none
OT - Informazioni su responsabilità dell' AdS (GDPR related) RRS feed

  • Discussione generale

  • Scusate se vado off topic ma credo che qui potrebbe essere il posto giusto dove chiedere indicazioni.

    Sapete dove posso trovare informazioni chiare sulle responsabilità che gli amministratori dei sistemi in outsource hanno relativamente alla nuova normativa GDPR ?

    Cioè... se io gestisco un'infrastruttura IT per conto di un cliente, sino a dove arriva la mia responsabilità ma, sopratutto, può il cliente scaricare su di me la patata bollente nel caso in cui scoppino dei casini ?

    Grazie

    lunedì 8 luglio 2019 16:34

Tutte le risposte

  • Oddio, bella domanda, non la sa nemmeno chi l'ha redatto il GDPR la risposta mi sa. 

    Comunque, tu amministri, tu hai le password, tu hai responsabilità. Sullo "scaricare la patata" dipende dal cliente, ma siamo sinceri, se c'è un casino grosso vieni tirato dentro sicuro, è comunque giusto, fa parte del gioco.

    Penso che tu debba servirti di un consulente, ancora meglio un avvocato specializzato in diritto informatico. Li ti può dare le informazioni che ti servono in dettaglio.

    Ti faccio un esempio, io ho 100 aziende, siamo terzisti, ho firmato 100 lettere di responsabilità sui dati...fai tu. :-)

    A. 

    lunedì 8 luglio 2019 17:24
  • Sei stato nominato amministratore di sistema o responsabile del trattamento esterno?

    Perchè nel primo caso hai molta più responsabilità rispetto al secondo e da quanto so io, la nomina come amministratore di sistema è da fare solo nei casi in cui si ha in mano completamente la struttura e si è molto legati con li cliente.

    lunedì 8 luglio 2019 17:31
  • Sei stato nominato amministratore di sistema o responsabile del trattamento esterno?

    Perchè nel primo caso hai molta più responsabilità rispetto al secondo e da quanto so io, la nomina come amministratore di sistema è da fare solo nei casi in cui si ha in mano completamente la struttura e si è molto legati con li cliente.

    Amministriamo le strutture conto terzi...quindi la struttura ce l'ho in mano per forza. Ad ogni modo anche se hai in mano solo il firewall hai in mano la struttura...magari non avrai le password domain admin..ma non è che si poi così essenziale. Chi ha un rapporto col cliente da fuori e mantiene i dati per forza ha una responsabilità. Noi gestiamo aziende piccoline dove gli IT interni non esistono o sono comunque persone che lo fanno perchè sono i più skillati. In questo ambito per forza le responsabilità sono totali. Comunque non è che è una cosa di adesso che c'è il GDPR...anche con la 196 sulla Privacy era uguale...mi sembra normale che un'azienda per cui tu mantieni le password ti faccia firmare qualcosa...tanto anche se non lo fa, se ci sono problemi ti tira dentro lo stesso. E' il nostro lavoro. Non si può farlo senza responsabilità. Io ho sempre pensato che il sysadmin è al vertice della "catena alimentare" informatica e continuo a pensarlo fermamente.

    Ciao.


    martedì 9 luglio 2019 05:45
  • La prima che hai detto
    martedì 9 luglio 2019 06:55
  • Sono completamente d'accordo con te Alessandro che, in quanto sysadmin, che siamo quelli con maggiore responsabilità ma questa responsabilità così importante come si gestisce quando si è esterni e non interni ?

    Non so voi, ma io ho situazioni dove l'armadio rack è piazzato in giro per gli uffici, spesso con le chiavi attaccate con lo scotch sulla porta o in qualche cassetto dove tutti sanno dov'è.

    Oppure il cliente vuole avere (giustamente) le password di admin dei vari apparati (server,router, firewall, nas,etc.) perchè "non si sa mai" ma, ovviamente, è zero a competenze e non so nemmeno dove le mette.

    Se scoppia un merdone qualsiasi, e noi non siamo tutti i giorni li a verificare cosa succede, come si può conciliare l'assunzione della responsabilità con un'oggettiva impossibilità di verificare e dimostrare chi ha fatto cosa ?

    Cioè, se uno mi apre l'armadio rack, smonta il nas, smonta i dischi e se li copia oppure mi usa le credenziali di admin per andare a fare casini, è evidente che non posso avere tutto questo controllo.

