Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 22-10-2009, 13.06.38   #1
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
[garante] Sapere cosa e non cosa può fare il sysadmin

Salve,
Come sapete entro il 15/12 bisogna adeguarsi alla nuova normativa.
Premesso che mi sembra un attacco diretto alla figura del sysadmin, già di per se poco considerata e sfruttato dalla aziende, in quanto il garante pone l'accento ai presunti privilegi che ha questa figura che sono però assolutamente indispensabili al corretto esito del suo lavoro e che naturalmente presuppongono un'etica da parte del sysadmin senza il quale tale figura non avrebbe ragione di esistere, senza però soffermarsi sulla posizione già scomoda che occupa in azienda (colmo di responsabilità spesso non adeguatamente retribuite). Basta pensare che "quando la m*rda vola" si fa quello che si può e il primo pensiero è assolutamente quella di risolvere i problemi e riprestinare i servizi non certo mettersi dei paletti pensando a ciò che risulterà o non risulterà sui log, mi chiedo esiste una guida o meglio una normativa che indichi al sysadmin cosa è lecito dal punto di vista normativo fare nel suo lavoro e ciò che non lo è quindi perseguibile? Non posso pensare infatti che nell'intento di riprestinare un dato servizio indispensabile al lavoro di decine e decine di utenti furiosi e polemici che si rifanno polemicamente sul sysadmin questo venga poi perseguito addirittura penalmente per una azione volta esclusivamente a risolvere un dato problema e non certo ad appropriarsi di dati aziendali riservati.
gutguy non è collegato   Rispondi citando
Vecchio 22-10-2009, 23.08.51   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
E' un argomento che m' interessa, perchè ne so poco a riguardo. ho trovato questo http://www.garanteprivacy.it/garante...1577499#indice
Penso che tutto faccia perno sul fatto che la funzione principale del sysadmin sia quella di mantenere fruibile un servizio e garantire l' impossibilità di fuoriuscita di informazioni private soggette a privacy nell'ambito in cui egli opera. E' indubbio che le sue competenze derivanti dall'alto grado di professionalità che sono indispensabili per svolgere il suo compito possano anche essere travisate, poichè è noto ad esempio che si possa tranquillamente "spiare" l'attività di un qualunque utente senza necessariamente aver messo mano sul suo PC, soprattutto quando un sysadmin ed un netadmin si rendono complici nel portare a termine un'attività eticamente poco condivisibile (Spesso le due figure si amalgamano, tanto da annullarne le differenze). Peggio ancora quando una delle due figure o entrambe operano al fine di facilitare la fuoriuscita di informazioni ritenute di dominio privato.
In questi frangenti, credo che un attento monitoraggio delle attività in rete possa essere d'aiuto, ma io non ho capito chi è che controlla l'operato del sysadmin ... non è neanche chiaro chi gli vieti espressamente di alterare i file di log al fine di far sparire le tracce del suo operato che potrebbero compromettere la fiducia in egli riposta: d'altronde chi è che è a conoscenza delle password di configurazione dei dispositivi di rete, siano essi router, firewall, server ? Chi è a conoscenza dell' architettura della rete che amministra nei minimi particolari e che può manipolare a suo piacimento in qualunque ora del giorno e della notte ?
A mio avviso, la figura del sysadmin è afflitta da un incombenza di grande e non invidiabile responsabilità, nonchè di una pericolosità piuttosto rilevante.

