On 07/04/2012 11:03 AM, Daniele Palumbo wrote: > è da un po' che non scrivo, e mi sto scontrando contro una consulente > per la privacy che in una azienda che seguo *VUOLE* che io installi > l'antivirus su *tutti* i server.
Una consulente che non capisce nulla (come gran parte dei consulenti nel campo purtroppo). > Per intenderci: > - sul server virtualizzatore (linux/xen) brrrr.... > - sul server della VPN (linux) aribrrrr > - su un server web interno che crea dei pdf a partire dalla compilazione > di alcune form (quindi non vi è salvataggio dei dati dall'esterno) (linux). uhm.. > Preciso inoltre che sui server suddetti, a parte il file server, gli > utenti non hanno alcun modo di salvare files. Sul server web una forma di controllo potrebbe aver senso implementarla. L'antivirus probabilmente non serve a nulla, magari un sistema di file integrity check ha più senso. > Sto cercando in giro per la rete, l'unico riferimento che ho trovato è > stato il decreto legislativo 196/03, allegato B, comma 16 > http://www.parlamento.it/parlam/leggi/deleghe/03196dl3.htm#ALLEGATO%20B > che: > - *non specifica* quale tipo di software debba essere installato > - *specifica* che i dati *personali* devono essere protetti, e non > quelli di sistema. > > Sto sbagliando articolo? No. E' infatti una mis interpretazione fatta da chi di sicurezza non capisce nulla. E' simile a quanto riscontrato in un'azienda che aveva un router serio ben settato a protezione della rete. Il consulente privacy ha detto di mettere il firewall perché obbligatorio per legge (cosa peraltro falsa), e quindi si sono rivolti ad una società che gli ha messo un firewall tra la rete ed il router. Del router han lasciato la configurazione invariata, mentre hanno cambiato gli IP della rete ed hanno lasciato il firewall tutto aperto. Però adesso sono in regola (ROTFL). > È stato aggiornato da una altra legge? E' stato aggiornato di recente ma non mi pare vi siano differenze riguardo a questo specifico aspetto. http://al.howardknight.net/msgid.cgi?ID=134149160900 > Ho interpretato male io la lettura? No. > Esiste una FAQ del garante che ne da una lettura più "cristallina"? Non mi pare, ma la tua lettura è assolutamente quella normalmente data da tutti i consulenti (realmente tali) che ho incontrato in questi anni. La cosa importante è chiaramente che siano comunque presenti delle misure di sicurezza idonee. In questi specifici casi da te menzionati l'antivirus non è necessario perché non è una misura di sicurezza idonea a proteggere quella tipologia di target da eventuali minacce. E' come mettere una porta blindata al posto del cancello del giardino. Non è che la porta non sia blindata o che non assolva alla funzione di chiudere, ma in giardino non serve a nulla. In giardino risulta più efficace aggiungere una telecamera o un sensore di movimento che probabilmente in casa non avrebbe alcuna utilità. -- Flavio Visentin GPG Key: http://www.zipman.it/gpgkey.asc There are only 10 types of people in this world: those who understand binary, and those who don't.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
