Estoy estudiando para el examen CISSP y uno de los puntos de la conferencia de video no tenía mucho sentido para mí. El instructor estaba discutiendo las áreas de administración de control de acceso y comenzó a categorizar ciertas cosas como "preventivas" y "detectivas". Por ejemplo, cifrado de datos: preventivo ... verificaciones de integridad de datos: detective ... sistemas de respaldo de energía: preventivo ... entrenamiento del usuario: preventivo Y detective ...
Cuando el tema llegó a las auditorías, las etiquetó como "detectives". Hasta cierto punto, entiendo por qué esto sería así, ya que estamos buscando vulnerabilidades, si las encontramos ... las estamos detectando.
Sin embargo, al mismo tiempo, no puedo dejar de preguntarme si las auditorías también pueden considerarse de carácter preventivo, porque estamos buscando vulnerabilidades con anticipación para evitar que sean explotadas más adelante.
¿Cuáles son tus pensamientos? Tal vez estoy pensando demasiado en esto?