Re: Ri-Sistemi biometrici

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2003 ml@sikurezza.org
Soggetto: Re: Ri-Sistemi biometrici
Mittente: Raistlin
Data: 5 Dec 2003 10:55:29 -0000

Fabio Montini wrote:

beh, sensibili o meno la riservatezza di un'analisi clinica può comunque essere oggetto di imbarazzo da parte del cliente

Consiglio una rilettura della definizione di "dato sensibile"

è sicuramente sempre la soluzione migliore, più una cosa è personalizzata più sarà difficile capirne il senso

Direi che e' vero esattamente il contrario: la soluzione migliore e' quella standard fin dove si puo', con aggiunti solo gli elementi di personalizzazione strettamente necessari. I motivi sono noti: peer review, disponibilita' di best practice, disponibilita' a tempo di record di patch e vulnerability alert, eccetera.

Un sistema proprietario o ad hoc, IMHO, carica sulle spalle di chi lo realizza una responsabilita' che, alla luce delle previsioni anche penali di responsabilita' del TU sulla Privacy, non sono assolutamente accettabili a cuor leggero.

La mia idea era di destinare un computer, scollegato dalla rete informatica, alla gestione dell'archivio di dati anagrafici e numeri di pratica.
mi sembra eccessivo dal momento che un buon firewall è più che sufficiente per proteggere la rete per ore ed ore

Non consideri che il TU ha previsioni e profili diversi per i dati su elaboratori accessibili o non accessibili via rete.

Non so come siete organizzati ma con un minimo di accorgimenti nella sicurezza "fisica" (le persone che girano per i laboratori) responsabilizzando i colleghi in tal senso, magari mettendo gli screensaver con password personalizzata e non cedibile (martellando un po i colleghi), hai gia protetto tutti i tentativi di cracker occasionali avventori del laboratorio.

E ti sei anche trasferito nel mondo di Heidi :)

Credo che in qualsiasi organizzazione sufficientemente larga la sicurezza fisica "immediata" del laboratorio (i.e. per intervalli inferiori ai 30 minuti diciamo) sia da considerarsi una battaglia persa.

Parti dal presupposto che nessun sistema è inattaccabile, dubito che qualcuno possa essere interessato a perdere ore ed ore di tempo per spiare le analisi dei clienti

Dipende dalle analisi. Conosco molte assicurazioni che potrebbero farci piu' di un pensierino.

Per implementare quello che dicevi tu potresti fare un server separato dove ci sono solo le anagrafiche dei clienti

Che e', esattamente, quello che diceva lui. L'hai letta la mail prima di commentarla ? :)

perché non allestite un piccolo bunker protetto da controllo accessi, allarme e telecamera dove mettere dentro la cassaforte, i server di rete e le pratiche cartacee importanti?

Questa e' una buona idea.

Magari il controllo accessi può essere fatto con riconoscimento biometrico

Questa potrebbe essere un'idea piu' o meno buona.

Nota per l'autore della mail precedente:

>> io posso intervenire solo su quella che e' la mia

giurisdizione (qualsiasi cosa riconducibile ad una macchina di von neumann ;) ).

Se e' cosi' dovresti cominciare a preoccuparti. La sicurezza _fisica_ deve essere altrettanto sotto il tuo controllo, altrimenti lo sforzo e' abbastanza inutile !

se il PC è solo un client, ammesso anche che venga asportato, i tuoi dati sono al sicuro

Questo ovviamente nell'ipotesi che windows non swappi, non salvi nulla nella temp e che il medico non salvi mai il referto sul disco locale prima di uploadarlo al server. Ipotesi poco confortante.

Come controllo accessi in questo periodo vanno molto i lettori di prossimità

Confermo la comodita' e l'efficacia.

Diversamente sono contrario a usare sistemi di autenticazione locale sui PC, soprattutto se c'è di mezzo Windows

E perche' mai ? Specie visto che te li impone la legge.

del discorso la lettura biometrica o la lettura di una smart card magnetica, di prossimità o una touch memory che sia, altro non è che una password un po più complicata che non la rende introvabile, intracciabile o infalsificabile.

Cavolatina non da sottovalutare. Se usi il certificato sulla carta come chiave di accesso a directory crittografate, stai facendo della buona prevenzione sul furto di dati :)

Peraltro, i sistemi RFID hanno un'ottima proprieta' aggiuntiva. Visto che stanno addosso all'utente, quando l'utente si allontana dal PC questo si blocca in automatico.

Cordialmente,
Stefano Zanero


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Ri-Sistemi biometrici, Fabio Montini

In risposta a:
- Ri-Sistemi biometrici, Michele Albrigo
- Re: Ri-Sistemi biometrici, Fabio Montini

Data:
- precedente: Re: ...ancora sul problema del kernel, Simo Sorce
- successivo: Qualcuno sa come va???, total_newbie\@libero\.it
- indice

Argomento:
- precedente: Re: Ri-Sistemi biometrici, Fabio Montini
- successivo: Re: Ri-Sistemi biometrici, Fabio Montini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005