También conocida como auditoría de seguridad informática, el término se refiere al proceso analítico y de gestión de sistemas a través del cual especialistas en el tema se abocan al estudio de las múltiples vulnerabilidades que puedan llegar a presentar las redes de comunicación, servidores o estaciones de trabajo de una empresa, y a través del estudio de las mismas identificar, describir y enumerar los riesgos que significan.

Con la información derivada de tales estudios, los profesionales pertinentes deberán abocarse a organizar y detallar la información obtenida de forma tal que los encargados de combatir tales vulnerabilidades puedan darle correcto uso y desarrollar las medidas de prevención, de refuerzo o corrección necesarias, siempre con el objetivo central de mejorar la seguridad de cada sistema y cerrarlos a intrusiones o reducir su margen de error. Por supuesto, la auditoría de sistemas abarca una minuciosa revisión y evaluación de cada uno de los sistemas, procedimientos informáticos, así como de la correcta utilización, eficiencia y seguridad de los diversos equipos de cómputo asimismo del acceso a archivos y obtención de información en general.

Como toda auditoría, la de sistemas de información comienza con una investigación preliminar, que incluye una primera observación panorámica del estado del área informática, su relación con la organización y si está o no debidamente actualizada, por ejemplo. La investigación previa abarcará, a la vez, los objetivos empresariales y comunicacionales a corto y mediano plazo, las posibilidades de conseguirlos de acuerdo a los recursos técnicos y materiales con que se cuente, contratos existentes, equipos y características, planes de expansión, entre muchos otros factores.

Una vez estudiado el caso, se  enumeran las redes, protocolos y topologías, se coteja la validez de acuerdo a los estándares internacionales (como ISO o COBIT), se identifican y evalúan las debilidades y sobre éstas se desarrollan medidas pertinentes de adecuación o corrección. Y por último, una vez resueltas las vulnerabilidades actuales se pasa a trabajar sobre las posibles futuras, en una instancia que se denomina “implantación de medidas preventivas”.