Un audit de securitate informatică este o evaluare tehnică a cât de bine sunt îndeplinite obiectivele de securitate a informațiilor unei companii sau organizații. De cele mai multe ori, companiile angajează specialiști în tehnologia informației (IT) pentru a efectua audituri, de obicei în mod aleatoriu sau neanunțat. Unul dintre obiectivele principale ale auditului este de a oferi directorilor o idee despre starea generală de sănătate a securității rețelei lor. Rapoartele sunt adesea cuprinzătoare, documentând conformitatea împreună cu orice riscuri descoperite. În funcție de tipul de rețea și de complexitatea sistemelor în cauză, un audit al securității computerului poate fi uneori realizat la o scară mai mică cu un program software dedicat.
Rețelele, conexiunile intranet și accesibilitatea la internet au făcut ca relațiile corporative să fie incredibil de eficiente, dar cu această eficiență vine un anumit grad de vulnerabilitate. Riscurile comune includ hacking, furtul de informații și virușii informatici. Companiile implementează de obicei o serie de programe software de securitate a rețelei pentru a atenua aceste riscuri. De obicei, aceștia creează și reguli de bune practici care guvernează utilizarea rețelei. Un audit de securitate computerizată este o modalitate prin care liderii corporativi pot analiza modul în care aceste măsuri funcționează în fiecare zi.
Auditurile pot fi de obicei la fel de restrânse sau cuprinzătoare pe cât doresc administratorii. Este obișnuit ca companiile să auditeze departamentele individuale, precum și să se concentreze pe amenințări specifice, cum ar fi puterea parolei, tendințele de acces la datele angajaților sau integritatea generală a paginii de pornire a companiei. Un audit mai cuprinzător al securității computerelor evaluează simultan toate setările, prevederile și acțiunile de securitate a informațiilor ale corporației.
În cele mai multe cazuri, auditul nu se încheie cu o listă de riscuri. Înțelegerea potențialelor vulnerabilități este foarte importantă, dar ea singură nu asigură securitatea rețelei. Rapoartele de audit al securității computerelor trebuie, de asemenea, să detalieze utilizarea obișnuită – în special, modul în care această utilizare respectă obiectivele de securitate ale unei companii – și apoi să facă sugestii de îmbunătățire de acolo.
Analiza accesului la date sensibile este de obicei o parte majoră a unui audit de securitate computerizată. A ști ce angajați au accesat date, cât de des și de ce le poate oferi liderilor corporativi o perspectivă asupra cât de private sunt cu adevărat anumite informații. Auditorii pot analiza, de asemenea, setările de securitate pentru activele corporative, cum ar fi site-ul web mainframe și conturile de e-mail individuale și pot calcula, de obicei, de câte ori a fost conectat fiecare în timpul perioadei de audit. Scopul aici nu este atât de a urmări angajații individuali, cât de a obține o idee a tiparelor medii de trafic și de a înțelege modelele comune de utilizare.
Mai mult decât orice, scopul principal al auditului este de a oferi o imagine de ansamblu a peisajului securității computerelor. Majoritatea companiilor programează audituri în mod regulat, adesea prin departamentele lor IT sau cu contractori externi. Prin aceste exerciții ei învață să fie proactivi ca răspuns la amenințările în evoluție. Mulți își actualizează antivirusul și software-ul de securitate pentru computer, își schimbă politicile privind parolele și își sporesc puterea firewall-urilor ca răspuns la constatările și recomandările rapoartelor de audit.