Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Amministratore di sistema - Gestione credenziali
Nuovo argomento   Rispondi    Indice del forum -> Privacy
Precedente :: Successivo  
Autore Messaggio
Azhrarn
Comune mortale
Comune mortale


Registrato: 25/10/17 08:08
Messaggi: 3

MessaggioInviato: 25 Ott 2017 08:11    Oggetto: Amministratore di sistema - Gestione credenziali Rispondi citando

Buongiorno a tutti,

vorrei porre una domanda che sembra banale: è necessario essere amministratori di sistema per gestire le credenziali di accesso al dominio aziendale e per la creazione delle caselle di posta elettronica?

a rigor di logica la prima risposta che passa per la mia testa è "ovviamente si!";
Spiegazione: in azienda la nostra casa madre ha implementato in america (e lo sta imponendo anche ai nostri uffici europei) un sistema automatico di creazione degli utenti active directory e creazione delle caselle di posta sul server Exchange, basato esclusivamente sulle informazioni introdotte su Oracle dall'ufficio HR senza l'intervento del personale del dipartimento IT.
quando mi è stata presentata la cosa ho posto il dubbio che creando di fatto gli account in modo automatico (tramite degli script suppongo) la responsabilità della creazione ricade sui dipendenti che immettono i dati e che quindi devono essere considerati amministratori di sistema con funzioni limitate alla gestione delle credenziali; e come tali devono essere nominati.
è stato richiesto un parere legale, l'avvocato ha risposto che "secondo l’art. 34, comma 1-ter del Codice privacy, tra le finalità “amministrativo-contabili” rientrano le attività organizzative interne; tra queste annovererei anche la creazione di posta elettronica e l’altra attività da lei descritta" (creazione degli account active directory, ndr)

dato che mi sembra assurdo sono qui a chiedervi un vostro parere. grazie in anticipo a tutti quelli che risponderanno.
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12224

MessaggioInviato: 29 Ott 2017 10:36    Oggetto: Rispondi citando

A parte che ti ha già risposto il legale, in modo molto chiaro.
Questo a me sembra un semplice automatismo.
Piuttosto mi chiedo cosa ti frulla per la testa, leggendo questo:

Citazione:
quando mi è stata presentata la cosa ho posto il dubbio che creando di fatto gli account in modo automatico (tramite degli script suppongo) la responsabilità della creazione ricade sui dipendenti che immettono i dati e che quindi devono essere considerati amministratori di sistema con funzioni limitate alla gestione delle credenziali; e come tali devono essere nominati


Quali responsabilità?

Devono essere nominati amministratori con funzioni limitate....ehm...serve un'incoronazione, o è sufficiente un aumento di stipendio? Twisted Evil
Top
Profilo Invia messaggio privato
Azhrarn
Comune mortale
Comune mortale


Registrato: 25/10/17 08:08
Messaggi: 3

MessaggioInviato: 30 Ott 2017 09:53    Oggetto: Rispondi citando

grazie della risposta.

se un dipendente dell'dipartimento HR creasse un account con privilegi più "alti" di quelli a lui/lei assegnati (ad esempio assegnandogli il dipartimento "management"), potrebbe sfruttare l'account creato per venire a conoscenza di informazioni (anche sensibili) che non gli sono state assegnate; senza alcun "errore" da parte degli amministratori di sistema che non sarebbero minimamente coinvolti nel processo di creazione. questo comporterebbe delle responsabilità sotto il punto di vista legale, mi riferivo a quelle responsabilità.

La legge non è molto chiara nell'identificazione delle figure da nominare come amministratori di sistema, citola risposta alle domande frequenti:
Cosa deve intendersi per "amministratore di sistema"?
In assenza di definizioni normative e tecniche condivise, nell'ambito del provvedimento del Garante l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
[...]

forse sbaglio io ad interpretare quanto sopra, ma, per come la vedo io, la creazione di account rientra nella gestione del sistema, considerando anche gli specifici privilegi che verrebbero dati, quindi, al dipartimento HR.

non serve un incoronazione Laughing ma una lettera di nomina in cui si specificano le mansioni assegnate si, o almeno è quanto richiede la legge.
inoltre ci sono altri obblighi a cui ottemperare se loro hanno funzione di AS:

b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c. Elenco degli amministratori di sistema3
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

[...]
e. Verifica delle attività3
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;


voglio specificare che io non sono nel dipartimento HR (leggasi, non me ne viene niente e non ho secondi fini tipo l'aumento di stipendio) sto cercando solo di capire se è possibile relegare una funzione degli amministratori di sistema ad un automatismo, facendo decadere qualsiasi responsabilità per i dipendenti.
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12224

MessaggioInviato: 30 Ott 2017 10:15    Oggetto: Rispondi citando

Citazione:
sto cercando solo di capire se è possibile relegare una funzione degli amministratori di sistema ad un automatismo, facendo decadere qualsiasi responsabilità per i dipendenti.


Perchè si da per scontato che una macchina non faccia mai errori.
Come ad esempio questo:

Citazione:
se un dipendente dell'dipartimento HR creasse un account con privilegi più "alti" di quelli a lui/lei assegnati (ad esempio assegnandogli il dipartimento "management"), potrebbe sfruttare l'account creato per venire a conoscenza di informazioni (anche sensibili) che non gli sono state assegnate;


Che dopo però, a conti fatti, l'errore possa anche capitare...anche se non umano, ad esempio causa di un bug, o falla di sistema...c'è da capire di chi sarà la colpa.
Ma presumo che tu (o il dipartimento HR), anche in questo caso, possiate dormir sonni tranquilli... Wink
Non essendo più una vostra competenza.
Top
Profilo Invia messaggio privato
Azhrarn
Comune mortale
Comune mortale


Registrato: 25/10/17 08:08
Messaggi: 3

MessaggioInviato: 30 Ott 2017 12:08    Oggetto: Rispondi citando

in realtà io mi riferivo ad un caso in cui ci fosse della premeditazione dietro: l'HR crea volontariamente un account con privilegi più alti per bypassare il sistema e, non essendo amministratore, non viene monitorato in alcun modo.

in questo caso credo che un eventuale lamentela/causa legale ci vedrebbe responsabili del fatto di non aver correttamente identificato come amministratori di sistema gli utenti che di fatto possono gestire le credenziali.

sono troppo paranoico?!
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 12224

MessaggioInviato: 31 Ott 2017 10:57    Oggetto: Rispondi

Mah...io non lavoro neanche in ufficio, figuriamoci poi grandi aziende con organigrammi piramidali, dove faticano a capirci pure loro, chi ha il potere di fare cosa e chi non lo ha...
Ad ogni modo, il problema che ti fai tu non sussiste, se tutto viene eseguito da una macchina, in base (probabilmente) al livello/mansione che viene data al tal dipendente, questa crea il tipo di account.

Chiedi ai programmatori di quello "script"...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Privacy Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi