2009/10/15 simo: [...] >> Mi pare che nel resto del mondo, in materia, non siano messi meglio. Anzi. > > Non so dove vivi tu, dove vivo io non e' cosi'.
Dove vivo io è un po' meglio ;-) [...] >> Nella forma, anche a me, ma sono convinto che sia uscito da qualche >> marketing unit in fretta&furia ... :) > > Senza il contributo del responsaibile della sicurezza ? Ma cos'e' questa > figura un burattino senza spina dorsale e senza responabilita' che sta > li solo a prendere lo stipendio e grattarsi la pancia ? Simo, ci possono essere molti modi di fare security. E non tutte le aziende hanno una "technical" security. O non sempre è coinvolta. O come ha descritto Gerardo, i problemi possono essere molti. E le risorse in security possono essere limitate, per cui si danno delle priorità. E ancora una volta, togliamoci di testa questa idea - tipica dei non addetti ai lavori - che ci possa anche essere un "responsabile della security"´. La security è responsabilità di TUTTI ed in primis di chi i progetti li manda in produzione. Il reparto di security ti può fare la review, suggerire o fornire le tecnologie, imporre le policy. Qualche volta può bloccare le baggianate più clamorose. Ma in nessun modo è responsabile delle castronate di sicurezza fatte dai progetti. E non deve essere così, ci mancherebbe altro! >> > Io da una banca mi aspetterei un licenziamento in tronco del/dei >> > responsabile/i (e intendo i manager non qualche sfigato di tecnico), e >> >> del responsabile di cosa? degli sfigati sopra citati, presumo, no ? In >> questo caso quindi licenziamo il/gli responsabile/i della security, se ho >> capito bene. > > E' possibile, io ho detto responsabile senza qualificare. Se e' > determinabile immediatamente nel responsabile della security ben che sia > lui, altrimenti chi altro ha aggirato le procedure dettate dal > responsabile della security. O chi ha preso la decisione di mandare un servizio "live" anche se non soddisfaceva il 100% dei requisit? A volte semplicemente succede: il business è semplicemente più importante della sicurezza, e puoi essere sfigato. A volte ti va bene, a volte no... E tante volte, è proprio il top management a fare pressione per mandare un servizio in produzione a tutti i costi. E quindi che si fa, il CTO si licenzia da solo perché hanno defacciato (che verbo idiota...) un web server? lol... L'importante come è giustamente stato fatto notare, è non farsi prendere dall'impulsività e tirare fuori la ghigliottina per la punizione esemplare in pubblico: non serve ad un bel nulla. Bisogna piuttosto rivedere le procedure di messa in produzione (e di esercizio: nessuno si è accorto di nulla?) di un servizio e vedere dove è necessario correggere. Licenziare si può fare, se e dove sono accertate gravi responsabilità individuali. Altrimenti se le procedure continuano ad essere carenti, si ottiene soltanto di spostare il problema sul prossimo malcapitato che si prenderà l'incarico. E con l'aria che tira, chi ci dice che assumano un nuovo responsabile di sicurezza? più probabile che rivoghino il ruolo su qualcuno che già fa altro, che adesso si troverà oberato e la sicurezza avrà ancora meno considerazione... [...] > Ricordiamoci che defacement per un sito com poste.it puo' voler dire > accesso alle credenziali di N utenti, io lo davo per scontato che su > questa lista cio' fosse chiaro, ma viste le minimizzazioni evidentemente > qualcuno non ha capito che un defacement del genere vuol dire che si > poteva anche modificare la pagina per rubare solo le credenziali senza > che nulla fosse evidente (e non abbiamo modo di sapere che non sia > effettivamente successo). Credo che "su questa lista" sia molto chiaro, che un defacement può essere o non essere molte cose. In un ambiente dove esistono gli appropriati monitoraggi, ci si accorge se il backend riceve molte meno richieste del normale, ed esiste il concetto