Bilgisayar güvenliği denetimi, bir şirketin veya kuruluşun bilgi güvenliği hedeflerine ne kadar iyi ulaşıldığının teknik bir değerlendirmesidir. Şirketler çoğu zaman rasgele veya habersiz bir şekilde denetimler yapmak için bilgi teknolojisi (BT) uzmanları işe alır. Denetimin temel amaçlarından biri, yöneticilere, ağ güvenliğinin genel sağlığı hakkında bir fikir vermektir. Raporlar genellikle kapsamlı olup, ortaya çıkarılmamış risklerin yanı sıra uyumluluğu da belgelemektedir. Söz konusu ağın türüne ve söz konusu sistemlerin karmaşıklığına bağlı olarak, bir bilgisayar güvenlik denetimi bazen özel bir yazılım programıyla daha küçük bir ölçekte yapılabilir.
Ağlar, intranet bağlantıları ve İnternet erişilebilirliği, şirket ilişkilerini inanılmaz derecede verimli kılmıştır, ancak bu verimlilikle belirli bir güvenlik açığı ortaya çıkmaktadır. Yaygın riskler arasında bilgisayar korsanlığı, bilgi hırsızlığı ve bilgisayar virüsleri yer almaktadır. Şirketler genellikle bu riskleri azaltmak için bir dizi ağ güvenliği yazılımı programı uygular. Genellikle ağ kullanımını yöneten en iyi uygulama kurallarını da oluştururlar. Bir bilgisayar güvenlik denetimi, kurumsal liderlerin bu önlemlerin günlük olarak nasıl yürüdüklerine bakmalarının bir yoludur.
Denetimler genellikle yöneticilerin istediği kadar dar veya kapsamlı olabilir. Şirketlerin bireysel departmanları denetlemesinin yanı sıra parola gücü, çalışan verisine erişim eğilimleri veya kurumsal ana sayfanın genel bütünlüğü gibi belirli tehditlere odaklanması yaygın bir durumdur. Daha kapsamlı bir bilgisayar güvenliği denetimi, şirketin tüm bilgi güvenliği ayarlarını, hükümlerini ve eylemlerini bir kerede değerlendirir.
Çoğu durumda, denetim bir risk listesi ile bitmez. Potansiyel güvenlik açıklarını anlamak çok önemlidir, ancak yalnızca ağ güvenliğini sağlamaz. Bilgisayar güvenliği denetim raporları ayrıca sıradan kullanımı da ayrıntılı olarak belirtmelidir - özellikle, kullanımın bir şirketin güvenlik hedeflerine nasıl uyduğunu - ve sonra da iyileştirilmesi için önerilerde bulunur.
Hassas verilere erişimi analiz etmek, genellikle bilgisayar güvenliği denetiminin önemli bir parçasıdır. Hangi çalışanların verilere eriştiğini, ne sıklıkta ve niçin şirket liderlerine belirli bilgilerin gerçekten ne kadar özel olduğu konusunda bir fikir verebilir. Denetçiler ayrıca ana bilgisayar sitesi ve bireysel e-posta hesapları gibi kurumsal varlıkların güvenlik ayarlarına bakabilir ve genellikle denetim döneminde her birinin kaç kez giriş yaptığını hesaplayabilir. Buradaki amaç, bireysel çalışanları izlemek kadar ortalama trafik sıkıntısı hissetmek ve ortak kullanım modellerini anlamak kadar değildir.
Her şeyden öte, denetimin temel amacı, bilgisayar güvenliği ortamının kapsamlı bir resmini sağlamaktır. Çoğu şirket denetimleri düzenli olarak, genellikle BT departmanları aracılığıyla veya dış müteahhitlerle yapar. Bu alıştırmalar sayesinde gelişen tehditlere cevap olarak proaktif olmayı öğreniyorlar. Birçoğu, virüsten koruma ve bilgisayar güvenliği yazılımlarını günceller, parola politikalarını değiştirir ve denetim raporunun bulgularına ve tavsiyelerine yanıt olarak güvenlik duvarlarının gücünü artırır.
