Monitoraggio dei log: il difficile rapporto tra sicurezza e privacy
IT Manager e Amministratori di Sistema sanno benissimo come la sicurezza informatica di un’azienda non possa prescindere dal Log Management.
Sicurezza e salvaguardia dei dati aziendali vivono sempre in un delicato e difficile equilibrio ed è per questo che è necessario farsi supportare dal sistema del Log Management.
Il Log Management permette di aggregare e conservare i log emessi da sistemi informatici al fine di garantirne la massima sicurezza e di ridurre i tempi di rilevazione delle minacce informatiche.
Un veloce focus: che cos’è il Log Management?
Utilizzare un sistema di Log Management è fondamentale oggi per tutelare la propria azienda. Si intende l’aggregazione, la conservazione e la registrazione a norma di legge degli accessi logici (“Access Log”, appunto) ai sistemi informativi. Lo scopo è garantire la totale sicurezza dei sistemi stessi.
Gli access log devono avere caratteristiche come l’inalterabilità e la completezza, e la possibilità di verifica della loro integrità con il fine di raggiungere uno scopo di verifica preciso e corretto.
Raccogliere log è importante perché serve a verificare eventuali anomalie nella frequenza degli accessi esterni e nelle loro modalità (in termini di orari, date, durate e sistemi da cui vien effettuato l’accesso).
Perché è importante la gestione del Log Management?
Uno è il motivo fondamentale per cui è indispensabile seguire la corretta gestione dei log: l’obbligo per legge. Il provvedimento del 27 novembre del 2008, il Garante Privacy, ha infatti richiesto nuovi e più severi adempimenti ai titolari dei trattamenti effettuati con strumenti elettronici, rafforzando le funzioni e le responsabilità in capo agli amministratori di sistema in materia di sicurezza. In particolare, il Garante ha introdotto l’obbligo per i titolari del trattamento dei dati di conservare gli “accessi log” degli amministratori di sistema, per almeno 6 mesi, in archivi immodificabili e inalterabili. Ecco perché l’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema da parte del Garante Privacy.
Quest’ultimo stabilisce infatti che l’operato degli ADS deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
GDPR e il Log Management
L’analisi dei log prodotti dai sistemi gestiti dall’Amministratore del Sistema Informativo, è sempre stato un problema annoso diventando obbligo di legge con il decreto del 2008, appunto, ma ancor più un doverso obbligo con l’ingresso del nuovo regolamento europeo GDPR. Il GDPR impone infatti alle organizzazioni pubbliche e private l’adoption di misure specifiche di sicurezza informatica per salvaguardare i dati personali e combattere gli attacchi esterni. Tra le diverse misure di sicurezza da adottare, l’attività dalla quale non si può prescindere è il controllo dei sistemi aziendali e degli utenti che vi accedono attraverso il monitoraggio dei log dei dipendenti.
Infatti, consultando i registri dei log riusciamo a risalire ad anomalie nei accessi ai sistemi informatici e a raccogliere informazioni sulle attività degli stessi. E ovviamente, questi controlli devono essere effettuati nel rispetto delle regole e delle linee guida imposte dal GDPR.
SIM e SIEM: proteggiamo i dati aziendali!
È grazie allo scenario descritto sopra che oggi si sono potuti affermare due sistemi di gestione log. La compliance alla normativa e la necessità di monitorare gli accessi, approdano nell’implementazione del SIM (Security Information Management).
Sempre più aziende devono soddisfare vari standard di conformità e scelgono di investire in una soluzione SIEM (Security Information and Event Management). Le soluzioni SIEM sono progettate per aggregare e analizzare i dati del registro eventi da più applicazioni, sistemi, dispositivi di rete e server per individuare eventi sospetti che mettono a rischio la sicurezza o la continuità aziendale. Combinando le funzionalità di correlazione degli eventi di sicurezza (SEC), gestione degli eventi di sicurezza (SEM) e gestione delle informazioni di sicurezza (SIM), il software SIEM fornisce analisi in tempo reale e cronologiche degli eventi di sicurezza. Sono in grado anche di sostenere indagini sugli incidenti e la reportistica di conformità alla legge proprio perché analizzano in profondità dati ed eventi che arrivano dall’intera infrastruttura IT.
SGBox, ad esempio, è la piattaforma di next generation SIEM modulare per il controllo e la gestione della sicurezza ICT e dei dati. Proposta in modalità cloud, appliance virtuale o fisica, ha moduli compatibili e integrabili, attivabili anche individualmente. Coopera con gli altri moduli per condividere le informazioni raccolte facilitando la conformità con i requisiti imposti dal GDPR. La proposta di Security Information and Event Management è integrata e modulare, scalabile e di facile utilizzo in grado di adattarsi alle esigenze del mercato. Garantisce visibilità sulla rete, raccogliendo e aggregando log da qualsiasi componente dell’infrastruttura IT, oltre a offrire funzionalità di analisi, correlazione e scansione delle vulnerabilità in tempo reale, per mitigare i rischi per la sicurezza e rispondere alle minacce più complesse.
Noi di HiSolution abbiamo scelto SGBox. Ma ne parleremo più specificatamente in un articolo blog più avanti.