Ho chiesto al mio cliente (una banca) perché non si certifichi rispetto agli standard ISO 27000. La risposta è stata che se avessero certificato, aumenterebbe il rischio di essere attaccati.
Ha senso? Gli hacker possono essere consapevoli che alcune aziende particolari sono certificate? A mio parere, se la società non lo dichiara pubblicamente, nessuno lo saprebbe mai ... Inoltre, poiché questa è una banca, possiede già intrinsecamente un certo livello di rischio.