Una auditoría de seguridad puede incluir probar el software de una computadora en busca de vulnerabilidades.

Una auditoría de seguridad es un análisis de la idoneidad de la seguridad en un sistema de tecnología de la información . Los tipos de auditorías de seguridad general incluyen una auditoría de TI para todos los sistemas de TI de la empresa o una auditoría de seguridad informática para un sistema o proceso de TI parcial. Estos tipos de procesos de auditoría interna se realizan para garantizar que la seguridad sea suficiente para cualquier tipo de sistema de TI dentro de una empresa.

Una auditoría de seguridad es un análisis de la idoneidad de la seguridad en un sistema de tecnología de la información.

Aquellos que realizan una auditoría de seguridad pueden considerar el cifrado u otros elementos de seguridad en línea o computarizada. Pueden realizar entrevistas a usuarios de computadoras para determinar si el factor humano es un eslabón débil en términos de seguridad. Un auditor de seguridad puede realizar una prueba de penetración u otro tipo de evaluación de seguridad para juzgar qué tan seguro puede ser un sistema de TI.

Como parte de la Ley Sarbanes-Oxley promulgada por el Congreso, las auditorías de seguridad pueden usarse como parte de un proceso de auditoría comercial general.

El liderazgo empresarial ordena algunos tipos de auditorías de seguridad como parte de la protección de los resultados de una empresa. Se realizan otras auditorías de seguridad para cumplir con las leyes federales, estatales o locales cuando los datos corporativos incluyen un elemento de riesgo público. En estos casos, las agencias gubernamentales pueden requerir auditorías de seguridad periódicas para demostrar que una empresa protege los datos públicos.

Una auditoría de seguridad en una práctica médica puede garantizar que se sigan las reglas de HIPAA con respecto a la privacidad de los archivos de los pacientes.

La legislación conocida como Ley de Portabilidad y Responsabilidad de Seguros de Salud o HIPAA es un impulsor principal de las auditorías de seguridad para las empresas médicas. Las reglas de HIPAA brindan una estricta seguridad de los datos del paciente, y todas las instalaciones o empresas relacionadas con la medicina deben cumplir con las regulaciones de HIPAA. Las tareas de auditoría de seguridad pueden incluir atención específica para asegurarse de que se siga la HIPAA dentro de la empresa o la red.

Las empresas financieras o de otro tipo pueden realizar una auditoría de seguridad según las regulaciones impuestas por la ley Sarbanes-Oxley. Aunque Sarbanes-Oxley se diseñó como una protección contra las prácticas contables corruptas, su legislación puede incluir elementos como auditorías de seguridad como parte de un proceso de auditoría general . En otros casos, la legislación de protección al consumidor puede requerir que una empresa realice una auditoría de seguridad.

A menudo, una empresa puede tener una política de seguridad que indique cuándo y cómo se debe realizar una auditoría de seguridad. La auditoría de seguridad también puede implicar la observación de “controles y equilibrios” dentro de un departamento o sistema comercial. Todo este esfuerzo se dirige hacia el objetivo general de proteger los datos y brindar seguridad competente para cualquier tipo de empresa. Los auditores profesionales están capacitados en métricas precisas que muestran si un sistema de seguridad es confiable y está razonablemente protegido contra ataques externos.