Guida, Log Management

Log Management: perché è fondamentale per la sicurezza e conformità normativa

La normativa ad oggi applicabile a tutti i soggetti, pubblici e privati, che per qualsiasi ragione (anche fosse esclusivamente per la gestione del personale e per la tenuta della contabilità) compiano trattamenti di informazioni personali, impone di adottare adeguate misure di sicurezza allo scopo di garantire la riservatezza, integrità e disponibilità di tali informazioni, ovunque queste siano conservate.

Tra le misure di sicurezza che possono essere implementate c’è sicuramente l’attività di monitoraggio dei log dei dipendenti.

Le soluzioni di Log Management  aiutano a individuare meglio le minacce alla sicurezza e soddisfare i requisiti di conformità alla normativa mediante il monitoraggio e l’analisi dei log di dati presenti sulla rete. Rappresenta quindi un efficace strumento per garantire sicurezza, protezione dei dati e continuità di servizio, oltre ad essere obbligatorio in seguito al Provvedimento n. 300 del 27/11/2008 del Garante della privacy.

Cos’ è il Log Management

Con Log Management si intende l’attività di registrazione e conservazione di “log file” all’interno di un’azienda.

Un log file è un file contenente la “storia” delle operazioni effettuate da un utente utilizzando un computer o un altro dispositivo su un file.

In un log file, infatti, vengono registrate tutte le operazioni, in ordine cronologico, svolte nel normale utilizzo di un software, di un applicativo o più semplicemente di un computer.

Il log file registra anche tutte le operazioni che un computer svolge in autonomia, senza necessità di intervento umano. I record conservano tutte le informazioni sul normale funzionamento della macchina e, soprattutto, le registrazioni di errori e problemi.

Dunque, la gestione dei log permette di monitorare una serie di attività tra cui gli accessi al sistema effettuati in un dato lasso temporale (evidenziando anche quelli avvenuti fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware.

Pertanto, relativamente alle attribuzioni delle funzioni di amministratore di sistema vista la particolare delicatezza di questo ruolo, devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Le registrazioni degli “access log” devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Risulta quindi necessario per le aziende dotarsi di un software in grado di effettuare e semplificare la verifica dei log, e di implementare e integrare l’analisi del software.

Log Management e GDPR

Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation)  relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR ha reso di fatto obbligatorio il salvataggio dei log file per poter ricostruire un’eventuale violazione di accessi a una rete o a un file non autorizzato.

Con il GDPR non è sufficiente rispettare la normativa ma occorre lasciare una traccia dell’operato del titolare del trattamento dei dati, di modo che, in caso di ispezione, sia dimostrabile che sono state poste in essere tutte le tutele ritenute idonee. Ed è proprio qui che entra in gioco la necessità di salvare i log file. Il Regolamento richiede in pratica che resti traccia delle operazioni effettuate sui dati.

Quindi, il GDPR anche se non in modo esplicito, obbliga all’adozione di sistemi per la Gestione dei log affinché, in caso di controllo da parte delle autorità, sia possibile dimostrare che siano state adottate le misure di sicurezza secondo il principio “Data Protection by Design e by Default“.

Come essere a norma con il GDPR

Per essere a norma con il GDPR, un’azienda deve registrare file di log in maniera conforme, che significa:

  • completezza: devono includere chi compie azioni ma anche solo chi accede ai dati in consultazione;
  • inalterabilità: i File di Log devono essere marcati temporalmente per garantire la validità nel tempo;
  • verificabilità: devono poter consentire il controllo del corretto utilizzo dei Dati;
  • backup: conservare gli stessi file di log per un periodo di 60 giorni e garantire questa conservazione (ad es. attraverso backup).

È quindi necessario un software che, opportunamente collegato ad una rete aziendale, si occupi di registrare tutte le operazioni e di salvarle appunto in file di log. Questo software deve creare i file di log secondo le specifiche indicate sopra. Una volta creato, il file di log deve essere mantenuto correttamente e inalterato e deve essere correttamente e costantemente salvato in un backup. Ogni file di log, infine, deve essere marcato temporalmente, deve quindi riportare una firma digitale che ne attesta la non alterazione dopo una certa data.

Simili attività di monitoraggio comportano un ulteriore trattamento di dati personali, che deve pertanto avvenire nel rispetto dei principi e delle disposizioni della normativa vigente.

Il principio cardine nel caso di attività che possano in qualche modo comportare una forma di controllo nei confronti dei lavoratori è quello del bilanciamento degli interessi rispettivamente alla sicurezza dell’organizzazione e alla riservatezza dei lavoratori.

