On Tue, 2009-10-13 at 19:59 +0200, William Maddler wrote: > On 11/10/2009 20:04, simo wrote: > > On Sun, 2009-10-11 at 16:36 +0200, [email protected] wrote: > >>> > >>> Pesante, direi. > >>> > >> Vediamo cosa dice Gerardo, > >> magari può fornirci qualche dettaglio in più circa le modalità . > >> Ad ogni modo un defacement di un sito "istituzionale" può fare bene, > >> nell'ottica di un miglioramento generale della sicurezza delle > >> infrastrutture informatiche. > > > > Assumendo che questo avvenga ... > > Ma siamo pur sempre in Italia, e' il comunicato presente sul sito di > > poste.it [1] non mi pare una grande presa di responsabilita'. > > Certe minimizzazioni a me stanno bene per il sito di topolino, ma chi > > vogliono prendere in giro questi signori ? > > > > Ricordiamoci che questa e' (anche) una banca. Come si puo' avere fiducia > > di un ente che come prima reazione minimizza cercando di dare a bere che > > non sia successo nulla ? > > Ok, ma non puoi neanche aspettarti che rivelino tutto. > Chiariamoci, NON dico che facciano bene. Ma bisogna essere realistici. > Non abbiamo neanche la vaga idea di quanti attacchi vadano a buon fine e > nessuno ne parla.
Io non mi aspetto che rivelino nulla, non mi interessa molto di come sia stato tecnicamente possibile (si accademicamente mi interessa in che modo sia successo, ma quella e' una curiosita' da tecnico che mi interessa fino ad un certo punto) defacciare il sito ma il fatto che sia sto possibile e che sia trascorso un certo tempo da quando e' stato fatto a quando il problema e' stato corretto (coi loro potenti mezzi ...) > Certo concordo con te minimizzare non e` la scelta migliore. Mi preoccupa perche' di solito indica una sottovalutazione del problema. Il punto e' che "rassicurare" la clientela e' un conto, "minimizzare" e' qualcosa di completamente diverso. Si puo' "rassicurae" pur prendendosi le proprie responsabilita'. Di solito chi minimizza in vece le rifugge. > > Io da una banca mi aspetterei un licenziamento in tronco del/dei > > responsabile/i (e intendo i manager non qualche sfigato di tecnico), > > Mi sembra una semplificazione eccessiva. Non e` detto che la > responsabilita` debba necessariamente essere ricercata tra chi gestisce > la sicurezza del sito. Mi viene difficile credere che dipenda da altro, e comunque io non ho detto "responsabile della sicurezza" ho detto semplicemente "responsabile" anche se comunque mi sembra un fallimento del responsabile della sicurezza abbastanza evidente. Se poi "non e' colpa sua" perche' in realta' l'azienda non gli ha datto mezzi/potere per effettuare il proprio lavoro .. beh, peggio per lui direi, si doveva licenziare prima quando si e' reso conto che non poteva svolgere il suo lavoro. > Prima di prendersela con qualcuno e` meglio > essere certi che sia il colpevole o che abbia comunque una reale > responsabilita` per quello che e` successo. Altrimenti e` solo caccia > alle streghe, cosa che tipicamente porta piu` danni che vantaggi. Certo, ma le apparenze anche contano. Un responsabile sicurezza e' ultimamente responsabile della sicurezza. Se fallisce, direi che se ne deve prendere la responsabilita'. Il punto e' che in teoria il responsabile della sicurezza dovrebbe essere stato coinvolto nel redarre il comunicato di cui sopra. Se cosi' e' io vedo un paraculismo che non e' degno di un responsabile sicurezza e lo vedo come aggravante. Se il responsabile della sicurezza non e' stato consultato ... beh, che ci sta li a fare ? :) Simo.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
