Sto studiando per l'esame CISSP e uno dei punti delle videomessaggi non ha avuto senso per me. L'istruttore stava discutendo le aree di amministrazione del controllo degli accessi e ha iniziato a classificare alcune cose come "preventive" e "detective". Ad esempio, la crittografia dei dati: preventiva ... verifica dell'integrità dei dati: detective ... sistemi di alimentazione di backup: preventivo ... formazione degli utenti: preventiva e investigativa ....
Quando l'argomento arrivava agli audit, li etichettava come "detective". In una certa misura, capisco perché questo sarebbe in questo modo - dal momento che stiamo cercando vulnerabilità, se li troviamo ... li stiamo rilevando.
Allo stesso tempo però, non posso fare a meno di chiedermi se gli audit possano anche essere considerati di natura preventiva - perché stiamo cercando le vulnerabilità in anticipo nel tentativo di impedire che vengano sfruttate in un secondo momento.
Quali sono i tuoi pensieri? Forse sto pensando troppo a questo?