¿Los auditores de seguridad son responsables de las infracciones?

  

Auditores con competencia profesional que tienen ejerce el debido cuidado en general   no puede ser responsabilizado por una violación de seguridad debido a no descubierto   vulnerabilidades

Las razones principales de esto se explican a continuación.

  

Garantía razonable frente a garantía absoluta

Una limitación inherente de cualquier auditoría es que las garantías que proporcionan son razonables y no son absolutas en base a la evidencia recopilada por el auditor. No es posible lograr una seguridad absoluta. Mientras los auditores sigan directrices de auditoría profesional y documentar adecuadamente su trabajo, normalmente están protegidos. Sería no factible para un auditor garantizar una garantía absoluta en el sentido de que se encontrarán todas las vulnerabilidades de seguridad, debido a factores limitantes como los recursos de auditoría asignados, la cooperación de la gerencia, etc.

Lo mismo se puede decir de los controles de seguridad en que dichos controles solo mitigan, pero no eliminan completamente los riesgos, que de otro modo se definen como una amenaza que explota una vulnerabilidad. La medida en que se logra la mitigación del riesgo es principalmente una función de qué tan bien está diseñado y funcionando el control. Lo dije principalmente en la oración anterior porque incluso si un control de seguridad en particular (ejemplo: Segregación de tareas) está diseñado y funciona de manera efectiva, colusión humana o anulación de la administración puede hacer que el control de seguridad sea ineficaz.

  

Control de gestión sobre los controles de seguridad

Una auditoría de seguridad (o cualquier auditoría) no puede demostrar por sí misma que se haya realizado una auditoría. La razón principal es que los controles de seguridad, como un subconjunto de los controles internos de una compañía, son supervisados y son propiedad de la gerencia de esa compañía. Los auditores, como actores externos independientes, no pueden dar fe de los controles de seguridad a los que no está suscrita la administración. Por lo tanto, los auditores solo pueden dar fe de las afirmaciones de la administración de la empresa y, si es necesario, faltan los controles de seguridad para lograr principios particulares. o inadecuados, deben calificar su opinión emitida a la dirección. Es la gerencia quien finalmente puede decidir asegurar una organización, no el auditor de seguridad.

Por el contrario, la respuesta corta es que no pueden cumplir con los estándares tales como ISO 27001, etc. Por lo que, PCI puede tener sanciones y es por eso que a las organizaciones de evaluación se les prescribe una cobertura de seguro mínima.