تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة فقط لتلبية المتطلبات دون أن يكون لديها دفاعات حقيقية في مكانها.

إحدى الأمثلة البارزة على هذه المشكلة هي أنظمة الكشف عن التسلل/الحماية منه (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من حركة المرور الخبيثة وتسرب البيانات. الصناعة مليئة بالموردين الذين يقدمون أشكال مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.

مؤخرًا، غادرت إحدى هذه المنظمات التي "بنت" نظام الكشف عن التسلل الخاص بها من الأدوات مفتوحة المصدر. تم إبلاغ المراقبين بأن النظام كان "أداة رائعة"، وحتى تقديم أمثلة على حركة المرور. عندما بحثت بعمق في البيانات التي كانت الأداة توفرها، أدركت أن حركة المرور لم تكن تُحلل على الإطلاق، بل كانت تمر عبر المستشعر لأنه لم يكن مهيأ لالتقاط أي حركة مرور أو إصدار أي إنذار. علاوة على ذلك، تم إعداد بيانات اعتماد إدارة الأداة من قبل موظف سابق ولم يتم تحديثها بعد مغادرته. لذلك كانت الأداة أساسًا بدون تدخل بشري لشهور. وهذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا المحيط.

لن يكتشف المراجع الذكي المشكلة لأن الشهادات لا تبحث عن المعلومات "التشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والإجابة. في الحقيقة، قيست معظم الشهادات فقط إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المراجعين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS فعال وغير فعال. يعتمد الجزء الأكبر من المراجعة على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. كما يتعين على المراجعين تغطية مجموعة واسعة من الضوابط أثناء المراجعة، لذا الوقت يعد عاملاً كبيرًا في جودة تحليلهم.

ستخبرك الشهادة وحدها بأن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك طلب شريك محتمل إكمال استبيان مورد الثقة أيضًا. فقط تسرد الاستبيانات نفس المعلومات بشكل مختلف. إذن كيف تقوم بتقييم برنامج أمني ناضج؟