Argomento
Il prossimo 30 giugno scade l'ultimatum del garante della Privacy alle aziende in merito alla "regolarizzazione" degli amministratori di sistema. Figure emblematiche del mondo dell'IT, oscuri individui metà uomo e metà kernel, si aggirano per le stanze delle aziende pubbliche e private, accedono ai computers di tutti ed ai dati di tutti. nessuno sa bene cosa facciano. Si vedono poco, e quando compaiono è segno che qualcosa non funziona. Angeli che salvano gli utenti inesperti dai guai, od oscuri demoni che vivono nell'ombra, pronti a ghermire bits che viaggiano su sentieri luminosi agli altri preclusi. Probabilmente ambedue, ma a parte l'alone di mistero che circonda queste figure, fino ad ora pochi si erano posti il problema di regolamentare, registrare, controllare gli accessi di questi individui ai vari sistemi, ai databases, agli hard disks ovunque disseminati. Ciò fino ad adesso ha comportato notevoli rischi per la privacy di utenti ed aziende, come ci hanno insegnato i vari casi Tavaroli, Genchi, ecc, solo per riportare due nomi ricorrenti nelle cronache italiche. Insomma, chi è che controlla il controllore? Dal prossimo 30 giugno sarà compito del responsabile aziendale per il trattamento dei dati personali, ovvero l'incaricato dall'azienda, verificare accessi ed azioni dell'amministratore di sistema, il quale tra l'altro dovrà poter essere univocamente identificabile quando accede ad un dato sistema o ad una risorsa. Niente più credenziali cumulative per chi ricopre lo stesso ruolo dunque, ma un ID per ciascuno. Resta da capire come farà l'azienda, o chi per lei, ad effettuare tutte le verifiche richieste dal Garante per la Privacy, visto che per definizione, il sysadmin è normalmente una persona dotata di un certo bagaglio di conoscenze (spesso anche l'unico in una piccola o media azienda), che gli possono permettere di eludere agevolmente i controlli su di lui effettuati. E se l'azienda nominasse come responsabile dei dati proprio l'amministratore di sistema?
Qui trovate il testo della norma.