Chiudi menu

Log Management

Il monitoraggio della rete informatica è una misura di sicurezza che ogni organizzazione dovrebbe adottare. 

Il log Management, ossia la raccolta dei log e il loro monitoraggio per verificare eventuali azioni non autorizzate o attacchi in corso, è una delle procedure dell’attività di monitoraggio che comprende misure di sicurezza per: 

  • Salvaguardare la riservatezza e integrità dei dati in transito sulle reti pubbliche e sulle reti wireless;
  • Gestire sistemi di autenticazione dei device alla rete (es. Mac Address o sistemi anche più moderni);
  • limitare i sistemi connessi alla rete esterna (es. creazione di DMZ – Demilitarized zone);
  • Evitare di collegare alla rete sistemi che non lo necessitino;
  • Gestire la connessione alla rete crittografata;
  • Gestire le VPN per accessi dall’esterno (possibilmente VPN personali assegnate nominalmente e con doppia autenticazione).
Log management

Indice

Sicurezza e conformità normativa

Il log management è una pratica fondamentale nell’ambito della gestione della sicurezza informatica. Questa attività prevede la raccolta, l’archiviazione, l’analisi e la gestione dei log.

Un log file è un file contenente la “storia” delle operazioni effettuate da un utente utilizzando un computer o un altro dispositivo. In sintesi, in un log file vengono registrate tutte le operazioni, in ordine cronologico, che vengono svolte all’interno di una rete aziendale.

Se correttamente “sfruttati”, i log file, consentono di preservare la sicurezza dell’infrastruttura informatica e la conseguente lecita gestione dei dati personali. L’attività di Log Management è fondamentale per evitare episodi di data breach.

Log Management:

perché è necessario?

La gestione dei log consente di monitorare diverse attività, tra cui ingressi registrati nel sistema durante un periodo specifico, tentativi falliti di autenticazione/transazione, rilevazione di anomalie sia di natura software che hardware, possibile presenza di minacce malware.

Ecco alcuni dei vantaggi principali derivanti da un sistema di monitoraggio e gestione dei log:

  • Monitoraggio: attraverso il registro dei log, è possibile monitorare le attività svolte nel sistema informativo aziendale, inclusi gli accessi a cartelle di rete, l'uso delle mail aziendali e i tentativi di accesso non autorizzato ai sistemi aziendali. I registri dei log, quindi, forniscono una traccia dettagliata delle attività svolte sui sistemi.
  • Risoluzione rapida dei problemi: attraverso la configurazione di un sistema di alert collegato ai log è possibile identificare e analizzare tempestivamente eventuali problemi legati a un sistema specifico e di intervenire prontamente per risolverli.
  • Individuazione di accessi non autorizzati: la registrazione dei file di log agevola il rilevamento di accessi non autorizzati alle reti o agli archivi aziendali e consente di ricostruire le dinamiche di una violazione dei dati personali, contribuendo alla sicurezza delle informazioni.
  • In ottica di accountability: (principio sancito dall’art. 5, par. 2 del GDPR), l'implementazione di un sistema di log management costituisce un prezioso strumento per dimostrare l'impegno del titolare nel garantire la protezione dei propri dati e sistemi.

Log Management e GDPR

Il GDPR ha reso il salvataggio dei file di log essenziale per la ricostruzione delle violazioni di accesso non autorizzato a reti o file.

Anche se il regolamento GDPR non menziona esplicitamente i file di log, impone ai titolari del trattamento dei dati di disporre di metodi per “comprovare” la conformità normativa nel trattamento dei dati stessi.
In sostanza, il GDPR richiede ai titolari del trattamento di compiere due azioni parallele:

  • Da un lato, si devono adottare misure per proteggere i diritti degli interessati;
  • Dall’altro, si devono acquisire e conservare prove delle attività svolte in conformità alle normative, pronte per essere esibite in caso di ispezioni e controversie.

Quindi, il GDPR, anche se non in modo esplicito, obbliga all’adozione di sistemi per la gestione dei log affinché, in caso di controllo da parte delle autorità, sia possibile dimostrare che siano state adottate le misure di sicurezza.

Per essere a norma con il GDPR, un’azienda deve registrare file di log in maniera conforme, che significa rispettare i seguenti requisiti:

  • Completezza: occorre registrare tutte le operazioni relative ai dati, compresi gli accessi e le consultazioni;
  • Inalterabilità: il file deve essere in modalità “append only” ossia non deve essere modificabile né cancellabile, devono potersi esclusivamente aggiungere altre informazioni;
  • Verificabilità: deve essere possibile verificare l’integrità del log stesso;
  • Disponibilità: è necessario conservare i file di log per un periodo di 60 giorni e predisporre eventuali backup per garantirla.

Log management e SIEM

Registrare i log di un sistema non è un’attività sufficiente per mettere al riparo l’azienda da possibili minacce. Sebbene non sia richiesto espressamente dal GDPR, è di fondamentale importanza l’analisi di questi file in modo da individuare possibili pattern o firme associabili a potenziali attacchi. Bisogna inoltre sottolineare che la raccolta dei log genera una mole di dati tale da non poter essere analizzata manualmente: è quindi indispensabile adottare dei sistemi automatici di rilevazione delle anomalie. Il Security Information Event Management (SIEM) è un software utilizzato per analizzare i log sotto l’aspetto della sicurezza informatica. Il log management e il SIEM sono spesso utilizzati congiuntamente per migliorare la gestione delle minacce e la conformità alle normative. Un SIEM è progettato per rilevare, analizzare e rispondere agli eventi di sicurezza in tempo reale. Questi eventi possono essere generati dai log di sistema, dalle attività degli utenti o da altre fonti di dati. Una delle caratteristiche principali di un SIEM è la capacità di identificare minacce complesse o attacchi che potrebbero passare inosservati se considerati singolarmente. Un’altra funzione importante di questo strumento è la capacità di automatizzare la risposta agli incidenti, ad esempio, bloccando automaticamente l’accesso a un utente sospetto o attuando altre misure di mitigazione delle minacce. I SIEM forniscono dashboard e report avanzati per aiutare il team di sicurezza a monitorare le attività e le minacce oltre a generare una reportistica per scopi di conformità. I software SIEM possono quindi essere considerati un importante aspetto dell’attività di log management: una corretta configurazione di questi strumenti e un attento controllo dei report prodotti possono contribuire a migliorare il livello di sicurezza generale dell’azienda.

Vuoi richiedere una consulenza?

Se vuoi ricevere maggiori informazioni o se hai dubbi in merito ai servizi integrati dalla nostra azienda, contatta subito  W.P. Format e richiedi una consulenza.
CONTATTACI