A auditoria de Segurança em TI é um trabalho bastante completo que analisa toda a TI relacionada ao negócio com o objetivo de apresentar os níveis de segurança encontrados para cada elemento informatizado da empresa. Os resultados obtidos mostram como a empresa pode melhorar o seu nível de segurança de modo que elimine ou reduza os riscos inerentes ao negócio. Este trabalho permite que o cliente conheça o atual estado de segurança dos ativos analisados e, desta forma, possa aprimorar as defesas da organização, priorizando o que for mais crítico ao negócio.

Dentre estes itens de análise estão:

1. Níveis de maturidade em segurança
2. Perfil do risco X Índices de defesas implementados
3. Análise detalhada da maturidade por subsistemas
4. Controles de segurança implementados e ainda não implementados
5. Visão geral das ameaças
6. Visão geral dos controles
7. Classificação geral dos ativos para impacto ao negócio
8. Análise de vulnerabilidades dos servidores e serviços
9. Análise de vulnerabilidades
10. Análise de práticas de usuários
11. Falhas de sistema que podem comprometer o bom andamento dos processos
12. Falhas de segurança relacionado a acesso físico e lógico da estrutura de TI

Perfil do risco X Índices de defesas implementados

As análises apresentam graficamente a situação atual da segurança no ambiente corporativo, através da interpretação das diversas informações coletadas durante a auditoria. Assim, é traçado o PRE (perfil de risco da empresa), que é uma medida de risco relacionada ao setor e ao modelo de negócio da empresa; e o IDP (Índice de defesa em profundidade), que vem a ser uma medida das defesas de segurança usadas para pessoas, processos e tecnologias para atenuar os riscos identificados.

O gráfico a seguir indica as diferenças no valor de defesa em profundidade, organizadas por área de análise. Em geral, é melhor ter uma classificação de IDP no mesmo nível da classificação de PRE para a mesma categoria. Um desequilíbrio dentro da categoria ou entre as categorias em qualquer direção pode indicar a necessidade de realinhamento dos seus investimentos em TI.