Re: SysAdmin, responsabilit` e rischi

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Re: SysAdmin, responsabilit` e rischi
Mittente: Pr01n    
Data: 29 Nov 2001 19:25:15 -0000

On Thu, 29 Nov 2001 09:49:54  
 Fabio Panigatti wrote:

>Non h l'amministratore che dovrebbe tenere l'elenco, su questo siamo
>d'accordo. Dovrebbe essere il responsabile individuato per iscritto come
>richiesto all'art.2; immagino che in molti casi potrebbe essere individuato
>nello stesso responsabile del trattamento piy che nell'amministratore del
>sistema che, in effetti, non ha bisogno di conoscere le pwd in quanto la
>modifica dovrebbe poter essere fatta dall'utente stesso, senza intervento
>dell'admin.

Ciao a tutti 

Mi h capitato di passare un po di tempo a studiare questo problema e 
IMHO potrebbe essere risolto almeno in parte implementando nella 
propria policy di sicurezza una Certification Autority.

mi spiego meglio...

Nessuno mi vieta di gestire una CA nella mia azienda e generare un 
certificato per ogni identita cliente/utente (o anche altre identita) 
e gestirne i vantaggi come meglio ritengo (perchh no anche per la 
distribuzione delle chiavi via web in maniera riservata e 
autenticata)

Indubbiamente si ha l'onere di pianificazione e gestione di una 
soluzione abbastanza complessa e critica come una CA, che d'altro 
canto si puo pero implementare in maniera gratuita (leggi 
OpenSSL/OpenCA), sempre IMHO i vantaggi di un policy di questo tipo sono senza dubbio innumerevoli, per esempio con poche lirette (euro) in piy si possono implementare dei supporti tipo SmartCard per un utilizzo piy estensivo del certificato (anche a prova di Utente novizio);

Si potrebbe creare anche una top level CA per la mia sede pricipale e 
altre CA figlie per le sedi/filiali/partner decentrati e proteggere 
cosi non piu solo la gestione e la distribuzione delle password (che 
per altro verrebbero ridotte drasticamente) ma tutto il flusso 
documentativo aziendale.

p.s. Niente piu armadietti/casseforti che contengano "buste 
sigillate" che contengano elenchi di password che solo l'incaricato 
puo leggere...

viza

Get 250 color business cards for FREE!
http://businesscards.lycos.com/vp/fastpath/

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: Analizzatore di log, Fabio Pietrosanti (naif)
- successivo: Fw: E-Secure-IT Alert!, Raistlin
- indice

Argomento:
- precedente: Re: Analizzatore di log, Fabio Pietrosanti (naif)
- successivo: Fw: E-Secure-IT Alert!, Raistlin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005