On 11/09/2013 09:54 AM, Pietro Suffritti wrote:
Ricordo per esempio che mentre è stato cancellato l'obbligo di
stesura del dps per la legge sulla privacy non sono stati cancellwati
tutti gli obblighi da esso rilevanti, che sono in carico al legale
rappresentante dell'azienda e che questi delega al responsabile
privacy, che spesso è l'informatico di turno, ma non certo in
"automatico"
Il discorso e` interessante e sicuramente spinoso.
Io me ne sono sempre fregato, e faccio questo lavoro come consulente da
parecchi anni (uhm... 20 anni, cosi` a naso).
Io faccio il mio lavoro con criterio, ma non perche` lo dice la legge,
bensi` perche` e` opportuno farlo in questo modo. Quindi mi preoccupo di
backup, password, sicurezza, e tutto quanto e` necessario perche` i miei
clienti possano lavorare senza avere brutte sorprese.
E` chiaro pero` che non e` tutto cosi` semplice.
Prima di tutto il budget lo fa il cliente, e molto spesso il budget per
la sicurezza o per il backup e` pressoche` zero, nonostante io gli
suggerisca di fare diversamente.
Poi molto spesso il cliente assume comportamenti assolutamente NON
consigliati, tipo non avere password, avere un solo account per tutti,
scaricare tonnellate di merda sui pc di lavoro, ecc.
Molto spesso poi sono i vari software applicativi che hanno necessita`
folli, tipo che l'accesso al database server mysql DEVE essere fatto con
root, con la password FISSA e non modificabile che e` uguale al nome del
prodotto gestionale che deve accedere.
Tutto questo crea un problema evidente, ovvero mette il responsabile
della privacy (o dei sistemi informatici, o come lo vuoi chiamare)
automaticamente nella posizione per finire dietro le sbarre.
Del resto e` evidente che fin troppo spesso le "best practice", siano
esse imposte per legge o dettate dal buon senso, vengono bellamente
calpestate in nome del budget insufficiente, della "comodita`" nel
lavorare, dell'idiozia del vendor del software applicativo X o Y, o
semplicemente dell'idiozia del titolare dell'azienda.
La soluzione per il tecnico allora e` molto semplice, e si compie in due
passi:
1- SCRIVERE al titolare un elenco delle cose che si dovrebbero fare ma
non si fanno, consigliando di farle.
2- MAI PER NESSUN MOTIVO farsi nominare responsabile di qualsiasi cosa.
--
Fabio "Kurgan" Muzzi
- IZ4UFQ -
Giaaaanniiii! Sono allarmista!Vedo escrescenze che scodinzolano...
frullatori che volano!
|