In sintesi (visto il tema complesso e vista la giurisprudenza ), e' sempre opportuno fare policy e regolamenti che disciplinino chi, come,dove quando. Saluti Avv. Stefano Aterno Stefano Aterno Avvocato
Cassazionista certificato ISO 27001 Lead auditor via Federico Cesi 72 Roma www.studioaterno.it -----Original Message----- From: Roberta Giorgini <[email protected]> Date: Mon, 16 Mar 2015 16:51:16 To: <[email protected]> Reply-To: [email protected] Subject: R: [lex] Credenziali e comportamento >----Messaggio originale---- >Da: [email protected] >Data: 16/03/2015 11.22 >A: <[email protected]> >Ogg: [lex] Credenziali e comportamento > >Buongiorno, >mio primo messaggio su lex su una situazione particolare. > >Sistemista amministratore di sistemi in una piccola azienda (meno di 15 dip) > >L'amministratore gli chiede esplicitamente di consegnare le password >di gestione dei sistemi. > >Su quei sistemi esiste solamene l'account root/administrator. > >Il sistemista consegna le password di sistema (quindi quelle di root >administrator) via email >alle persone indicate dall'amministratore. >Nel msg indica di non avere altri account su quelle macchine e "cede" >la gestione dei sistemi. > >Come dovrebbe comportarsi questa persona? >Di chi è la responsabilità se su quelle macchine succede qualcosa? Di chi, ha avuto accesso alla macchina, nel momento in cui e' successo questo "qualcosa" quindi ognuno dovrebbe avere una password univoca e ovviamente non condividerla con i colleghi >Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono >fornite credenziali nuove/diverse dalle preesistenti? Certo, io non lo farei >E' obbligato a fare da "insegnante" alle persone alle quali ha passato >le credenziali? Se e' obbligato per legge non lo so, ma se, sei un professionista e sei pagato anche per questo lo fai. > >Un avvocato è stato sentito, e secondo l'avvocato questa persona deve >eseguire qualsiasi ordine gli venga impartito compreso quello di >intervenire conaccount condivisi. E' il comportamento corretto da >tenere? > >Ringrazio chiunque voglia esprimere il proprio pensiero. > >Rodolfo >________________________________________________________ >http://www.sikurezza.org - Italian Security Mailing List > > Io parlo per esperienza vissuta, pero' legalmente parlano non posso esprimermi perche' non sono avvocato Saluti ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
