Salah satu aspek dari ini adalah bahwa merekomendasikan "anti-virus" untuk semuanya adalah taruhan yang aman, bagi auditor.
Audit keamanan tidak sepenuhnya tentang keselamatan teknis yang sebenarnya. Seringkali mereka juga tentang membatasi tanggung jawab dalam kasus gugatan.
Katakanlah perusahaan Anda diretas dan gugatan class action diajukan terhadap Anda. Tanggung jawab khusus Anda dapat dikurangi berdasarkan seberapa baik Anda mengikuti standar industri. Katakanlah auditor tidak merekomendasikan AV di server ini, jadi Anda tidak menginstalnya.
Pembelaan Anda dalam hal ini adalah bahwa Anda mengikuti rekomendasi dari auditor yang dihormati dan memberikan tanggung jawab untuk berbicara. Kebetulan, itulah alasan UTAMA kami menggunakan auditor pihak ketiga. Perhatikan bahwa pengalihan tanggung jawab sering ditulis ke dalam kontrak yang Anda tanda tangani dengan auditor: jika Anda tidak mengikuti rekomendasinya, semuanya ada pada Anda.
Nah, pengacara kemudian akan menyelidiki auditor sebagai calon terdakwa. Dalam situasi hipotetis kami, fakta bahwa mereka tidak merekomendasikan AV pada server tertentu akan dianggap tidak menyeluruh. Itu saja akan menyakiti mereka dalam negosiasi bahkan jika itu sama sekali tidak ada kaitannya dengan serangan yang sebenarnya.
Satu-satunya hal yang bertanggung jawab secara fiskal untuk dilakukan oleh perusahaan audit adalah memiliki rekomendasi standar untuk semua server terlepas dari permukaan serangan yang sebenarnya. Dalam hal ini, AV dalam segala hal . Dengan kata lain mereka merekomendasikan palu godam bahkan ketika pisau bedah secara teknis unggul karena alasan hukum.
Apakah ini masuk akal secara teknis? Umumnya tidak seperti itu biasanya meningkatkan risiko. Apakah masuk akal untuk pengacara, hakim atau bahkan juri? Tentu saja, mereka tidak kompeten secara teknis dan tidak mampu memahami nuansa. Itulah sebabnya Anda harus mematuhinya.
@ewwhite merekomendasikan Anda untuk berbicara dengan auditor tentang hal ini. Saya pikir itu jalan yang salah. Sebaliknya, Anda harus berbicara dengan pengacara perusahaan Anda untuk mendapatkan pendapat mereka tentang tidak mengikuti permintaan ini.