Conservazione dei log: oggi la scadenza

Autorità e normativeManagementNormativa

Dal 15 dicembre 2009, in base a quanto stabilito dal Garante della Privacy, per le aziende sarà obbligatorio conservare traccia degli accessi ai propri sistemi per almeno sei mesi. Alcune soluzioni proposte dai vendor, per aiutare i tanti che ancora non si sono adeguati

Ormai quasi ci siamo. Dopo alcune proroghe, dal 15 dicembre diventerà obbligatorio per le aziende (in particolare per gli amministratori di sistemi) conservare i log di accesso alla propria rete per un tempo di almeno sei mesi. Ovviamente, gli archivi di conservazione dovranno essere inalterabili e immodificabili.

Il provvedimento messo a punto dal Garante per la Privacy nasce ovviamente da ragioni di sicurezza e mira a rendere le aziende sensibili sulle misure di protezione da accessi indebiti ai propri sistemi e sui poteri attribuiti agli amministratori di sistema, che hanno un controllo esteso sull’ambiente informativo e, quindi, devono essere figure individuate in modo certo, dotate di credenziali sicure e monitorate nelle loro attività. In pratica, dovranno essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e le registrazioni devono avere riferimenti temporali certi, contenere la descrizione dell’evento che le ha generate e conservate per un periodo non inferiore a sei mesi.

Le misure adottate per garantire questi adempimenti vanno inserite nel Documento Programmatico sulla Sicurezza (Dps), che ogni azienda è tenuta a compilare annualmente ed è quindi oggetto di controllo e verifica per l’applicazione di eventuali sanzioni, che nel caso coinvolgerebbero il responsabile del trattamento dati, ossia in molti casi l’amministratore delegato o altra figura di management.

Come sempre, all’approssimarsi di una scadenza normativa o temporale, si scatena la corsa alla soluzione. Nonostante il tempo avuto a disposizione e almeno due proroghe, infatti, secondo gli osservatori di mercato oggi non siamo sopra al 30% di aziende italiane che si sono correttamente adeguate. Naturalmente, soprattutto in tempi complessi come questi, l’occasione di business ha messo in moto anche il fronte dell’offerta, che sta solleticando la clientela reale o potenziale con soluzioni già presenti nel proprio portafoglio o personalizzate ad hoc.

Gfi è fra le aziende che si è maggiormente attivata sul fronte, proponendo in particolare la propria tecnologia EventsManager, creata specificatamente per la raccolta centralizzata degli eventi e, quindi, anche per l’archiviazione dei log, che avviene su un database Sql. Il software può raccogliere eventi generati da apparati di rete o da server e protegge l’accesso alla propria console con password criptata. “Il prodotto indicizza i log e manda un alert nel caso in cui venisse rilevato qualcosa di anomalo – spiega Maurizio Taglioretti, country manager di Gfi Italia -. È una soluzione molto facile da implementare e garantisce rapidamente la compliance“.

Quanto proposto da Gfi prevede dunque solo l’installazione di software, con un costo entry-level di 200 euro per server e 20 euro per client a licenza:”Questo è per noi un elemento differenziante, poiché non prevede appliance o soluzioni complesse, che spesso sono poco scalabili o richiedono mesi di training e consulenti esterni per l’implementazione”, aggiunge Taglioretti

Di impronta diversa è l’approccio di Imprivata, che basa tutto il proprio business nel campo della sicurezza sulla proposizione di appliance dedicate. Per affrontare la scadenza imposta dal Garante, in particolare, viene proposta la soluzione OneSign, che si presenta con il pregio di non richiedere modifiche a server, applicazioni o alla directory aziendale degli utenti. Il prodotto comprende moduli per la gestione degli accessi (anche con sistemi di strong authentication), single sign-on, auditing e integrazione con la sicurezza fisica e logica eventualmente già presente. “Molte aziende già dispongono di qualche soluzione per la gestione dei log, ma spesso manca la capacità di report e raccolta delle informazioni – puntualizza Maurizio Desiderio, regional sales manager di Imprivata -. OneSign non solo si occupa di questo, ma garantisce un livello più elevato di sicurezza per tutto l’ambiente informativo, soprattutto associando alla reportistica la strong authentication, che va oltre il semplice uso di password, insufficienti per garantire la reale identità della persone che accede a sistemi e applicazioni”. In pratica, il suggerimento di Imprivata è quello di approfittare di una scadenza non procrastinabile per guardare in modo più esteso e organico alla sicurezza aziendale, creando identità digitali certe per tutti coloro che accedono a sistemi e applicazioni.

Da segnalare è poi la strategia del network integrator veneto Lantech, che ha messo a punto il servizio Lion Log, proposto in modalità “a servizio” e dedicato espressamente al log management. Lantech intende così sfruttare il proprio Nsoc (Network & Security Operations Center) per offrire alle aziende la possibilità di affrontare la compliance al provvedimento del Garante per la Privacy attraverso l’outsourcing, quindi senza effettuare investimenti interni in prodotti o competenze. Una soluzione ad hoc, chiamata Data Privacy, infine, è stata messa a punto da Avanade, che intende proporre alle aziende non solo di preoccuparsi di adempiere a un provvedimento, ma anche di affrontare la necessità crescente di auditing e alerting all’interno delle infrastrutture informatiche.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore