________________________________________ Da: [email protected] [[email protected]] per conto di tribal.cell [[email protected]] Inviato: venerdì 16 ottobre 2009 15.59 A: [email protected] Oggetto: Re:[ml] www.poste.it
>>Da questa tua affermazione (giustificatissima) capisco che non hai una >>conoscenza profonda della realt? di poste italiane. Verissimo, però conosco molto bene la realtà delle piattaforme di esercizio di Telecom Italia , non credo siano meno complesse sebbene la minor apertura verso il mondo esterno qualche patema d'animo in meno lo dà. >>posso dirti che attivit?/gruppi come quelli di Patch Management sono presenti >>e lavorano costantemente ed adeguatamente (sempre >> secondo il mio modesto parere). Posso crederti, anche se so benissimo che quando si hanno centinaia di piattaforme (con migliaia di server), occorre dare la priorità di aggiornamenti a quelle più critiche, però un portale exposed come quello bancario direi che lascia poco spazio a tentennamenti o a scuse del tipo : non ho risorse sufficienti per far applicare il patching o non ho risorse per avere il presidio sistemistico e di sicurezza H24. Non avendo però informazioni di dettaglio, possiamo passare giornate intere ad ipotizzare punti deboli o falle nei processi e nei sistemi, sarebbe interessante saperne di pùi perchè credo che eventi del genere siano tutt'altro che rari e soprattutto servono a far aprire le orecchie (e le tasche) a qualche manager con la vista corta. >>Per tal motivo insisterei di pi? su componenti come la definizione delle >>policy di sicurezza interna, le quali spesso ? volentieri ritardano quelli >>che sono i flussi atti a garantire un'architettura di rete all'avanguardia e >>il pi? sicura possibile. Ci sono processi aziendali esterni alla sicurezza che contribuiscono in egual (e spesso maggiore) maniera a rallentare le azioni volte al miglioramento continuo della sicurezza. Le policy di sicurezza interna, se pensate con cognizione di causa, non dovrebbero essere fonti di "ritardo"...Che poi vengano percepite come tali, bè, mi sembra di sentire qualche operativo dell'esercizio che quando iniziano ad essere rilevate delle non conformità partono con la solfa che se seguono le nostre policy loro non lavorano più, blah blah...ma se tutto è in ordine nessuno che si lamenta se c'è qualche policy di troppo. Saluti RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
