Security Officer - Responsabilità Civili Penali Amministrative

Andrea_Tironi1 · 12 Ottobre 2017, 6:49am

Buongiorno.

Volevo cortesemente fare alcune domande in merito a questa figura.

il Security Officer detentore della master password può essere esterno all’ente?
in che rischi civili, amministrativi e penali incorre?
ipotizziamo che la master password venga rubata informaticamente senza che se ne accorga e venga utilizzata per generare CIE fasulle, che tipo di responsabilità ha il security officer?

Grazie.

Andrea

IPZS-CIE · 12 Ottobre 2017, 7:54pm

Salve Andrea,

riteniamo che tale quesito vada rivolto al Ministero dell’Interno, la tematica è strettamente di sua competenza. Ti invitiamo a scrivere a cie.comuni@interno.it.
Saluti.

Andrea_Tironi1 · 13 Ottobre 2017, 8:31am

Ok grazie mille.

Andrea

Andrea_Tironi1 · 20 Ottobre 2017, 9:21am

Chiesto via email, per ora nessuna risposta.

Andrea

perrcla · 7 Novembre 2017, 11:24am

ciao @Andrea_Tironi1,

appena sai qualcosa, potresti condividere?

grazie.

Andrea_Tironi1 · 7 Novembre 2017, 1:10pm

Volentieri, anche se ho già chiesto 5 volte senza che nessuno mi risponda.
Probabilmente serve tempo per dare una risposta completa.

Andrea

Roberto_Cicala · 28 Novembre 2017, 9:58am

Ma la password del Security Officer serve solo ad abilitare le tessere SCO, nessuna carta identità può essere emessa qualora le venga sottratto.

Andrea_Tironi1 · 28 Novembre 2017, 11:38am

Giusta osservazione. Grazie @Roberto_Cicala.

Andrea

perrcla · 4 Dicembre 2017, 9:26pm

e non mi pare poco…
Il tecnico che installa le postazioni consegna a me security officer le SCO.
Un security officer “malevolo” potrebbe abilitare le SCO su codici fiscali di operatori ignari di tutto ed emettere tonnellate di CIE.

Secondo me questo è un problema procedurale che non è stato valutato adeguatamente: le SCO non attive dovevano essere consegnate agli operatori, non al security officer.

Roberto_Cicala · 4 Dicembre 2017, 9:44pm

Ma non è neanche così perché gli utenti abilitati da Monitora non li inserisce il security officier, ma il responsabile del servizio rilascio CIE, quindi è possibile autenticare card solo ai codici fiscali accreditati precedentemente. Occorrerebbe una vera associazione a delinquere, e non è certamente più facile di falsificare la vecchia carta cartacea.

Andrea_Tironi1 · 5 Dicembre 2017, 8:25am

A me comunque sembra abbia una certa responsabilità il ruolo di Security Officer e non credo sia demandabile ad un terzo ma debba rimanere nell’ente, possibilmente sul Responsabile Demografici nemmeno sul Responsabile IT. Cosa ne pensate @Roberto_Cicala e @perrcla ?

perrcla · 5 Dicembre 2017, 9:24am

non so, se non ricordo male nel questionario che abbiamo compilato tempo fa, per il security officer si faceva espressamente riferimento ad un persona dell’IT.
Ma forse sbaglio…

Cmq si, pare anche a me che alla fine un pò di responsabilità il security officer le abbia.
Anche solo per i limiti intrensici della procedura.
Mi spiego: c’è un momento in cui il security officer ha in mano sia la SCO che il PIN in chiaro.
Questa secondo me è una leggerezza.
Faccio l’analogia con la procedura di attivazione delle CNS-tessera sanitaria.
L’operatore attiva la carta, senza MAI vedere il PIN in chiaro. All’ufficio sono assegnate della buste contenenti PIN e PUK sigillate che vengono semplicemente associate alle CNS da attivare. Un pò come avviene con i PIN delle carte bancomat.
In questo modo chi attiva le CNS non dispone mai del PIN della carta e comunque, la manomissione della busta è facilmente rilevabile…

Però… in effetti sono questioni di lana caprina…

Andrea_Tironi1 · 5 Dicembre 2017, 9:37am

Direi che siamo tutti daccordo su:

il SO (security Officer) ha delle responsabilità non trascurabili
il SO deve essere interno all’ente
il SO può essere il Resp. Demografici (molto meglio) o una figura IT (Resp. IT)

Andrea