Un aspecto de esto es que recomendar "anti-virus" para estar en todo, es una apuesta segura, para el auditor.
Auditorías de seguridad no son enteramente sobre la realidad de la seguridad técnica. A menudo son también acerca de la limitación de responsabilidad en caso de una demanda.
Digamos que su empresa fue hackeado y una demanda de acción de clase presentada en su contra. Su responsabilidad específica puede ser mitigado basada en lo bien que has seguido los estándares de la industria. Digamos que los auditores de cuentas, ¿ no recomendamos AV en este servidor, por lo que no se instala.
Su defensa es que ha seguido las recomendaciones de un respetado auditor y pasar la pelota por así decirlo. Por cierto, ese es el PRINCIPAL motivo por el que usamos tercera parte de los auditores. Tenga en cuenta que el desplazamiento de la responsabilidad es a menudo escrita en el contrato que firme con los auditores: si no siguen sus recomendaciones, es todo en usted.
Bueno, abogados entonces investigar el auditor como una posible co-demandado. En nuestra situación hipotética el hecho de que ellos no recomiendan AV en un servidor en particular serán considerados como no ser exhaustivo. Que solo les duele en las negociaciones, incluso si no tenía absolutamente nada que ver con el ataque en sí.
El único responsable fiscalmente, lo que para una empresa de auditoría que hacer es tener una recomendación estándar para todos los servidores, independientemente de ataque real de superficie. En este caso, AV en todo. En otras palabras, se recomienda un martillo, incluso cuando un bisturí es técnicamente superior, debido al razonamiento jurídico.
¿Tiene sentido técnico? Generalmente no, ya que generalmente aumenta el riesgo. No tiene sentido abogados, un juez o incluso un jurado? Absolutamente, no son técnicamente competentes y capaces de comprender los matices. Cual es la razón por la que usted necesita para cumplir.
@ewwhite recomienda hablar con el auditor de cuentas acerca de esto. Creo que ese es el camino equivocado. En lugar usted debe hablar con su compañía de abogado para obtener su opinión sobre no seguir estas solicitudes.