Gartner otvára diskusiu o SAS 70. Je najvyšší čas, ale nesúhlasím so závermi autora.
Jay Heiser, viceprezident pre výskum spoločnosti Gartner vošiel do niečoho ako SNAFU. On hovorí:
SAS 70 a) nie je certifikáciou, b) nie je štandardom a c) nie je určený na použitie tak, ako sa uplatňuje teraz.
Musel som to zdvojnásobiť. Ktorá časť Vyhlásenia o audítorskom štandarde Jayovi chýbala? Ale potom pokračuje a vysvetľuje niečo z toho, čo si myslí:
Aby sme boli spravodliví, všetci poskytovatelia služieb sú pod obrovským tlakom zákazníkov, aby poskytovali SAS 70, ale namiesto vysvetľovania ich bezpečnosti, kontinuity a obnovy schopnosti vo vhodnejšom zmysle, väčšina predajcov robí nešťastné rozhodnutie zveličovať význam toho, že podstúpili test SAS 70. hodnotenie.
Áno - SAS 70 a najmä typ II sa stali niečím ako „zaškrtávacia položka“ CXO a najmä pri hodnotení cloudových riešení. Ale je to tu, kde Jay umiestni mačku medzi holuby. Zoberiem to na dva kusy:
Prečo by mal potenciálny zákazník akceptovať SAS 70 ako dôkaz čohokoľvek? Nevedia, čo bolo hodnotené, nevedia, kto to hodnotil, ani akú formu malo hodnotenie.
Môj kolega Vinnie Mirchandani o SAS 70 často hovorí, že len veľmi málo spoločností, s ktorými konzultuje, sa obťažuje nájsť si čas a zistiť, čo bolo za hodnotením. Videl som to tiež. Ešte menej ľudí potvrdzuje, čo hovorí certifikát SAS 70. Zaškrtnuté políčko? Pohni sa.
Aj keď sa hodnotenie zaoberalo aspektmi dizajnu a konštrukcie, takmer určite išlo o veľmi malú časť celkové hodnotenie a naozaj chcete účtovnú firmu hodnotiacu bezpečnostné architektúry a šifrovanie implementácie?
No ja áno. Audítori mali zlý rap v posledných rokoch sa zlyhania spoločností vracajú a prenasledujú to, čo potvrdili v minulých účtoch. Keď som si nedávno oprášil svoje znalosti o bezpečnosti a audite SAP, vidím, kde je to isté bi-partitná úloha pre interný audit aj IT, ktorú je zase možné nezávisle testovať externým subjektom audítorov.
Ak sa zo slučky vynechajú typy účtovníctva, existuje možnosť preniknutia zraniteľností, ktoré môžu zostať nekontrolované. Audítori sú v najlepšej pozícii, aby pochopili, ako bezpečnosť ovplyvňujú obchodné pravidlá uplatňované na témy, ako je oddelenie povinností v AP/AR/GL. Tie sú kriticky dôležité na zabezpečenie toho, aby sa firma správala čestným spôsobom. Neuplatnenie silného oddelenia bolo faktor v debakli Satyam.
Vždy môžete polemizovať o tom, či sú audítori kompetentní posúdiť dizajn, na ktorý sa Jay zmieňuje, ale to je úplne iný argument ako ten, ktorý prezentuje.
Takže aj keď tlieskam Jayovi za to, že tému uviedol, nesúhlasím s jeho vyhadzovaním, kto robí políciu.