In parole povere ... non t'invidio gutguy , però tu hai chiesto una sorta di vademecum del buon amministratore: Boh, io attendo con religiosa curiosità l'intervento di chi da anni fa questo mestiere che possa qualificarsi come Mosè con le tavole dei 10 comandamenti ...
LoryOne non è collegato   Rispondi citando
Vecchio 23-10-2009, 14.13.42   #3
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Quota:
Inviato da LoryOne
E' un argomento che m' interessa, perchè ne so poco a riguardo. ho trovato questo http://www.garanteprivacy.it/garante...1577499#indice
Penso che tutto faccia perno sul fatto che la funzione principale del sysadmin sia quella di mantenere fruibile un servizio e garantire l' impossibilità di fuoriuscita di informazioni private soggette a privacy nell'ambito in cui egli opera. E' indubbio che le sue competenze derivanti dall'alto grado di professionalità che sono indispensabili per svolgere il suo compito possano anche essere travisate, poichè è noto ad esempio che si possa tranquillamente "spiare" l'attività di un qualunque utente senza necessariamente aver messo mano sul suo PC, soprattutto quando un sysadmin ed un netadmin si rendono complici nel portare a termine un'attività eticamente poco condivisibile (Spesso le due figure si amalgamano, tanto da annullarne le differenze). Peggio ancora quando una delle due figure o entrambe operano al fine di facilitare la fuoriuscita di informazioni ritenute di dominio privato.
In questi frangenti, credo che un attento monitoraggio delle attività in rete possa essere d'aiuto, ma io non ho capito chi è che controlla l'operato del sysadmin ... non è neanche chiaro chi gli vieti espressamente di alterare i file di log al fine di far sparire le tracce del suo operato che potrebbero compromettere la fiducia in egli riposta: d'altronde chi è che è a conoscenza delle password di configurazione dei dispositivi di rete, siano essi router, firewall, server ? Chi è a conoscenza dell' architettura della rete che amministra nei minimi particolari e che può manipolare a suo piacimento in qualunque ora del giorno e della notte ?
A mio avviso, la figura del sysadmin è afflitta da un incombenza di grande e non invidiabile responsabilità, nonchè di una pericolosità piuttosto rilevante.

