Säännölliset tarkastukset ovat välttämättömiä organisaation tietoturvakäytäntöjen sekä aihekohtaisten käytäntöjen, sääntöjen ja standardien noudattamisen varmistamiseksi. Näin varmistetaan, että tietoturva toteutetaan ja toimitaan organisaation yleisen tietoturvakehyksen mukaisesti. Jos vaatimuksia ei noudateta, johtajien tulee tunnistaa syyt, arvioida korjaavien toimenpiteiden tarve, toteuttaa kyseiset toimet ja arvioida sen jälkeen niiden tehokkuutta.
Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.
Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.
Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.
On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
