On Wed, 2009-10-14 at 14:52 +0200, Gaetano Zappulla wrote: > Premetto che: > 1) non lavoro e non ho mai lavorato per poste italiane, manco come consulente > 2) non conosco il Gerardo sotto citato > > >> > Pesante, direi. > >> > > >> Vediamo cosa dice Gerardo, > >> magari può fornirci qualche dettaglio in più circa le modalità . > >> Ad ogni modo un defacement di un sito "istituzionale" può fare bene, > >> nell'ottica di un miglioramento generale della sicurezza delle > >> infrastrutture informatiche. > > > > Assumendo che questo avvenga ... > > Ma siamo pur sempre in Italia, e' il comunicato presente sul sito di > > Questa è una storia vecchia, che oramai stufa non poco, l'erba del vicino > è sempre migliore, eblablabla. E Venezia è bella, ma non ci andrei mai a > vivere, aggiungo io. > > Mi pare che nel resto del mondo, in materia, non siano messi meglio. Anzi.
Non so dove vivi tu, dove vivo io non e' cosi'. > > poste.it [1] non mi pare una grande presa di responsabilita'. > > Nella forma, anche a me, ma sono convinto che sia uscito da qualche > marketing unit in fretta&furia ... :) Senza il contributo del responsaibile della sicurezza ? Ma cos'e' questa figura un burattino senza spina dorsale e senza responabilita' che sta li solo a prendere lo stipendio e grattarsi la pancia ? > > Io da una banca mi aspetterei un licenziamento in tronco del/dei > > responsabile/i (e intendo i manager non qualche sfigato di tecnico), e > > del responsabile di cosa? degli sfigati sopra citati, presumo, no ? In > questo caso quindi licenziamo il/gli responsabile/i della security, se ho > capito bene. E' possibile, io ho detto responsabile senza qualificare. Se e' determinabile immediatamente nel responsabile della security ben che sia lui, altrimenti chi altro ha aggirato le procedure dettate dal responsabile della security. > > poi un atto di scusa e l'avvio di procedure sia di investigazione > > un defacement, tranne se non hai dati che smentiscono quanto detto e > quanto storicamente internet ci ha insegnato, è un qualcosa che sulla rete > puo' capitare a chiunque. Chiunque sottovaluti il problema certo. Non e' solo il defacement in se, comunque, e' il tempo che e' rimasto attivo e il modo in cui e' stata gestita la cosa. Ricordiamoci che defacement per un sito com poste.it puo' voler dire accesso alle credenziali di N utenti, io lo davo per scontato che su questa lista cio' fosse chiaro, ma viste le minimizzazioni evidentemente qualcuno non ha capito che un defacement del genere vuol dire che si poteva anche modificare la pagina per rubare solo le credenziali senza che nulla fosse evidente (e non abbiamo modo di sapere che non sia effettivamente successo). > Quello che tu chiami atto di scusa, io credo > siano delle semplici procedure di crisis management e relativa > comunicazione di crisi, per mitigare l'eventuale perdita di reputazione a > fronte di uno scenario di rischio operativo di risonanza pubblica (che, in > questo caso, ha impatto diretto e significativo sul brand e sull'immagine > della azienda). > > Ad ogni evento simile licenziamo gente, quindi? Beh certo, se a te sembra tutto normale e se pensi che il responsabile della sicurezza non sia "responsabile" della sicurezza ma solo di occupare una poltrona nel management, beh allora e' tutto normale e nessuno va mai licenziato. Secondo me una cosa del genere e' un fallimento alcuanto pesante, specie viste le risorse di poste.it e soprattutto i rischi di poste.it (che ripeto e' una banca per cui ha fattori di rischio molto piu' elevati del giornaletto di topolino). > > sull'accaduto e ancora piu' importante di investigazione e aggiustamente > > delle procedure che hanno reso possibile una cosa del genere. > > Non capisco quali sono queste procedure, ne citi due che mi sembrano > uguali e sopratutto con lo stesso owner (che tra l'altro, mi pare, tu > avresti gia' licenziato, prima delle investigazioni). Mi metti in bocca cosa che non ho detto. Prima si determina il responsabile, e permettimi, non e' che ci voglia molto a determinarlo a meno che le tue procedure siano inesistenti ... (ma qui di nuovo qualcuno sara' responsabile di non avere procedure di gestione dell'aggiornamento e della review della sicurezza del portale no?) > A contorno, secondo me, il tuo ragionamento fa acqua da tutte le parti, mi > viene da pensare al responsabile web che non vede di buon occhio il > responsabile della security, si auto-buca il sito e come conseguenza > rovina la reputazione del responsabile della security, per esempio (noi in > ogni caso, prima delle dovute analisi forensi, lo abbiamo messo alla porta > :P). E di scenari simili, usando la fantasia, ce ne potrebbero essere > altri n-mila. Certo, potevamo stupirvi con effetti speciale... etc... bah > Non mi pare un buon modello di governance aziendale. Certo molto istruttivo invece non far pesare le responsabilita' su cui e' stato assunto per assumersele, si sa mai che effettivamente la gente prenda sul serio il proprio lavoro ... ... e poi la gente in Italia si chiede perche' chi va all'estero a lavorare non torna piu' ... > > Quanto di questo accadra' secondo voi ? > > Io credo, orientativamente, mai. Era una domanda retorica eh? :-) Simo.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
