Что дать интегратору.

Совершенно спонтанно, без какой бы то ни было подготовки, проведен дружественный "аудит" внутренней ИС одного из интеграторов. Сеть простояла не долго. Но плохо не это. Плохо то, что в сети не соблюдаются элементарные правила, уже много лет прописанные во всевозможных инструкциях, статьях и рекомендациях и продаваемые заказчикам в каждом проекте.
Вот немного недостатков обнаруженных при беглом осмотре:
- Сложность паролей не контролируется;
- Ограничений на срок действия паролей нет;
- Сертификаты, генерируемые для удаленного доступа пользователей через vpn, лежат на одном из серверов сети и не защищены паролями;
- Тестовые пользователи с простыми паролями и членством в административной группе;
- Аудит работы сети не ведется и нарушение безопасности не обнаружено (это при том, что в данной ИС хранится море информации о сетях клиентов);
- Тестовые сервера находятся в рабочем домене.
После этого Вы еще считаете, что Заказчики должны слепо доверять защиту своих сетей Интеграторам? Даже если Заказчик может исправить ошибки "недовнедрения" своими силами, то что делать с информацией о проекте и сети заказчика, которая оседает в ИС исполнителя и как проконтролировать доступ к ней?
Конечно, можно сказать, что не у всех все так плохо, но это будет только словами. Пока сети 2-х интеграторов (этот был не первым) сдались без боя.