Ciao, provo a dire la mia che non sono né informatico né leguleio (ma un po' di sicurezza e privacy la mastico).
> -----Original Message----- > From: Rodolfo Vardelli [mailto:[email protected]] > Sent: 16 March 2015 11:23 > To: [email protected] > Subject: [lex] Credenziali e comportamento > > Buongiorno, > mio primo messaggio su lex su una situazione particolare. > > Sistemista amministratore di sistemi in una piccola azienda (meno di 15 dip) > > L'amministratore gli chiede esplicitamente di consegnare le password di > gestione dei sistemi. E ne ha tutti i diritti. Anche perché bisogna garantire l'accesso ai dati. In realtà (copio e incollo dall'Allegato B): "sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema > > Su quei sistemi esiste solamene l'account root/administrator. > Questa è anche colpa del sistemista che non ha impostato utenze di amministrazione personali per buone pratiche di sicurezza. > Il sistemista consegna le password di sistema (quindi quelle di root > administrator) via email > alle persone indicate dall'amministratore. > Nel msg indica di non avere altri account su quelle macchine e "cede" > la gestione dei sistemi. > > Come dovrebbe comportarsi questa persona? > Di chi è la responsabilità se su quelle macchine succede qualcosa? Del titolare. Che dovrebbe impartire le idonee e preventive disposizioni scritte. E nominare gli AdS. > Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono fornite > credenziali nuove/diverse dalle preesistenti? No. Perché? La responsabilità è del titolare. Per correttezza, dovrebbe cercare di proporre al titolare una soluzione "corretta" per la gestione dei sistemi: creazione di utenze personali degli AdS, cosa fare nei rarissimi casi in cui sia necessario disporre della password di supermucca, log delle attività, eccetera. Avrebbe già dovuto farlo prima, se ne avesse avuto le competenze (questo non lo so; ma se era a conoscenza della normativa, qualche dubbio l'avrebbe dovuto sollevare; ad ogni modo, la responsabilità è del titolare = amministratore, anche della formazione delle persone). > E' obbligato a fare da "insegnante" alle persone alle quali ha passato le > credenziali? Sì. "Obbligato" non è la parola giusta, ma si tratta di correttezza. Esperienza personale: se non lo fa, lo silurano e gli altri andranno avanti benissimo anche senza di lui (con qualche difficoltà iniziale, ma poi basta). E io, personalmente, appoggerei il siluramento. > > Un avvocato è stato sentito, e secondo l'avvocato questa persona deve eseguire > qualsiasi ordine gli venga impartito compreso quello di intervenire conaccount > condivisi. E' il comportamento corretto da tenere? Sì. > > Ringrazio chiunque voglia esprimere il proprio pensiero. "Pensiero" e "Cesare Gallotti" non stanno bene insieme. Io ho solo scritto qualche appunto... > > Rodolfo > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
