Én meg erre azt mondom, hogy úgy van megcsinálva az üzemeltetés részéről, ahogy kérik. Ha a felelős IT Sec. vezetőn át tud menni az a kérés, hogy
- a fejlesztés szerint egy régi, sérült PHP verzión kell hagyni a foo rendszert, mert csak azzal működik, akkor az üzemeltetés azon hagyja
- ha a vezérigazgató/whatever azt kéri, hogy neki ne legyen 2FA beállítva, mert egy lusta geci és nem fog ezzel szívni, akkor nem lesz neki beállítva
ugyanis, nem az üzemeltetés felelőssége ez, hanem az IT sec. vezetőé. Adja írásba, aztán úgy lesz beállítva, ahogy kéri. Ha meg bazmeg van, akkor tartja a hátát.
Szerinted mi még nem futottunk bele olyanba, hogy enforce-ova volt egy biztonsági funkció (természetesen előzetesen tájékoztatva az érintetteket, akik szokás szerint basztak elolvasni), majd utána, amikor a beállítás effektív életbe lépett, jött a lebaszás, hogy hogy képzeljük azt, hogy akadályozzuk a kollégáikat a munkavégzésben, azonnal állítsuk vissza? Majd, mondtuk, hogy oké, de ennek ez meg ez a biztonsági vonzata, konzultálja meg ezt a CISO-val, majd 10 perc múlva ott volt a "papír", hogy engedélyezve?
Innentől kezdve az üzemeltetést mennyire kell, hogy érdekelje, hogy valaki tökön akarja szúrni magát? Igenis, ragaszkodni kell ahhoz, hogy ha nem a rendszert törték meg, akkor kimondjuk, hogy kit/mit. Mert nem mindegy, hogy ki viszi a balhét.