On 14/10/2009 00:30, simo wrote: > On Tue, 2009-10-13 at 19:59 +0200, William Maddler wrote: >> On 11/10/2009 20:04, simo wrote: >>> On Sun, 2009-10-11 at 16:36 +0200, [email protected] wrote: >>>>> >>>>> Pesante, direi. >>>>> >>>> Vediamo cosa dice Gerardo, >>>> magari pu�² fornirci qualche dettaglio in pi�¹ circa le modalit� . >>>> Ad ogni modo un defacement di un sito "istituzionale" pu�² fare bene, >>>> nell'ottica di un miglioramento generale della sicurezza delle >>>> infrastrutture informatiche. >>> >>> Assumendo che questo avvenga ... >>> Ma siamo pur sempre in Italia, e' il comunicato presente sul sito di >>> poste.it [1] non mi pare una grande presa di responsabilita'. >>> Certe minimizzazioni a me stanno bene per il sito di topolino, ma chi >>> vogliono prendere in giro questi signori ? >>> >>> Ricordiamoci che questa e' (anche) una banca. Come si puo' avere fiducia >>> di un ente che come prima reazione minimizza cercando di dare a bere che >>> non sia successo nulla ? >> >> Ok, ma non puoi neanche aspettarti che rivelino tutto. >> Chiariamoci, NON dico che facciano bene. Ma bisogna essere realistici. >> Non abbiamo neanche la vaga idea di quanti attacchi vadano a buon fine e >> nessuno ne parla. > > Io non mi aspetto che rivelino nulla, non mi interessa molto di come > sia stato tecnicamente possibile (si accademicamente mi interessa in che > modo sia successo, ma quella e' una curiosita' da tecnico che mi > interessa fino ad un certo punto) defacciare il sito ma il fatto che sia > sto possibile e che sia trascorso un certo tempo da quando e' stato > fatto a quando il problema e' stato corretto (coi loro potenti > mezzi ...) > >> Certo concordo con te minimizzare non e` la scelta migliore. > > Mi preoccupa perche' di solito indica una sottovalutazione del problema.
Se il problema non fosse stato (ampiamente) ignorato/sottovalutato forse non si sarebbe arrivati a questo punto. Che il sito di poste soffrisse di varie "problematiche di sicurezza" era cosa nota. > > Il punto e' che "rassicurare" la clientela e' un conto, "minimizzare" e' > qualcosa di completamente diverso. Si puo' "rassicurae" pur prendendosi > le proprie responsabilita'. Di solito chi minimizza in vece le rifugge. Forse non mi sono spiegato bene. La "minimizzazione" era una comunicazione prettamente di marketing, diretta alle "masse", mera comunicazione pubblicitaria diretta a "rassicurare il cliente", l'utente medio. Certo in un'utenza piu` smaliziata ha generato piu` preoccupazione che tranquillita`. > >>> Io da una banca mi aspetterei un licenziamento in tronco del/dei >>> responsabile/i (e intendo i manager non qualche sfigato di tecnico), >> >> Mi sembra una semplificazione eccessiva. Non e` detto che la >> responsabilita` debba necessariamente essere ricercata tra chi gestisce >> la sicurezza del sito. > > Mi viene difficile credere che dipenda da altro, e comunque io non ho > detto "responsabile della sicurezza" ho detto semplicemente > "responsabile" anche se comunque mi sembra un fallimento del > responsabile della sicurezza abbastanza evidente. Se poi "non e' colpa > sua" perche' in realta' l'azienda non gli ha datto mezzi/potere per > effettuare il proprio lavoro .. beh, peggio per lui direi, si doveva > licenziare prima quando si e' reso conto che non poteva svolgere il suo > lavoro. > >> Prima di prendersela con qualcuno e` meglio >> essere certi che sia il colpevole o che abbia comunque una reale >> responsabilita` per quello che e` successo. Altrimenti e` solo caccia >> alle streghe, cosa che tipicamente porta piu` danni che vantaggi. > > Certo, ma le apparenze anche contano. Un responsabile sicurezza e' > ultimamente responsabile della sicurezza. Se fallisce, direi che se ne > deve prendere la responsabilita'. Non sono d'accordo. E` come dire che se un professionista X si impegna per conseguire dei risultati in un contesto sfavorevole e i risultati non sono buoni, il professionista debba essere punito. Prima si capisce se e quali e di chi sono le responsabilita` e dopo si procede contro il responsabilita`. > > Il punto e' che in teoria il responsabile della sicurezza dovrebbe > essere stato coinvolto nel redarre il comunicato di cui sopra. Se cosi' Non e` detto. > e' io vedo un paraculismo che non e' degno di un responsabile sicurezza > e lo vedo come aggravante. Se il responsabile della sicurezza non e' > stato consultato ... beh, che ci sta li a fare ? :) > Ad occuparsi di sicurezza e non di marketing. Capiamoci, non sto difendendo nessuno, ci mancherebbe. Dico solo che crocefiggere un capro espiatorio non serve a nulla, sicuramente non ad innalzare il livello di sicurezza di una infrastruttura. > Simo. > > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
