On 16/03/2015 11:22, Rodolfo Vardelli wrote: > Buongiorno, > mio primo messaggio su lex su una situazione particolare. > > Sistemista amministratore di sistemi in una piccola azienda (meno di 15 dip) > > L'amministratore gli chiede esplicitamente di consegnare le password > di gestione dei sistemi. >
In breve: la normativa prevede che le password debbano essere personali e non condivise. Chiedi che tutte le richieste vengano fatte per scritto e rispondi per scritto con le tue obiezioni. Fondate. Adottando policy adeguate sarebbe possibile gestire adeguatamente ogni evenienza, compresa quella in esame. In bocca al lupo :) > Su quei sistemi esiste solamene l'account root/administrator. > > Il sistemista consegna le password di sistema (quindi quelle di root > administrator) via email > alle persone indicate dall'amministratore. > Nel msg indica di non avere altri account su quelle macchine e "cede" > la gestione dei sistemi. > > Come dovrebbe comportarsi questa persona? > Di chi è la responsabilità se su quelle macchine succede qualcosa? > Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono > fornite credenziali nuove/diverse dalle preesistenti? > E' obbligato a fare da "insegnante" alle persone alle quali ha passato > le credenziali? > > Un avvocato è stato sentito, e secondo l'avvocato questa persona deve > eseguire qualsiasi ordine gli venga impartito compreso quello di > intervenire conaccount condivisi. E' il comportamento corretto da > tenere? > > Ringrazio chiunque voglia esprimere il proprio pensiero. > > Rodolfo > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Studio Giardini Consulenza Informatica tel. 02.0061.0235 - cell. 337-652876 - fax 075-93831174 http://www.solution.it - http://blog.solution.it ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
