Una auditoría de seguridad de la información es una auditoría sobre el nivel de seguridad de la información en una organización. Dentro del amplio alcance de la auditoría de la seguridad de la información, existen múltiples tipos de auditorías, múltiples objetivos para diferentes auditorías, etc. Por lo general, los controles que se auditan se pueden clasificar en técnicos , físicos y administrativos . La auditoría de la seguridad de la información cubre temas que van desde la auditoría de la seguridad física de los centros de datos hasta la auditoría de la seguridad lógica de las bases de datos, y destaca los componentes clave que se deben buscar y los diferentes métodos para auditar estas áreas.
Cuando se centra en los aspectos de tecnología de la información (TI) de la seguridad de la información, puede verse como parte de una auditoría de tecnología de la información . A menudo se la denomina auditoría de seguridad de la tecnología de la información o auditoría de seguridad informática. Sin embargo, la seguridad de la información abarca mucho más que TI.
Un auditor debe estar adecuadamente informado sobre la empresa y sus actividades comerciales críticas antes de realizar una revisión del centro de datos. El objetivo del centro de datos es alinear las actividades del centro de datos con los objetivos del negocio mientras se mantiene la seguridad y la integridad de la información y los procesos críticos. Para determinar adecuadamente si se está logrando la meta del cliente, el auditor debe realizar lo siguiente antes de realizar la revisión:
El siguiente paso en la realización de una revisión de un centro de datos corporativo tiene lugar cuando el auditor describe los objetivos de la auditoría del centro de datos. Los auditores consideran múltiples factores relacionados con los procedimientos y actividades del centro de datos que potencialmente identifican riesgos de auditoría en el entorno operativo y evalúan los controles existentes que mitigan esos riesgos. Después de pruebas y análisis exhaustivos, el auditor puede determinar adecuadamente si el centro de datos mantiene los controles adecuados y está operando de manera eficiente y efectiva.
El siguiente paso es recopilar evidencia para satisfacer los objetivos de auditoría del centro de datos. Esto implica viajar a la ubicación del centro de datos y observar los procesos y dentro del centro de datos. Los siguientes procedimientos de revisión deben llevarse a cabo para satisfacer los objetivos de auditoría predeterminados:
El informe de revisión del centro de datos debe resumir los hallazgos del auditor y tener un formato similar al de un informe de revisión estándar. El informe de revisión debe estar fechado a partir de la finalización de la indagación y los procedimientos del auditor. Debe indicar lo que implicó la revisión y explicar que una revisión proporciona solo "seguridad limitada" a terceros.