La auditoría de seguridad implica comparar las políticas de seguridad de una empresa con lo que realmente está ocurriendo. El objetivo de la auditoría de seguridad es validar que existan controles de seguridad, generalmente utilizando un enfoque basado en el riesgo. La auditoría a menudo implica la revisión de procesos comerciales y, en muchos casos, puede no ser muy técnica. No todas las auditorías son de alto nivel, pero la mayoría son bastante simplistas.
Por el contrario, el hacking ético se centra en las vulnerabilidades que pueden ser explotadas. Valida que los controles de seguridad no existen o son ineficaces en el mejor de los casos. El hackeo ético puede ser altamente técnico y no técnico, y aunque usas una metodología formal, tiende a ser un poco menos estructurado que la auditoría formal.
Si continúa la auditoría en su organización, podría considerar la integración de técnicas de piratería ética en su programa de auditoría de TI. Se complementan entre sí muy bien.
Auditoría de seguridad interna:
En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
Auditoría de seguridad perimetral:
En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
Test de intrusión:
El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
Análisis forense:
El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.