Audyt bezpieczeństwa komputerowego to techniczna ocena tego, jak dobrze spełniane są cele firmy lub organizacji w zakresie bezpieczeństwa informacji. W większości przypadków firmy zatrudniają specjalistów ds. technologii informatycznych (IT) do przeprowadzania audytów, zwykle w sposób losowy lub niezapowiedziany. Jednym z głównych celów audytu jest przedstawienie kadrze kierowniczej poglądu na ogólny stan bezpieczeństwa ich sieci. Raporty są często wyczerpujące i dokumentują zgodność wraz z wszelkimi niezidentyfikowanymi zagrożeniami. W zależności od rodzaju sieci i złożoności systemów, o których mowa, audyt bezpieczeństwa komputera może być czasem przeprowadzony na mniejszą skalę za pomocą dedykowanego oprogramowania.
Sieci, połączenia intranetowe i dostęp do Internetu sprawiły, że transakcje korporacyjne są niezwykle wydajne, ale z tą wydajnością wiąże się pewien stopień podatności. Typowe zagrożenia obejmują włamania, kradzież informacji i wirusy komputerowe. Firmy zwykle wdrażają szereg programów zabezpieczających sieć, aby złagodzić te zagrożenia. Zwykle tworzą również zasady najlepszych praktyk dotyczących korzystania z sieci. Audyt bezpieczeństwa komputerowego to sposób, w jaki liderzy korporacji mogą przyjrzeć się, jak te środki działają na co dzień.
Audyty mogą być zwykle tak wąskie lub kompleksowe, jak sobie tego życzą administratorzy. Często zdarza się, że firmy przeprowadzają audyt poszczególnych działów, a także koncentrują się na określonych zagrożeniach, takich jak siła haseł, trendy w dostępie do danych pracowników lub ogólna integralność strony głównej firmy. Bardziej kompleksowy audyt bezpieczeństwa komputerowego ocenia jednocześnie wszystkie ustawienia bezpieczeństwa informacji korporacyjnych, przepisy i działania.
W większości przypadków audyt nie kończy się listą ryzyk. Zrozumienie potencjalnych luk w zabezpieczeniach jest bardzo ważne, ale samo w sobie nie zapewnia bezpieczeństwa sieci. Raporty z audytów bezpieczeństwa komputerowego muszą również szczegółowo opisywać zwykłe użytkowanie — w szczególności, w jaki sposób jest ono zgodne z celami bezpieczeństwa firmy — a następnie zawierać sugestie dotyczące ulepszeń.
Analiza dostępu do poufnych danych jest zwykle główną częścią audytu bezpieczeństwa komputerowego. Wiedza o tym, którzy pracownicy korzystali z danych, jak często i dlaczego, może dać liderom korporacji pewien wgląd w to, jak naprawdę prywatne są dane informacje. Audytorzy mogą również przyjrzeć się ustawieniom bezpieczeństwa zasobów korporacyjnych, takich jak witryna mainframe i indywidualne konta e-mail, i zazwyczaj mogą obliczyć, ile razy każde z nich było logowane w okresie audytu. Celem jest tutaj nie tyle śledzenie poszczególnych pracowników, co poznanie wzorców średniego ruchu i zrozumienie typowych modeli użytkowania.
Przede wszystkim głównym celem audytu jest przedstawienie całościowego obrazu krajobrazu bezpieczeństwa komputerowego. Większość firm regularnie planuje audyty, często poprzez swoje działy IT lub z zewnętrznymi wykonawcami. To dzięki tym ćwiczeniom uczą się być proaktywnym w odpowiedzi na zmieniające się zagrożenia. Wiele z nich aktualizuje swoje oprogramowanie antywirusowe i zabezpieczające komputery, zmienia zasady dotyczące haseł oraz zwiększa siłę swoich zapór w odpowiedzi na wyniki i zalecenia raportów audytowych.