Re: Questo ? quello che le aziende pensano della sicurezza.

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2001 ml@sikurezza.org
Soggetto: Re: Questo ? quello che le aziende pensano della sicurezza.
Mittente: P@sKy
Data: 17 Dec 2001 13:08:51 -0000

Fausto Pasqualetti wrote:

>L'attenzione che la mia società sta dando alle problematiche di sicurezza è
>notevole, superiore a molte altre grandi società e quell'indagine
>lo dimostra ... e sta aumentando di giorno in giorno.
>
cos'e' ora ci vuol pubblicizzare la tua azienda? Koba per favore le cose 
che devi
segare non seghi quelle che non vanno segate invece si... non credo che 
pubblicizzare
la propria azienda con tanto di nome sia lo scopo di questa lista.

>Personalmente io e il mio team ci stiamo attivando moltissimo su quanto
>riguarda le politiche di sicurezza in senso lato,
>come dicevo qualche mails fa, la sicurezza  non è solo tecnica ma una forma
>mentis, gestione di sistemi e risorse.
>Se non ci fosse questo sforzo e interesse da parte dell'EDS non sarei qui a
>discutere con voi.
>
Stai a discutere con noi poiche' questa lista risulta essere molto utile 
al lavoro che
fai e per giunta gratis... quindi risparmiaci la tua "promozione 
aziendale"....

>
>Si tratta solo di marketing non penso proprio... di basso livello? Merlino
>ma ti rendi conto di quel che dici?
>Noi ci stiamo sforzando e stiamo puntando molto sull'opensource e su sisteni
>linux visto proprio i livelli di sicurezza garantiti e tutti
>i discorsi che voi conoscete bene...
>
e quali di grazia? vediamo se ne sei a conoscenza sai qual'e' la 
differenza tra free e gratis?

>Il business è una componente primaria senza dubbio, ma un conto è parlare di
>business di sicurezza, come ad esempio
>le società che nascono come funghi che promettono ethical hacking, sistemi
>di intrusion dectection e firewalling che sono risibili,
>un conto è innalzare il livello del servizio, riguardo anche gli standards
>di sicurezza, per soddisfare il proprio cliente e quindi
>come obiettivo avere un ritorno in termini di business.
>
Certo ma per raggiungere un tale obiettivo si offrono delle soluzioni 
preconfezionate e
come dice il buon Bruce Schneier "la sicurezza informatica non e' un 
prodotto, ma e'
un processo", si tratta solo di meditare su questa frase ed agire di 
conseguenza.....
tutti vogliono aver garantita la sicurezza e la privacy e lo vogliono 
per l'altro ieri solo
che puntano tutti a soluzioni "chiavi in mano" che hanno la durata del 
prossimo bug.....
e penso che su questo nessuno mi possa smentire visto che stiamo 
quotidianamente
a monitorare e patchare sia i server di connessione che i client....

>Inoltre le nostre politiche di sicurezza sono rivolte anche verso l'utente
>finale, ad esempio un semplice manualetto
>su come utilizzare in modo diciamo "sicuro" i clients di posta elettronica
>adottando delle azioni proattive in questo senso.
>
Bello il fai da te, peccato che se hai configurato bene sia il client 
che il server non
servono, poiche' le soluzioni sicure risultano essere sempre 
"trasparenti" all'utente
finale, un conto e' "sensibilizzare" l'utente finale sulle problematiche 
e sulla sicurezza
in generale, un'altro e' far diventare tutti esperti di sicurezza specie 
con i prodotti
"chiavi in mano", saper configurare un firewall piu' o meno bene non 
vuol dire essere
esperti di sicurezza, no dico se ho esigenza che gli utenti devono 
telnettarsi su un
server cosa mi cambia se elimino il client di telnet (sulle makkine 
client) ed il demone
di telnet sul server, rinomino ssh in telnet o meglio ci faccio un link 
simbolico in modo
che al comando telnet corrisponda il comando ssh ed in questo modo 
costringo i
miei utenti a fare una connessione crittata sul server, voi dite che 
loro ci fanno caso?
L'ho fatto in molte aziende e la soluzione da me proposta e' stata 
totalmente
traspartente.... ammesso di aver inserito la chiave pubblica del server 
nel file del
knowhost di ssh o aver usato un client di ssh per windows come putty. 

>Gli utenti devono essere coscienti dei pericoli e dei rischi nell'utilizzo
>di un sistema informatico, noi cerchiamo solo di abbattere
>il livello di rischio, ma in modo trasparente, non promettiamo cose
>impossibili (e molte società lo fanno), cerchiamo di gestire
>gli incidenti in modo razionale tenendo presente e avvertendo che malgrado
>tutte le precauzione possibile, è impossibile
>che un sistema informatico sia totalmente "sicuro".
>
Parole sante.... un sistema non e' mai sicuro al 100%....

>
>L'anello piu' debole deve diventare sempre piu' forte... ma non è possibile
>che diventi invulnerabile.
>Personalmente ci rimango male, quando qualcuno parla di realtà che non
>conosce.
>
E chi ti fornisce la certezza che parliamo di realta' che non conosciamo?

>Chi non sa, deve tacere
>Scusate lo sfogo, ma tutti hanno il diritto di sfogarsi.
>
Certo chi non sa deve tacere...

Ciao

P@sKy




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: Questo ? quello che le aziende pensano della sicurezza., ~MeRliNo
- Re: Questo ? quello che le aziende pensano della sicurezza., Fausto Pasqualetti

Data:
- precedente: [declan@well.com: FC: Al Qaeda terrorist manual tells how to use PGP crypto software], andrea
- successivo: Re: "Firewall Interno": idee?, Giuseppe Paterno'
- indice

Argomento:
- precedente: Re: Questo ? quello che le aziende pensano della sicurezza., ~MeRliNo
- successivo: Re: Questo è quello che le aziende pensano della sicurezza., Raistlin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005