Log Management
Il monitoraggio della rete informatica è una misura di sicurezza che ogni organizzazione dovrebbe adottare.
Il log Management, ossia la raccolta dei log e il loro monitoraggio per verificare eventuali azioni non autorizzate o attacchi in corso, è una delle procedure dell’attività di monitoraggio che comprende misure di sicurezza per:
- Salvaguardare la riservatezza e integrità dei dati in transito sulle reti pubbliche e sulle reti wireless;
- Gestire sistemi di autenticazione dei device alla rete (es. Mac Address o sistemi anche più moderni);
- limitare i sistemi connessi alla rete esterna (es. creazione di DMZ – Demilitarized zone);
- Evitare di collegare alla rete sistemi che non lo necessitino;
- Gestire la connessione alla rete crittografata;
- Gestire le VPN per accessi dall’esterno (possibilmente VPN personali assegnate nominalmente e con doppia autenticazione).
Sicurezza e conformità normativa
Il log management è una pratica fondamentale nell’ambito della gestione della sicurezza informatica. Questa attività prevede la raccolta, l’archiviazione, l’analisi e la gestione dei log.
Un log file è un file contenente la “storia” delle operazioni effettuate da un utente utilizzando un computer o un altro dispositivo. In sintesi, in un log file vengono registrate tutte le operazioni, in ordine cronologico, che vengono svolte all’interno di una rete aziendale.
Se correttamente “sfruttati”, i log file, consentono di preservare la sicurezza dell’infrastruttura informatica e la conseguente lecita gestione dei dati personali. L’attività di Log Management è fondamentale per evitare episodi di data breach.
Log Management:
perché è necessario?
La gestione dei log consente di monitorare diverse attività, tra cui ingressi registrati nel sistema durante un periodo specifico, tentativi falliti di autenticazione/transazione, rilevazione di anomalie sia di natura software che hardware, possibile presenza di minacce malware.
Ecco alcuni dei vantaggi principali derivanti da un sistema di monitoraggio e gestione dei log:
- Monitoraggio: attraverso il registro dei log, è possibile monitorare le attività svolte nel sistema informativo aziendale, inclusi gli accessi a cartelle di rete, l'uso delle mail aziendali e i tentativi di accesso non autorizzato ai sistemi aziendali. I registri dei log, quindi, forniscono una traccia dettagliata delle attività svolte sui sistemi.
- Risoluzione rapida dei problemi: attraverso la configurazione di un sistema di alert collegato ai log è possibile identificare e analizzare tempestivamente eventuali problemi legati a un sistema specifico e di intervenire prontamente per risolverli.
- Individuazione di accessi non autorizzati: la registrazione dei file di log agevola il rilevamento di accessi non autorizzati alle reti o agli archivi aziendali e consente di ricostruire le dinamiche di una violazione dei dati personali, contribuendo alla sicurezza delle informazioni.
- In ottica di accountability: (principio sancito dall’art. 5, par. 2 del GDPR), l'implementazione di un sistema di log management costituisce un prezioso strumento per dimostrare l'impegno del titolare nel garantire la protezione dei propri dati e sistemi.
Log Management e GDPR
Il GDPR ha reso il salvataggio dei file di log essenziale per la ricostruzione delle violazioni di accesso non autorizzato a reti o file.
Anche se il regolamento GDPR non menziona esplicitamente i file di log, impone ai titolari del trattamento dei dati di disporre di metodi per “comprovare” la conformità normativa nel trattamento dei dati stessi.
In sostanza, il GDPR richiede ai titolari del trattamento di compiere due azioni parallele:
- Da un lato, si devono adottare misure per proteggere i diritti degli interessati;
- Dall’altro, si devono acquisire e conservare prove delle attività svolte in conformità alle normative, pronte per essere esibite in caso di ispezioni e controversie.
Quindi, il GDPR, anche se non in modo esplicito, obbliga all’adozione di sistemi per la gestione dei log affinché, in caso di controllo da parte delle autorità, sia possibile dimostrare che siano state adottate le misure di sicurezza.
Per essere a norma con il GDPR, un’azienda deve registrare file di log in maniera conforme, che significa rispettare i seguenti requisiti:
- Completezza: occorre registrare tutte le operazioni relative ai dati, compresi gli accessi e le consultazioni;
- Inalterabilità: il file deve essere in modalità “append only” ossia non deve essere modificabile né cancellabile, devono potersi esclusivamente aggiungere altre informazioni;
- Verificabilità: deve essere possibile verificare l’integrità del log stesso;
- Disponibilità: è necessario conservare i file di log per un periodo di 60 giorni e predisporre eventuali backup per garantirla.