È fondamentale che il datore di lavoro rispetti i principi generali elencati dal’art. 5 del GDPR:

  1. trasparenza: gli interessati, in questo caso i lavoratori, dovranno essere preventivamente ed adeguatamente informati in merito alle attività di trattamento che avvengono sui propri dati personali. Per l’adempimento di tale prescrizione sarà necessario redarre e mettere a disposizione degli interessati una informativa che abbia il contenuto previsto dall’art. 13 del GDPR;
  2. limitazione della finalità: il trattamento di dati personali deve avere scopi legittimi, lo è il perseguimento della sicurezza delle informazioni, non lo è il monitoraggio delle attività lavorative;
  3. minimizzazione dei dati: è lecito raccogliere esclusivamente le informazioni strettamente necessarie al perseguimento delle finalità;
  4. limitazione della conservazione: i dati devono essere conservati solo per un arco di tempo necessario al perseguimento delle finalità. In linea generale i tempi di conservazione dei file di log dovranno quindi essere correlati rispetto alle attività svolte ed alle caratteristiche oggettive dell’organizzazione. Per i log connessi alle attività degli amministratori di sistema, una indicazione dei tempi minimi ci viene fornita dal Provvedimento del Garante Privacy del 2008, che prevede una conservazione dei log per un tempo non inferiore ai sei mesi;
  5. integrità e riservatezza: il sistema di log management deve offrire garanzie di accuratezza, integrità ed immodificabilità. Allo stesso tempo è fondamentale che l’accesso ai registri di log sia consentito solo a soggetti appositamente individuati e che tale accesso sia tracciato, protetto da credenziali univoche e giustificato da esigenze connesse alla sicurezza dei sistemi.

I vantaggi di un software di Log Management

L’adozione di una simile misura presenta certamente una serie di vantaggi per il titolare del trattamento, tanto operativi quanto in ottica di compliance:

  1. attraverso il registro dei log è possibile dunque monitorare le attività che vengono effettuate sul sistema informativo aziendale. Gli accessi a cartelle di rete condivise o mail aziendali, le attività svolte dal dipendente in un determinato lasso temporale, i tentativi di accesso fraudolento ai sistemi aziendali e molte altre informazioni vengono infatti sistematicamente annotate sul registro dei log. Consultando i registri dei log è possibile, infatti, risalire agilmente ad anomalie negli accessi ai sistemi informatici e reperire importanti informazioni sulle attività svolte sui sistemi;
  2. avere a disposizione un affidabile registro dei file di log permette di analizzare eventuali problemi relativi a un dato sistema e di intervenire prontamente per risolverli;
  3. la registrazione dei file di log permette di individuare agevolmente accessi non autorizzati a una rete o a un archivio, o a ricostruire le dinamiche di un data breach (violazione di dati personali);
  4. in ottica di accountability (principio sancito dall’art. 5, par. 2 del GDPR) l’adozione di uno strumento di log management rappresenta quindi un importante strumento, utile a dimostrare l’impegno del titolare nella tutela dei propri archivi e sistemi.

Conclusione

Ricapitolando, una corretta implementazione di un Log Management fornisce un valido supporto per:

  • analizzare gli accessi al sistema informativo
  • garantire la sicurezza dei sistemi
  • segnalare nei tempi previsti un Data Breach
  • ridurre i tempi di rilevazioni di minacce informatiche
  • identificare una non conformità nella Gestione dei Dati

Tutto quanto esposto sino ad ora sui log file è servito ad evidenziarne l’importanza nell’ambito dell’attività preventiva richiesta dal GDPR. Infatti, il GDPR impone non solo che si registrino le eventuali violazioni ai dati, ma anche che queste vengano segnalate tempestivamente.

Il sistema di Log Management quindi deve essere dotato di un sistema di “allarme” che segnali immediatamente la violazione, ad esempio tramite una notifica via email.

In conclusione, i log file consentono di verificare l’attività dei titolari del trattamento, e sono l’unico strumento che consente un’efficace verifica a posteriori dell’attività dei titolari del trattamento.

Senza la disponibilità dei Log file sarebbe impossibile sapere se un soggetto ha posto in essere una violazione in materia di trattamento dei dati e di conseguenza i diritti degli interessati sarebbero irrimediabilmente compromessi, considerato anche il fatto che non sarebbe possibile prevedere un eventuale risarcimento.

Le aziende devono dotarsi di sistemi adeguati di registrazione dei log file sia per essere a norma con il GDPR sia per tenere sotto controllo tutti i sistemi aziendali e gli utenti in maniera efficace. Corrette prassi di Log Management, inoltre, possono apportare benefici non soltanto in termini strettamente operativi, ma anche dal punto di vista del marketing.