Prendo lo spunto da questo post di Paolo Perego:
- https://codiceinsicuro.it/blog/premetto-io-non-sono-uno-sviluppatore/.
Riassunto: chi fa i vulnerability assessment delle applicazioni dovrebbe avere un po' di esperienza di programmazione; in caso contrario le raccomandazioni per il miglioramento non possono essere pienamente adeguate.
Estendo e penso a auditor, assessor e alcuni consulenti (detti "advisor"), che spesso non hanno mai scritto una riga di procedura da condividere con tutte le parti interessate. Ho notato che sono spesso prodighi di "buoni consigli", senza però alcuna idea della loro fattibilità nel contesto di riferimento.
Piccolo aneddoto: recentemente ho seguito un audit. L'auditor si è proclamato ex programmatore. Ha fornito suggerimenti su tutto, con molto entusiasmo, ma senza chiedersi se fossero realmente applicabili e utili per l'azienda in cui si trovava (tra le tante: ha suggerito di usare diagrammi causa-effetto per individuare le cause di OGNI non conformità, ha chiesto di vedere un'analisi del rischio di ogni processo, ha suggerito di adottare ITIL per la gestione dei sistemi e della rete, malgrado le persone coinvolte fossero 8).
Per un solo settore non ha dato consigli: lo sviluppo delle applicazioni (eppure qualche idea sarebbe stata utile).
Perché? Perché incompetente in materia o perché capiva che, per quel contesto, era stato fatto il massimo? Forse la seconda.
Nessun commento:
Posta un commento