Premetto che: 1) non lavoro e non ho mai lavorato per poste italiane, manco come consulente 2) non conosco il Gerardo sotto citato
>> > Pesante, direi. >> > >> Vediamo cosa dice Gerardo, >> magari può fornirci qualche dettaglio in più circa le modalità . >> Ad ogni modo un defacement di un sito "istituzionale" può fare bene, >> nell'ottica di un miglioramento generale della sicurezza delle >> infrastrutture informatiche. > > Assumendo che questo avvenga ... > Ma siamo pur sempre in Italia, e' il comunicato presente sul sito di Questa è una storia vecchia, che oramai stufa non poco, l'erba del vicino è sempre migliore, eblablabla. E Venezia è bella, ma non ci andrei mai a vivere, aggiungo io. Mi pare che nel resto del mondo, in materia, non siano messi meglio. Anzi. > poste.it [1] non mi pare una grande presa di responsabilita'. Nella forma, anche a me, ma sono convinto che sia uscito da qualche marketing unit in fretta&furia ... :) > Io da una banca mi aspetterei un licenziamento in tronco del/dei > responsabile/i (e intendo i manager non qualche sfigato di tecnico), e del responsabile di cosa? degli sfigati sopra citati, presumo, no ? In questo caso quindi licenziamo il/gli responsabile/i della security, se ho capito bene. > poi un atto di scusa e l'avvio di procedure sia di investigazione un defacement, tranne se non hai dati che smentiscono quanto detto e quanto storicamente internet ci ha insegnato, è un qualcosa che sulla rete puo' capitare a chiunque. Quello che tu chiami atto di scusa, io credo siano delle semplici procedure di crisis management e relativa comunicazione di crisi, per mitigare l'eventuale perdita di reputazione a fronte di uno scenario di rischio operativo di risonanza pubblica (che, in questo caso, ha impatto diretto e significativo sul brand e sull'immagine della azienda). Ad ogni evento simile licenziamo gente, quindi? > sull'accaduto e ancora piu' importante di investigazione e aggiustamente > delle procedure che hanno reso possibile una cosa del genere. Non capisco quali sono queste procedure, ne citi due che mi sembrano uguali e sopratutto con lo stesso owner (che tra l'altro, mi pare, tu avresti gia' licenziato, prima delle investigazioni). A contorno, secondo me, il tuo ragionamento fa acqua da tutte le parti, mi viene da pensare al responsabile web che non vede di buon occhio il responsabile della security, si auto-buca il sito e come conseguenza rovina la reputazione del responsabile della security, per esempio (noi in ogni caso, prima delle dovute analisi forensi, lo abbiamo messo alla porta :P). E di scenari simili, usando la fantasia, ce ne potrebbero essere altri n-mila. Non mi pare un buon modello di governance aziendale. > Quanto di questo accadra' secondo voi ? Io credo, orientativamente, mai. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
