Turvallisuustarkastus
Tietoturvatarkastus koostuu sovelluksen, järjestelmän tai tietokannan systemaattisesta analyysistä sen arvioimiseksi, kuinka vakaa ja turvallinen se on. Lohkoketjujen yhteydessä tietoturvatarkastukset koostuvat älykkään sopimuksen tai lohkoketjukoodin vertaisarvioinnista mahdollisten vikojen tai puutteiden tunnistamiseksi.
Perinteisen määritelmän mukaan tietoturva-auditointi tutkii prosesseja ennalta määrätyn ohjeen mukaan tai suhteessa standardiin, kuten Common Criteria for IT Security Evaluation. Monet yritykset suorittavat tietoturvatarkastuksia varmistaakseen, että niiden järjestelmät ovat riittävän vahvoja mahdollisia vuotoja, tunkeutumisia tai kyberhyökkäyksiä vastaan.
Muutoin tietoturvatarkastukset ovat erittäin tärkeitä säädöstenmukaisuuden määrittämisessä, koska ne tekevät selväksi, kuinka yritys tai laitos käsittelee ja suojaa arkaluonteisia tietoja. Auditoinneissa voidaan tarkastella myös fyysistä pääsyä yrityksen tiloihin ja tietojärjestelmiin sekä olemassa olevia ennaltaehkäiseviä strategioita mahdollisia hyökkäyksiä vastaan.
Tietoturvatarkastuksia voidaan pitää yhtenä kolmesta päätyypistä tietoturvadiagnostiikkamenetelmistä haavoittuvuusarviointien ja tunkeutumistestien (alias kynätestien) ohella. Täydelliset tietoturvatarkastukset sisältävät kuitenkin usein kynätestejä ja haavoittuvuusarviointeja, joten termin määritelmä voi muuttua kontekstin mukaan.
Kuten mainittiin, turvallisuusauditointi yleensä arvioi tietojärjestelmän turvallisuutta kriteerien perusteella. Sitä vastoin haavoittuvuuden arviointi perustuu koko järjestelmän laajaan analyysiin, jotta tietoturva-aukot voidaan lopulta tunnistaa. Toisin sanoen tietoturvatarkastukset ovat tarkempia, keskittyvät tiettyyn markkinarakoon, ja haavoittuvuusarvioinnit ovat yleisempiä. Lopuksi meillä on penetraatiotestejä, jotka koostuvat simuloiduista hyökkäyksistä, joilla testataan sekä järjestelmän heikkouksia että vahvuuksia. Joissakin tapauksissa valkohattuisia hakkereita palkataan vain suorittamaan näitä valtuutettuja kyberhyökkäyksiä. Jotkut yritykset tarjoavat myös palkintoja Bug Bounty -ohjelmien kautta.
Ihannetapauksessa turvatarkastukset tulisi tehdä vähintään kerran vuodessa, jotta varmistetaan, että puolustusmekanismit ovat ajan tasalla viimeisimpiä uhkia vastaan.