Log Management e GDPR: come essere in regola nella gestione dei log
In questo articolo
Log Management e GDPR: gli obblighi normativi nella gestione dei log
La gestione dei log non è solo una buona pratica di amministrazione informatica, ma dopo l’entrata in vigore del GDPR, una richiesta normativa. Una gestione puntuale dei log, infatti, è diventata da tempo necessaria per gli amministratori di sistema delle aziende che operano in UE.
In questo articolo, scopriremo come affrontare il log management per essere GDPR compliance, evidenziando obblighi, responsabilità e soluzioni per gli IT Manager delle PMI.
L’importanza dei log per la privacy: cosa dice il GDPR
Per essere in regola con il GDPR, un’azienda dovrà compiere essenzialmente tre operazioni:
- Registrare file di log in modo conforme al GDPR: sarà necessario un software che, opportunamente configurato per l’infrastruttura aziendale, si occupi di registrare tutte le operazioni e di salvarle, appunto, in file di log.
- Conservare i file di log per un periodo minimo di 60 giorni: garantire che questa conservazione rimanga inalterata, ad esempio attraverso un backup. Questo perché, in caso di una violazione che vada a compromettere i sistemi aziendali, i log file siano comunque reperibili in un luogo terzo, esterno alla rete aziendale.
Diventa quindi fondamentale dotarsi di sistemi adeguati di registrazione dei log file per essere a norma con il GDPR, e per tenere sotto controllo sia i sistemi aziendali che gli utenti in maniera efficace.
I vantaggi del Log Management
Il log management offre numerosi vantaggi, tra cui:
- Prevenzione delle minacce: traccia attività sospette prima che diventino problemi gravi.
- Efficienza operativa: analizza i log per migliorare la governance dei sistemi
- Conformità normativa: assicura che tutte le attività siano documentate e conformi alle leggi vigenti, incluso il GDPR.
Errori e pratiche diffuse nelle aziende
Nonostante tutti i benefici sopra descritti, la gestione dei log è troppo spesso sottovalutata dalle aziende. Quando le imprese decidono di occuparsi attivamente di questo asset, solitamente si è verificato un problema (ad esempio si è concretizzato un attacco hacker). Un approccio proattivo al log management metterebbe invece amministratori di sistema e titolari del trattamento dati, nelle condizioni di poter dimostrare un comportamento conforme alle normative.
Mancata registrazione dei log: le conseguenze
La mancata registrazione dei log può portare a gravi conseguenze legali e finanziarie per le aziende. Senza una documentazione adeguata delle attività di sistema, le aziende si troverebbero esposte sia ad eventuali sanzioni che a danni reputazionali in caso di violazioni dei dati.
La gestione dei log secondo il GDPR e il garante privacy
Il GDPR ha stabilito che le aziende devono essere in grado di dimostrare la conformità normativa tramite i propri record, compresi i log file. Il Garante per la Privacy italiano richiede che i log siano conservati in modo sicuro e accessibili in caso di ispezioni, con politiche e procedure chiare per la gestione e la conservazione dei log all’interno dell’azienda.
Il provvedimento Amministratori Di Sistema (ADS)
Il “Provvedimento degli Amministratori di Sistema”, introdotto in Italia il 27 novembre 2008, ha stabilito regole precise per la registrazione dei log, in particolare quelli relativi agli accessi agli impianti informatici da parte degli Amministratori Di Sistema (ADS). Con l’entrata in vigore del GDPR, l’importanza di questo provvedimento non è affatto diminuita ma ha acquisito nuove dimensioni nella gestione della sicurezza e della privacy dei dati.
Come raccogliere, analizzare e organizzare i Log
Le aziende dovrebbero adottare un approccio unificato per la raccolta, l’archiviazione e l’organizzazione dei log per consentire ricerche rapide all’interno del database.
La corretta gestione dei log richiede alcuni step chiave tramite soluzioni smart di log management:
- l’aggregazione e la standardizzazione dei log;
- la correlazione degli eventi;
- un motore di ricerca efficiente.
