Aspetti legali sicurezza informatica aziendale

[Caterpillar86]

C'è uno dei miei migliori amici che lavora per una grossa azienda di costruzioni, ed ora è dislocato in Africa per un lavoro faraonico.
Oggi mi chiama tutto disperato perchè gli hanno fatto una lettera di richiamo di cui dovrà rispondere a Roma, in quanto è stato accusato dall'amministrazione locale di aver diffuso inconsciamente un virus in tutta la rete informatica locale.

Il mio amico, ricoprendo un ruolo di media responsabilità e non essendo l'ultima ruota del carro, molto tempo fa aveva consigliato all'amministrazione di mettere Kaspersky su tutta la rete, ma gli fu risposto che il vecchio antivirus (scrausissimo e quasi senza marca rotfl) andava benissimo.
Ora mi ha chiesto di dargli una mano nella scrittura di una lettera in cui spiega la sua visione dei fatti e, da quanto ho capito dalla breve chiamata che mi ha fatto, in amministrazione locale sono molto incazzati.
Prima di tutto gli ho detto di spendere almeno un'ora intera nello scrivere una lettera indirizzata a me con spiegato per filo e per segno in maniera dettagliata, tutto ciò che è accaduto.

A me a ingegneria informatica han sempre raccontato che per legge il responsabile IT deve assicurare la sicurezza dell'apparato, ed in caso contrario è con lui che devono prendersela, non con altri.
Dopo ho lezione con un professore che si occupa principalmente di sicurezza informatica, e chiederò anche a lui aspetti legali su chi e su come deve occuparsi della prevenzione di simili situazioni.
Mi servirebbe anche qualche vostro suggerimento visto che qui è pieno di webmaster, sistemisti e compagnia bella

[OUTATIME]

Quote:

Originariamente inviato da Caterpillar86

A me a ingegneria informatica han sempre raccontato che per legge il responsabile IT deve assicurare la sicurezza dell'apparato, ed in caso contrario è con lui che devono prendersela, non con altri.

Leggenda metropolitana..... sei responsabile nella misura in cui hai cagionato il danno. Se si scopre che hai eseguito sul tuo PC il file screensaver.exe, proveniente dalla chiavetta di tuo cuggino, sei reponsabile anche tu.

[Londo83]

il responsabile IT se vuole limitare il più possibile i pericoli di virus dovrebbe:

mettere gli utenti sui pc NON amministratori di macchina

far usare password di un certo livello (per intenderci "password" non è molto sicura...) e con maiuscole numeri e simboli che devono essere cambiate ogni tot.

tenere le macchine (client e server) aggiornati il più possibile

essere dotati di un antivirus decente.....

cercare di far capire agli utenti che se cliccano sul link che gli è arrivato per mail non è vero che gli si allunga il bigolo......e cose di questo tipo.....


questo è quello che posso dirti...

[rxd8s]

sinceramente quel "inconsciamente" messo lì mi risulta un pò difficile da capire.

il discorso è questo: se il tuo amico ha "inconsciamente" diffuso quel virus effettuando però CONSCIAMENTE operazione non inerenti all'ambito lavorativo (es.: attaccata pennetta/hdd personale al pc aziendale, navigato su siti poco sicuri, aprire una mail personale contenente virus etc etc) beh, c'è poco da fare, la colpa è anche sua. Nel DPS mi pare sia esplicito il divieto delle risorse aziendali per scopi personali salvo rari casi.

Se invece il virus è penetrato solo e unicamente a causa di carenze nei sistemi informatici di sicurezza (insomma, se il tuo amico riesce a dimostrare di essere in buona fede)... beh, allora il discorso cambia, ma non è assolutamente detto sia colpa del responsabile IT

[:.Blizzard.:]

Non ho capito se però il danno è effettivamente nato dal tuo amico.

Altrimenti le incazzature dei superiori sono solo aria fritta: che portino log e carte alla mano per dimostrare che è stato lui a recare il danno.

[Narkotic_Pulse___]

Quote:

Originariamente inviato da :.Blizzard.:

Non ho capito se però il danno è effettivamente nato dal tuo amico.

Altrimenti le incazzature dei superiori sono solo aria fritta: che portino log e carte alla mano per dimostrare che è stato lui a recare il danno.

contando che al responsabile IT di quel parco macchine manco frega dell' av, ci può mettere 3 secondi chiunque a risalire a quel log e modificarlo, figurati se è criptato.

[rxd8s]

Quote:

Originariamente inviato da Narkotic_Pulse___

contando che al responsabile IT di quel parco macchine manco frega dell' av, ci può mettere 3 secondi chiunque a risalire a quel log e modificarlo, figurati se è criptato.

a quel punto entra in gioco il Dlgs 196/2003 (sempre e considerato che sia già stato applicato in ditta... e vista la situazione generale attuale, non credo proprio ) e li si che son cazzi amari.

[Kars]

prevedo cazzi amari per il tuo amico...

[first register]

Quote:

Originariamente inviato da Caterpillar86

C'è uno dei miei migliori amici che lavora per una grossa azienda di costruzioni, ed ora è dislocato in Africa per un lavoro faraonico.
Oggi mi chiama tutto disperato perchè gli hanno fatto una lettera di richiamo di cui dovrà rispondere a Roma, in quanto è stato accusato dall'amministrazione locale di aver diffuso inconsciamente un virus in tutta la rete informatica locale.

Il mio amico, ricoprendo un ruolo di media responsabilità e non essendo l'ultima ruota del carro, molto tempo fa aveva consigliato all'amministrazione di mettere Kaspersky su tutta la rete, ma gli fu risposto che il vecchio antivirus (scrausissimo e quasi senza marca rotfl) andava benissimo.
Ora mi ha chiesto di dargli una mano nella scrittura di una lettera in cui spiega la sua visione dei fatti e, da quanto ho capito dalla breve chiamata che mi ha fatto, in amministrazione locale sono molto incazzati.
Prima di tutto gli ho detto di spendere almeno un'ora intera nello scrivere una lettera indirizzata a me con spiegato per filo e per segno in maniera dettagliata, tutto ciò che è accaduto.

A me a ingegneria informatica han sempre raccontato che per legge il responsabile IT deve assicurare la sicurezza dell'apparato, ed in caso contrario è con lui che devono prendersela, non con altri.
Dopo ho lezione con un professore che si occupa principalmente di sicurezza informatica, e chiederò anche a lui aspetti legali su chi e su come deve occuparsi della prevenzione di simili situazioni.
Mi servirebbe anche qualche vostro suggerimento visto che qui è pieno di webmaster, sistemisti e compagnia bella

Stanno cercando di fottere il tuo amico, prima gli han segato il budget per la sicurezza e dopo hanno introdotto i virus nella rete aziendale.
Il tuo amico dovrebbe dimostrare:
-che l'azienda non ha investito nei software per la sicurezza
-che qualcuno ha inserito i virus sulla rete aziendale per sottrarre dati importanti.

[FreeMan]

sezione errata

CLOSED!!

>bYeZ<