Marco Meneghello wrote: > Aggiungo, posto che violazioni di questo tipo potrebbero avere anche > risvolti penali, e posto che la responsabilità penale è personale, come > potrebbe l'azienda tutelarsi nei confronti del trasgressore
Posto che la responsabilita' penale e' personale, posto che in una rete senza log (posto, intendo, che esista, che possa esistere e che quest'assenza non infranga altre leggi o regole) non si puo' sapere chi ha fatto cosa, come si puo' attribuire tale responsabilita'? Non mi pare che il problema sia "dell'azienda" quanto di chi indaga sul terribile crimine in questione. > Dovrebbe subire la confisca dei propri sistemi senza poter far nulla per > ragioni di privacy? No. Ma le "ragioni di privacy" (che poi e' sempre l'odiata etica ;) ) suggeriscono che i log di un sistema proxy non si debbano poter accedere "per nome utente", non debbano essere usati per produrre statistiche ad personam, e debbano invece essere usati solo a posteriori per una ricostruzione forense di un eventuale incidente. Il trucchetto sofistico per cui o si crea il grande fratello aziendale o si lascia tutto in balia del primo venuto regge fino a un certo punto. Privacy e security vanno di pari passo. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [EMAIL PROTECTED] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
