Los ecosistemas informáticos de las empresas son cada vez más complejos, realizan cada vez más tareas, son usados por cada vez más usuarios y por lo tanto, son cada vez más difíciles de controlar. Para tratar de minimizar los riesgos informáticos, es necesario que frecuentemente, las empresas realicen auditorías de seguridad informática, las cuales son estudios realizados por profesionales externos a las empresas y tienen la finalidad de descubrir posibles vulnerabilidades en el ecosistema informático, incluyendo: sistemas de información, red de cómputo tanto alámbrica como inalámbrica, enlaces de Internet, servidores y equipo de cómputo de los empleados; dispositivos móviles, hábitos digitales de los usuarios, así como la verificación de cumplimiento de normativas vigentes
Existe un sinnúmero de auditorías de seguridad informática, pero las más populares en el mundo empresarial son las siguientes:
Muchas de estas auditorías se basan en estándares como: COBIT (Objetivos de Control de la Tecnológica de la Información), ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información), Norma ISO 27002 (Código de buenas prácticas), ISACA (Asociación de Auditoría y Control de Sistemas de Información), ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información), estándar mundial de facto en la Gestión de Servicios Informáticos, entre muchas otras más.
Es muy importante que las auditorías informáticas las realicen personas fuera de tu organización. Por más objetiva que sea, una auditoría interna podría sesgar los resultados del estudio, y el objetivo NO es decir que todo está bien, sino encontrar los puntos débiles de tu ecosistema digital y actuar en consecuencia. Al mismo tiempo, es muy importante que las auditorías se realicen de manera periódica, pues los cambios en tus plataformas y las nuevas vulnerabilidades que aparecen todos los días podrían cambiar los resultados de la misma.