Le origini e le implicazioni del provvedimento
In origine, veniva chiesto agli ADS di tracciare attività specifiche come login, logout e tentativi di accesso. Questa misura era atta a garantire un livello base di sicurezza e tracciabilità delle azioni svolte all’interno dei sistemi informatici aziendali, anche se all’epoca le direttive furono percepite come limitate e poco incisive.
Le modifiche introdotte con il GDPR
Con l’introduzione del GDPR, il valore del provvedimento degli ADS è stato riconsiderato. La normativa europea ha elevato il livello di attenzione sulla necessità di documentare e monitorare tutte le operazioni che coinvolgono dati personali. Il ruolo dell’amministratore di sistema diventa quindi essenziale per garantire che tutte le azioni compiute sui sistemi informativi siano registrate in modo dettagliato, contribuendo alla compliance normativa.
Il GDPR non menziona specificamente la figura dell’ADS, ma attraverso articoli come ad esempio l’art. 32 (relativo alla sicurezza del trattamento), si evince un richiamo indiretto alla loro importanza operativa. Gli amministratori di sistema sono riconosciuti per le loro competenze specialistiche e per il loro ruolo, al fine di attuare misure tecniche e organizzative che garantiscano un adeguato livello di sicurezza, a fronte dei rischi presentati dal trattamento.
Obblighi continuativi e impatti operativi
Sebbene il GDPR abbia abrogato molte disposizioni normative nazionali incompatibili con il regolamento stesso, il provvedimento degli ADS non è stato toccato direttamente da tali abrogazioni. Di conseguenza, si può interpretare che gli obblighi ivi previsti rimangano in vigore, offrendo un quadro di riferimento per le operazioni degli ADS.
Per le aziende significa che l’adempimento ai requisiti del Provvedimento degli ADS, rimane una componente essenziale della strategia per essere GDPR compliance. In pratica, ogni ADS deve assicurarsi che i log non solo siano accuratamente raccolti e conservati, ma anche protetti da accessi non autorizzati e perdite di dati. Si rende necessaria quindi l’implementazione di misure come la cifratura dei log e l’uso di autenticazione e autorizzazioni per accedere ai registri.
Una gestione efficace dei log è quindi essenziale per rispettare il GDPR e proteggere i dati aziendali. Implementando una strategia di log management le aziende non solo eviteranno sanzioni ma miglioreranno la sicurezza informatica complessiva.
BeeTech Managed Log Admin: il servizio gestito per il log management sicuro e affidabile
BeeTech Managed Log Admin è il servizio gestito di Infor per il log management che permette di eseguire audit sulle attività critiche in Active Directory, Microsoft 365 e file server.
Una soluzione avanzata e centralizzata per il log management che garantisce la compliance normativa e offre maggior sicurezza per l’infrastruttura IT. Consente infatti di raccogliere i log e gli eventi dei sistemi monitorati, analizzando la postura di sicurezza dell’azienda e identificando alcuni dei maggiori fattori di rischio, come ad esempio account senza password o security group vuoti.
BeeTech Managed Log Admin permette di rilevare le modifiche in Active Directory per ottenere informazioni relative agli account che sono stati abilitati, disabilitati, eliminati o bloccati ed è inoltre possibile avere visibilità sugli utenti che hanno effettuato modifiche alla password.
Dopo l’impostazione di alcuni parametri, il cliente riceve una segnalazione puntuale in corrispondenza di un comportamento che oltrepassa una determinata soglia di rischio, impostabile sia su baseline normative che su fattori comuni a diverse tipologie di business.
Un servizio gestito di Log Management può essere utile quindi anche per prevenire rischi maggiori.
Tra i principali vantaggi:
Sicurezza: una soluzione centralizzata che consente di raccogliere e archiviare i log in un unico luogo, in modo sicuro e conforme ai requisiti normativi.
Affidabilità: una soluzione scalabile e affidabile, in grado di gestire grandi volumi di dati.
Efficacia: offre una serie di funzionalità avanzate per la ricerca e l’analisi dei log, che consentono di identificare rapidamente i problemi e le minacce alla sicurezza.
La gestione dei log non è solo una sfida tecnologica, ma un adempimento necessario per essere conformi al GDPR. Gli IT Manager che possono contare su un log management efficace possono non solo migliorare le prestazioni e l’efficienza operativa, ma anche garantire maggior sicurezza per l’azienda.
