Windows XP Professional obbligatorio?

di **Omega1** » 15/11/04 12:04

Per adesso, ma la proroga è al 30 giugno 2005 per adeguarsi alla nuova legge sulla privacy, Win Me e inferiori non rispondono alle caratteristiche previste dall'allegato B che obbliga l'utilizzo di programmi "sempre aggiornabili".
Vedremo, anche perchè per adesso sono previsti solo piattaforme a pagamento, contrariamente all'orientamento dell'Antitrust.

di **Dylan666** » 28/01/05 17:38

Kadosh che mi dici di quando detto nel post sopra?
A me pare chiaro che ci sia vulnerabilità e vulnerabilità e che basti garanire la NON fuoriuscita di dati. Che aggiungi?

di **Dylan666** » 28/01/05 17:41

Nello specifico:
All'allegato B) al punto 17 del Codice si prevede che:

" Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale."

Testo allegato:
http://www.studiocelentano.it/codici/pr ... ll_b,c.htm

di **Omega1** » 28/01/05 17:44

E quindi, stante l'attuale normativa, il tutto purtoppo si riconduce all'obbligo di avere ciascun programma sempre aggiornabile, So compreso.
Volendo, e usufruendo della proroga, si può trascinare il tutto per un anno a far data dal 1 luglio p.v., ma se non cambiano la legge (e mi auguro di si!), resta questo obbligo, almeno per molti. Anche se, quest'ultima affermazione merita gli approfondimenti del caso.

di **Dylan666** » 28/01/05 17:46

Per come la vedo io assolutamente no.

Interpreto la legge esattamente come descritto qui:

http://www.sikurezza.org/ml/06_04/msg00104.html

Per inciso, immagino che la discussione sull'aggiornamento di win9x
derivi dal punto 17 dell'allegato B; solo che, esattamente come non si
parla di autenticazione per l'accesso ai sistemi ma ai trattamenti, qui
non si parla di aggiornamento dei sistemi ma di "aggiornamento del
programmi per elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggrne i difetti". Il soggetto sono i
"programmi per elaboratore volti a". Se non ci sono altri strumenti,
l'aggiornamento è necessariamente del S.O. Se ci sono altri strumenti
adeguati, si fa riferimento a quelli; di nuovo, dipende dal contesto; ad
esempio, un personal firewall a me sembra adeguato in molti contesti, e
inadeguato per molti altri.

di **Omega1** » 28/01/05 17:56

Dylan666 ha scritto:Per come la vedo io assolutamente no.

Interpreto la legge esattamente come descritto qui:

http://www.sikurezza.org/ml/06_04/msg00104.html

Per inciso, immagino che la discussione sull'aggiornamento di win9x
derivi dal punto 17 dell'allegato B; solo che, esattamente come non si
parla di autenticazione per l'accesso ai sistemi ma ai trattamenti, qui
non si parla di aggiornamento dei sistemi ma di "aggiornamento del
programmi per elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggrne i difetti". Il soggetto sono i
"programmi per elaboratore volti a". Se non ci sono altri strumenti,
l'aggiornamento è necessariamente del S.O. Se ci sono altri strumenti
adeguati, si fa riferimento a quelli; di nuovo, dipende dal contesto; ad
esempio, un personal firewall a me sembra adeguato in molti contesti, e
inadeguato per molti altri.

Ho letto l'interpretazione. Lo spirito della legge muove dal garantire il massimo della sicurezza. Se sono medico o avvocato, devo porre in essere tutte le misure necessarie per contrastare eventuali vulnerabilità, compatibilmente anche con le dimensioni dello studio. Tenuto anche conto che si tratta di "misure minime". Che senso avrebbe investire su un antivirus, firewall e magari anche router per una spesa piuttosto considerevole, se poi le falle sono nel SO perchè qualche furbone è riuscito a trovare il punto debole che non è mai più stato aggiornato?
Vedi, in tema di sicurezza sulla privacy, le misure sono estremamente restrittive, e lasciano poco spazio ad interpretazioni estensive.
Conviene rischiare il penale, o aggiornarsi?
Poi possiamo discutere all'infinito della discriminante di tale norma, però.....

di **hydra** » 28/01/05 17:59

Omega1 ha scritto:Conviene rischiare il penale, o aggiornarsi?
Poi possiamo discutere all'infinito della discriminante di tale norma, però.....

Sono d'accordo con te.

di **Dylan666** » 28/01/05 18:07

Intanto parliamo anche per aziende che non dovrebbero aggiornare un solo Windows 98, ma magari 10, 20 oppure 100 e comincia a essere una spesa.

Che un Windows Update valga più di un antivirus e un firewall non sono d'accordo.

Con un ativirus puoi fermare tante falle che la Microsoft ancora non ha parchato o non patcherà mai:
http://www.pc-facile.com/allarme_ie_pri ... ox_n26702/

Con un firewall puoi anche risparmiarti il SP2 o le patch per i worm se sono quelli che ti preoccupano.

di **Omega1** » 28/01/05 18:16

Dylan666 ha scritto:Intanto parliamo anche per aziende che non dovrebbero aggiornare un solo Windows 98, ma magari 10, 20 oppure 100 e comincia a essere una spesa.

