Una de las unidades de negocio (ou1) de nuestra empresa está en proceso de establecer una fuente de comunicación cifrada con un proveedor externo. El proveedor proporcionó un conjunto de requisitos para la implementación real. Ese ou1 está solicitando información seg. Para aprobar la solución sin tener ningún runbook o SoP escrito todavía. Ya me explicaron la solución y está de acuerdo con los requisitos del proveedor. ¿Cuál es mi exposición, si el proveedor solicita una auditoría en un momento posterior (para ese momento toda la documentación estará en su lugar)?