Hasta ahora hemos visto la importancia de analizar los riesgos y de gestionarlos y documentarlos mediante una política de seguridad. Además, se deben aplicar una serie de técnicas y procedimientos de forma organizada para controlar el correcto funcionamiento de la organización. En otras palabras, se busca verificar que se cumplen los objetivos de la política de seguridad. Ésto, en términos generales, es lo que se conoce como auditoría.

El concepto de auditoría, inicialmente fue enfocado al terreno económico-financiero, pero hoy en día, este proceso se aplica en diversos ámbitos. En concreto y tomando como punto de partida la definición del párrafo anterior, la auditoría informática, consiste en una serie de procesos que se aplican para proteger los recursos de la empresa y asegurar un correcto funcionamiento.

Una auditoría puede llevarse a cabo por personal de la propia empresa o por personal ajeno a la misma, siendo esta opción la más aconsejable. La razón por la que es preferible que la auditoría se lleve a cabo por una persona o equipo ajeno a la empresa es de sentido común: si el encargado de los sistemas informáticos analiza los riesgos existentes con el fin de detectar deficiencias, es probable que su criterio no sea del todo objetivo. En algunos casos podría ser como “tirar piedras contra su propio tejado”.

Las etapas generales de una auditoría de podrían resumir a los siguientes puntos:

• Evaluación inicial del entorno auditable.
• Definición del alcance y los objetivos de la auditoría.
• Planificación.
• Puesta en marcha del proceso.
• Informe y propuestas de mejora.
• Seguimiento.

Muchos de estos procesos se pueden automatizar y, por ello, existen numerosos programas destinados a auditoría de seguridad.