    E se poi il cliente (che quasi mai dice la verità o si assume la responsabilità), mi viene a chiedere a me i danni ?

    Voi come vi organizzate, sia con le credenziali che con questi aspetti  ?

    Infine... anche da un punto di vista economico, fate pagare un costo aggiuntivo (oltre ai classici canoni di manutenzione/gestione dell'infrastruttura) per chi vi chiede di essere nominato sysadmin ?

    Grazie


    • Modificato Aldo_ martedì 9 luglio 2019 07:07
    martedì 9 luglio 2019 07:06
  • Le credenziali sono del cliente. Le ha lui. Tutte. L'incompetenza non importa. Poi purtroppo per il cliente io ho una memoria quasi eidetica, quindi mi ricordo qualunque credenziale o password anche dei pc. Se non le cambia non è un problema mio. I clienti sono i primi responsabili dei loro dati e dei loro backup. Se uno va in azienda e ti smonta il nas o se lo copia chiaramente non puoi essere responsabile tu. Un qualsiasi avvocato in quel caso ci mette 2 minuti ad escluderti. Il problema più grosso è se l'azienda viene bucata da fuori, allora li puoi avere problemi perchè devi dimostrare di non essere stato tu. Con dei firewall con log attivi ed intrusion prevention il problema è quasi risolto del tutto da quel punto di vista. Chi non ce li ha se li mette su, altrimenti non gli firmo niente. Se invece uno entra in magazzino, si attacca ad una presa di rete, anche li il problema non è tuo, non può esserlo naturalmente. Il GDPR stabilisce solamente una catena di comando e di procedure in caso i dati vengano persi, ma il primo responsabile in assoluto che "deve aver attuato tutte le misure possibili" è il cliente. Tu arrivi dopo e se uno informaticamente non è un'aquila ce lo voglio a dimostrare che il problema è derivato da me.

    Oltre questo ho un'assicurazione sulla perdita dati. ci opero di continuo, è imperativo averla anche solo per un discorso di casualità. Non faccio pagare alcun surplus ai miei clienti. Ho la gestione delle loro strutture e contratti prepagati, mi pagano quelli, troverei difficoltà a far pagare qualcosa di ovvio. I miei clienti sono tutti consolidati. per quelli nuovi, scremo a priori, lo vedi subito dall'atteggiamento il cliente com'è. Va anche detto che se non segui le linee guida sulla security che ti do io non ti seguo, ti trovi qualcun'altro quindi nei miei casi l'armadio rack buttato là dove tutti sanno dove sono le chiavi non esiste, se esiste non ci sono io, c'è qualcuno che gli permette di farlo, li il problema è un altro, è il sysadmin che pure di prendere su clienti tira su il peggio del peggio. Non è mai stata la mia politica. Alla lunga paga. Fidati. Ciao!

    A.

    martedì 9 luglio 2019 07:46
  • Sono d'accordo sul fatto che fare il sysadmin significa prendersi delle responsabilità, ma non sempre le responsabilità che ci vengono attribuite sono giustificate, se tutte le strutture fossero protette come vorrei che fossero sarei d'accordo con te, ma molto spesso per questioni di budget o di testardaggine, non ci viene permesso di mettere in sicurezza nostri clienti e qui allora non sono disposto a prendermi la responsabilità per una struttura che ritengo vulnerabile.

    Grazie per la risposta

    martedì 9 luglio 2019 07:50
  • Io farei pagare un costo aggiuntivo per le maggiori responsabilità che ci si assume nelle situazioni in cui non si ha un rapporto costante con il cliente. Mentre se si è proprio sysadmin di un'azienda dipende, non sempre applicherei un costo aggiuntivo.

    martedì 9 luglio 2019 07:54
  • Sono d'accordo sul fatto che fare il sysadmin significa prendersi delle responsabilità, ma non sempre le responsabilità che ci vengono attribuite sono giustificate, se tutte le strutture fossero protette come vorrei che fossero sarei d'accordo con te, ma molto spesso per questioni di budget o di testardaggine, non ci viene permesso di mettere in sicurezza nostri clienti e qui allora non sono disposto a prendermi la responsabilità per una struttura che ritengo vulnerabile.

