Provo a rispondere da "tecnico" lasciao l'autorevolezza legale a chi ne
sa' di piu':
Commenti .. in line:
Buongiorno,
mio primo messaggio su lex su una situazione particolare.
Sistemista amministratore di sistemi in una piccola azienda (meno di 15 dip)
L'amministratore gli chiede esplicitamente di consegnare le password di
gestione dei sistemi.
E ne ha tutti i diritti. Anche perché bisogna garantire l'accesso ai dati. In realtà
(copio e incollo dall'Allegato B): "sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le modalita' con le quali il
titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso
di prolungata assenza o impedimento dell'incaricato che renda indispensabile e
indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza
del sistema
concordo.. e subito dopo, stante all'allegato B, "PROVVEDE A CAMBIARLE"
per garantire l'univocita' delle credenziali "note SOLO a chi le usa"
Su quei sistemi esiste solamene l'account root/administrator.
Questa è anche colpa del sistemista che non ha impostato utenze di
amministrazione personali per buone pratiche di sicurezza.
mai sentito parlare di "sudoers" ? o, per $Win, del gruppo
"administrators"
(per non scendere in tecnicismi tipo: SELinux, Windows Policy, ecc.)
Il sistemista consegna le password di sistema (quindi quelle di root
administrator) via email alle persone indicate dall'amministratore.
.. che notoriamente e' un sistema "sicuro" e "trusted" per comunicare in
maniera riservata chicchessia (sigh)
Nel msg indica di non avere altri account su quelle macchine e "cede"
la gestione dei sistemi.
Come dovrebbe comportarsi questa persona?
Di chi è la responsabilità se su quelle macchine succede qualcosa?
Del titolare. Che dovrebbe impartire le idonee e preventive disposizioni
scritte. E nominare gli AdS.
RIBADISCO:
Titolare => gestione e obblighi (ricordarsi il grande messaggio
"ragnesco" : da grandi poteri derivano grandi responsabilità !!)
Amministratori di sistema => nominati dal titolare !! con indicazione
precisa di obblighi e responsabilità (ce l'avete ??)
Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono fornite
credenziali nuove/diverse dalle preesistenti?
No. Perché? La responsabilità è del titolare.
Per correttezza, dovrebbe cercare di proporre al titolare una soluzione
"corretta" per la gestione dei sistemi: creazione di utenze personali degli
AdS, cosa fare nei rarissimi casi in cui sia necessario disporre della password di
supermucca, log delle attività, eccetera.
Avrebbe già dovuto farlo prima, se ne avesse avuto le competenze (questo non lo
so; ma se era a conoscenza della normativa, qualche dubbio l'avrebbe dovuto
sollevare; ad ogni modo, la responsabilità è del titolare = amministratore,
anche della formazione delle persone).
concordo !
E' obbligato a fare da "insegnante" alle persone alle quali ha passato le
credenziali?
Sì.
"Obbligato" non è la parola giusta, ma si tratta di correttezza.
Esperienza personale: se non lo fa, lo silurano e gli altri andranno avanti
benissimo anche senza di lui (con qualche difficoltà iniziale, ma poi basta). E
io, personalmente, appoggerei il siluramento.
ri-concordo; specie quando gli admin sono "consulenti" questa è la cosa
piu' difficile da effettuare nel trasferimento di competenze ...
Un avvocato è stato sentito, e secondo l'avvocato questa persona deve eseguire
qualsiasi ordine gli venga impartito compreso quello di intervenire conaccount
condivisi. E' il comportamento corretto da tenere?
Sì.
non vorrei offendere i colleghi avvocati in lista, ma.. forse avrei
sentito anche un parere diverso o hai riferito troppo stringatamente.
ciao
S.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