di separazione delle zone di sicurezza. Un defacement viene scoperto e in genere non consente di procedere oltre. In altri ambienti può voler dire qualcos'altro. Credo che "in questa lista" ci si renda abbondantemente conto e nessuno "minimizzi". [...] > Beh certo, se a te sembra tutto normale e se pensi che il responsabile > della sicurezza non sia "responsabile" della sicurezza ma solo di > occupare una poltrona nel management, Ho constatato che chi non ha esperienza di come funziona un reparto di sicurezza ma ha soltanto esperienza tecnica nell'amministrazione di sistemi tende a credere che il responsabile della security sia quello che si prende la colpa dei problemi di sicurezza. Come spero sia chiaro, per fortuna non è così e così non deve essere. > beh allora e' tutto normale e > nessuno va mai licenziato. Secondo me una cosa del genere e' un > fallimento alcuanto pesante, specie viste le risorse di poste.it e > soprattutto i rischi di poste.it (che ripeto e' una banca per cui ha > fattori di rischio molto piu' elevati del giornaletto di topolino). Il mondo non è soltanto bianco o nero ci sono livelli di grigio. Se ci sono responsabilità palesi, che le si facciano pagare. Ma di solito le responsabilità sono abbastanza "remote": chi ha deciso che il reparto security abbia poche risorse per esempio? oppure i soldi sono stati spesi male? oppure i processi non sono stati rispettati. Non puoi mica licenziare qualcuno a caso il giorno dopo che hanno bucato un sito! [...] > Mi metti in bocca cosa che non ho detto. > Prima si determina il responsabile, e permettimi, non e' che ci voglia > molto a determinarlo a meno che le tue procedure siano inesistenti ... > (ma qui di nuovo qualcuno sara' responsabile di non avere procedure di > gestione dell'aggiornamento e della review della sicurezza del portale > no?) E magari questo "responsabile" è un poveretto che ha altre dieci responsabilità? e magari la colpa è del suo manager. O del manager del manager... secondo me non è affatto semplice, soprattutto in una grande azienda come Poste. >> A contorno, secondo me, il tuo ragionamento fa acqua da tutte le parti, mi >> viene da pensare al responsabile web che non vede di buon occhio il >> responsabile della security, si auto-buca il sito e come conseguenza >> rovina la reputazione del responsabile della security, per esempio (noi in >> ogni caso, prima delle dovute analisi forensi, lo abbiamo messo alla porta >> :P). E di scenari simili, usando la fantasia, ce ne potrebbero essere >> altri n-mila. > > Certo, potevamo stupirvi con effetti speciale... etc... bah > >> Non mi pare un buon modello di governance aziendale. > > Certo molto istruttivo invece non far pesare le responsabilita' su cui > e' stato assunto per assumersele, si sa mai che effettivamente la gente > prenda sul serio il proprio lavoro ... Sì ma tu stai arbitrariamente asserendo che le responsabilità siano ben precise e ricadano nel fantomatico "responsabile della security" che forse nemmeno esiste. Non mi pare che il tuo ragionamento fili molto liscio, anzi. Concordo con Gaetano in questo caso, bisogna capire come è strutturata la governance aziendale, e forse il problema è proprio là - in questo caso licenziare qualcuno non sarebbe una soluzione. (concordo con te invece sul fatto che a volte bisognerebbe usare di più questo strumento, soprattutto in Italia!!!) > ... e poi la gente in Italia si chiede perche' chi va all'estero a > lavorare non torna piu' ... Beh anche io lavoro all'estero ma semplicemente perché è stato il caso, il destino, Milano fa schifo, mi pagano meglio... a volte sono tentato anche io di farne una filosofia spicciola, ma in realtà ci sono aziende italiane dove non si sta peggio che all'estero. Dipende più dal lavoro che fai, e l'etica del lavoro non è imposta per legge da nessuna nazione... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
