Un audit de securitate este o analiză a caracterului adecvat al securității într-un sistem de tehnologie a informației. Tipurile de audituri generale de securitate includ un audit IT pentru sistemele IT totale ale companiei sau un audit de securitate informatică pentru un sistem sau proces IT parțial. Aceste tipuri de procese de audit intern sunt realizate pentru a se asigura că securitatea este suficientă pentru orice tip de sistem IT din cadrul unei afaceri.
Cei care efectuează un audit de securitate pot analiza criptarea sau alte elemente de securitate online sau computerizată. Ei pot face interviuri cu utilizatorii de computere pentru a determina dacă factorul uman este o verigă slabă în ceea ce privește securitatea. Un auditor de securitate poate urma un test de penetrare sau un alt tip de evaluare a securității, pentru a aprecia cât de sigur poate fi un sistem IT.
Unele tipuri de audituri de securitate sunt comandate de conducerea afacerii ca parte a protecției rezultatelor unei afaceri. Alte audituri de securitate sunt efectuate pentru a asigura conformitatea cu legile federale, statale sau locale atunci când datele corporative includ un element de risc public. În aceste cazuri, agențiile guvernamentale pot solicita audituri periodice de securitate pentru a arăta că o companie protejează datele publice.
Legislația cunoscută sub numele de Health Insurance Portability and Accountability Act sau HIPAA este un motor principal al auditurilor de securitate pentru întreprinderile medicale. Regulile HIPAA asigură securitatea strictă a datelor despre pacienți și fiecare unitate medicală sau afacere trebuie să respecte reglementările HIPAA. Sarcinile de audit de securitate pot include o atenție specială pentru a se asigura că HIPAA este urmată în cadrul companiei sau al rețelei.
Afacerile financiare sau de altă natură pot efectua un audit de securitate în conformitate cu reglementările impuse de Legea Sarbanes-Oxley. Deși Sarbanes-Oxley a fost conceput ca o protecție împotriva practicilor contabile corupte, legislația sa poate include elemente precum auditurile de securitate ca parte a unui proces general de audit. În alte cazuri, legislația privind protecția consumatorilor poate impune unei companii să efectueze un audit de securitate.
O afacere poate avea adesea o politică de securitate care impune când și cum ar trebui efectuat un audit de securitate. Auditul de securitate poate implica, de asemenea, analiza „verificărilor și echilibrului” în cadrul unui departament sau al unui sistem de afaceri. Toate aceste eforturi se îndreaptă către obiectivul general de a proteja datele și de a oferi securitate competentă pentru orice tip de întreprindere. Auditorii profesioniști sunt instruiți în valorile precise care arată dacă un sistem de securitate este fiabil și protejat în mod rezonabil împotriva atacurilor din exterior.