Che un Windows Update valga più di un antivirus e un firewall non sono d'accordo.

Con un ativirus puoi fermare tante falle che la Microsoft ancora non ha parchato o non patcherà mai:
http://www.pc-facile.com/allarme_ie_pri ... ox_n26702/

Con un firewall puoi anche risparmiarti il SP2 o le patch per i worm se sono quelli che ti preoccupano.

Tecnicamente sono d'accordo con te: probabilmente, anzi, quasi sicuramente, esistono software che sopperiscono a falle dei sistemi operativi non più aggiornabili. Ma se sono davanti ad un giudice, è dura dimostrare la tesi. Ritengo che, se ci fosse spazio per una interpretazione diversa, sarebbe anche possibile, ma laddove la legge dice "aggiornare almeno una volta l'anno" e tale aggiornamento non è stato eseguito, sono in difetto.
In teoria, anche la semplice rubrica di posta che contiene indirizzi di mail, abitazione , numeri di telefono e quant'altro, obbliga ad un adeguamento. Sembra giusto per le nostre tasche? No, assolutamente no. L'ho detto prima, il discorso e gli esempi possono andare all'infinito. L'unico augurio è che qualchuno insorga in maniera sostenuta, ma con scarso risultato credo.

di **Dylan666** » 28/01/05 18:29

Apetto kadosh come sostenitore della mia tesi, se non si è stancato di scrivere quanto ha già spiegato prima almeno.

probabilmente, anzi, quasi sicuramente, esistono software che sopperiscono a falle dei sistemi operativi non più aggiornabili.

Levaci il quasi: la Microsoft stessa dopo un'ondata di worm ha messo come soluzione definitva un firewall nei suoi sistemi a rischio (è bene ricordare ad esempipc he Windows 95/98/ME NON lo sono).

E tutte le patch del mondo non riusciranno a fare quanto può fare un firewall o meglio ancora un'occhio attento.

Comunque qui parliamo di virus distruttivi per la maggior parte, quindi della parte "disaster recovery". Se parliamo della fuoriuscita di dati allora nemmeno un XP se configurato male, senza criptazione, senza pasword e politiche di accesso ti dà alcuna garanzia. Tutta roba che i software di criptazione del disco si ottiene pure sul Win 98.

kadosh ha scritto:La sicurezza non parte dai software che usi per garantirla....ma semplicementi dai metodi che adotti su qualsiasi software usi, rendendoli atti a mantenere gli standard minimi imposti dalle autorità.

Sottoscrivo al 200% più ogni singola lettera di quanto scritto qui:
http://www.pc-facile.com/forum/viewtopi ... 352#152352

Spero che intervenga ancora dato che lui LAVORA SUL CAMPO (quindi credo che valga la pena ascoltarlo attentamente).

di **Dylan666** » 28/01/05 18:32

Dimenticavo: ho citato antivirus e firewall software, ma chi usa PC per lavoro dovrebbe avere dotazioni di sicurezza ben più robuste, indipendentemente dall'OS usato.

di **Iperico** » 28/01/05 19:10

Leggo solo ora questa interessantissima discussione "riesumata" dal buon dylan

Mi piacerebbe fare un tana-salvi tutti nel senso che nessuno ha ancora idea di cosa debba ESATTAMENTE fare compresi i giudici. (per quello siamo al terzo rinvio)
Gli unici che hanno le idee chiare sono i consulenti informatici: spillare la maggior quantità di soldi possibile facendo leva sulla paura dei responsabili legali.
Mi vengono in mente i primi tempi della 626 sono passati 13 anni e molte realtà non sono ancora allineate a tale normativa...fate voi...
Cmq reminescenze a parte.
A chi potesse interessare dò gli imput che ho ricevuto dal ministero per il quale lavoro.
Win 98 = fuorilegge
Dominio = non necessario
Poi possiamo (come ho fatto io) consumarci su se sia giusto o meno, ma questa è "l'istantanea della situazione" poi magari domani cambiano idea!

di **Dylan666** » 28/01/05 19:25

Le considerazioni fatti dal tuo ministero (anzi, dei suoi consulenti direi) e quelle sul fatto che cercano di spillarti soldi se possono non vanno d'accordo.

Cioè le seconde le considero vere, e questo fa cadere la validità del tuo esempio. Vi hanno fatto spendere soldi inutilemnte.

di **Dylan666** » 28/01/05 19:26

Dylan666 ha scritto:Vi hanno fatto spendere soldi inutilmente.

di **Iperico** » 28/01/05 19:46

Dylan666 ha scritto:Le considerazioni fatti dal tuo ministero (anzi, dei suoi consulenti direi) e quelle sul fatto che cercano di spillarti soldi se possono non vanno d'accordo.

Cioè le seconde le considero vere, e questo fa cadere la validità del tuo esempio. Vi hanno fatto spendere soldi inutilemnte.

