De acuerdo con Steve, sin embargo, una fuente común de incumplimiento es el nivel de director o junta. Estas personas a menudo desean la última tecnología, o desean más libertad o flexibilidad que su personal, y están en una posición de poder, por lo que pueden exigirla, por lo que a veces el equipo de Seguridad de la información necesita identificar de manera proactiva las soluciones a los próximos problemas de tecnología para proporcionar una Solución segura por excepción en estos casos.
Cuando la administración superior / ejecutiva está totalmente comprometida con las políticas de seguridad, una organización suele ser más robusta y la gobernabilidad y el cumplimiento se demuestran más fácilmente, pero en la organización empresarial más habitual, el objetivo es hacer compromisos que permitan a las empresas mientras no afecta demasiado a la seguridad.
En mi experiencia, esto no varía mucho entre los países de Europa, América o Medio Oriente, o entre industrias. El punto es que las personas que ocupan cargos de alto nivel quieren hacer negocios a su manera, y por lo general, su forma de ser se considera adecuada para la empresa si generan ingresos y es ahí donde entran los profesionales de Seguridad de la información.
La circunstancia en la que una persona se sienta en más de una junta es un problema importante. El ideal de seguridad es, obviamente, segregar completamente cada función, sin embargo, es poco probable que un director lleve varias computadoras portátiles. Lo que sucede normalmente es que usan una cuenta y administran todos los correos electrónicos y accesos desde una máquina, y terminas confiando en que no cometan errores.
¡Peligroso!
La segregación por máquina virtual parece ser el siguiente paso lógico, pero solo he visto esto una vez. Esto se puede asegurar a un alto nivel, pero requiere una cierta cantidad de comunicación entre las organizaciones para acordar las configuraciones, etc.