Un aspetto di questo è che raccomandare "antivirus" di essere su tutto è una scommessa sicura, per il revisore.
Gli audit di sicurezza non riguardano interamente la sicurezza tecnica effettiva. Spesso si tratta anche di limitare la responsabilità in caso di causa.
Supponiamo che la tua azienda sia stata hackerata e che sia stata intentata una causa legale contro di te. La tua responsabilità specifica può essere mitigata in base al modo in cui hai seguito gli standard del settore. Supponiamo che i revisori non abbiano raccomandato AV su questo server, quindi non lo si installa.
La tua difesa in questo è che hai seguito le raccomandazioni di un revisore dei conti rispettato e passare il dollaro per così dire. Per inciso, questa è la ragione principale per cui utilizziamo revisori di terze parti. Nota che il trasferimento di responsabilità è spesso scritto nel contratto che firmi con i revisori: se non segui le loro raccomandazioni, dipende solo da te.
Bene, gli avvocati esamineranno quindi il revisore come possibile co-imputato. Nella nostra ipotetica situazione, il fatto che non abbiano raccomandato AV su un determinato server sarà visto come non accurato. Solo questo li ferirebbe nei negoziati, anche se non aveva assolutamente alcuna attinenza con l'attacco reale.
L'unica cosa fiscalmente responsabile che una società di revisione deve fare è avere una raccomandazione standard per tutti i server indipendentemente dall'effettiva superficie di attacco. In questo caso, AV su tutto . In altre parole, raccomandano una mazza anche quando un bisturi è tecnicamente superiore a causa del ragionamento legale.
Ha un senso tecnico? Generalmente no, poiché di solito aumenta il rischio. Ha senso per gli avvocati, un giudice o persino una giuria? Assolutamente, non sono tecnicamente competenti e incapaci di comprendere le sfumature. Ecco perché è necessario rispettare.
@ewwhite ti ha raccomandato di parlarne con il revisore. Penso che sia la strada sbagliata. Invece dovresti parlare con il procuratore della tua azienda per ottenere la loro opinione sul non seguire queste richieste.