Concorda con Steve - tuttavia una fonte comune di non conformità è il regista o il consiglio di amministrazione. Questi individui spesso desiderano la tecnologia più recente, o vogliono più libertà o flessibilità rispetto al loro personale, e sono in una posizione di potere così possono richiederlo, quindi a volte il team di sicurezza delle informazioni deve identificare in modo proattivo soluzioni ai problemi tecnologici futuri per fornire un soluzione sicura per eccezione in questi casi.
Laddove i senior / executive management sono completamente coinvolti nelle politiche di sicurezza, un'organizzazione è in genere più robusta e la governance e la conformità sono più facilmente dimostrate, ma nella più usuale organizzazione aziendale l'obiettivo è quello di scendere a compromessi che consentono il business mentre non incide troppo sulla sicurezza.
Secondo la mia esperienza, questo non varia molto tra paesi dell'Europa, America o Medio Oriente, o in tutti i settori. Il punto è che le persone in posizioni senior vogliono fare affari a modo loro, e di solito il loro modo è considerato giusto per il business se fanno ricavi ed è qui che noi professionisti dell'Information Security entrano.
La circostanza in cui un individuo si siede su più di una tavola è un grosso problema. L'ideale di sicurezza è ovviamente quello di separare completamente ogni ruolo, tuttavia è improbabile che un regista possa trasportare più laptop. In genere accade che utilizzino un account e gestiscano tutte le e-mail e gli accessi da una macchina, e finisci per affidarsi a loro per non commettere errori.
Pericoloso!
La segregazione per macchina virtuale sembrerebbe essere un logico passo successivo, ma l'ho vista solo una volta. Questo può essere garantito a un livello elevato, ma richiede una certa comunicazione tra le organizzazioni per concordare le configurazioni ecc.