Tengo una pregunta sobre la programación de un análisis de vulnerabilidad y un ejercicio de evaluación.
Estoy en el proceso de establecer un programa para los análisis de vulnerabilidad. Me pregunto cuándo y por qué iniciar el escaneo en primer lugar: qué condiciones deben exigir el requisito.
¿Debería iniciarse este ejercicio siempre que haya un cambio en el diseño o la configuración de un sistema / aplicación?
Si me acerco con el enfoque, me veo obligado a cuestionar la corrección del cambio. ¿Se aprobó esta modificación, se siguieron las pautas o la mejor manera de implementar / introducir cambios?
Como el riesgo resultante de no seguir el protocolo / procedimientos de administración de cambios no es responsabilidad directa de los escáneres de vulnerabilidad, este riesgo no debe ser manejado por el sistema de control de cambios y otros medios (auditorías, etc.).
¿Por qué perdería tiempo evaluando el riesgo / probando una vulnerabilidad cuando sé que se siguió un proceso adecuado de gestión de cambios que no necesitaría analizar?
Entonces, ¿un ejercicio de exploración de vulnerabilidades debe ser impulsado por el cambio o la demanda?