Dal punto di vista di InfoSec è perfettamente ragionevole. Nessun chirurgo può (o dovrebbe!) Garantire un funzionamento sicuro al 100%, nessun avvocato può garantire la condanna o l'assoluzione.
Naturalmente, il cliente non vuole che i professionisti di InfoSec prendano i loro soldi e si nascondano dietro a quella clausola nel loro contratto, se qualcosa dovesse oltrepassare l'audit.
Suggerirei che la soluzione al problema è esattamente ciò che hai menzionato, impostando le giuste aspettative. Il cliente deve aspettarsi che il team di InfoSec faccia il suo meglio per rilevare le vulnerabilità comuni e facilmente sfruttate. Ci sono molti modi per segnalare che hai veramente intenzione di fare del tuo meglio.
-
Garanzie finanziarie specifiche per l'ambito della richiesta di controllo: ad es. Rimborso del 100% per un'iniezione SQL sfruttata dopo l'audit.
-
Garanzie di reputazione : ad es. "Protetto da ACME InfoSec" sul proprio sito Web, in modo che il professionista di InfoSec abbia un interesse acquisito nel mantenere il sito sicuro.
-
Garanzie di controllo multiplo : ad es. Offrire di avere una ditta InfoSec concorrente fornisce una seconda opinione per il confronto.
-
Testimonianza : da altri clienti che hai aiutato in passato.
-
Prova di lavoro : dimostra l'efficacia effettiva dei tuoi consigli. per esempio. Attuatori di penne indipendenti attaccano prima e dopo l'implementazione delle raccomandazioni.
Naturalmente, tutto dipende da un cliente che comprende che le uniche certezze della vita sono la morte e le tasse.
Per quelli che insistono su garanzie al 100%, potresti certamente fornire quelli che rientrano nel campo di applicazione (punto 1 sopra). Potresti (e dovresti) includere una clausola di responsabilità massima - ad es. il massimo che dovrai pagare è $ x.