Mitä tietoturvatestaaminen on?

Usein testaaminen tehdään verkon yli eikä se edellytä kehitys- tai muihin ympäristöihin erillisten ohjelmistojen asentamista; tarvittavat työkalut ovat testaajien omalla työasemalla tai muissa testausta tuottavan yrityksen ympäristöissä.

Testaamisen aikana tehdyt havainnot varmistetaan niiden liiketoiminnallisten ja teknisten vaikutusten arvioimiseksi. Tämä poistaa ns. väärät positiiviset havainnot sekä auttaa riskien arvioinnissa ja korjaustöiden priorisoinnissa.

Testauksen lopputuloksena tuotetaan raportti, jossa kuvataan tehdyn työn laajuus, mahdolliset havainnot ja niiden aiheuttama riski sekä korjaussuositukset. Tulokset käydään läpi erillisessä palaverissa tilaajan kanssa, jolloin varmistetaan että havaintojen vakavuus ja vaadittavat korjaustoimenpiteet ovat kaikille selkeitä.

Tietoturvatestausta voidaan tehdä joko projektityyppisesti tai jatkuvana palveluna. Projektityyppisen toimituksen jälkeen voi olla tarpeen tehdä erillinen korjaustarkastus, mikäli havaintoja on paljon tai ne ovat riskitasoltaan vakavia.

Jatkuvassa palvelussa tarkastellaan kohdejärjestelmää säännöllisin väliajoin, jolloin testaataan uudet ominaisuudet ja edelliskerran havaintojen korjaustyö. Jatkuvuus tuottaa myös havaintoja itse kehitystyöstä esimerkiksi mikäli samankaltaisia havaintoja tehdään usein tai mikäli jotkut haavoittuvuudet osoittautuvat hankaliksi korjata, tai korjaustyöt eivät etene suunnitellusti.