Mikä on tietoturva-auditoinnin ja testauksen ero?
Tietoturva-auditoinnissa tarkoituksena on raportoida, onko tarkastettu järjestelmä vaatimusten mukainen. Mikäli puutteita havaitaan, ne korjataan. Raportin näkökulmasta tulos on binäärinen: joko ollaan vaatimusten mukaisia tai sitten ei olla. Tietoturva-auditointi vastaa siis siihen, kuinka hyvin tietoturvavaatimukset täyttyvät.
Tietoturvatestaus eroaa auditoinnista siinä, että järjestelmän tietoturvavaatimukset eivät johda tekemistä. Tekeminen on luonteeltaan kokeilevaa, adaptoituvaa ja ennen kaikkea luovaa eikä se perustu valmiisiin tarkastuslistoihin tai vaatimuksiin.
Tietoturva-auditoinnin osana voi olla haavoittuvuusskannaus, mutta haavoittuvuuksia ei useinkaan pyritä aktiivisesti hyödyntämään. Tietoturvatestauksessa haavoittuvuusskannaus on yksi työvaihe ja havaittuja haavoittuvuuksia pyritään aktiivisesti hyödyntämään uusien tietoturva-aukkojen löytämiseksi. Aktiivisen hyödyntämisen avulla saadaan skannerien raportoimat ”väärät positiiviset” (false positive) havainnot poistettua sekä haavoittuvuuksien todellinen riskitaso arvioitua.
Lue myös: Tietoturva-auditointi vai pentestaus – kumman tarvitset?
Kaipaatko lisätietoja tietoturvatestauksesta?
Lähetä viesti tai jätä yhteydenottopyyntö niin keskustellaan tarpeistanne lisää!