Los datos están en constante peligro principalmente por dos causas: errores o ataques de los usuarios y ataques intencionados o fortuitos. Mediante una Auditoría de Seguridad de la Información, pueden identificarse los puntos fuertes y débiles de una organización con respecto al manejo de la seguridad general y de su información y se pueden definir claramente los pasos a seguir para lograr un perfeccionamiento de la misma.
Una Auditoria de Seguridad de la Información mejora sustancialmente la eficiencia en la seguridad general y de la información en especial, minimizando el riesgo de intrusión en los sistemas (manuales o informáticos), robos, uso indebido, alteración de información, abuso de privilegios o interrupción de los servicios ofrecidos, elimina los riegos innecesarios y fundamentalmente posibilita la toma de decisiones sobre la seguridad basándose en información precisa, confiable y completa permitiendo la definición de responsabilidades bien diferenciadas.
Realizar y exigir auditorías periódicas mejoran la salud de los sistemas y previenen ataques e incidentes, ya que estadisticamente el mayor porcentaje (más del 70 %) de las agresiones intencionadas son internas a las organizaciones.
Los objetivos de una Auditoria en Seguridad de la Información apuntan a proteger la continuidad del negocio a través de una serie de recomendaciones generales y tecnológicas basadas en el cumplimiento de la norma ISO27002 que abarcan los diferentes activos de la empresa: su informacion digital y fisica, la infraestructura, los recursos humanos, la seguridad fisica y ambiental y las comunicaciones.