RE: DPSS: esempi

[...]
> Anche il tecnico che ha venduto i PC che viene per sistemare
> qualchecosa, che ne so una tastiera guasta, potrebbe accedere ai dati,
> ma non mi pare che debba essere nominato incaricato. Lui è un tecnico e
> basta. Sta all'incaricato fare la dovuta sorveglianza. (Cosa che di
> solito nessuno fa:-( per la cronaca)

Ho visto girare molte lettere da parte di sw house molto conosciute che
chiedono al cliente, in qualità di Titolare, di essere nominate Responsabili
per poter Incaricare gli addetti alla manutenzione sui sitemi del cliente.

A me pare una forzatura ma succede e alla fin fine, come anche io vado
asserendo, nel dubbio meglio scrivere una liberatoria in più che in meno :).

[..]

> > > Il fatto che tecnicamente un amministratore possa accedere ai dati, va
> > > controllato con gli appositi strumenti di monitoraggio, che dovrebbero
> > > sempre esserci.
> >
> > Cosa intendi con strumenti di monitoraggio ?
> >
>
> Ho sempre sostenuto che anche gli amministratori di sistema devono
> essere in qualche misura controllati, proprio perchè hanno un "potere"
> superiore agli altri.
> Il monitoraggio degli eventi di sistema dovrebbe arrivare direttamente
> su sistemi non accedibili dagli amministratori, ma controllati da un
> gruppo a parte apposito. E dovrebbe valere anche il contrario. Il gruppo
> di controllo è "controllato" dagli amministratori degli altri sistemi.
> Insomma un sistema incrociato.

 Su questo punto concordo in pieno, sarebbe bello, abbasso il grande
fratello :).

Un saluto

Gianfranco




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List