Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

Kaikki ulkopuolelta hankitut tuotteet ja palvelut olisi tarkistettava säännöllisesti sen varalta, että ohjelmistoja ja laitteistoja varten tarvitaan korjauksia tai päivityksiä.

Nämä korjaukset tulisi hankkia vain luotetuilta toimittajilta, ja olisi varmistettava, että ylläpidon suorittaa vain hyväksytty toimittajan henkilökunta ja että luvattomat muutokset kielletään.

Näiden tuotteiden ja palveluiden alkuperä, aitous ja eheys on myös vahvistettava ja vaadittava organisaation politiikkojen mukaisesti ja säilytettävä koskemattomana.

Kaikista tietoturvaongelmista tai korjaustarpeista on ilmoitettava viipymättä johtajille ja asianomaisille osapuolille.

Organisaatioiden olisi säännöllisesti tarkistettava käytettyjen avoimien lähdekoodien uudet versiot. Ihannetapauksessa tämä prosessi on automatisoitu. Avoimen lähdekoodin uudet versiot voivat usein sisältää uusia turvatoimintoja, tietoturvakorjauksia jne.

Organisaation täytyy pitää huolta, että lisensoidut ohjelmistot päivitetään 14 päivän kuluessa päivityksen julkaisusta ja silloin, kun:

• Päivitys korjaa haavoittuvuuksia, jotka luokitellaan kriittiseksi tai korkean riskin haavoittuvuudeksi
• toimittaja ei kerro yksityiskohtia korjattavan haavoittuvuuden vakavuudesta

Organisaation on varmistettava, että haavoittuvuuksia havaitsevat suojausjärjestelmät sekä niissä mahdollisesti hyödennetyt avaintiedot (esim. threat signaturet) päivitetään vähintään viikottain.

Päivityksissä tulisi kiinnittää huomiota automaation mahdollistamiseen sekä valvontaan, jonka kautta puutteellinen toiminta havaitaan.

Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

• voidaanko korjaustiedosto testata ennalta kunnolla?
• onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
• onko korjaustiedosto on saatavilla luotettavasta lähteestä?
• mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
• tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.