In parole povere ... non t'invidio gutguy , però tu hai chiesto una sorta di vademecum del buon amministratore: Boh, io attendo con religiosa curiosità l'intervento di chi da anni fa questo mestiere che possa qualificarsi come Mosè con le tavole dei 10 comandamenti ...
Premsso che non sono un sysadmin, ma un sistemista che lavora per una società di consulenza, ma mi capita di sover lavorare presso aziende esterne per conto di clienti,
Fai bene a non invidiarmi, non tanto per questo aspetto legato alla privacy, ma per l'attività che devo svolgere che in certi frangenti ti assicuro che mi viene da pensare, ma chi diavolo me l'ha fatto fare (in parole povere quando "la m*rda vola!"). Per tornare a questo argomento, sono d'accordo anche io che è giusto che ci sia "un controllo" sull'operato di questa figura professionale che "avendo a disposizione la password d'amministratore" può accedere a dati sensibili, ma è anche vero deve esistere "un rapporto di fiducia" (passami il termine) senza il quale è innutile e anzi controprocudente che questa figura operi. Del resto anche chi ricopre altri ruoli ha accesso a dati potenzialmente sensibili, faccio l'esempio solo di un amministratore delegato (d'accordo mi direte che è una figura di uno certo spessore) ma anche un semplice funzionario commerciale può accedere a dati sensibili, ma nessuno si pone tanti problemi in questi casi, diciamo che la legge è volta a sanare l'ignoranza da parte dello stato italiano e delle aziende in generale riguardo alla figura dell'amministratore di sistemi. In quest'ottica, fai bene come ho detto prima a non invidiarmi, ma io a mia volta non invidio le quelle figure professionali assunte nelle aziende che si ritrovono con mille responsab ilità (non affatto retribuite) quindi ora soggetti come se non bastasse a questa norma, ma che di fatto si ritrovano a dare supporto ad end-user polemici su problematiche di infimo livello (quando sono presso i clienti la frase più riccorrente che sento rivolgere agli addetti del reparto IT è "non riesco a stampare").
gutguy non è collegato   Rispondi citando
Vecchio 23-10-2009, 14.53.40   #4
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Se esistesse una politica di informazione del personale sull'utilizzo dello strumento che ha a disposizione, credo che l'utente stesso potrebbe saperne abbastanza per capire se è un problema che può risolvere da solo o se è necessario l'intervento esterno. Per quanto attiene l'attribuzione di responsabilità che vanno oltre la sua qualifica ,tutto il mondo è paese.
Sul "rapporto di fiducia" mi trovo in accordo con te, c'è sempre stato, ma il solo fatto che vengano legiferati ordinamenti che regolino l'operato della figura professionale dovrebbe farti pensare che la mela marcia abbia contaminato più di un cestino ...
LoryOne non è collegato   Rispondi citando
Vecchio 26-10-2009, 10.24.07   #5
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Premesso che forse questo thread sta prendendo un percorso diverso da quello originale, vorrei precisare che NON voglio dire assolutamente che sono contrario a questa normativa, solo penso si esageri un po'. Dissento su alcune questioni che hai riportato, ad es. l'es del sysadmin e\o netadmin che si alleano per favorire di proposito la fuoriuscita di info, penso sia alquanto esagerato, se questo fosse il fine principale dei sysadmin ot similia penso che dovremmo tutti andare a casa, che senso avrebbe? Certo mi dirai, ma hanno le psw d'amin e teoricamente lo potrebbero fare, ma a quale scopo? Se fossero tutti così sarebbe meglio che facessero un altro lavoro ... Questo dimostra come i luoghi comuni possano veramente creare antipatie a discapito degli onesti che si fammo quotidianamente il mazzo.
Poi inoltre la lex parla di "alta prossefionalità" in che cosa consiste, dare supporto agli utenti quando non riescono a stampare?
Per quanto riguarda i tuoi dubbi, è una società ad hoc che si deve occupare di implementare la strumentazione necessaria ad adempiere ai obblighi di legge, se è lo stesso sysadmin è chiaro che casca l'asino. Sarà cura della società specializzata fare in modo che il sysadmin non abbia i dati e non possa accedere ai sistemi di monitoraggio. Inoltre tu azienda conferirai una psw d'admin nominale (cioè nome+cognome del sysadmin) dove possibile o generica certificata con data e ora d'assegnazione in modo tale che se succede "qualcosa" sappiamo chi incolpare!
Volevo dire anche un altra cosa, abbiamo tutti a disposizione (poi c'è chi l'usa e c'è chi no) il buon senso, ma io sono un conoscitore di sistemi non un giurista esperto di leggi, è possibile che per adempire alla mia attività faccia una certa operazione col fine unico "di saltarci fuori" e non certo di "rubare" dati sensibili, il buon senso mi dice se tale operazione è lecita o meno ma l'asino potrebbe cascarci.
Se tu azienda hai dei dubbi, non farmi operare, punto, io come sistemista posso solo pensare agli aspetti tecnici (e ti posso assicurare che c'è nè abbastanza), non posso mettermi a fare anche il giurista. Anche il controller o il funzionario commerciale sbattono la testa su certi dati quando operano per es. su statistiche di vendita (se il controller deve elaborare certi dati è ovvio che ne vedrà anche degli altri sennò come riuscirebbe nel suo lavoro, è ovvio che esiste un rapporto non scritto di serietà) ma nessuno si sogna di loggarli.
Sul fatto delle mele marce, d'accordissimo che ci sono sempre e ci saranno sempre, ma pensi che non ce ne siano tra altre figure professionali?
Pensi che l'addetto\a alle buste paga nel stampare le buste non sbatta
il naso (anche involontariamente) sui quanto prende un collega e non lo confidi con qualche "compagno di banco"? Certo mi dirai che che per qualche mela marcia tutti ne devono pagare le conseguenze, ma è anche vero che le mele marce vanno cercate di proposito e ti assicuro che ce ne sono molte anche in altri settori (non parliamo di quello sanitario dove in gioco ci sono la salute delle persone, ma questo sarebbe un altro discorso).
Penso sia normale che se uno fa un certo lavoro che indirettamente abbia accesso a certi dati, sta a questa figura comportarsi in modo etico. La differenza è che l'imprenditore sa in che consiste il lavoro dell'addetto alle paghe, non sà invece ciò che fa il sysadmin, e questo il perché della legge.
Sembra quasi comunque che la legge dice all'azienda come fare in modo di evitare che il sysadmin ruba info ma non dice a me sysadmin come evitare di incappare in situazione spiacevoli.
Avere la psw d'amin non è un privilegio,
Questa utenza ci è indispensabile, come possiamo operare senza?
Questo non può essere considerato un privilegio, solo perché ce l'ho micca significa che sono autorizzato a fare quello che mi pare o accedere a qualsiasi cosa,
io so che potrei accedere alle cartelle
della direzione, ma non per questo solo perché ho la psw vuol dire che necessariamente vi accedo,
trasgedirei lo stesso, anche se non venissi loggato.
Se tu azienda hai dei dubbi, semplicemente non darmi la psw d'admin, dammene una nominale o farmi accedere esclusivamente dove devo operare o fammi seguire per tutto il tempo da un addetto che controlli il mio operato o meglio non farmi operare affatto! Lo so è un po drastico, ma allora a sto punto logga anche il lavoro degli amministratori delegati, degli adetti alle paghe, dei funzionari commerciali, dei controller .... come vedi sarebbe alquanto utopistico, però casulamente nel caso degli sysadmin non lo è!

