Además, dependiendo del entorno en el que se esté trabajando, se podrán clasificar como auditorías internas o externas.
- INTERNA: se trata de una auditoría en la que se dispone de acceso a la red LAN del cliente; puede ser mediante acceso físico o a través de una VPN.
- EXTERNA: se trata de una auditoría en la que el único acceso a las infraestructuras del cliente es mediante una conexión a internet. Esto supone (seguramente) tener que tratar con las medidas perimetrales de las que disponga el cliente.
Adicionalmente, es posible recibir otros tipos de auditorías por parte de un cliente:
- WIRELESS: en este tipo de auditorías se deben comprobar las medidas de seguridad de conexión a una red wireless; si dicha red inalámbrica dispone de medidas de seguridad adicionales (servidor RADIUS, por ejemplo), habrá que comprobar su seguridad. Otra tarea importante en redes wireless es comprobar la correcta segmentación de la red.
- MÓVILES: en este tipo de auditorías las tareas se centran exclusivamente en el análisis del funcionamiento y la seguridad de un dispositivo móvil o smartphone, y hay que evaluar sus aplicaciones instaladas, conexiones establecidas, IMEI, estado de rooteo/jailbreak del dispositivo…
- APLICACIÓN WEB: en este tipo de auditorías se debe comprobar el código fuente y el funcionamiento de una aplicación web que (probablemente) esté en fase de desarrollo para su puesta en producción; eso implica comprobar todo tipo de vulnerabilidad relacionada con aplicaciones web (XSS, inyecciones SQL/XML/LDAP/PHP, RCE, File Include, etc.).
- APLICACIÓN: en este caso, se debe depurar el funcionamiento de una aplicación. Este tipo de auditorías son realmente complejas, ya que implican tareas de fuzzing y debugging, lo cual requiere skills de niveles avanzados de pentesting.