Con più domande
OT - Informazioni su responsabilità dell' AdS (GDPR related)

Discussione generale
-
Scusate se vado off topic ma credo che qui potrebbe essere il posto giusto dove chiedere indicazioni.
Sapete dove posso trovare informazioni chiare sulle responsabilità che gli amministratori dei sistemi in outsource hanno relativamente alla nuova normativa GDPR ?
Cioè... se io gestisco un'infrastruttura IT per conto di un cliente, sino a dove arriva la mia responsabilità ma, sopratutto, può il cliente scaricare su di me la patata bollente nel caso in cui scoppino dei casini ?
Grazie
- Spostato Alessandro-VanniniMVP martedì 9 luglio 2019 05:49 Off Topic
- Tipo modificato Vincenzo Di RussoMVP, Moderator mercoledì 10 luglio 2019 05:29 Moderazione
Tutte le risposte
-
Oddio, bella domanda, non la sa nemmeno chi l'ha redatto il GDPR la risposta mi sa.
Comunque, tu amministri, tu hai le password, tu hai responsabilità. Sullo "scaricare la patata" dipende dal cliente, ma siamo sinceri, se c'è un casino grosso vieni tirato dentro sicuro, è comunque giusto, fa parte del gioco.
Penso che tu debba servirti di un consulente, ancora meglio un avvocato specializzato in diritto informatico. Li ti può dare le informazioni che ti servono in dettaglio.
Ti faccio un esempio, io ho 100 aziende, siamo terzisti, ho firmato 100 lettere di responsabilità sui dati...fai tu. :-)
A.
-
Sei stato nominato amministratore di sistema o responsabile del trattamento esterno?
Perchè nel primo caso hai molta più responsabilità rispetto al secondo e da quanto so io, la nomina come amministratore di sistema è da fare solo nei casi in cui si ha in mano completamente la struttura e si è molto legati con li cliente.
-
Sei stato nominato amministratore di sistema o responsabile del trattamento esterno?
Perchè nel primo caso hai molta più responsabilità rispetto al secondo e da quanto so io, la nomina come amministratore di sistema è da fare solo nei casi in cui si ha in mano completamente la struttura e si è molto legati con li cliente.
Amministriamo le strutture conto terzi...quindi la struttura ce l'ho in mano per forza. Ad ogni modo anche se hai in mano solo il firewall hai in mano la struttura...magari non avrai le password domain admin..ma non è che si poi così essenziale. Chi ha un rapporto col cliente da fuori e mantiene i dati per forza ha una responsabilità. Noi gestiamo aziende piccoline dove gli IT interni non esistono o sono comunque persone che lo fanno perchè sono i più skillati. In questo ambito per forza le responsabilità sono totali. Comunque non è che è una cosa di adesso che c'è il GDPR...anche con la 196 sulla Privacy era uguale...mi sembra normale che un'azienda per cui tu mantieni le password ti faccia firmare qualcosa...tanto anche se non lo fa, se ci sono problemi ti tira dentro lo stesso. E' il nostro lavoro. Non si può farlo senza responsabilità. Io ho sempre pensato che il sysadmin è al vertice della "catena alimentare" informatica e continuo a pensarlo fermamente.
Ciao.
- Modificato Alessandro-VanniniMVP martedì 9 luglio 2019 05:45
-
-
Sono completamente d'accordo con te Alessandro che, in quanto sysadmin, che siamo quelli con maggiore responsabilità ma questa responsabilità così importante come si gestisce quando si è esterni e non interni ?
Non so voi, ma io ho situazioni dove l'armadio rack è piazzato in giro per gli uffici, spesso con le chiavi attaccate con lo scotch sulla porta o in qualche cassetto dove tutti sanno dov'è.
Oppure il cliente vuole avere (giustamente) le password di admin dei vari apparati (server,router, firewall, nas,etc.) perchè "non si sa mai" ma, ovviamente, è zero a competenze e non so nemmeno dove le mette.
Se scoppia un merdone qualsiasi, e noi non siamo tutti i giorni li a verificare cosa succede, come si può conciliare l'assunzione della responsabilità con un'oggettiva impossibilità di verificare e dimostrare chi ha fatto cosa ?
Cioè, se uno mi apre l'armadio rack, smonta il nas, smonta i dischi e se li copia oppure mi usa le credenziali di admin per andare a fare casini, è evidente che non posso avere tutto questo controllo.
E se poi il cliente (che quasi mai dice la verità o si assume la responsabilità), mi viene a chiedere a me i danni ?
Voi come vi organizzate, sia con le credenziali che con questi aspetti ?
Infine... anche da un punto di vista economico, fate pagare un costo aggiuntivo (oltre ai classici canoni di manutenzione/gestione dell'infrastruttura) per chi vi chiede di essere nominato sysadmin ?
