jump to navigation

Un’Italia con o senza futuro? martedì 24 agosto 2010

Posted by andy in Progetto politico, vita quotidiana.
Tags: , , , , ,
add a comment

Leggendo qua e la, trovo sempre più spesso commenti sempre più pessimisti sulle condizioni dell’Italia, considerata ormai fuori controllo, tra debiti ed involuzione socio-economica.

Il 20 gennaio 1961 John Fitzgerald Kennedy disse: “Non chiedete cosa può fare il vostro paese per voi, chiedete cosa potete fare voi per il vostro paese.

Gli americani hanno razionalizzato già 50 anni fa un concetto che gli italiani ancora non riescono a metabolizzare.

È l’Italia ad essere fuori controllo, o sono gli italiani ad esserlo?
Continuiamo a considerare lo Stato come un’entità a parte.

Finché gli italiani continueranno a delegare le proprie responsabilità, continueranno a lamentarsi di coloro a cui le delegano, ma in realtà è di sé stessi che devono lamentarsi.

In qualunque comunità, in famiglia, in barca, al lavoro, se qualcuno non fa il proprio dovere, prima o poi ne fanno tutti le spese.

La cosa disastrosa non è che la nostra classe politica pensa soltanto a sé stessa, ma che gli italiani continuano a delegare ciecamente senza affrontare la fatica di controllare e scegliere.
Finché sceglieremo il meno peggio, invece che il meglio, non potremo lamentarci se le cose continueranno a peggiorare.

I burroni si possono affrontare precipitandoci dentro o costruendoci sopra dei ponti.
Noi continuiamo a fare come Wilcoyote: camminiamo sul burrone, ma non guardiamo di sotto, sperando così di non precipitare …

Fior di aziende stanno superando la crisi grazie ai dirigenti ed ai lavoratori che si sono auto-ridotti lo stipendio per mantenere in vita l’azienda e conservare il posto per tutti.
Noi siamo ancora fermi ai tempi in cui qualcuno ha proposto di dimezzare l’orario di lavoro (a parità di stipendio) per raddoppiare i posti di lavoro e risolvere il problema della disoccupazione.
L’incosciente ha dimenticato tuttavia di indicare chi avrebbe mai comperato i nostri prodotti ad un prezzo doppio rispetto a quello di mercato …

L’Italia ce la può ancora fare, ma tocca agli italiani decidere di farlo.
Sono pronti gli italiani ad accettare obiettivi e sacrifici non a durata di legislatura, ma a durata di almeno una generazione?

i principali problemi nel provvedimento del Garante per gli AdS lunedì 18 maggio 2009

Posted by andy in privacy, tecnologia.
Tags: , , , , , ,
add a comment

Con riferimento al provvedimento del Garante 27/11/2008 – Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema, mi sono trovato ad affrontare, come tanti, il problema.

Ho letto molti pareri, ma ritengo le che problematiche principali siano relativamente poche.

In sintesi, i problemi di fondo che devono, a parer mio, essere affrontati e sviscerati, sono tre:

  1. chiarire quali siano lo scopo e le modalità minime per gestire appropriatamente i log di sistema;
  2. chiarire quali siano le responsabilità ed i requisiti minimi per gli amministratori di sistema;
  3. proporzionare i requisiti alle caratteristiche de trattamenti effettuati.

Scopo e Modalità
In merito al punto 1. direi che lo scopo è evidentemente quello di impedire a chicchessia di eseguire sui dati qualsiasi tipo di operazione senza che questa possa essergli ricondotta.
In questo senso, non deve essere possibile ad alcuno accedere ai dati con credenziali non proprie, o effettuare operazioni sui profili di altri utenti per poter acquisire, anche temporaneamente, il loro profilo, per poter effettuare operazioni sui dati, senza che queste vengano registrate.
Ovviamente, l’amministratore di sistema non deve in nessun modo poter accedere e modificare i log al fine di far scomparire tracce e prove delle proprie azioni.
I meccanismi esistono, ma la loro descrizione esula dallo scopo di questa mia mail.

Altro aspetto fondamentale che dovrebbe essere sviscerato riguarda come garantire l’autenticità dei log registrati su supporto non riscrivibile.
In effetti, il fatto che un dato sia memorizzato su un supporto non riscrivibile, non ne garantisce l’originalità né l’autenticità.
A titolo di esempio, è possibile prendere un supporto su cui siano registrati i log, trasferirli su un sistema, modificarli, e memorizzarli su un nuovo supporto non riscrivibile, da sostituire al primo.

Occorre evidentemente che il contenuto del supporto sia firmato digitalmente, con data certa.

Responsabilità
L’amministratore di sistema viene caricato di pesanti responsabilità.
Mentre un ADS di grandi società è sicuramente selezionato sulla base della propria professionalità, ed è certamente conscio dell’entità dei problemi che si trova ad affrontare e gestire, la stragrande maggioranza di società non può permettersi simili professionisti: l’amministrazione di sistema è spesso un’attività fai-da-te, o viene girata a giovani inesperti, spesso con contratti temporanei.
Non è assolutamente accettabile che vengano scaricate su figure di questo tipo responsabilità che sono, di fatto, dell’azienda.

Di fatto, occorre che il Garante definisca quali sono i requisiti minimi di professionalità da richiedere all’ADS, e di come il costo di questa professionalità possa essere relazionata alle disponibilità finanziare dell’azienda.

Proporzionalità dei Requisiti
Come si diceva poc’anzi, nella stragrande maggioranza dei casi molto probabilmente l’azienda non è in grado di gestire, pur con tutta la buona volontà, il problema posto dal Garante.
In sostanza, alle aziende medio-piccole non occorrono prescrizioni teoriche, ma indicazioni pratiche.
Quello che potrebbe fare il Garante, con il CNIPA, è di predisporre le necessarie indicazioni (o meglio ancora, gli strumenti software) tali che, se appropriatamente adottati, possano mettere in condizioni le aziende di rispettare la legge senza dover dedicare una non indifferente fetta del proprio bilancio ad avvocati e consulenti esterni.

In questo senso risulta tuttavia fondamentale definire bene quali siano le discriminanti.
Un azienda, anche molto piccola in termini di persone, che tuttavia non utilizzi l’informatica come puro mezzo accessorio alle attività del proprio core business, non potrà limitarsi ad implementare criteri minimi di sicurezza.

Esistono sicuramente altri aspetti rilevanti, ma ritengo che in generale ciò che dovrebbe essere fatto da parte del Garante non sia semplicemente il fornire norme, ma indicazioni pratiche e strumenti facilmente calabili nella realtà delle aziende.
Il CNIPA potrebbe essere e fornire un valido aiuto in questo senso.