Ho una domanda riguardante la pianificazione di una scansione delle vulnerabilità e un esercizio di valutazione.
Sono in procinto di stabilire una pianificazione per le scansioni di vulnerabilità. Mi chiedo quando e perché iniziare la scansione in primo luogo - Quali condizioni dovrebbero richiedere il requisito.
Questo esercizio dovrebbe essere avviato ogni volta che si verifica un cambiamento nella progettazione o configurazione di un sistema / applicazione?
Se vado con approccio sono costretto a mettere in discussione la correttezza del cambiamento. Questo è stato approvato, ha seguito le linee guida o il modo migliore per implementare / introdurre cambiamenti.
Poiché il rischio derivante dal mancato rispetto del protocollo / delle procedure di gestione delle modifiche non è la responsabilità diretta degli scanner di vulnerabilità, qualora tale rischio non fosse gestito dal sistema di controllo delle modifiche e da altri mezzi (audit, ecc.).
Perché dovrei sprecare tempo a valutare il rischio / testare una vulnerabilità quando so se è stato seguito un processo di gestione delle modifiche corretto che non avrei dovuto eseguire la scansione.
Quindi un esercizio di scansione delle vulnerabilità dovrebbe essere guidato dal cambiamento o dalla domanda?