Rosario Russo wrote:
Purtroppo, pero', a volte e' necessario (o e' piu' comodo) lavorare
proprio con il profilo del dipendente: Office non va piu', Outlook
scarica due volte la stessa posta, la stampante non stampa, ecc... e
non e' sempre possibile far combaciare l'arrivo del tecnico con la
presenza del dipendente.
Il problema, come ribadito più volte, è organizzativo, non tecnico. La
segretezza delle credenziali è indispensabile per poter fare un audit
corretto delle attività, cosa che purtroppo quasi mai interessa ai
titolari (del trattamento e della baracca) che invece "vogliono le email
dei dipendenti".
A me sembra che la legge parli in modo chiaro e inequivocabile, tutte
le interpretazioni non vengono "dai magistrati" come dici tu, ma dai
titolari del trattamento che si ostinano a far gestire la sicurezza dei
dati e la privacy da figure impreparate e non idonee. Tra l'altro, non
si è ancora capito che si ottiene l'effetto esattamente contrario al
potere quasi ricattatorio che si vorrebbe acquisire: se le credenziali
non sono segrete, il dipendente è deresponsabilizzato, perchè l'audit
non è più efficace.
E' vero: mi si potrebbe far notare che se il mio capo ha le mie
password e mi odia, potrebbe installare sul mio PC, a mia insaputa,
delle immagini porno e poi licenziarmi, avendo io contravvenuto
esplicitamente al suo divieto. Ok, rispondo io, pero' puo' farlo
ugualmente anche senza conoscerle.
Non direi, non è così semplice, e in ogni caso non dovrebbe essergli
permesso se vengono correttamente applicati il principio del minimo
privilegio e la separazione dei ruoli. Se invece il principio è "la
rroba è mia e ci faccio quello che voglio", il discorso cambia... però
non si venga a pretendere di essere rispettosi della legge.
OT: Non mi sembra che nessun paese civile ed evoluto basi il sistema
giudiziario sul parere di "vecchi saggi", atteniamoci al fatto che le
leggi prima si rispettano e poi eventualmente si può chiedere di
migliorarle.
--
Roberto Tanara - CISSP
Tecnologie Ricerca e Progettazione
Communication Valley S.p.A. - Security Service Provider
Società a socio unico soggetta all'attività di direzione e coordinamento di
Kyneste S.p.A.
Strada Quarta 6/1D - 43100 Parma (Italy)
Tel +39 0521 4980 - Fax +39 0521 498080 - Mobile +39 3466002890
[EMAIL PROTECTED] - http://www.communicationvalley.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
