Log Management e GDPR: come comportarsi

di Renato Castroreale

Log Management: quando alcuni anni fa venne emanato il “Provvedimento degli ADS” (27 novembre 2008, pubblicato sulla G.U. n. 300 del 24 dicembre 2008), sul mercato l’offerta di Software di Log Management “Compliant con il Provvedimento” fu improvvisamente vastissima. 

Tecnicamente il provvedimento non ha avuto un grande consenso tecnico (perché giudicato poco utile), e per questo la richiesta basilare del provvedimento – ossia quella di tracciare i login, i logout ed i tentavi di login da parte dei soli ADS su tutti i sistemi informatici – è stata quantomeno interpretata. 

Questa interpretazione ha portato molte soluzioni a superare limiti che di fatto non solo hanno reso la raccolta inadeguata ai fine del Provvedimento stesso, ma peggio hanno esposto le aziende a problemi di compliance molto più importati (come ad esempio andare ad effettuare un “controllo a distanza” dei lavoratori). 

Ai tempi ricordo che un Software di Log Management aveva addirittura esposto il sigillo della Repubblica con il logo del Garante della Privacy nella home page della visualizzazione dei Log, tanto per citare un caso.

 

Le soluzioni sul mercato rispondono alle necessità dell’applicazione GDPR?

 

Ora sorrido, guardando come il mercato sta reagendo al GDPR (il nuovo Regolamento EU sulla Privacy). 

Vecchi prodotti dimenticati vengono spolverati per l’occasione e rimessi sul mercato per assolvere alle richieste del nuovo Regolamento Europeo GDPR. Peggio ancora si fa confusione tra Cyber Security e Privacy in un connubio scarsamente efficace ed altamente pericoloso. 

Esperti tecnologi (o presunti tali) dispensano consigli su come affrontare il complesso tema del GDPR.

Ed ovviamente tra le soluzioni proposte quelle di Log Management, insieme alle soluzioni di Analisi Dei Rischi, sono tra le più presenti. 

Ma qual è la rispondenza di queste soluzioni di Log Management alle effettive necessità che emergono dall’applicazione del GDPR?

Direi in generale scarsa, ed il più delle volte si finisce con attuare soluzioni fini a se stesse, o che assolvono esclusivamente ad aspetti tecnologici.

 

Log Management e GDPR: qual è l’approccio corretto?

 

Concentriamoci sulla questione della raccolta Log per gli ADS.

L’approccio corretto è sicuramente quello di ricercare soluzioni che abbiano affrontato l’argomento della gestione dei Log, partendo dai presupporti Privacy e non quelli tecnologici.

Insomma, prodotti Privacy by Design, pensati e sviluppati in ottica Privacy, e non altro.

Altri fattori che a mio avviso sono imprescindibili sono quelli relativi alla semplicità ed alla sostenibilità della raccolta.

Cosa intendo? Configurare un sistema di logging è una cosa complessa!

Occorre impostare i sistemi perché producano il giusto dettaglio di Log, occorre analizzare questi Log e prelevare solo quelli relativi agli ADS per non eccedere nella raccolta (e come abbiamo detto crearsi problemi di altra natura), occorre garantire l’inalterabilità dei Log, occorre garantire che gli ADS o altri soggetti non possano alterare la raccolta, ed ovviamente bisogna consentire reportistica e magari anche un sistema di alert.

Solo così un sistema di Log Management potrà dirsi affidabile.

Semplici cose da elencare, ma complesse da realizzare, soprattutto se i sistemi di gestione dei Log che andiamo ad utilizzare non fanno di questi fattori un punto saldo.

Anche scegliere soluzioni “in casa” come server di raccolta, o appliance di varia natura, può essere una criticità.

Il server di raccolta si può spegnere, può essere scollegato dalla rete, può essere temporaneamente manomesso, può essere addirittura rubato con tutti i Log.

Lo stesso vale per gli appliance.

Ma se i Log venissero estratti dal contesto aziendali ed inviati in un luogo sicuro, dove possono restare disponibili per la consultazione, non sarebbe meglio? Certamente sì…

 

Log Management: come gestire le evoluzioni dei sistemi?

I Sistemi cambiano, le persone posso andarsene e/o altre essere assunte, e di conseguenza il sistema di logging deve consentire di gestire questi cambiamenti.

Come?

Non certo andando a ripetere le attività svolte in fase di attivazione, non fosse altro per una questione di costi.

Un portale che consenta di aggiornare gli elementi cambiati (Server e/o ADS) e di conseguenza adattare in tempo reale le raccolta dei Log, è l’ideale.

Possibile?

Si, possibile ed anzi assolutamente indispensabile per un Software di Log Management. Credo di avere fornito alcuni spunti di riflessione sul complesso tema della Gestione dei Log.

Le soluzioni Software di Log Management valide ci sono, ma bisogna conoscere a fondo questi ed altri aspetti per scegliere con consapevolezza.

Chi vince quindi il duello tra Privacy e Tecnologia in ambito Log Management?

Se parliamo di compliance la risposta è semplice: è la normativa Privacy che deve ispirare il prodotto e non le scelte tecnologiche.

Questa filosofia ha orientato lo sviluppo del nostro Software di Log Management

Torna in alto