Gli ambienti IT aziendali sono da anni in costante evoluzione, risultato dell’uso sempre più diffuso di tecnologie mobile, di pratiche di BYOD (Bring your own device, che garantiscono ai lavoratori di poter operare utilizzando i propri dispositivi personali) e del Cloud. Tutto questo ha portato all’aumento del fenomeno dello shadow IT con l’utilizzo sempre più diffuso di dispositivi, software, applicazioni e servizi informatici al di fuori del controllo del dipartimento IT .
Parallelamente, la quantità di dati in circolazione all’interno delle reti aziendali è significativamente aumenta e le operazioni IT, di conseguenza, sono diventate sempre più complesse.
Ecco allora che per le aziende, la sicurezza informatica, la protezione dei dati e la continuità del servizio sono diventate priorità assolute. Non sorprende quindi che il Log Management si sia trasformato nel processo chiave per affrontare queste sfide in modo efficiente e funzionale. Alla base del Log Management troviamo naturalmente il tracciamento e l’archiviazione dei file di log, che aiutano le aziende a proteggere il proprio patrimonio informativo a partire dalla registrazione precisa delle attività. Ma cosa sono esattamente i log e i file di log, e perché sono così cruciali per la sicurezza informatica aziendale?
Cosa sono i file di log
I log sono registrazioni cronologiche e sequenziali delle operazioni effettuate da un utente o sistema informatico, che includono informazioni su software, accesso a dati, server, client ed altri dispositivi o programmi. I file di log contengono quindi messaggi relativi al sistema, ai servizi ed alle applicazioni in funzione, così come sulle azioni compiute dagli utenti.
La riga di un file di log inizia con l’indicazione del momento in cui è stata effettuata la registrazione (timestamp), il nome del computer su cui gira il programma che ha generato il log e, spesso, anche il nome del programma stesso. Questi file fungono da veri e propri “diari di bordo”, registrando lo storico delle operazioni effettuate da utenti o macchine, archiviando così gli eventi e le informazioni sia di normale funzionamento sia gli errori, problemi ed eventuali anomalie impreviste.
I file di log vengono conservati nei sistemi e restano disponibili per attività di monitoraggio ed amministrazione. Questi file sono fondamentali per la sicurezza informatica aziendale, in quanto consentono di tracciare e registrare tutte le attività compiute dagli utenti su determinati file, software o portali. Informazioni essenziali per identificare anomalie comportamentali e ricostruire l’accaduto in caso di anomalie di funzionamento o imputare responsabilità in caso di uso illecito di dati o dispositivi.
In pratica, i file di log consentono di sapere chi ha fatto cosa, come e quando, fornendo un importante elemento probatorio in caso di contenzioso.
Naturalmente, esistono diverse tipologie di log, ognuna utile a supportare la diagnostica e accelerare la risoluzione dei problemi legati all’uso dei sistemi. Ad esempio, i log di accesso non autorizzato possono essere utilizzati per individuare attività sospette o potenziali minacce alla sicurezza.
Le diverse tipologie di log
I log possono assumere diverse forme e svolgere funzioni specifiche all’interno di un sistema informatico. Tra le principali tipologie di log troviamo:
- Log di registrazione, riconoscimento e accesso: questi log, noti come login o logon, registrano gli accessi degli utenti al sistema. Le informazioni possono essere analizzate per individuare anomalie e problemi di sicurezza.
- Log di sistema: i server di rete memorizzano eventi significativi attraverso il proprio sistema operativo. Questi log possono registrare, ad esempio, l’avvio e la chiusura di ogni servizio, l’accesso ai dati, nonché condizioni diverse dal normale che possono verificarsi durante il funzionamento del sistema.
- Log di base dati: gestiti dai DBSM (Database System Management), questi log registrano le operazioni effettuate sulla base di dati, come inserimenti, aggiornamenti o cancellazioni di record.
- Log di sicurezza: nei sistemi informatici complessi o in quelli creati appositamente per ospitare dati sensibili, vengono registrate tutte le operazioni critiche per assicurare l’integrità dei dati e monitorare i tentativi di accesso non autorizzati.
- Log delle applicazioni: molte applicazioni generano i propri log, in cui vengono registrati eventi caratteristici dell’applicazione stessa. Questi log possono fungere da protocollo di entrata e uscita, registrando ad esempio l’avvio dell’applicazione, le azioni dell’utente e gli errori riscontrati.
Ogni tipo di log svolge un ruolo specifico nella gestione e nel monitoraggio dei sistemi informatici, consentendo agli amministratori di sistema di individuare e risolvere problemi, garantire la sicurezza dei dati e monitorare l’attività degli utenti e delle applicazioni.
