Desde la perspectiva de InfoSec es perfectamente razonable. Ningún cirujano puede (o debería) garantizar una operación segura al 100%, ningún abogado puede garantizar la condena o la absolución.
Por supuesto, el cliente tampoco quiere que el profesional de InfoSec se lleve su dinero y se esconda detrás de esa cláusula en su contrato, si algo pasara por alto la auditoría.
Sugeriría que la solución al problema sea exactamente lo que mencionó: establecer la expectativa correcta. El cliente debe esperar que el equipo de InfoSec haga todo lo posible para detectar vulnerabilidades comunes y fácilmente explotadas. Hay muchas maneras de indicar que realmente intentas hacer lo mejor posible.
Garantías financieras específicas del alcance de la solicitud de auditoría: por ejemplo, 100% de reembolso por una inyección de SQL explotada después de la auditoría.
Garantías de reputación : por ejemplo, El texto "Asegurado por ACME InfoSec" en su sitio web, por lo que el profesional de InfoSec tiene un gran interés en mantener el sitio seguro.
Garantías de auditoría múltiple : por ejemplo, Ofrezca que una empresa de InfoSec que compita proporcione una segunda opinión para comparación.
Testimonio : de otros clientes a quienes has ayudado en el pasado.
Prueba de trabajo : demuestre la efectividad real de sus recomendaciones. p.ej. Haga que los examinadores de bolígrafos independientes ataquen antes y después de que se implementen sus recomendaciones.
Por supuesto, todo esto depende de un cliente que entienda que las únicas certezas en la vida son la muerte y los impuestos.
Para aquellos que insisten en garantías del 100%, sin duda podrían proporcionarlos dentro del alcance (punto # 1 arriba). Usted podría (y debería) incluir una cláusula de responsabilidad máxima, por ejemplo, lo máximo que tendrá que pagar es $ x.