ciao, concordo in un ambiente ideale la policy dovrebbe essere fatta, però in Italia e nelle aziende piccole/piccolissime qualsiasi rigidità viene vista molto male
Rodolfo Il 16 marzo 2015 19:02, Avv.Stefano Aterno <[email protected]> ha scritto: > In sintesi (visto il tema complesso e vista la giurisprudenza ), e' sempre > opportuno fare policy e regolamenti che disciplinino chi, come,dove quando. > Saluti > Avv. Stefano Aterno > Stefano Aterno > Avvocato > > Cassazionista > certificato ISO 27001 > Lead auditor > > via Federico Cesi 72 > Roma > www.studioaterno.it > > -----Original Message----- > From: Roberta Giorgini <[email protected]> > Date: Mon, 16 Mar 2015 16:51:16 > To: <[email protected]> > Reply-To: [email protected] > Subject: R: [lex] Credenziali e comportamento > > > > > >>----Messaggio originale---- >>Da: [email protected] >>Data: 16/03/2015 11.22 >>A: <[email protected]> >>Ogg: [lex] Credenziali e comportamento >> >>Buongiorno, >>mio primo messaggio su lex su una situazione particolare. >> >>Sistemista amministratore di sistemi in una piccola azienda (meno di 15 dip) >> >>L'amministratore gli chiede esplicitamente di consegnare le password >>di gestione dei sistemi. >> >>Su quei sistemi esiste solamene l'account root/administrator. >> >>Il sistemista consegna le password di sistema (quindi quelle di root >>administrator) via email >>alle persone indicate dall'amministratore. >>Nel msg indica di non avere altri account su quelle macchine e "cede" >>la gestione dei sistemi. >> >>Come dovrebbe comportarsi questa persona? >>Di chi è la responsabilità se su quelle macchine succede qualcosa? > > > Di chi, ha avuto accesso alla macchina, nel momento in cui e' successo questo > "qualcosa" > quindi ognuno dovrebbe avere una password univoca e ovviamente non > condividerla con i colleghi > > >>Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono >>fornite credenziali nuove/diverse dalle preesistenti? > > Certo, io non lo farei > >>E' obbligato a fare da "insegnante" alle persone alle quali ha passato >>le credenziali? > > Se e' obbligato per legge non lo so, ma se, sei un professionista e sei pagato > anche per questo > lo fai. > >> >>Un avvocato è stato sentito, e secondo l'avvocato questa persona deve >>eseguire qualsiasi ordine gli venga impartito compreso quello di >>intervenire conaccount condivisi. E' il comportamento corretto da >>tenere? >> >>Ringrazio chiunque voglia esprimere il proprio pensiero. >> >>Rodolfo >>________________________________________________________ >>http://www.sikurezza.org - Italian Security Mailing List >> >> > > Io parlo per esperienza vissuta, pero' legalmente parlano non posso esprimermi > perche' > non sono avvocato > > Saluti > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