Grazie
- Modificato Aldo_ martedì 9 luglio 2019 07:07
-
Le credenziali sono del cliente. Le ha lui. Tutte. L'incompetenza non importa. Poi purtroppo per il cliente io ho una memoria quasi eidetica, quindi mi ricordo qualunque credenziale o password anche dei pc. Se non le cambia non è un problema mio. I clienti sono i primi responsabili dei loro dati e dei loro backup. Se uno va in azienda e ti smonta il nas o se lo copia chiaramente non puoi essere responsabile tu. Un qualsiasi avvocato in quel caso ci mette 2 minuti ad escluderti. Il problema più grosso è se l'azienda viene bucata da fuori, allora li puoi avere problemi perchè devi dimostrare di non essere stato tu. Con dei firewall con log attivi ed intrusion prevention il problema è quasi risolto del tutto da quel punto di vista. Chi non ce li ha se li mette su, altrimenti non gli firmo niente. Se invece uno entra in magazzino, si attacca ad una presa di rete, anche li il problema non è tuo, non può esserlo naturalmente. Il GDPR stabilisce solamente una catena di comando e di procedure in caso i dati vengano persi, ma il primo responsabile in assoluto che "deve aver attuato tutte le misure possibili" è il cliente. Tu arrivi dopo e se uno informaticamente non è un'aquila ce lo voglio a dimostrare che il problema è derivato da me.
Oltre questo ho un'assicurazione sulla perdita dati. ci opero di continuo, è imperativo averla anche solo per un discorso di casualità. Non faccio pagare alcun surplus ai miei clienti. Ho la gestione delle loro strutture e contratti prepagati, mi pagano quelli, troverei difficoltà a far pagare qualcosa di ovvio. I miei clienti sono tutti consolidati. per quelli nuovi, scremo a priori, lo vedi subito dall'atteggiamento il cliente com'è. Va anche detto che se non segui le linee guida sulla security che ti do io non ti seguo, ti trovi qualcun'altro quindi nei miei casi l'armadio rack buttato là dove tutti sanno dove sono le chiavi non esiste, se esiste non ci sono io, c'è qualcuno che gli permette di farlo, li il problema è un altro, è il sysadmin che pure di prendere su clienti tira su il peggio del peggio. Non è mai stata la mia politica. Alla lunga paga. Fidati. Ciao!
A.
-
Sono d'accordo sul fatto che fare il sysadmin significa prendersi delle responsabilità, ma non sempre le responsabilità che ci vengono attribuite sono giustificate, se tutte le strutture fossero protette come vorrei che fossero sarei d'accordo con te, ma molto spesso per questioni di budget o di testardaggine, non ci viene permesso di mettere in sicurezza nostri clienti e qui allora non sono disposto a prendermi la responsabilità per una struttura che ritengo vulnerabile.
Grazie per la risposta
-
Io farei pagare un costo aggiuntivo per le maggiori responsabilità che ci si assume nelle situazioni in cui non si ha un rapporto costante con il cliente. Mentre se si è proprio sysadmin di un'azienda dipende, non sempre applicherei un costo aggiuntivo.
-
Sono d'accordo sul fatto che fare il sysadmin significa prendersi delle responsabilità, ma non sempre le responsabilità che ci vengono attribuite sono giustificate, se tutte le strutture fossero protette come vorrei che fossero sarei d'accordo con te, ma molto spesso per questioni di budget o di testardaggine, non ci viene permesso di mettere in sicurezza nostri clienti e qui allora non sono disposto a prendermi la responsabilità per una struttura che ritengo vulnerabile.
Grazie per la risposta
-
Ciao Alessandro e grazie per il tuo punto di vista , come sempre, molto professionale e competente.
Sono d'accordo su quello che dici. E' chiaro che se mi prendo una responsabilità devo anche assicurarmi che le cose siano fatte come voglio io.
Ma quello che continua a lasciarmi perplesso è il discorso sul come possiamo garantirci e tutelarci che non vengano fatte cose "dall'interno" a nostra insaputa.
Cioè.... il fatto che non siamo "fisicamente" tutti i giorni presso le sedi dei clienti, non ci permette di verificare questo.
Mettiamo che sto sulle balle ad un cliente e che decida di accedere al router per modificare la regola del firewall che permette l'accesso in rdp e assuma un hacker per bucare il server.
Come posso tutelarmi da un'ipotesi (assurda capisco) ma comunque possibile ?
Cioè... io per avere la garanzia al 100% dovrei essere l'unico che ha le pass di admin di tutto ma, questo non è possibile.
Sto dicendo castronerie ?
-
Sto dicendo castronerie ?