscar um teste de penetração ou outro tipo de avaliação de segurança, para julgar o quão seguro um sistema de TI pode ser.
Alguns tipos de auditorias de segurança são encomendados pela liderança empresarial como parte da proteção dos resultados para uma empresa. Outras auditorias de segurança são feitas para fornecer conformidade com leis federais, estaduais ou locais quando corporativoOs dados incluem um elemento de risco público. Nesses casos, as agências governamentais podem exigir auditorias periódicas de segurança para mostrar que uma empresa está protegendo os dados públicos.
A legislação conhecida como Lei de Portabilidade e Responsabilidade do Seguro de Saúde ou HIPAA é o principal fator de auditorias de segurança para empresas médicas. As regras HIPAA fornecem segurança rigorosa dos dados do paciente, e todas as instalações ou empresas relacionadas à medicina precisam cumprir os regulamentos da HIPAA. As tarefas de auditoria de segurança podem incluir atenção específica para garantir que a HIPAA seja seguida dentro da empresa ou rede.
Empresas financeiras ou outras podem conduzir uma auditoria de segurança sob os regulamentos impostos pela Lei Sarbanes-Oxley. Embora a Sarbanes-Oxley tenha sido projetada como uma proteção contra práticas contábeis corruptas, sua legislação pode incluir elementos como auditorias de segurança como parte de um processo geral de auditoria. Em outros casos, CA legislação de proteção do Sumer pode exigir que uma empresa conduza uma auditoria de segurança.
Uma empresa geralmente pode ter uma política de segurança que exige quando e como uma auditoria de segurança deve ser feita. A auditoria de segurança também pode envolver a análise de "cheques e saldos" em um departamento ou sistema de negócios. Todo esse esforço é destinado ao objetivo geral de proteger dados e fornecer segurança competente para qualquer tipo de empresa. Os auditores profissionais são treinados nas métricas precisas que mostram se um sistema de segurança é confiável e razoavelmente protegido contra ataques externos.