[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Ottobre 2009 ml@sikurezza.org
Soggetto: Re: Re:[ml] www.poste.it
Mittente: Gaetano Zappulla
Data: Wed, 14 Oct 2009 14:53:00 +0200 (CEST)
Premetto che:
1) non lavoro e non ho mai lavorato per poste italiane, manco come consulente
2) non conosco il Gerardo sotto citato

>> > Pesante, direi.
>> >
>> Vediamo cosa dice Gerardo,
>> magari può fornirci qualche dettaglio in più circa le modalità .
>> Ad ogni modo un defacement di un sito "istituzionale" può fare bene,
>> nell'ottica di un miglioramento generale della sicurezza delle
>> infrastrutture informatiche.
>
> Assumendo che questo avvenga ...
> Ma siamo pur sempre in Italia, e' il comunicato presente sul sito di

Questa è una storia vecchia, che oramai stufa non poco, l'erba del vicino
è sempre migliore, eblablabla. E Venezia è bella, ma non ci andrei mai a
vivere, aggiungo io.

Mi pare che nel resto del mondo, in materia, non siano messi meglio. Anzi.

> poste.it [1] non mi pare una grande presa di responsabilita'.

Nella forma, anche a me, ma sono convinto che sia uscito da qualche
marketing unit in fretta&furia ... :)

> Io da una banca mi aspetterei un licenziamento in tronco del/dei
> responsabile/i (e intendo i manager non qualche sfigato di tecnico), e

del responsabile di cosa? degli sfigati sopra citati, presumo, no ? In
questo caso quindi licenziamo il/gli responsabile/i della security, se ho
capito bene.

> poi un atto di scusa e l'avvio di procedure sia di investigazione

un defacement, tranne se non hai dati che smentiscono quanto detto e
quanto storicamente internet ci ha insegnato, è un qualcosa che sulla rete
puo' capitare a chiunque. Quello che tu chiami atto di scusa, io credo
siano delle semplici procedure di crisis management e relativa
comunicazione di crisi, per mitigare l'eventuale perdita di reputazione a
fronte di uno scenario di rischio operativo di risonanza pubblica (che, in
questo caso, ha impatto diretto e significativo sul brand e sull'immagine
della azienda).

Ad ogni evento simile licenziamo gente, quindi?

> sull'accaduto e ancora piu' importante di investigazione e aggiustamente
> delle procedure che hanno reso possibile una cosa del genere.

Non capisco quali sono queste procedure, ne citi due che mi sembrano
uguali e sopratutto con lo stesso owner (che tra l'altro, mi pare, tu
avresti gia' licenziato, prima delle investigazioni).

A contorno, secondo me, il tuo ragionamento fa acqua da tutte le parti, mi
viene da pensare al responsabile web che non vede di buon occhio il
responsabile della security, si auto-buca il sito e come conseguenza
rovina la reputazione del responsabile della security, per esempio (noi in
ogni caso, prima delle dovute analisi forensi, lo abbiamo messo alla porta
:P). E di scenari simili, usando la fantasia, ce ne potrebbero essere
altri n-mila.

Non mi pare un buon modello di governance aziendale.

> Quanto di questo accadra' secondo voi ?

Io credo, orientativamente, mai.






[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005