Tempo fa abbiamo parlato del provvedimento del Garante riguardo alla qualificazione e al controllo dei cosiddetti "Amministratori di sistema".Qualche giorno fa ho partecipato ad un seminario sull'argomento (so che non dovrei farlo, mi scuso con la comunità della sicurezza informatica, però l'argomento mi appassiona e mi piace tenermi informato). La prima parte del seminario è stata affidata ad un noto magistrato, che ha inquadrato in maniera esemplare il contesto e tutte le implicazioni legali che è necessario prendere in considerazione onde evitare multe o ritorsioni da parte del Garante della Privacy.
Tra i vari suggerimenti, il relatore ha consigliato anche alcuni accorgimenti per adempiere al requisito di "adeguatezza" del professionista al ruolo, specificato all'interno dei criteri di "Valutazione delle caratteristiche soggettive" del paragrafo 4.1:
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.La ricetta è semplice: curriculum vitae adeguato, certificazioni o titoli di studio compatibili e, dulcis in fundo, una fedina penale di tutto rispetto.
Il magistrato ha ragione: affidereste mai i vostri sistemi a qualcuno che è imputato o, addirittura, è stato condannato per reati connessi all'informatica? Potremmo porre la domanda in un'altra maniera: chiamereste in casa vostra un idraulico che è stato condannato per rapina?
In realtà la domanda è sbagliata, e per diversi validi motivi: primo fra tutti che il concetto di giustizia non può chiudersi nella sola condanna, ma si deve accompagnare ad un processo di riabilitazione che dovrebbe portare ad un reinserimento vero dell'individuo nella società.
La cruda realtà ci insegna che quest ultimo passaggio non si realizza quasi mai, e che è sempre un rischio dare fiducia a chi l'ha già tradita una volta. E il caso Telecom non fa eccezioni: guarda caso tra i cattivi c'è anche un recidivo che sembrerebbe aver messo a disposizione del team tutto il suo torbido passato fregandosene della stangata già ricevuta. Quindi la colpa delle Tigri di Telecom è duplice, non solo per i fatti, ma anche per aver confermato che da gente di quel tipo non ci si può aspettare nulla di buono.
So che sono l'ultima persona al mondo che potrebbe dire una cosa del genere, ma io continuo a non essere d'accordo con questo punto di vista.
Sono d'accordo sul fatto di considerare la fedina penale o eventuali pendenze più o meno aperte come un'indicazione di affidabilità, ma non a trattarla come un elemento oggettivo univoco di valutazione. I reati informatici sono molto particolari, le persone che ci cascano sono anch'esse particolari e normalmente sono più ragazzi "portati sulla cattiva strada" che delinquenti matricolati come qualcuno ci vuole far credere, almeno quando si parla di tecnici informatici.
Se così non fosse Nobody, uno dei più illuminati esperti dell'hacking internazionale, nonchè referente di numerose iniziative di carattere strategico, non potrebbe neanche presentarsi ad un colloquio di lavoro, così come altri importanti personaggi che hanno dato vita ai BlackHats italiani a causa di intoppi, attenzioni o semplici scaramucce con la giustizia italiana.
Oltretutto la realtà ci da una descrizione completamente diversa del problema: leggendo quei pochi casi di amministratori infedeli che la stampa ci offre, ci accorgiamo che la stragrande maggioranza non sembrerebbe aver avuto precedenti guai con la giustizia. Anzi, quasi tutti risultavano dipendenti arrabbiati che avevano deciso di approfittare della posizione ottenuta per sfogarsi contro un'azienda miope o semplicemente per arrotondare lo stipendio.
Mi viene in mente un mio carissimo amico, dipendente di un'azienda di dimensioni importanti, che per un lungo periodo di tempo si è trovato in stanza con due colleghi piuttosto esuberanti. Mi raccontava con enfasi che ogni tanto, quando la noia era mortale, qualcuno chiudeva la porta dell'ufficio, qualcun altro metteva un bel groove techno ad alto volume, e tutti si tuffavano verso un obiettivo qualsiasi, giusto per dimostrare le proprie capacità e per farsi un po' gli affari degli altri. E tutti e tre erano amministratori di sistema, certificati, dotati di un curriculum di tutta invidia e, udite udite, giuridicamente immacolati.
Nessun commento:
Posta un commento