Ultima modifica di gutguy : 26-10-2009 alle ore 12.07.22
gutguy non è collegato   Rispondi citando
Vecchio 26-10-2009, 12.16.42   #6
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Quota:
"Questo dimostra come i luoghi comuni possano veramente creare antipatie a discapito degli onesti che si fammo quotidianamente il mazzo."
Bravo, sono sicuro di appartenere anch'io a questa grande famiglia.

Quota:
"Poi inoltre la lex parla di "alta prossefionalità" in che cosa consiste, dare supporto agli utenti quando non riescono a stampare?"
Non la esclude e neanche la caratterizza nella sua interezza.

Quota:
"Volevo dire anche un altra cosa, abbiamo tutti a disposizione (poi c'è chi l'usa e c'è chi no) il buon senso, ma io sono un conoscitore di sistemi non un giurista esperto di leggi"
Da ora è richiesta anche questa conoscenza e non fa certo male.

Quota:
"Sul fatto delle mele marce, d'accordissimo che ci sono sempre e ci saranno sempre, ma pensi che non ce ne siano tra altre figure professionali?"
Non mi passa neanche per l'anticamera del cervello che siano santi

Quota:
"Avere la psw d'amin non è un privilegio. Questa utenza ci è indispensabile, come possiamo operare senza?"
Tutto dipende dalla funzione che riveste la necessità di fare accesso al sistema con quella password; E' per questo che essere loggati (possibilmente con informazioni dettagliate) deve essere una misura a favore dell'admin.

Quota:
"Questo non può essere considerato un privilegio, io so che potrei accedere alle cartelle della direzione, ma non per questo solo perché ho la psw vuol dire che necessariamente vi accedo, trasgedirei lo stesso, anche se non venissi loggato."
Infatti.

