Ho chiesto al mio cliente (una banca) perché non si certifichi rispetto agli standard ISO 27000. La risposta è stata che se avessero certificato, aumenterebbe il rischio di essere attaccati.
Ha senso? Gli hacker possono essere consapevoli che alcune aziende particolari sono certificate? A mio parere, se la società non lo dichiara pubblicamente, nessuno lo saprebbe mai ... Inoltre, poiché questa è una banca, possiede già intrinsecamente un certo livello di rischio.
Non vedo un aumento del rischio di attacco dovuto all'essere un'organizzazione certificata ISO.
ANSI (l'ente per le norme governative) non rilascia le denominazioni commerciali delle organizzazioni certificate ISO. Ci sono organizzazioni che ti offrono la possibilità di cercare un'organizzazione certificata ISO 27001 ma quelle organizzazioni hanno scelto di registrarsi volontariamente.
Sospetto che un altro driver (costo elevato, ingombro di grandi dimensioni, implementazione del flusso di lavoro operativo) sia alla base della mancanza di desiderio di diventare certificati.