Alfredo Speranza ha scritto: in data 15/11/2009 23.01:
La casa è un azienda di circa 400 persone, che si deve adeguare al
provvedimento. Tra l'altro, ne approfitto per intervenire a questo proposito,
ho letto alcuni interventi che asseriscono il fatto che non tutte le aziende
debbano adeguarsi al provvedimento del Garante. Mi permetto di dissentire
perchè praticamente ogni azienda ha sui propri sistemi informatici almeno
indirizzo e/o numero di telefono dei propri dipendenti; già questi sono dati
personali e quindi soggetti al decreto del garante.
basterebbe leggere meglio il decreto, nella sua interezza, e quanto di
altro è stato scritto di seguito anche dal garante stesso per comprender
la reale portata del provvedimento.
la tenuta dei una rubrica dei dipendenti è un fatto di ordinaria
amministrazione , esiste il bisogno di reperibilità per continuità di
servizio, reperibilità per sicurezza delle persone ( avviso dei parenti
in caso di incidente ), l'esempio non è quindi calzante.
Invece devo dire che i trattamenti derivanti dai sistemi vds, se non
strettamente necessari alle operazioni di produzione (vedasi laboratori
automatizzati) , mettono fuori semplificazione l'azienda.
Molte aziende effettuano trattamenti che in fin dei conti nulla hanno a
che fare con il reale bisogno e questa semplificazione è una ulteriore
occasione per rivedere i propri bisogni informativi bilanciandoli con
reali interessi, costi e "mancate semplificazioni " o "nuovi obblighi" .
Sono convinto , e l'aver conosciuto intimamente molte aziende grandi e
piccole mi conforta, che le aziende che necessitano concretamente del
ADS siano poche , ciò non toglie che sia comunque necessario iniziare a
controllare queste figure che speso hanno abusato della loro posizione,
spesso anche inconsciamente diciamo per abitudine, ritardando lo
sviluppo aziendale , diretta conseguenza di un errata applicazione di
regole e metodologie IT .
2) Lei sta valutando, seppure sia facoltativo e mai
menzionato come obbligatorio dal Garante, l'ipotesi di
dotarsi di uno strumento che permetta una gestione
"centralizzata e sicura" dei log prodotti.
Sto valutando dei software per garantire all'azienda dove lavoro, di essere in
regola con il decreto del garante. Onestamente sto vedendo tanti software
raffazzonati che non fanno quello che garantiscono, addirittura ho assistito a
una presentazione penosa di un commerciale che vendeva un software e non sapeva
nemmeno come funzionava.
Ecco un altro valido motivo per avere ordine in una professione
estremamente importante nella realtà industriale e non solo.
3) Il suo ruolo nella "casa" prevede l'assunzione formale
di responsabilità per l'applicazione del provvedimento.
No, io sono il network e telco manager, anche se amministro quasi tutta la
sicurezza informatica dell'azienda (antivirus, AAA, firewall, IDS, ecc.), ma la
responsabilità formale è del mio capo. Infatti in questo momento sto operando
su suo mandato.
E quindi con "responsabilità", è divertente avere continue conferme
della italica antipatia e repulsione alla responsabilità.
una domanda x S. Zanero: ho visto che consiglia l'adozione di un syslog server per adempiere al decreto. Questo syslog non deve essere accedibile dagli amministratori di sistema, ma solo al "controllore", cioè al "titolare del trattamento" dei dati personali (legge 675 del 96). Supponiamo, come spesso lo è, questo titolare non sia un tecnico e quindi non sia in grado di gestire e garantire la continuità di questo servizio, ciò non può essere pericolo per l'azienda, perchè chi dovrebbe controllare non è stato dotato di uno strumento ideoneo per fare ciò?
e chi lo dice? , cosa significa controllo ?
l'amministratore di un'azienda non è detto che sappia stare in linea di
montaggio , non è detto che sappia ad esempio costruire ciò che la sua
azienda vende eppure ne ha il controllo e la suprema responsabilità.
Tanto per fare un riferimento il recente processo di torino (incendio)
ha portato alla sbarra, come responsabile di tutto , non il responsabile
della sicurezza ma direttamente l'amministratore delegato a
dimostrazione che le responsabilità non sempre si legano a concetti di
"pratica conoscenza".
Nella 196 il reale responsabile è chiaramente identificato il titolare
del trattamento , la lageg ben sa che questi può non avere tutte le
conoscenze preventivabili e difatti lo affianca da altri soggetti pero
mantiene su di lui il concetto di responsabile, di "capo". Il comandante
di una nave spesso neanche sa come è fatto il motore che permette alla
sua nave di andare avanti però lui ne è sempre e totalmente
responsabile, si affianca da collaboratori .
Il provvedimento sugli ADS introduce un serio problema e ne da una
prima valida soluzione , introduce il concetto che ne sistema
informativo esistono soggetti "fuori controllo" , soggetti che con varie
scuse e a vario titolo hanno di fatto sottratto il "potere del capo" al
capo ovvero a colui che oggi è identificato come il titolare del
trattamento, ebbene questi deve ritornare a essere il "capo" e deve
imparare a circondarsi da soggetti che possono affiancarlo nel suo
lavoro di titolare del trattamento. Gli obblighi di scelta e selezione ,
tramite criteri del tutto soggettivi seppur proiettati verso un punto
ben definito, oltre che "controllo operativo", sono di fatto la
soluzione al problema.
Compito del tecnico è mettere il titolare in condizioni di assolvere al
dettato secondo i suoi criteri ( suoi del titolare) e non secondo
proprie personali idiosincrasie spesso figlie di atavici timori
risultanti di una incultura generale sul reale ruolo che si ricopre.
La prima cosa che mi viene in mente di dire al fine di scegliere una
soluzione al problema specifico e di sceglierla tenendo sempre ben
presente, e in primo piano, chi è il reale utilizzatore e cosa deve
farne ovvero a cosa gli deve servire.
e come diceva un verso di una nota canzone . tutto il resto è .......
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
