|
|
Um dos tenets principais do IAM é que é uma avaliação, não um exame ou uma inspeção. Estes termos carregam geralmente um connotation mau do distrust, se no lado dos revisores de contas ou examinado, e geralmente ambos. Há umas diferenças chaves entre os dois conceitos, e ajuda frequentemente assegurar-se de que todos compreenda aquelas diferenças. Algo como este pode parecer rather tedious de apresentar-se, especial após ter feito assim diversas vezes com o todos envolvido em cada avaliação. Recorde apenas que—você pode compreender esta diferença, mas as possibilidades são que muitos de seus clientes não . Mais melhor o cliente compreende que este processo é um do nonattribution, os dados que mais detalhados e mais úteis você poderá eliciar deles, e aquele resultará finalmente em um deliverable total melhor para o cliente. Um participant assim disposto e ansioso é preferido sempre, melhor que um indivíduo closed ou guardado.
Nonattribution é o ato de não estabelecer um indivíduo específico como responsável para algo. Este é os usos específicos do NSA do termo descrever o processo de relatar findings sem colocar “a culpa” em todos os indivíduos. A diferença principal entre uma avaliação e um exame ou uma inspeção é o objetivo total do processo. O exame ou a inspeção são compreendidos normalmente para ser uma verificação para a conformidade, trazendo frequentemente com ela conseqüências para a falha. Este processo tende a criar um ambiente muito hostil em que os povos que você necessita trabalhar com são wary e cautelosos em suas transações com você devido a seu medo de ser prendido diretamente responsável para os findings—que acontecerão, porque o nonattribution não é um aspecto de seu exame típico.
Na oposição a este conceito, nós temos o objetivo de um processo da avaliação, que deva ajudar ou ajude à organização do cliente em melhorar sua postura de INFOSEC, para não passar o julgamento. No fato, nós testemunhamos frequentemente um pedido da organização uma avaliação como meios de preparar-se para um exame. O conceito de fornecer o auxílio não pode ser exagerado; muitos indivíduos que foram envolvidos com a garantia verificam dentro o feltro provável passado como se foram inspecionados em uma luz rather judgmental. Uma avaliação baseada no processo de IAM pode ser uma ferramenta excelente para preparar-se para todos os exames upcoming. Permite que a organização trabalhe em objetivos da reunião ou em exigências da conformidade em um ambiente amigável e cooperativo.
Os exames carregam também uma declaração da falha com respeito aos inefficiencies; o IAM, na outra mão, é o que alguns povos gostam de chamar um processo no-fault ou do nonattribution. O objetivo é ajudar em melhorar a segurança melhor que atribui a culpa a qualquer um que pode se ter esquecido de executar um remendo ou de verificar uma fita adesiva backup. Quando algo gosta que ocorre, é um mais provável devido a um processo e a uma falha do procedimento, não alguém que tenta circumvent o sistema. Os povos são mais responsáveis ser honestos e forthcoming quando compreendem que suas ações e respostas não lhes estarão atribuídas diretamente mas estarão dirigidas meramente como encontrar no relatório final. Entretanto, se na entrevista uma uma pessoa discutir algo que ou têm discutido aproximadamente com a outra por meses, será provavelmente aparente quem fêz essa indicação. Além disso, se somente uma pessoa operar um sistema, todos os findings serão attributable a esse operador. Outros tais scenarios podem levantar-se baseado no processo simples do elimination. Entretanto, o IAM não porá um nome ao lado de nenhumas partes de informação recolhidas. Nenhumas conclusões extraídas com respeito ao attribution não são feitas assim pela equipe da avaliação.
Lá pode vir uma época quando as atividades maliciosas ou ilegais são descobertas durante toda a avaliação da segurança—para o exemplo, a descoberta do pornography da criança, software pirateado, multimedia copyrighted arquiva, e assim por diante. O IAM não tem uma política dedicada com respeito a estas edições além da compreensão comum que você seguirá todas as leis aplicáveis, locais e federais. Como você planeia segurar estas situações é algo que você deve considerar documentar como uma política interna da companhia e compartilhar com seus clientes. Pôde ser sábio ter um advogado especializado no campo da indústria de computador para rever também sua política para você.
Uma compreensão boa do processo da avaliação é também um fator fundamental no sucesso total de seu acoplamento. É muito importante assegurar-se de que a organização do cliente seja confortável com que, como, quando, porque, e quem componentes de o que a equipe da avaliação está fazendo. O cornerstone da gerência mantendo buy-in e um sentido da posse no produto final resulta da participação continuada’s da organização do cliente e da compreensão enquanto o acoplamento progride, cresce, e muda. A avaliação é o produto’do cliente s, não seu, assim que assegure-se de que esteja tratado como esta'n.
Ao longo daquelas linhas, a equipe da avaliação necessita realizar que seu papel mais maior é aquele do facilitator. Durante a visita de local da pre-avaliação, você estará ajudando ao cliente vem a uma compreensão mais profunda de sua importância’da informação s. Você estará ajudando-lhes em determinar suas prioridades da segurança. Você estará ajudando-lhes em definir objetivos e objetivos. Para reiterate, você está lá facilitar!
Online: 555 users browsing the articles directory
|
|