Aggiornamento decreto privacy
Il garante per la protezione dei dati personali ha stabilito che entro il 15 Dicembre 2009 la maggior parte delle aziende – private e pubbliche – dovranno registrare e conservare i dati relativi agli accessi degli amministratori di sistema ai sistemi contenenti dati sensibili da loro gestiti, al fine di agevolare la “verifica sulla loro attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici” (Gazzetta Ufficiale n. 300, 24 Dicembre 2008).
In questo provvedimento per amministratori di sistema si intendono gli amministratori di reti, database, apparati di sicurezza e sistemi software complessi.
L’azienda o l’ente è quindi tenuto a identificare gli amministratori di sistema, per poi registrare e conservare i log di tutti gli accessi logici: ciò significa che ad essere registrati dovranno essere per legge solamente i “log in” e “log out” degli amministratori sui sistemi contenenti i dati più sensibili, e non tutte le attività svolte su tali sistemi.
I log registrati dovranno “comprendere i riferimenti temporali e la descrizione dell’evento che lo ha generato e devono essere conservati per un congruo periodo, non inferiore a sei mesi”. Le registrazioni degli access log devono inoltre essere completi, conservabili su sistemi che garantiscano la loro inalterabilità e che garantiscano al contempo la possibilità di verifica della loro integrità.
In pratica ogni azienda o ente, dopo aver nominato gli amministratori, dovrà dotarsi di un sistema di Log Management, in grado di tracciare gli accessi degli amministratori di sistema ai vari dispositivi ed applicazioni che gestiscono e che possa conservare i dati in maniera sicura per un periodo minimo di sei mesi.
Link alla normativa
Misure: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
Semplificazione: http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
IN PRATICA
Individuate i sistemi che contengono i dati critici
Teoricamente tutti i dispositivi di rete (posta elettronica, cartelle condivise, etc), i database delle applicazioni (in particolare ERP e CRM) e gli apparati di sicurezza (sistemi di web content filtering, firewall, etc.).
Nominate gli amministratori di sistema (interni ed esterni)
Preparate un documento di nomina e fatelo firmare.
Dotatevi di un sistema in grado di tracciare gli accessi degli operatori
Dovete predisporre un log concentrator, ovvero un hardware/software che monitorizzi tutti gli accessi ai sistemi. Per abbattere i costi, in determinati contesti, potreste sfruttare i log nativi dei prodotti utilizzati. In realtà aziendali più grandi vale la pena, a mio avviso, visionare qualche prodotto commerciale tipo Splunk e/o EventLogAnalyzer.
Conservate i dati in maniera che non sia possibile modificarli, e manteneteli per un periodo minimo di sei mesi al fine di permettere eventuali verifiche e controlli
Questo in realtà è il passaggio critico. Da una veloce lettura della normativa non risulta chiarissimo, cosa vuol dire esattamente “conservare i dati in maniera che non siano modificabili”, soprattutto perché parliamo di risorse digitali. Un approccio cauto potrebbe essere quello di aggiungere allo script di backup i log file prodotti in formato compresso, fare l’MD5, e chiedere al consulente esterno, o al responsabile interno, di impostarsi un alert ogni sei mesi nel suo PIM per la pulizia dello storage.
