Gero eta gehiago, erakundeak arrisku teknologikoaren eta haien ondorioen eraginpean daude. Erabiltzen dituzten tresna eta aplikazio teknologikoen etengabeko erabileratik dator arrisku hori. Teknologia erakundeetan sartu da erasoetarako helburua eta bitartekoa delako, egokiak ez diren babes-neurrien eta etengabeko aldaketa teknologikoaren ondorioz sortutako kalteberatasunengatik. Faktore horiek gero eta zailagoa egiten dute segurtasun-neurriak eguneratuta mantentzea.
Gainera, baliabide korporatiboak gaizki erabiltzea edo kontzientziazio falta izaten dira askotan kalteberatasunen eta erakundeek dituzten arriskuen kausa nagusia.
Beraz, segurtasun-auditoretza erakunde batek segurtasunarekiko duen adostasun-mailaren ebaluazioa da, aukeratutako erreferentziazko esparruak ezarritako betetze-atalaseen aurrean. Atalase horietara heltzen ez denean, “adostasunik eza” erregistratzen da eta segurtasun-auditoretzen kasuan, ekintza zuzena beharko duen kalteberatasun teknikoa edo antolakuntzakoa izango da. Erreferentzia esparruak hainbat testuingurutatik etor daitezke, eta ohikoenak dira:
- Erakundean zehaztutako segurtasun-politikak eta -prozedurak.
- Ezarritako antolakuntzarako politikak.
- Hainbat alorretako araudiak eta legeak (geografikoak, sektoreetakoak, etab.).
- Praktika onen kodeak eta borondatez ezartzeko estandarrak.
Alde horretatik, zibersegurtasuneko hainbat auditoretza mota daude:
- Helburuaren arabera:
- Sartze-testa (edo hacking etikoa): Erakunde baten segurtasun-neurri teknikoak (esaterako, firewallak, IDS/IPS, etab.) probatzen diren auditoretza da, erasotzaile batek egingo lukeen modu berean, zuzendu beharreko ahultasun edo kalteberatasun ustiagarriak hautemateko.
- Sareko auditoretza: Prozesu honek sare telematikoa aztertzen du, topologia ahulak, ekipo akastunak, softwarearen eguneraketa ezak edo segurua ez den edozein baliabide mota hautemateko. Sarera konektatuta dauden gailu guztiak berrikusi eta haien segurtasuna egiaztatzen du (firmwarearen eguneraketa, antibirusen markak, firewallaren arauak, sareko sarbide-kontrola, sarea VLANetan banatzea, Wifi sareen segurtasuna, etab.).
- Auditoretza forentsea: Eraso baten ostean egiten da eta eragin duten kausen eta kalteen irismenari (kaltetutako sistemak eta/edo informazioa) lotutako informazioa biltzea da helburua, baita hortik ikasi ahal izateko edo erantzun gisa ekintza motaren bat egitea ahalbidetzen duten ebidentzia digitalak biltzea ere.
- Web auditoretza: Analisi honek kalteberatasun potentzialak hautematen ditu web aplikazioetan, eta bereizketa egiten du:
- Analisi estatikoa (SAST): Kodigoa berrikusten du bertako kaltebertasunak bilatzeko.
- Analisi dinamikoa (DAST): Aplikazioaren exekuzio denboran, webgunearen gainean berrikusten du.
- Erabilitako metodologiaren arabera:
- Betetzekoa: segurtasun-estandar jakin baten (adb.: ISO 27001) edo erakundearen barne segurtasun-politiken eta prozeduren lege edo araudi bat egiaztatzen duten auditoretzak dira.
- Teknikoak: segurtasun teknikoko auditoretzak edo berrikusketak dira eta irismena berrikusi beharreko sistema informatiko batera edo batzuetara mugatuta dago.
- Nork egiten dituen kontuan izanda, honela sailkatu daitezke:
- Barnekoak, erakundeko langileek egiten dituztenean, kanpo laguntzarekin edo gabe.
- Kanpokoak (edo hirugarrengoenak) erakundekoak ez diren langileek egiten dituztenean.
Testuinguru horretan, segurtasun-auditoretzak oinarrizkoak dira erakunde guztientzat, tamaina gorabehera. Izan ere, ahulguneak hautematen laguntzen dute, bai fisikoak (hardwarea) bai logikoak (softwarea, informazio-sistemak eta informazioa) edo giza-faktorearekin zerikusia dutenak, eta beti balio dute hautemandako ahultasunentzako hobekuntza-plana ezartzeko.
