Ciao Pac, grazie per la risposta e per i chiarimenti che ci permettono di prendere brevemente spunto per discutere un problema comune alla maggior parte delle aziende.
Mi scuso con gli altri per la digressione, ma penso sia un mal comune (senza gaudio) per la quale valga la pena spendere 2 minuti! 2010/3/1 pac <[email protected]>: > Ciao, innanzi tutto il tuo è un intervento utile e saggio e senza > distorsione alcuna, almeno dal punto di vista teorico e mi spiego > meglio. > Per prima cosa ti rispondo, stiamo parlando di un impiegato "non > informatico" il solito personaggio che si trova spesso e "volentieri" > in azienda che "ne sa di computer". > In questa azienda abbiamo utenti sia in ambiente windows che in ambiente > linux, > Per inquadrare > Tutti usano come client di posta Thunderbird, come browser Firefox e > come suite da ufficio OpenOffice, > solo lui usa perchè più affidabili Outlook IE, M$ Office acquistata > solo per lui. > Perché queste preferenze ? Non tanto per l'aspetto informatico, ma per > l'importanza tecnica della persona nell'attività dell'azienda e > quindi vengono fatti passare questi aspetti. > Personalmente faccio notare, ma senza spingere più di tanto, so che > metterei inutilmente il titolare fra due fuochi e che comunque questa > persona è necessaria all'attività aziendale e il timore > che questi vada alla concorrenza se "disturbato" è forte. Timore > fondato ? Non credo proprio, non in tutte le aziende puoi fare i tuoi > comodi, bypassare il regolamento aziendale, bypassare le regole della > legge > sulla privacy etc etc, ma il timore per il titolare rimane ed è forte. > Cosa debbo fare io ? Cercare di gestire la situazione, senza farmelo > troppo nemico, per evitare appunto scontri inutili. Potrei allungarmi > a dismisura raccontando installazioni, acquisti e suggerimenti inutili > fatti da questa persona, > della serie ci penso io, non occorre stare a chiamare. > Ho due aziende in questa situazione e ne ho conosciute altre. > Certo con questa siamo arrivati al culmine, ma dubito che si avranno > conseguenze per i motivi sopracitati se non una tirata di orecchie e > di fare più attenzione, perchè tanto negherà al titolare di avere > fatto questo > deliberatamente e il titolare liquiderà il tutto affermando che non sa > nulla dell'argomento e quindi non può dire nulla. > La vulnerabilità c'è dal momento stesso che il computer deve esser > spento e dal momento che può esser avviato in ambiente windows, nei pc > che hanno unicamente l'ambiente linux, il massimo che si può fare per > bypassarli è scassarli fisicamente e non bypassando utilizzando > eventuali vulnerabilità che esisteranno come da tutti, ma che questa > persona non sarebbe in grado di superare. > Ciao e comunque grazie Dalla descrizione che hai fatto se ne evince che il problema è ben conosciuto da te e, in qualche maniera, dal titolare. [PREMESSA: per metterti un po' di pressione] Tuttavia, permettimi di farti notare che lasciando com'è questa situazione, chi si trova in una posizione MOLTO scomoda sei solamente tu, visto che è tuo dovere assicurare il buon funzionamento e la preservazione dei dati e dell'infrastruttura informatica. In caso di problemi, quindi, sarai ritenuto tu il responsabile ed il titolare ti userà come capro espiatorio. [/PREMESSA] In questo caso, quello che ti posso consigliare è di redigere un "IT incident report" nel quale descrivi in maniera oggettiva tutta la situazione, dalle problematiche alla sua risoluzione. Nella parte finale del rapporto tu descriverai "le misure da attuare per evitare il ripetersi dell'incidente", nel quale menzionerai il principio del "least access priviledge" e la necessità di approvare delle procedure e politiche di sicurezza interne. Tale rapporto lo dovrai inviare al titolare, tanto più se - come mi sembra di capire - tu sei un consulente esterno, per il quale hai il solo obbligo di rispondere davanti a lui (oltretutto postresti vendere un servizio! :) ). In questo modo, come minimo, ti copri in qualche misura "les fesses", come dicono i nostri cugini d'oltralpe. Se poi la società è piuttosto grande, potresti richiedere all'auditor interno di condurre una missione specifica sulla sicurezza informatica (addirittura un ISO27001, se certificato). Probabilmente troverà queste stesse debolezze e tu avrai un'arma in più da giocare sul titolare e per proteggerti da eventuali problemi. giopas PS: Se non si fosse capito sono un auditor (anche, ma non solo, informatico)... Ma non ti preoccupate: non voglio vendere nessuna missione, dato che lavoro all'estero! :) -- Per REVOCARE l'iscrizione alla lista, inviare un email a [email protected] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [email protected] To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
