Il Tue, 16 Nov 2021 02:15:59 -0800, Tom ha scritto:
> Il giorno lunedì 15 novembre 2021 alle 16:11:35 UTC+1 Cordy ha scritto:
>> Il Fri, 12 Nov 2021 09:13:01 -0800, Tom ha scritto:
>>
>> > Il giorno venerdì 12 novembre 2021 alle 16:41:59 UTC+1 Cordy ha
>> > scritto:
>> >> Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
>> >> > Le vostre idee? Grazie in anticipo
>> Ma parli di controlli di sicurezza tipo Polizia, oppure di controlli di
>> sicurezza tipo firewall? Cioè, fisici o informatici?
>
> Hai centrato il punto. Tutti indaffarati sul piano tecnico (per tutti
> penso ai colleghi, al "reparto" che cura la sicurezza in azienda). Ma
> quello sociale? Anche questa discussione si e' incanalata piu' su
> aspetti tecnici e diciamo tecnico-organizzativi, ma d'altronde non
> poteva essere che cosi', siamo in un gruppo di discussione tecnico. Mi
> incurosiva capire se il brainstorming prima o poi affrontasse anche
> l'aspetto diciamo sociale.
Su it.comp la vedo dura... forse su un ng di tipo più legale?
>
>> In generale, qui parliamo di contromisure informatiche. Un sistema
>> correttamente dimensionato e strutturato, in stato di manutenzione
>> almeon regolare, è difficilmente attaccabile.
>
> Nelle realta' piccole. E' come per i bambini: bambini piccoli problemi
> piccoli, bambini grandi problemi grandi.
Eh, ma è proprio per quello che... ci vogliono sistemi configurabili,
gente che li sappia far andare ed idee chiare.
>
>> Un consulente, che magari si connette da remoto, non più e non deve
>> avere diritti di accesso indiscriminati. Il partizionamento di aree,
>> risorse ed accessi è una parte fondamentale della corretta
>> progettazione di un sistema. Così come la gestione e manutenzione dei
>> diritti di accesso.
>
> Perfetto. Per quanto queste affermazioni mi "scaldino il cuore", mi
> diano conforto, so che i sistemi sono comunque e sempre attaccabili. Qua
> ce la possiamo giocare fin che vogliamo sul si e sul no (si lo sono, non
> non lo sono). Io penso di si'.
Indubbiamente. E' un po' come giocare a guardie e ladri: rincorsa continua.
>
>> Mi parrebbe pericoloso, lasciare diritti di accesso ad un consulente
>> che non lavora più per me, no?
>
> Assolutamente. Su questo siamo molto attenti. Ciascuno deve poter fare
> solamente quello che deve fare, nell'ambiente previsto.
>
>> Quindi, alcune risorse vanno necessariamente gestite in locale, avendo
>> cura di una selezione scrupolosa, più che altro in termini di capacità
>> professionali. Un bravo CTO (Chief Technical Officer) ha la fila fuori
>> dalla porta, non ha certo bisogno di vendere accessi agli hacker. E
>> comunque, andrà controllato (inteso come affidabilità personale) lui,
>> non certo gli impiegati (come penso che sia tu).
>> >
>> >
> I nostri fornitori sono le primarie aziende mondiali ICT (accenture, ntt
> data eccetera). Il grosso del lavoro ormai lo fanno loro. Io do' gli
> accessi agli operatori che fanno capo a loro. La selezione del loro
> personale ovviamente la fanno loro. Ogni tanto diamo qualche parere,
> penso sia normale (del tipo: vorremmo sostituire Tizio perche'
> eccetera). Non la faccio io sta attivita', la fa qualcuno vicino a me,
> responsabile del progetto/sistema/applicativo ecc. Quindi non vedo le
> persone, non le conosco (d'altronde potrebbero trovarsi in latam
> piuttosto che emea, apac, nafta...). Nella piccola/media realta' magari
> le conosci e sei un passo avanti, nel valutare i soggetti. Ma in una
> realta' grande no. E' tutto molto "spersonalizzato", passami il
> concetto. Capisci che a sto punto una questione te la poni: ma a chi sto
> dando le chiavi di casa?
Ho come la sensazione che tu non abbia il punto visuale giusto per
valutare la situazione. Può anche essere che tu abbia ragione, chi lo sa?
Ma non troverai risposte qui, di sicuro.
Non vorrei sembrare brutale, non è la mia intenzione, ma: sei troppo in
basso, nella scala gerarchica, anche solo per poter valutare la
situazione. E fra l'altro non penso rientri nei tuoi compiti.
In una dimensione come quella che tratteggi brevemente, probabilmente ci
sono già un minimo di controlli di sicurezza. Magari siete già a standard
NATO, per quel che ne puoi sapere. Quando entra fisicamente gente nei
vostri uffici, deve lasciare giù un documento d'identità ed ottiene un
cartellino identificativo? Avete un servizio metronotte? Sono tutti indizi
di un certo ambiente, che soggiace a regole invisibili ma rigide.
>
> Giustamente tu mi ripeterai "ma no, che preoccupazioni hai, se hai
> progettato bene i sistemi, le attivita' cosi' come le autorizzazioni
> sono ben delineate, cosa vuoi che facciano?". Temo che questo concetto
> appartenga ad un mondo ideale, ho fatto il
> programmatore/tecnico/responsabile per troppi anni per illudermi che
> questa sia la realta'. Per cui se qualcuno vuole trovare una scappatoia
> per "colpire", la trova.
Ah, senza alcun dubbio. Come detto: è una rincorsa continua. E guai a chi
si ferma.
>
>
>> >> Insomma: entrare, si, ma non ovunque e con diritti di elevato
>> >> livello. Altrimenti, altro che regione Lazio...
>> >>
>> >>
>> > Non e' neanche questione di diritti di alto livello, perche' uno
>> > bravo (magari con un team dietro) io penso che riesca a fare piu'
>> > danni di quanto m'immagini. Quindi bisogna prevenire. I responsabili
>> > delle varie applicazioni, delle varie filiere, fanno sicuramente la
>> > loro parte. Io devo pensare a fare la mia.
>> Mi sembra un approccio sbagliato. Occorre certamente difendersi, ma
>> parte di questa difesa è anche una gestione dei rischi, delle procedure
>> di salvataggi di riserva, di disaster recovery, ecc.
>
> ok, ma questo non e' compito mio (in un passato e' stato anche compito
> mio, cmq ora e' proprio cambiato tutto). Mi trovo ad affrontare aspetti
> piu' "sociali", per cosi' dire.
Boh. Non capisco che cosa fai tutto il santo giorno come lavoro...
>
>> Bilanciando opportunamente gli investimenti fra le varie voci.
>> E' come se tu, a casa tua, installassi un firewall da 50.000 euro.
>> Certo, sei protetto (forse...), ma: ha senso, economicamente?
>>
>>
> Assolutamente d'accordo. Ma aggiungerei "cosa sei disposto a perdere?"
> Che tipo di danno, quanto grande, sei disposto ad acccettare?
Il punto è proprio quello. Spendere 50.000 euro per difendere da
intrusioni... diciamo il caso peggiore, un c/c bancario che torna intorno
a zero ad ogni fine mese? Ma mi possono pure dare fuoco al pc, da remoto,
ma col cavolo che installo un qualsiasi "coso" che mi costa 50.000 euro!
--
Ciao! Stefano