[MontelLUG] Testo del nuovo provvedimento riguardante internet, posta & luogo di lavoro

[Massimo]

Daneel Olivaw ha scritto:

[...]

> Caso: server dati (Debian, naturalmente :-) ) con cartelle personali
> per gli utenti (visibili solo da loro), una pubblica generica per i

Cercherò di scrivere poco, perché su tali argomenti si fa presto a far 
venire fuori "tomi"... già qui, ad esempio, si tratta di far chiarezza.
La macchina ha cartelle personali con contenuto "personale" (inteso nel 
senso di privato) degli utenti? In quel caso a tali utenti va 
chiaramente detto chi ed in quali casi possa vedere le informazioni, e 
per farne cosa (informativa). Nessuno dice che non si possano fare le 
cose, ma vanno date chiare ed esaustive informative, e raccolto il 
consenso...
Il documento relativo a mail e log dice una cosa importante: siccome (o 
meglio, dove e quando) si tratta di strumenti aziendali, per evitare che 
qualcuno ritenga di poterle usare a proprio piaceimento _come se_ 
fossero private è opportuno dare chiara informativa...
Continuando sul punto di prima, se le home di cui parli sono di utenti 
che le devono usare per lavoro, solo per lavoro vanno utilizzate (e 
possibilmente in modo intelligente, tipo evitando di allegare interi 
contenuti di cd alla mail, per poi lamentarsi che "è lento". Si, visto 
anche questo... ^_^ )

> files di scambio e generici per tutti e cartelle per i gruppi di
> lavoro accessibili solo dagli utenti autorizzati.

Anche qui brevissima nota: ok per il meccanismo, in questo caso il 
problema è casomai l'eventuale abuso dell'utente "root" (o del gruppo 
wheel, per capirci), se i soggetti NON sanno che root può fare il bene 
ed il male (e conoscere un sacco di cose).
Ma se root toglie files estranei al lavoro, non credo che nessuno abbia, 
e mai avrà, nulla da ridire!!!
Il guaio eventualmente è quando root sa esattamene chi fa cosa, come, e 
quando.
Il testo emanato dal Garante dice sostanzialmente di "mettere insieme i 
pezzi" (dei dati) man mano, progressivamente, quando serve (cioè per 
identificare eventuali abusi una volta riscontrati), e possibilmente di 
adottare misure preventive (tipo navigazione limitata su certi siti, 
black list, et simili). Prevenire abusi su entrambi i fronti, in sostanza...

[...]

> Avverto che sarebbe meglio farle sparire: il server ha ben altri scopi
> e anche i client non sono loro personali... in più alcuni hanno l'adsl
> a casa, cosa vogliono allora?

Coerente. Stanno probabilmente abusando del sistema.

Ipotizzo un flusso formalmente "buono" rispetto alla normativa:
Livello 1: vedo l'abuso, segnalo a tutti che si sta abusando, che non va 
fatto, che si adotteranno restrizioni.
Livello 2: gli abusi continuano. cerco di capire in quale "area" 
aziendale (gruppo o che altro) si verifica l'abuso. Segnalazione agli 
utenti di quell'area che gli abusi permangono, e che si adotteranno 
azioni correttive.
Livello 3: gli abusi continuano. Contatto eventuali RSU (sindacato) per 
segnalare il problema e chiedere parere su come procedere. Avendo parere 
favorevole delle RSU associo codici a log o altro per la sola evidenza 
dell'abuso, e individuo chi si sta comportando illecitamente, prendendo 
le decisioni del caso.

Ipotizzo anche un flusso formalmente "cattivo", per contrasto:
Livello "0": root o bofh o chi per essi archiviano, leggono, fanno quel 
che vogliono con i log, magari parlando al bar dei gusti deviati di 
"qualcuno" che non si sa chi sia (ma il bofh, deus ex machina come del 
resto tutto quanto, CONOSCE! ;) ), autorizzano il dirigente di turno a 
leggersi tute le email dei suoi sottoposti ke-non-si-sa-mai, e via dicendo.
Questo, fatto in questo modo, non va bene.

E, notare, NESSUNO sta difendendo (e mai credo lo farà) chi approfitti 
del sistema informatico aziendale, nonché del tempo retribuito, per fare 
cose che non dovrebbe fare. Ci mancherebbe altro!!!

[...]

> Se ho capito bene, con la nuova normativa non si può fare una cosa del
> genere, no? Forse neanche ora, ma mi pare che qualche difesa in più si
> abbia.

La normativa di riferimento è e resta il D.Lgs 196/2003. C'era prima, 
c'è ancora. Il nuovo documento definisce nel dettaglio i criteri con cui 
stabilire le "regole" d'uso in ambiti particolari, quale quello relativo 
ad email/navigazione, o il precedente sul trattamento dei dati dei 
dipendenti privati (che, stranamente, non ha generato altrettanto 
"polverone"...).
Secondo me è meglio ora, che c'è, che mi consente di definire 
comportamenti di cui sono "certo", rispetto a prima che nella sostanza 
valevano gli stessi princìpi, ma che non era chiaro se/come/quanto 
fossero da applicare... (oggi nessuno avrà più da lamentarsi, se l'iter 
formale è stato rispettato, quando cancellerò i famosi "files 
importanti" che nulla hanno a che fare con il sistema che li ha 
ospitati... :) )

> A presto, magari con qualche telescopio davanti :-)

O di fianco. (ah, il buon vecchio "newton"...).
Ottimissima idea! Io devo ancora vedere il mitiko ciottoarancio!!! ^_^

Bye,
max.