Quota:
"Sembra quasi comunque che la legge dice all'azienda come fare in modo di evitare che il sysadmin ruba info ma non dice a me sysadmin come evitare di incappare in situazioni spiacevoli."
Ragiona per etica professionale ... Sapendo che la tua attività potrebbe essere fraintesa, opera in modo da non assecondare nessuno che ti chieda di operare per scopi personali o discriminanti che esulino dal mantenere fruibili i servizi che ti viene richiesto di amministrare.
LoryOne non è collegato   Rispondi citando
Vecchio 26-10-2009, 16.54.18   #7
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Intanto ti ringrazio (disco sul serio) per aver postato ed espresso la tua opinione, fa sempre piacere ed è utile vedere il punto di vista degli altri.
Io volevo solo dire che sono d'accordo con la legge ed anzi come dici tu può anche essere vista a favore del sysadmin visto che spesso c'è molta ignoranza su ciò che realmente fa questa figura (quindi diciamo che si può pensare male come è emerso dalla tua opinione), ma secondo me semplicemente si sta esagerando, premesso che non è sbagliato per questo motivo affatto loggare tutto, ma perché a questo punto non estendere lo stesso criterio a figure professionali diverse? Secondo me lo scopo principale di questa legge benché se ne dica è invece quella di sanare l'ignoranza che c'è nella aziende circa questa figura, poi ovviamente è giustissimo anche tutto il resto.
Penso sia esagerato anche perché spesso nelle aziende si lesina sui reparti ICT e spesso si hanno situazione davvero al limite dal punto di vista delle infrastrutture e si tende (come tutte le cose) ad investire solo a disservizio compiuto e non al fine di evitarle, quindi sapere che ora per questa normativa le aziende dovranno per forza di cose investire su sistemi di monitoraggio (dipende ovviamente dalle realtà ma sicuramente un progetto di questo tipo non è affatto a buon mercato) mi lascia un po' l'amaro in bocca. Del resto che senso ha avere un sistema di monitoraggio (all'avangurdia) se poi dall'altro canto ci sono server di produzione stra-datati e magari nessun sistema di storage degno di tale nome (ti posso assicurare che queste situazioni sono molto più frequenti di quello che si potrebbe pensare), così va a finire che non ci sarà più niente da loggare perchè i dati saranno andati a farsi friggere.
Penso che questa normativa debba anche vertire non solo su ciò che potrebbe fare il sysadmin in termini di privacy ma ciò che rischia l'azienda nel trascurare il settore IT.
Però alla fine è inutile più di tanto discutere perché "Dura lex, sed lex".

Ultimissima cosa:

Quota:
Quota:
"Questo dimostra come i luoghi comuni possano veramente creare antipatie a discapito degli onesti che si fammo quotidianamente il mazzo."


Bravo, sono sicuro di appartenere anch'io a questa grande famiglia.
Non mi riferivo assolutamente a te (o meglio non era mia intenzione), era in generale, ci tenevo a dirtelo

Quota:
"Sembra quasi comunque che la legge dice all'azienda come fare in modo di evitare che il sysadmin ruba info ma non dice a me sysadmin come evitare di incappare in situazioni spiacevoli."


Ragiona per etica professionale ... Sapendo che la tua attività potrebbe essere fraintesa, opera in modo da non assecondare nessuno che ti chieda di operare per scopi personali o discriminanti che esulino dal mantenere fruibili i servizi che ti viene richiesto di amministrare.
Ti assicuro che è già così, non ho bisogno di una legge che me lo dica, sarei andato a casa anni fa anche prima dell'esistenza di questa normativa.
E' così anche nelle aziende in cui mi capita di operare, solo che l'imprenditore e (e la lex) pensa che sia questa la sua funzione principale

Ultima modifica di gutguy : 26-10-2009 alle ore 17.27.35
gutguy non è collegato   Rispondi citando
Vecchio 26-10-2009, 19.02.36   #8
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Quota:
"Non mi riferivo assolutamente a te (o meglio non era mia intenzione), era in generale, ci tenevo a dirtelo"
Quel "Bravo" era più una stretta di mano piuttosto che un "solo lui pensa di farsi il mazzo ?", quindi non ti preoccupare.

Piuttosto, fin'ora la discussione l'abbiamo portata avanti noi due che per la dirla alla Di Pietro non c'azzecchiamo molto . Credo che sia giunto il momento di sentire un parere autorevole, altrimenti rischiamo davvero di andare off topic.
LoryOne non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
T.F.R. cosa e come fare Flying Luka Archivio News Web 9 10-01-2007 01.05.33
cosa posso fare per uno spam di outlook che non ho mai spedito? cesareco Internet e Reti locali 6 07-12-2006 10.30.45
[FLOPPY] cosa devo fare per installarlo? torakiki78 Hardware e Overclock 1 04-03-2006 10.23.15
cosa mi conviene fare quest'estate? monossido Hardware e Overclock 7 02-05-2004 20.22.49

Orario GMT +2. Ora sono le: 13.26.05.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.