> concordo.. e subito dopo, stante all'allegato B, "PROVVEDE A CAMBIARLE" per > garantire l'univocita' delle credenziali "note SOLO a chi le usa"
la situazione era un pochino diversa, comunque le credenziali erano note solo a chi le usava > mai sentito parlare di "sudoers" ? o, per $Win, del gruppo "administrators" > (per non scendere in tecnicismi tipo: SELinux, Windows Policy, ecc.) si, si, si e si > > .. che notoriamente e' un sistema "sicuro" e "trusted" per comunicare in > maniera riservata chicchessia (sigh) suppongo che lo scopo fosse quello di farle modificare velocemente alle persone riceventi > Amministratori di sistema => nominati dal titolare !! con indicazione > precisa di obblighi e responsabilità (ce l'avete ??) non ci sono, non esplicitamente >> No. Perché? La responsabilità è del titolare. >> Per correttezza, dovrebbe cercare di proporre al titolare una soluzione >> "corretta" per la gestione dei sistemi: creazione di utenze personali degli >> AdS, cosa fare nei rarissimi casi in cui sia necessario disporre della >> password di supermucca, log delle attività, eccetera. >> Avrebbe già dovuto farlo prima, se ne avesse avuto le competenze (questo >> non lo so; ma se era a conoscenza della normativa, qualche dubbio l'avrebbe >> dovuto sollevare; ad ogni modo, la responsabilità è del titolare = >> amministratore, anche della formazione delle persone). >> > concordo ! è a conoscenza delle normative >> "Obbligato" non è la parola giusta, ma si tratta di correttezza. >> Esperienza personale: se non lo fa, lo silurano e gli altri andranno >> avanti benissimo anche senza di lui (con qualche difficoltà iniziale, ma poi >> basta). E io, personalmente, appoggerei il siluramento. >> > ri-concordo; specie quando gli admin sono "consulenti" questa è la cosa piu' > difficile da effettuare nel trasferimento di competenze ... mi sono spiegato male, quando intendevo insegnare, intendevo proprio l'"abc" dei sistemi (tipo perchè non c'è il disco c: su linux?), non tanto passare le consegne e spiegare il funzionamento di quello impostato >>> Un avvocato è stato sentito, e secondo l'avvocato questa persona deve >>> eseguire >>> qualsiasi ordine gli venga impartito compreso quello di intervenire >>> conaccount >>> condivisi. E' il comportamento corretto da tenere? >> >> >> Sì. > > > non vorrei offendere i colleghi avvocati in lista, ma.. forse avrei sentito > anche un parere diverso o hai riferito troppo stringatamente. la domanda letterale è stata: "è obbligato ad intervenire sui sistemi usando account (user/password) condivise"? risposta: si, ad ordine scritto deve eseguire, eventuali responsabilità si valuteranno successivamente. Rodolfo ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