I file di log: il cuore della sicurezza informatica
Come abbiamo visto sin qui, la gestione dei file di log riveste un ruolo cruciale nella sicurezza informatica aziendale. Questi file consentono infatti di monitorare una serie di attività fondamentali, tra cui gli accessi al sistema effettuati in un determinato lasso temporale, evidenziando anche quelli avvenuti al di fuori dell’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN, registrano transazioni fallite, anomalie sia software che hardware e possibili minacce malware.
È qui che entrano in campo le soluzioni di log management: questi strumenti sono infatti in grado di fornire delle panoramiche in tempo reale sullo stato degli host e dei servizi, mettendo in evidenza eventuali comportamenti insoliti che, in quanto tali, potrebbero in realtà essere indizi di pericolo.
Va poi sottolineato che l’archiviazione remota dei file di log rende possibile analizzare i problemi anche in caso di inaccessibilità diretta al sistema, evitando la perdita di dati in situazioni di guasto hardware o software o la cancellazione dei log da parte dell’attaccante al momento dell’intrusione.
Insomma, i file di log e le soluzioni di Log Management aiutano le aziende a garantirsi la protezione dei dati e la continuità di servizio. I file log, infatti, non forniscono solo una traccia delle attività, ma rappresentano anche degli strumenti chiave per rispondere alle esigenze di conformità aziendale.
Cosa dice il GDPR
Il GDPR, o General Data Protection Regulation, entrato in vigore il 25 maggio 2018, ha apportato importanti modifiche al modo in cui ci si rapporta con i file di log.
Prima considerati una necessità per gli Amministratori di Sistema, ora i log file sono uno strumento indispensabile per le aziende che adottano una corretta politica informatica.
L’applicazione del principio di Accountability, suggerisce infatti che venga conservata traccia delle operazioni effettuate sui Dati Personali, in modo che in caso di controllo sia possibile dimostrare di aver preso tutte le misure necessarie per proteggerli. Da questo punto di vista, il Garante della Privacy ha chiarito che i file di log debbano essere completi, ad includere chi ha compiuto l’azione e chi ha effettuato l’accesso ai dati (anche in sola consultazione), inalterabili e verificabili.
In conclusione, per essere conformi al GDPR le aziende devono:
- Registrare i file di log
- Conservare i file di log per almeno 6 mesi e garantirne la conservazione, ad esempio attraverso backup
- Essere in grado di verificare che i log conservati non siano stati alterati
Per poter svolgere queste operazioni si fa quindi necessario utilizzare software appositamente progettati per registrare tutte le operazioni e salvarle in file di log. Una volta creati, i file di log devono essere mantenuti correttamente ed inalterati, e devono essere costantemente salvati in backup.
Ogni file di log deve essere marcato temporalmente, garantendo una firma digitale che attesti la sua non alterazione dopo una certa data.
Conclusione
Come abbiamo visto in questo articolo, i file di log rappresentano il fulcro della sicurezza informatica aziendale, soprattutto in un panorama normativo come quello imposto dal GDPR. Con l’entrata in vigore di questa regolamentazione, i log file non sono più solamente una necessità, ma diventano uno strumento indispensabile per garantire la conformità normativa e proteggere i dati sensibili delle aziende. I file di log consentono infatti di tracciare e registrare ogni attività svolta all’interno dei sistemi informatici, dalle operazioni degli utenti alle azioni dei sistemi stessi.
Cerchi una soluzione versatile e user-friendly per mantenere il massimo controllo sull’infrastruttura informatica aziendale e ottenere una panoramica completa dello stato di dati e sistemi?
Intrusa è la soluzione per la compliance informatica aziendale che offre alle PMI funzionalità di monitoraggio accessi, monitoraggio attività anomale e registro eventi con validità legale.
La piattaforma permette di tracciare e registrare le attività svolte all’interno dei sistemi informatici in modo sicuro e conforme alle normative vigenti e assicura anche la conservazione e la marcatura temporale dei file di log.
Con il modulo Data Loss Prevention (DLP) Intrusa permette inoltre di tracciare e rilevare anomalie comportamentali nell’accesso ai dati da parte degli utenti.
Intrusa si integra infine con piattaforme Cloud come Microsoft 365 per il tracciamento degli accessi tramite Entra ID, gli eventi di gestione del Tenant Microsoft e l’accesso ai dati su SharePoint/OneDrive.
Con Intrusa ottieni tutto questo oltre alla massima protezione dei dati personali e alla conformità alle normative vigenti. Contattaci per saperne di più.