L’aumento del numero di attacchi informatici alle reti aziendali, accompagnato dall’incremento dei costi medi associati, rende indispensabile per le PMI prestare una sempre maggiore attenzione alla propria sicurezza informatica, anche adottando misure proattive in grado di proteggere le varie risorse digitali. Le aziende oggi generano enormi quantità di log ed eventi attraverso applicazioni, sistemi, reti e utenti e necessitano quindi di processi e strumenti come il log manager per gestire e monitorare queste informazioni, tenere sotto controllo l’attività degli utenti e prevenire minacce esterne.
Una soluzione di log management consente di raccogliere, analizzare e conservare i log generati dai vari sistemi informativi e contribuisce enormemente alla sicurezza globale dei sistemi, riducendo tra le altre cose i tempi di rilevazione delle minacce informatiche. Il log management, d’altronde, non è soltanto una best practice ma un obbligo di legge: già il decreto del 27 novembre 2008 del Garante della Privacy ha infatti sancito l’obbligatorietà della raccolta di alcuni log affidandone la responsabilità ai Titolari del Trattamento.
Che cos’è il log management
Per apprendere appieno il concetto di log management è fondamentale partire dalla definizione del termine “log”. Con log ci si riferisce alla registrazione cronologica delle azioni svolte da un utente, un amministratore o automatizzate all’interno di un sistema informatico.
Questi registri dei log, generati dal computer che acquisisce dati sulle attività nel sistema operativo o nelle applicazioni software, registrano automaticamente informazioni cruciali come, solo per fare degli esempi, messaggi, report di errori, richieste e trasferimenti di file. Ogni voce è accompagnata da dati sull’ora e il giorno di esecuzione, così da offrire agli Amministratori di Sistema una prospettiva dettagliata di quanto è successo e quanto.
Il log management, dunque, è il processo di registrazione e gestione degli accessi e degli eventi verificatisi nei sistemi di elaborazione e negli archivi elettronici o, detta in breve, dei registri dei log. Ma di quali log si tratta?
I tipi di log più comuni sono:
- Application log: documentano eventi che si verificano all’interno delle applicazioni,
- System log: registrano eventi a livello del sistema operativo, ad esempio messaggi o errori del caricamento dei driver delle periferiche (e.g. collegamenti ed attivazione di dispositivi USB),
- Security log: tracciano eventi legati alla sicurezza, come tentativi di accesso non autorizzato, modifiche alla password o eliminazione dei file.
Indipendentemente dai log coinvolti, ad ogni modo, a caratterizzare il log management sono le caratteristiche basilari delle registrazioni degli eventi che devono infatti essere complete, inalterabili e verificabili nella loro integrità.
Un servizio di log manager svolge un ruolo cruciale nel processo, raccogliendo i log da varie fonti all’interno di una rete per convogliarli verso un servizio centralizzato di raccolta. Questo servizio conserva le informazioni per un periodo congruo, non inferiore a sei mesi, fornendo un archivio dettagliato e affidabile che supporta la sicurezza informatica e la conformità normativa.
A cosa serve la raccolta dei log
La raccolta, aggregazione e gestione dei log è fondamentale per garantire la sicurezza dei sistemi informatici. Il log management, non a caso, è oggi una necessità per tutte le imprese data la crescente complessità e quantità di informazioni che vengono scambiate tra i sistemi.
Attraverso gli access log, l’IT manager e gli Amministratori di Sistema possono verificare eventuali anomalie negli accessi, analizzando la frequenza, gli orari, la durata della sessione, l’identificativo dell’utente e così via.
Come sarà evidente, la registrazione degli eventi ottenuta con il log management offre informazioni cruciali, registrando accessi, tentativi e disconnessioni. Il risultato è una sorta di costante istantanea in tempo reale delle attività che vengono svolte sui sistemi aziendali e, grazie allo storico, di una registrazione sicura di quanto è successo in passato sui sistemi stessi.
Il log manager è insomma uno strumento essenziale per gli Amministratori di Sistema in quanto semplifica la gestione di volumi considerevoli di dati complessi e poco intellegibili.
Ma oltre a fornire trasparenza in tempo reale, il log management è in realtà imperativo anche per rispettare le normative legali.
