2009/10/14 simo: [...] > Certo, ma le apparenze anche contano. Un responsabile sicurezza e' > ultimamente responsabile della sicurezza. Se fallisce, direi che se ne > deve prendere la responsabilita'.
Concordo totalmente a metà con il mister ;-) Sì e no. Sono d'accordissimo che il manager responsabile debba avere la decenza di andarsene se opportuno. (questo vuol dire, nel caso che la Polizia identifichi fughe di dati classificati, violazione di privacy, eccetera). Non concordo che debba essere il responsabile della sicurezza. Questo dipende da come è strutturata l'azienda. Può sembrare una richiesta sensata, ma in realtà mostra una non conoscenza di come è generalmente organizzato un reparto di sicurezza. Ben raramente - e giustamente - sicurezza è "responsabile". Logicamente e naturalmente, la sicurezza non è la prima priorità di una azienda. La prima priorità è il business. (se non c'è il business, non c'è ragione di avere una sicurezza ;-)). Le logiche di business possono benissimo decidere che la sicurezza sia un optional per cui non spendere soldi. In genere chi fallisce non è la sicurezza, è il manager del servizio. Chi deve rispondere di un servizio fallato nel 99% dei casi è il responsabile del servizio stesso. Nessuno che lavori veramente nella sicurezza e che abbia un minimo di sale in zucca di prende veramente la responsabilità della sicurezza - al massimo può orientare, richidere, se ne ha mandato imporre, certe misure di sicurezza - ma la responsabilità è sempre del servizio stesso. Ed è giusto che sia così. > Il punto e' che in teoria il responsabile della sicurezza dovrebbe > essere stato coinvolto nel redarre il comunicato di cui sopra. Bah, dipende anche qua. La "sicurezza" è implementata in modi molto diversi in aziende differenti. Alcune aziende per esempio non hanno nemmeno una "sicurezza" in quanto tale, hanno un servizio IT dato in outsourcing e magari un reparto di logistica... > Se cosi' > e' io vedo un paraculismo che non e' degno di un responsabile sicurezza > e lo vedo come aggravante. Se il responsabile della sicurezza non e' > stato consultato ... beh, che ci sta li a fare ? :) Magari a scrivere delle policy, che altro personale - tecnico - deve implementare? Non posso parlare di aziende che non conosco, ma posso immaginarmi un milione di combinazioni possibili. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Düsseldorf, North Rhine-Westphalia, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
