Per qualcuno che sta conducendo un controllo di sicurezza. Il controllore della sicurezza può essere ritenuto responsabile di eventuali violazioni della sicurezza?
Per qualcuno che sta conducendo un controllo di sicurezza. Il controllore della sicurezza può essere ritenuto responsabile di eventuali violazioni della sicurezza?
Professionally competent auditors having exercised due care generally cannot be held liable for a security breach due to undiscovered vulnerabilities
Le ragioni principali sono spiegate di seguito.
Reasonable assurance vs. absolute assurance
Una limitazione intrinseca di qualsiasi controllo è che le garanzie fornite sono ragionevoli e non assolute in base alle prove raccolte dal revisore. Non è possibile ottenere la garanzia assoluta. Finché gli auditor seguono linee guida per l'audit professionale e documentano correttamente il loro lavoro, sono normalmente protette. Sarebbe non essere fattibile per un revisore per garantire l'assoluta sicurezza in quanto tutte le vulnerabilità di sicurezza saranno rilevate, a causa di fattori limitanti come le risorse di audit assegnate, la cooperazione di gestione, ecc.
Lo stesso vale per i controlli di sicurezza in quanto tali controlli limitano solo i rischi mitigate ma non completamente , altrimenti definiti come una minaccia che sfrutta una vulnerabilità. La misura in cui viene raggiunta la mitigazione del rischio dipende principalmente dal modo in cui il controllo è progettato e operativo. Ho detto principalmente nella frase precedente perché anche se un particolare controllo di sicurezza (esempio: Segregation of Duties) è sia progettato che operativo in modo efficace, collusione umana o override di gestione può rendere inefficace il controllo di sicurezza.
Management Control over security controls
Un controllo di sicurezza (o qualsiasi controllo) non può di per sé dimostrare altro che un controllo è stato fatto. Il motivo principale è che i controlli di sicurezza, come sottoinsieme dei controlli interni di un'azienda, sono supervisionati e di proprietà della direzione di tale società. I revisori dei conti, in qualità di soggetti esterni indipendenti, non possono attestare controlli di sicurezza non sottoscritti dalla direzione. Pertanto, i revisori possono solo attestare le asserzioni della gestione della gestione aziendale e mancano i necessari controlli di sicurezza per raggiungere determinati principi o inadeguati, dovrebbero qualificare la propria opinione rilasciata alla direzione. È il management che alla fine può decidere di proteggere un'organizzazione, non il controllore della sicurezza.
La risposta breve è che non possono essere previsti standard come ISO 27001 ecc. La PCI, d'altro canto, può avere sanzioni e per questo motivo alle organizzazioni di valutazione viene prescritta una copertura assicurativa minima.
Leggi altre domande sui tag audit