¿Qué es una auditoría de seguridad?
Una auditoría de seguridad es un análisis de la adecuación de la seguridad en un sistema de tecnología de información. Tipos de auditorías de seguridad en general incluyen una auditoría de TI para los sistemas totales de la empresa, o una seguridad informática auditoría para un parcial sistema o proceso. Estos tipos de procesos de auditoría interna se realizan para garantizar que la seguridad es suficiente para cualquier tipo de sistema dentro de un negocio. Las realización de una auditoría de seguridad pueden mirar encriptación u otros elementos de seguridad en línea o automatizada. Pueden hacer entrevistas a los usuarios de computadoras para determinar si el factor humano es un eslabón débil en materia de seguridad. Un auditor de seguridad puede aplicar una prueba de penetración, o de otro tipo de evaluación de seguridad, para juzgar qué tan seguro puede ser un sistema.
Algunos tipos de auditorías de seguridad son ordenados por el liderazgo empresarial como parte de la protección de la línea de fondo para un negocio. Otras auditorías de seguridad se realizan con el fin de dar cumplimiento de las leyes federales, estatales o locales cuando los datos corporativos incluyen un elemento de riesgo público. En estos casos, agencias de gobierno pueden requerir auditorías de seguridad periódica para demostrar que un negocio es salvaguardar los datos públicos.
La legislación conocida como Health Insurance Portability y Accountability Act o HIPAA es un controlador principal de auditorías de seguridad para las empresas médicas. Las reglas de HIPAA preven seguridad estrictos datos del paciente, y cada centro médico relacionado o un negocio tiene que cumplir con las regulaciones de HIPAA. Tareas de auditoría de seguridad pueden incluir especial atención para asegurarse de que HIPAA es seguida dentro de la empresa o red.
Empresas financieras o de otras pueden llevar a cabo una auditoría de seguridad bajo las normas impuestas por la ley Sarbanes-Oxley. Aunque la ley Sarbanes-Oxley se diseñó como una protección contra las prácticas corruptas de la contabilidad, la legislación puede incluir elementos como auditorías de seguridad como parte de un proceso de auditoría general. En otros casos, la legislación de protección al consumidor puede requerir una empresa para llevar a cabo una auditoría de seguridad.
A menudo, un negocio puede tener una política de seguridad que establece cuándo y cómo debe hacerse una auditoría de seguridad. La auditoría de seguridad puede también implicar mirando "frenos y contrapesos" dentro de un sistema de departamento o negocio. Todo este esfuerzo va hacia el objetivo de salvaguardar los datos y proporcionando seguridad competente para cualquier tipo de empresa. Auditores profesionales están entrenados en las métricas precisas que muestran si un sistema de seguridad es fiable y razonablemente protegida contra ataques externos.
Algunos tipos de auditorías de seguridad son ordenados por el liderazgo empresarial como parte de la protección de la línea de fondo para un negocio. Otras auditorías de seguridad se realizan con el fin de dar cumplimiento de las leyes federales, estatales o locales cuando los datos corporativos incluyen un elemento de riesgo público. En estos casos, agencias de gobierno pueden requerir auditorías de seguridad periódica para demostrar que un negocio es salvaguardar los datos públicos.
La legislación conocida como Health Insurance Portability y Accountability Act o HIPAA es un controlador principal de auditorías de seguridad para las empresas médicas. Las reglas de HIPAA preven seguridad estrictos datos del paciente, y cada centro médico relacionado o un negocio tiene que cumplir con las regulaciones de HIPAA. Tareas de auditoría de seguridad pueden incluir especial atención para asegurarse de que HIPAA es seguida dentro de la empresa o red.
Empresas financieras o de otras pueden llevar a cabo una auditoría de seguridad bajo las normas impuestas por la ley Sarbanes-Oxley. Aunque la ley Sarbanes-Oxley se diseñó como una protección contra las prácticas corruptas de la contabilidad, la legislación puede incluir elementos como auditorías de seguridad como parte de un proceso de auditoría general. En otros casos, la legislación de protección al consumidor puede requerir una empresa para llevar a cabo una auditoría de seguridad.
A menudo, un negocio puede tener una política de seguridad que establece cuándo y cómo debe hacerse una auditoría de seguridad. La auditoría de seguridad puede también implicar mirando "frenos y contrapesos" dentro de un sistema de departamento o negocio. Todo este esfuerzo va hacia el objetivo de salvaguardar los datos y proporcionando seguridad competente para cualquier tipo de empresa. Auditores profesionales están entrenados en las métricas precisas que muestran si un sistema de seguridad es fiable y razonablemente protegida contra ataques externos.