इसका एक पहलू यह है कि ऑडिटर के लिए "एंटी-वायरस" हर चीज पर होने की सिफारिश करना एक सुरक्षित शर्त है।
सुरक्षा ऑडिट पूरी तरह से वास्तविक तकनीकी सुरक्षा के बारे में नहीं हैं। अक्सर वे मुकदमे के मामले में दायित्व को सीमित करने के बारे में भी होते हैं।
मान लीजिए कि आपकी कंपनी को हैक कर लिया गया था और आपके खिलाफ एक वर्ग कार्रवाई का मुकदमा दायर किया गया था। आपकी विशिष्ट देयता को उद्योग के मानकों का पालन करने के आधार पर कम किया जा सकता है। मान लें कि ऑडिटरों ने इस सर्वर पर AV की अनुशंसा नहीं की है, इसलिए आप इसे स्थापित नहीं करते हैं।
इसमें आपका बचाव यह है कि आपने एक सम्मानित ऑडिटर की सिफारिशों का पालन किया और बोलने के लिए हिरन को पास किया। संयोग से, यह प्राथमिक कारण है कि हम तीसरे पक्ष के लेखा परीक्षकों का उपयोग करते हैं। ध्यान दें कि देयता की शिफ्टिंग को अक्सर उस अनुबंध में लिखा जाता है जिस पर आप ऑडिटरों के साथ हस्ताक्षर करते हैं: यदि आप उनकी सिफारिशों का पालन नहीं करते हैं, तो यह आप पर है।
खैर, वकील फिर एक संभावित सह-प्रतिवादी के रूप में लेखा परीक्षक की जांच करेंगे। हमारी काल्पनिक स्थिति में यह तथ्य है कि उन्होंने किसी विशेष सर्वर पर एवी की सिफारिश नहीं की है, इसे पूरी तरह से नहीं देखा जाएगा। यह अकेले बातचीत में उन्हें नुकसान पहुंचाएगा, भले ही वास्तविक हमले पर इसका कोई असर न हो।
ऑडिटिंग करने वाली कंपनी के लिए केवल एकमात्र जिम्मेदार चीज वास्तविक हमले की सतह की परवाह किए बिना सभी सर्वरों के लिए एक मानक सिफारिश करना है। इस मामले में, पर ए वी सब कुछ । दूसरे शब्दों में, जब वे कानूनी तर्क के कारण एक स्केलपेल तकनीकी रूप से बेहतर होते हैं, तब भी स्लेज हैमर की सलाह देते हैं।
क्या यह तकनीकी समझ में आता है? आमतौर पर नहीं क्योंकि यह आमतौर पर जोखिम बढ़ाता है। क्या यह वकीलों, एक न्यायाधीश या एक जूरी को भी समझ में आता है? बिल्कुल, वे तकनीकी रूप से सक्षम नहीं हैं और बारीकियों को समझने में असमर्थ हैं। जिसके कारण आपको अनुपालन करने की आवश्यकता है।
@ जब आप ने ऑडिटर से इस बारे में बात करने की सिफारिश की। मुझे लगता है कि गलत रास्ता है। इसके बजाय आपको इन अनुरोधों का पालन न करने के लिए अपनी कंपनी के वकील से बात करनी चाहिए ।