Non ho capito???
Io ho solamente detto quelle che sono attualmente le nostre direttive a livello ministeriale cioè quello che ci dicono alle riunioni.
obbligo di togliere win 98
dominio facoltativo.
(+ altre cose non in topic)
Poi se cambi ministero o magari anche solo regione (le riunioni sono a livello regionale) la cosa cambia, ma questo non mi stupisce...sapessi quello che è successo ai tempi della 626 :cry:

Se interpello una ditta esterna per "appaltare" la ristrutturazione del sistema mi obbliga a implementare sistemi hard e soft assolutamente non previsti dalla normativia spacciandoli come indispensabili.
E penso che questo accada ovunque.

di **Dylan666** » 28/01/05 20:13

Ma pure quello che ti dicono alle riunuioni, come lo decidono? Chi è che decide il 98 no mentre XP sì? Suppongo e spero che ci siano degli "esperti" ditetro queste discutibili decisioni.

di **Iperico** » 29/01/05 08:57

Dylan666 ha scritto:Ma pure quello che ti dicono alle riunuioni, come lo decidono? Chi è che decide il 98 no mentre XP sì? Suppongo e spero che ci siano degli "esperti" ditetro queste discutibili decisioni.

Premessa: quanto ho scritto non indica il mio pensiero, mi limito solo a riferire i fatti sperando possano interessare a qualcuno.

Alle 2 riunioni alle quali ho partecipato erano presenti (tra gli altri) un magistrato e un tecnico del ministero per l'innovazione tecnologica.
Essendo seduto allo stesso tavolo debbo pensare che il tecnico parli per bocca di chi deve interpretare e applicare la legge.

Su win 98 si è discusso molto; ma la risposta è stata ripetuta più volte. Win 98 non soddisfa le richieste della 196 quindi non può essere usato in reti nelle quali vengono trattati dati sensibili.
A questa affermazione un "losco figuro" ha farneticato di poledit, sistemi di identificazione hardware, password di bios ecc. ma è stato tacitato con una frase del tipo:
"Volsi così colà dove si puote ciò che si vuole e più non dimandare"
Scherzi a parte; il tecnico ha messo l'accento su una prossima mancanza di sviluppo e supporto di win 98 che lo rendono incompatibile con le richieste del legislatore.

Sulla questione del dominio invece si è discusso meno.
E' stato solo detto che non è necessario, a meno di esigenze particolari, creare una struttura di rete a vari livelli di accesso (appunto nell'ottica delle misure minime) quindi presumo che vada bene anche il workgroup.

Poi, ripeto, magari alla prossima riunione (penso sia a metà febbraio) trovo 2 persone diverse che dicono esattamente l'opposto

Ovviamente si è discusso anche di altro soprattutto di formazione del personale che non è chiaramente definita dalla legge...ma questa è un'altra storia...
P.S.
Indovina chi era il "losco figuro"

di **Omega1** » 31/01/05 09:10

Ci sono però alcune distinzioni: se, e dico se, il pc non è collegato a nessuna rete, e a tale pc ha accesso una e solo quella persona, allora posso utilizzare software non più aggiornabili.
Rimane un dubbio in tutto questo (e io non ricevuto risposta da nessuno): se ho office 97, secondo la legge dovrei cambiarlo (e spendere poco meno di mille euro), ma mi domando: un programma di scrittura, cosa deve aggiornare? Le parole sono sempre quelle....e il metodo di scrittura è sempre lo stesso (da qualche centinaio di anni)....

di **pjfry** » 31/01/05 09:42

gli aggiornamenti di sicurezza valgono per tutti... ultimamente per esempio si è parlato di exploit gravi di winamp, addirittura!

di **Iperico** » 01/02/05 08:41

Omega1 ha scritto:Ci sono però alcune distinzioni: se, e dico se, il pc non è collegato a nessuna rete, e a tale pc ha accesso una e solo quella persona, allora posso utilizzare software non più aggiornabili.).

Un computer che contiene dati sensibili e non collegato a nessuna rete (neppure ad internet) mi pare un'ipotesi poco probablile...quasi impossibile.

Omega1 ha scritto:Rimane un dubbio in tutto questo (e io non ricevuto risposta da nessuno): se ho office 97, secondo la legge dovrei cambiarlo (e spendere poco meno di mille euro), ma mi domando: un programma di scrittura, cosa deve aggiornare? Le parole sono sempre quelle....e il metodo di scrittura è sempre lo stesso (da qualche centinaio di anni)....

La tua domanda è estremamente interessante, la risposta vera è che allo stato attuale dei fatti nessuno è in grado di risponderti...ma questo diciamolo sottovoce

Su un computer di un mio amico ho risolto la cosa installando open-office, ma le loro esigenze sono molto limitate (pochi fogli di calcolo e nessun datatbase)
Cmq io preferirei, se siete daccordo, focalizzare questo "thread" sui S.O. e magari aprirne un altro per quello che riguarda le singole applicazioni.

Windows XP Professional obbligatorio?

Me e inferiori

Topic correlati a "Windows XP Professional obbligatorio?":

Chi c’è in linea