--- Sab 14/11/09, Luca Caldiero <[email protected]> ha scritto:
> 1) La "casa" a cui fa riferimento è un'azienda/istituzione
> che si deve adeguare al provvedimento.
La casa è un azienda di circa 400 persone, che si deve adeguare al
provvedimento. Tra l'altro, ne approfitto per intervenire a questo proposito,
ho letto alcuni interventi che asseriscono il fatto che non tutte le aziende
debbano adeguarsi al provvedimento del Garante. Mi permetto di dissentire
perchè praticamente ogni azienda ha sui propri sistemi informatici almeno
indirizzo e/o numero di telefono dei propri dipendenti; già questi sono dati
personali e quindi soggetti al decreto del garante.
> 2) Lei sta valutando, seppure sia facoltativo e mai
> menzionato come obbligatorio dal Garante, l'ipotesi di
> dotarsi di uno strumento che permetta una gestione
> "centralizzata e sicura" dei log prodotti.
Sto valutando dei software per garantire all'azienda dove lavoro, di essere in
regola con il decreto del garante. Onestamente sto vedendo tanti software
raffazzonati che non fanno quello che garantiscono, addirittura ho assistito a
una presentazione penosa di un commerciale che vendeva un software e non sapeva
nemmeno come funzionava. Questo per dire che molte aziende intuendo il business
si sono buttate nell'affare, ma la soluzione proposte non garantiscono la
copertura completa. I software da me testati, se sono sviluppati su piattaforma
windows non contemplano che esistano altri sistemi se non windows, e purtroppo
devo dire che è vero anche il viceversa, ma più per la difficoltà di
integrazione che per una reale volontà.
> 3) Il suo ruolo nella "casa" prevede l'assunzione formale
> di responsabilità per l'applicazione del provvedimento.
No, io sono il network e telco manager, anche se amministro quasi tutta la
sicurezza informatica dell'azienda (antivirus, AAA, firewall, IDS, ecc.), ma la
responsabilità formale è del mio capo. Infatti in questo momento sto operando
su suo mandato.
> 4) Lei è conscio del fatto che l'espressione "open source"
> non significhi "a costo zero" e che l'adozione di qualsiasi
> software implichi una qualche forma di gestione.
Certamente si a tutte e due le domande.
> Tuttavia tale soluzione presenta alcune limitazioni per
> quanto concerne il recupero dei log da ambienti "Microsoft
> Windows" [...] Per rispondere a questa esigenza la mia indicazione ricade
> invece sul prodotto Snare, sempre nella sua versione open
> source, reperibile al seguente indirizzo:
E se la mia esigenza fosse quella di gestire una ambiente eterogeneo: macchine
win e linux, Db Oracle e Sqlserver, integrazione con log di accesso sui
firewall o su altri device, cosa mi consiglierebbe?
una domanda x S. Zanero: ho visto che consiglia l'adozione di un syslog server
per adempiere al decreto. Questo syslog non deve essere accedibile dagli
amministratori di sistema, ma solo al "controllore", cioè al "titolare del
trattamento" dei dati personali (legge 675 del 96). Supponiamo, come spesso lo
è, questo titolare non sia un tecnico e quindi non sia in grado di gestire e
garantire la continuità di questo servizio, ciò non può essere pericolo per
l'azienda, perchè chi dovrebbe controllare non è stato dotato di uno strumento
ideoneo per fare ciò?
Grazie a tutti per l'interessante dibatitto.
Alfredo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
