Rissone Ruggero wrote: > non credo venga > limitato piu' di tanto solo dal requisito del Garante sugli > amministratori di sistema relativo alla presenza di un Access Log.
Non c'è solo quel requisito. C'è l'obbligo per i titolare di verificare che quello che fanno sia conforme alle normative, che è quello di cui stiamo discutendo. Access log è una cosa. Obbligo di verifica è un'altra, e non si concretizza certo solo andando a guardare i log. Proviamo a cambiare prospettiva: il titolare è responsabile, quindi deve sorvegliare. Se non ha le competenze, come fa a sorvegliare (che era la domanda originale)? Risposta: cerca qualcuno con le competenze necessarie e che lo affianchi. > Io, amministratore, comunico che c'e' un'anomalia sul DB (non e' vero > che c'e' ma chi mi autorizza non ha le competenze per valutarlo) che > deve essere risolta; chiedo quindi l'autorizzazione per accedervi > (che mi viene concessa). Accedo al DB, faccio un dump delle > informazioni sensibili che potrebbero essere di interesse (e quindi > avere valore) per enti esterni su un bel supporto magnetico, faccio > un logout : ho trattato illecitamente dei dati sensibili, tale > operazione non e' stata registrata ma ho rispettato un requisito > (generico per usare le tue parole, io ribadisco blando) del Garante. Ha rispettato un requisito, ma non quello di cui stiamo parlando. Se mi vuoi dire che la normativa sul trattamento dei dati personali non risolve miracolosamente tutti i problemi di sicurezza di un'azienda, non puoi che trovarmi d'accordo... Questo non toglie che ci siano molte situazioni che non sono di plateale volontà di frodare da parte di un amministratore onnipotente, ma molto più spesso e semplicemente di comportamenti poco attenti e professionali da parte degli amministratori, che espongono comunque i dati personali a rischi. Scopo della normativa, ricordiamo, non è evitare le frodi nelle aziende ma tutelare i dati, nei limiti di quanto possibile a una norma. I problemi di poca cura/professionalità vengono regolarmente rilevati dalle attività di audit, che non ha certo inventato il garante nè esistono da quando c'è la normativa sui dati personali. > BTW , neanche troppo tempo fa, due sedi ospedaliere (vicine ma non > troppo), utilizzavano un link wireless punto-punto per trasferire > cartelle cliniche, esami diagnostici e quant'altro tra la sede > centrale e quella distaccata. Ti lascio immaginare quali meccanismi > di protezione avessero adottato; di sicuro "potenzialmente" chi > poteva trattare quei dati sensibili non erano solo gli Amministratori > di Sistema. E secondo te quegli amministratori stavano rispettando tutte le normative vigenti? Non stavano mica frodando volontariamente, nè nascondendo quello che facevano, ma il loro comportamento poco competente stava mettendo a rischio i dati e secondo il provvedimento sarebbe stato compito del titolare verificare invece il loro comportamento. Una verifica da parte di un auditor di quello che avevano messo sarebbe stata certamente utile a scoprire il problema. O doveva accorgersene da solo il direttore dell'ospedale con la sua laurea in medicina? ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