    Grazie per la risposta

    Ulerich, permettimi...ma il problema è tuo: una struttura che ritieni vulnerabile non dovresti gestirla scusa. La struttura che ritengo vulnerabile entro per sistemarla altrimenti sto fuori. Ho l'impressione che ci sia un problema di fondo ragazzi, nel senso che vengono gestite strutture colabrodo e poi ci si preoccupa delle potenziali conseguenze..ma vi svelo un segreto...in quel caso che ci sia una firma o no su un pezzo di carta alla luce dei fatti non cambia niente..ho visto colleghi che sono andati a mano di avvocato comunque...qui non è più GDPR ed il discorso del "sappiamo tutti cosa si dovrebbe fare ma non lo facciamo perchè il cliente non vuole o per motivi di budget" non regge mica più nel 2019...o sistemiamo o il cliente resta in balia degli eventi...questa è una cosa che va capita. Personalmente se arrivo da un cliente dove il sysadmin di turno ha ignorato le misure minime gli faccio il mazzo ma di brutto, perchè nessuno lo obbliga a lavorare zoppo....se per tenerci il cliente dobbiamo abbassare la nostra professionalità ne va poi della nostra reputazione, è un discorso etico qui, non di responsabilità. Lascio agli altri il piacere di lavorare con una spada di Damocle sulla testa se qualcosa va storto..e fidatevi...prima o poi ci va..
    martedì 9 luglio 2019 08:07
  • Ciao Alessandro e grazie per il tuo punto di vista , come sempre, molto professionale e competente.

    Sono d'accordo su quello che dici. E' chiaro che se mi prendo una responsabilità devo anche assicurarmi che le cose siano fatte come voglio io.

    Ma quello che continua a lasciarmi perplesso è il discorso sul come possiamo garantirci e tutelarci che non vengano fatte cose "dall'interno" a nostra insaputa.

    Cioè.... il fatto che non siamo "fisicamente" tutti i giorni presso le sedi dei clienti, non ci permette di verificare questo.

    Mettiamo che sto sulle balle ad un cliente e che decida di accedere al router per modificare la regola del firewall che permette l'accesso in rdp e assuma un hacker per bucare il server.

    Come posso tutelarmi da un'ipotesi (assurda capisco) ma comunque possibile ?

    Cioè... io per avere la garanzia al 100% dovrei essere l'unico che ha le pass di admin di tutto ma, questo non è possibile.

    Sto dicendo castronerie ?

    martedì 9 luglio 2019 08:45

  • Sto dicendo castronerie ?

    ma certo che no. Le tue perplessità sono totalmente condivisibili. Però stai confondendo un po le cose. il fatto che tu abbia le password di una struttura non vuol dire che qualsiasi cosa succeda dentro la struttura sia riconducibile a te. Ci sono molti mezzi per analizzare le modifiche e da chi sono state fatte. Certo, è sempre buona prassi dare al cliente un utente diverso da quello che usi tu, in questo modo sui log appare comunque chi ha fatto cosa. Poi il discorso livello di sicurezza, reponsabilità ecc dipende sempre dalla dimensione dell'azienda, dal valore del dato ecc. Il GDPR stila una serie di regole su come gestire i dati. E' un modello americano. In Italia non è nemmeno applicabile sulle microaziende. Devo ancora capire come fanno i consulenti ad adattarlo perchè 5 persone ti danno 5 versioni diverse. Io arrivo sempre alla fine. Quando ci sono da mettere in campo gli adattamenti. Il cliente decide quali e quanti e chi è responsabile all'interno e poi firma il documento. Io firmo come detentore delle password della struttura per forza di cose. Ma siamo sinceri, finisce poi tutto li. Anche perchè per il cliente è una spesa che non vuole sostenere ed oltretutto dovresti ricorsivamente controllare che appunto non ci siano state modifiche alle misure implementate..e dovrebbe pagare il cliente. Il tutto si riduce ad un modo per spillare soldi alla gente come era poi il DPS 196 in cui una botteghina con 1 pc e 3 persone che ci operano su doveva avere 3 accessi diversi ed ogni volta che uno si allontanava dal pc sloggarsi e riloggarsi. Il risultato lo conosciamo tutti. Poi dipende anche da quali sono le tue capacità di "difesa" in caso di scarico di colpa. Se vuoi mettermi in tomba sugli accessi bisogna che ti impegni parecchio, se chiami qualcuno altrettanto bravo ce la giochiamo a suon di perizie tecniche...certo..se non hai però gli strumenti per confutare torniamo al di cui sopra...se è tutto aperto...il problema è prima...
    martedì 9 luglio 2019 09:38