Log management e compliance normativa: il GDPR ed il provvedimento del Garante Privacy
Il provvedimento emanato dal Garante della Privacy il 27 novembre 2008, e successivamente integrato nel 2009, infatti, ha introdotto rigorosi adempimenti ai Titolari del Trattamento, conferendo alle figure degli Amministratori di Sistema nuove funzioni e responsabilità in materia di sicurezza.
Il provvedimento stabilisce nello specifico che Titolari del Trattamento debbano:
- Individuare i sistemi che contengono i dati più critici
- Nominare un Amministratore di Sistema
- Adottare sistemi di log management con cui registrare gli access log e conservare le registrazioni complete, inalterabili e verificabili nell’integrità per un periodo di almeno 6 mesi.
L’analisi dei log è considerata dal Garante della privacy come uno dei criteri di valutazione dell’operato degli Amministratori di Sistema e una pratica fondamentale per la tutela della privacy. D’altronde, il log management è essenziale per garantire la protezione dei dati personali, consentendo la ricostruzione delle attività sul sistema informatico e l’individuazione di responsabilità in caso di errori o violazioni della legge.
Insomma, il Garante della privacy, anticipando di ben 10 anni l’entrata in vigore del GDPR, ha introdotto adempimenti che rimangono rilevanti anche per il Regolamento europeo sulla protezione dei dati. In virtù di queste normative, il log management è da intendersi quindi obbligo di Legge e le aziende o gli enti che non implementano adeguatamente tale sistema di registrazione dei log possono incorrere in pesanti sanzioni.
Come funzionano le soluzioni di log management
Le soluzioni di log management sono quindi fondamentali per tutte le aziende. Da un lato, perché consentono di adempiere ad un obbligo normativo, dall’altro perché permettono di gestire in modo efficace le enormi quantità di dati generati dalle attività nell’ambiente IT, offrire una panoramica completa dello stato dei sistemi e del loro utilizzo da parte degli utenti e agevolare così l’identificazione rapida di eventuali problemi.
In questo contesto, le soluzioni SIEM rappresentano un passo ulteriore, permettendo l’elaborazione di eventi provenienti da diverse fonti e la loro correlazione. Un buon Security Information and Event Manager è infatti in grado di:
- Collezionare i log: raccogliendo e centralizzando le informazioni, indipendentemente dalla loro fonte, e aggregando e standardizzando i vari log;
- Mettere gli eventi in correlazione: sfruttando regole specifiche o algoritmi complessi, anche basati su machine learning, migliorando così il monitoraggio dei log;
- Ricercare e analizzare i log: rendendo più semplice filtrare i dati per accedere alle giuste voci di registro e consentire un prezioso risparmio in termini di tempo e sforzi. Attraverso l’analisi sullo storico dei log raccolti, queste soluzioni rendono possibile accedere a report automatizzati e dashboard personalizzabili per favorire il controllo sulle prestazioni, sull’operatività degli utenti e sull’adesione alla compliance normativa;
- Conservare i log: garantendo la loro conservazione per i 6 mesi minimi stabiliti per legge, ma anche la loro completezza e inalterabilità oltre che la possibilità di verificarne l’integrità.
Conclusione
Essendo un obbligo di Legge ormai dal 2008, il log management ha smesso da tempo di essere per le imprese una semplice sfida tecnologica. La gestione accurata dei log è una questione di tutela della Privacy così come un passo fondamentale per facilitare il presidio, la rilevazione di anomalie e la risoluzione tempestiva di eventuali problemi. D’altronde, come abbiamo visto, il log management consente di ricostruire l’attività di un sistema informatico e individuare così, nel caso dovesse farsi necessario, eventuali responsabilità.
Se stai cercando una soluzione per gestire i log della tua azienda o sei un Amministratore di Sistema in cerca di una piattaforma in grado di rendere più semplice e efficiente il tuo lavoro, scopri Intrusa. Intrusa è una piattaforma italiana, 100% in cloud, sicura e affidabile sviluppata da esperti con profonda esperienza nel campo della cybersecurity, nata per permettere alle PMI di affrontare le sfide della cybersecurity ed operare in piena conformità alle norme. Contattaci o richiedi una demo qui.