Consulenze e assunzione di responsabilita'

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2003 ml@sikurezza.org
Soggetto: Consulenze e assunzione di responsabilita'
Mittente: J0mb
Data: 25 Oct 2003 06:34:56 -0000

Buongiorno alla lista.
Mi sembrava fosse passato un topic simile in lista ma o non ricordo bene o
non l'ho trovato (nel qual caso mi scuso fin d'ora per il doppione).
Effettuando consulenze per numerose aziende, mi trovo spesso nell'esigenza
di lavorare con credenziali di root/domain admin. 
A questo punto possono succedere diverse cose: 

- c'e' chi mi vorrebbe candidamente fornire la pass di root o administrator
(sic) che rifiuto, e chiedo che mi venga configurato un account nominale con
pari privilegi (quelli che mi servono per l'attivita' e nulla piu'). Al
termine dell'attivita' ne richiedo la cancellazione.

- c'e' chi mi DEVE fornire la pass di root o administrator perche' quello e'
l'unico account amministrativo sulla macchina e nessuno e' in grado di
configurarmene uno.

- c'e' chi mi digita la password e mi sblocca la console (salvo poi
lasciarmi intere ore da solo a fare, in teoria, cio' che voglio)...

In tutti i casi, i fatti sono che:
1) ricevo le credenziali di accesso ai sistemi e, con ogni probabilita'
-nessuno- si preoccupera' di cambiarle quando me ne vado.
2) tutto il processo si svolge "a voce". 
3) Nessun'azienda mi ha mai chiesto di firmare un documento di assunzione di
responsabilita' o simile, ne' ne sto usando uno io.

A questo punto vorrei chiedere agli esperti della lista un parere. Quale
dovrebbe essere il miglior modo di procedere, in questi casi? E,
soprattutto, non dovrebbe essere doverosa la presenza di un apposito
documento scritto, in cui io dichiaro di ricevere le credenziali di accesso
ai sistemi? (e tutelandomi quindi da abusi effettuati con tale account da
eventuali terzi?). Oppure, non dovrei essere io ad avere un documento da
utilizzare allo scopo? Se cosi' fosse, dove posso eventualmente trovare
delle linee guida?

Per concludere, una precisazione: il contesto in cui si applica tutto questo
consiste in realta' aziendali medio/piccole, senza personale IT e con
livelli di informatizzazione bassissimi.

Grazie anticipatamente
Alex




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Consulenze e assunzione di responsabilita', amonti
- Re: Consulenze e assunzione di responsabilita', Andrea Mondelli

In risposta a:
- Re: windeowsupdate e squid, koba

Data:
- precedente: privacy & anonimita' navigazione [was: sicurezza internet], Igor Falcomata'
- successivo: vtun+iptables, Paolo Radice
- indice

Argomento:
- precedente: Re: windeowsupdate e squid, koba
- successivo: Re: Consulenze e assunzione di responsabilita', Andrea Mondelli
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005