Una auditoría de seguridad informática es una evaluación técnica de qué tan bien se están cumpliendo los objetivos de seguridad de la información de una empresa u organización. La mayoría de las veces, las empresas contratan especialistas en tecnología de la información (TI) para realizar auditorías, generalmente de forma aleatoria o sin previo aviso. Uno de los principales objetivos de la auditoría es proporcionar a los ejecutivos una idea del estado general de la seguridad de su red. Los informes suelen ser completos y documentan el cumplimiento junto con los riesgos descubiertos. Según el tipo de red y la complejidad de los sistemas en cuestión, a veces se puede realizar una auditoría de seguridad informática a menor escala con un programa de software dedicado.
Las redes, las conexiones de intranet y la accesibilidad a Internet han hecho que los tratos corporativos sean increíblemente eficientes, pero esta eficiencia conlleva cierto grado de vulnerabilidad. Los riesgos comunes incluyen piratería, robo de información y virus informáticos. Las empresas suelen implementar una serie de programas de software de seguridad de red para mitigar estos riesgos. Por lo general, también crean reglas de mejores prácticas que rigen el uso de la red. Una auditoría de seguridad informática es una forma en que los líderes corporativos pueden ver cómo funcionan estas medidas en el día a día.
Por lo general, las auditorías pueden ser tan limitadas o completas como lo deseen los administradores. Es común que las empresas auditen departamentos individuales, así como que se centren en amenazas específicas, como la seguridad de la contraseña, las tendencias de acceso a los datos de los empleados o la integridad general de la página de inicio corporativa. Una auditoría de seguridad informática más general evalúa todas las configuraciones, disposiciones y acciones de seguridad de la información de la corporación a la vez.
En la mayoría de los casos, la auditoría no termina con una lista de riesgos. Comprender las vulnerabilidades potenciales es muy importante, pero por sí solo no garantiza la seguridad de la red. Los informes de auditoría de seguridad informática también deben detallar el uso ordinario, específicamente, cómo ese uso cumple con los objetivos de seguridad de una empresa, y luego hacer sugerencias para mejorar a partir de ahí.
El análisis del acceso a datos confidenciales suele ser una parte importante de una auditoría de seguridad informática. Saber qué empleados han accedido a los datos, con qué frecuencia y por qué puede dar a los líderes corporativos una idea de cuán privada es realmente cierta información. Los auditores también pueden ver la configuración de seguridad de los activos corporativos, como el sitio web del mainframe y las cuentas de correo electrónico individuales, y generalmente pueden calcular cuántas veces se ha iniciado sesión en cada uno durante el período de auditoría. El objetivo aquí no es tanto rastrear a los empleados individuales como tener una idea de los patrones de tráfico promedio y comprender los modelos de uso comunes.
Más que nada, el objetivo principal de la auditoría es proporcionar una imagen general del panorama de la seguridad informática. La mayoría de las empresas programan auditorías de forma regular, a menudo a través de sus departamentos de TI o con contratistas externos. Es a través de estos ejercicios que aprenden a ser proactivos en respuesta a las amenazas en evolución. Muchos actualizan su software antivirus y de seguridad informática, cambian sus políticas de contraseñas y mejoran la solidez de sus firewalls en respuesta a los hallazgos y recomendaciones de los informes de auditoría.