Ciao, ti rispondo fra le righe, tieni presente che comunque il mio è il parere di un informatico che respira law ma che lawyer non è :-)
-- Dott. Alessandro Fiorenzi Dott. Alessandro Fiorenzi CTU e Perito Tribunale Firenze Albo Consulenti CCIAA di Firenze Socio Clusit, ECCE Certified Lead auditor ISO/IEC 27001 Mail : [email protected] PEC : [email protected] www: http://www.alessandrofiorenzi.it www: http://www.studioinformaticaforense.it Tel. : +39 055 0115571 Cell. : +39 348 7920172 skype : Fiorenzi-Consulting Considera l'ambiente, non stampare questa mail se non necessario _______________________________________________ Studio Informatica Forense Fiorenzi è parte del Tuo Mondo IMPORTANTE: questa e-mail (inclusi tutti gli allegati) è inviata dallo Studio Informatica Forense Fiorenzi Alessandro e può contenere informazioni riservate soggette a segreto professionale. Essa può essere letta, copiata e usata solo dal destinatario indicato e non deve essere ritrasmessa con modifiche senza il nostro consenso. Se l'avete ricevuta per errore, Vi preghiamo di contattarci per e-mail o telefono e, quindi, di distruggerla senza mostrarla ad alcun estraneo. La sicurezza e l'affidabilità delle e-mail non è garantita. Noi adottiamo programmi anti virus, ma decliniamo ogni responsabilità in ordine alla prevenzione degli eventuali virus. IMPORTANT: This e-mail (including all attachments) is confidential and may be privileged. It may be read, copied and used only by the intended recipients, and must not be re-transmitted in an amended form without our consent. If you have received it in error, please contact us immediately by return e-mail or by telephone. Please then delete it and do not disclose its contents to any other person. Security and reliability of e-mail is not guaranteed. We operate anti-virus programmes but you must take full responsibility for virus checking. > -----Messaggio originale----- > Da: Rodolfo Vardelli [mailto:[email protected]] > Inviato: lunedì 16 marzo 2015 11.23 > A: [email protected] > Oggetto: [lex] Credenziali e comportamento > > Buongiorno, > mio primo messaggio su lex su una situazione particolare. > > Sistemista amministratore di sistemi in una piccola azienda (meno di 15 dip) > > L'amministratore gli chiede esplicitamente di consegnare le password di > gestione dei sistemi. [Fiorenzi Alessandro] Le richieste si fanno per scritto, email o lettera formale, verba volant e i problemi rimangono a te: attenzione! > > Su quei sistemi esiste solamene l'account root/administrator. > > Il sistemista consegna le password di sistema (quindi quelle di root > administrator) via email > alle persone indicate dall'amministratore. [Fiorenzi Alessandro] Io le avrei riconsegnate all'amministratore, un po' come riconsegnare le chiavi del cancello, del garage e della macchina aziendale e il badge > Nel msg indica di non avere altri account su quelle macchine e "cede" > la gestione dei sistemi. > > Come dovrebbe comportarsi questa persona? > Di chi è la responsabilità se su quelle macchine succede qualcosa? [Fiorenzi Alessandro] Per fare una cosa buona dovresti avere una lettera con cui a far data dal giorno x , dopo aver riconsegnato le chiavi di accesso ai sistemi in mano all'amministratore, venivi revocato dalla funzione di amministratore di sistema > Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono fornite > credenziali nuove/diverse dalle preesistenti? [Fiorenzi Alessandro] Se ti viene chiesto di intervenire sulle macchine, opponiti semplicemente rispondendo che non rientra fra le tue mansioni e che comunque non hai più i diritti di accesso a certe macchine. > E' obbligato a fare da "insegnante" alle persone alle quali ha passato le > credenziali? [Fiorenzi Alessandro] Ci tocca anche contro voglia, credo che diversamente l'azienda di possa citare per danni, ma qui ci vuole un avvocato buono per dirimere la questione. > > Un avvocato è stato sentito, e secondo l'avvocato questa persona deve > eseguire qualsiasi ordine gli venga impartito compreso quello di intervenire > conaccount condivisi. E' il comportamento corretto da tenere? [Fiorenzi Alessandro] Personalmente non condivido questo approccio. Nel senso che "non si esegue" tutto quello che chiede l'amministratore; se questo può comportare sanzioni o violazioni delle leggi, privacy, 231 etc...: NO. Ti butti in un pozzo se te lo ordina l'amministratore??? Non credo proprio. Dopodiché l'amministratore, in qualità di colui che dirige l'azienda, faccia tutte le richieste che ritiene legittime però le faccia scritte. Se poi abbiamo valide argomentazioni per negare la richiesta forniamo una risposta chiara e precisa dettagliata nelle argomentazioni ma senza tanti tecnicismi; ci sono tanti buoni amministratori dotati anche di buon senso :-) Se l'amministratore passasse alla coercizione ... ci sarebbero profili penali ma va dimostrata, per quello dico fatti scrivere il più possibile, sono tutti elementi a tuo favore in caso di contenzioso. > > Ringrazio chiunque voglia esprimere il proprio pensiero. > > Rodolfo > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
