IT manager e amministratori di sistema (ADS) sanno benissimo come la sicurezza informatica di un’azienda non possa prescindere da una gestione ottimale dei log (c.d. Log Management).


Per tutti coloro che non conoscono questo termine o vorrebbero approfondire il suo significato, abbiamo realizzato questo articolo, che ha come obiettivo di comprendere anche le implicazioni pratiche (e il rapporto con la legge) di tutte le attività legate alla raccolta e all’analisi dei dati tracciati nei file di log.

 

Cos’è il Log Management?

Per Log Management si intende la registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e archivi elettronici da parte degli amministratori di sistema. 

Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. 

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

 

Perché si deve attivare una raccolta di log?

La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). 

L’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema.

 

Cosa bisogna considerare per il log management?

Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione.

 

Perché la gestione dei log è importante?

La corretta gestione dei log è importante per un motivo fondamentale: è obbligatoria, per legge. Con provvedimento del 27/11/2008 il Garante Privacy ha infatti richiesto nuovi e più severi adempimenti ai titolari dei trattamenti effettuati con strumenti elettronici, rafforzando le funzioni e le responsabilità in capo agli amministratori di sistema in materia di sicurezza. 

L’amministratore di sistema (ADS) è la figura professionale a cui spetta la gestione e la manutenzione degli impianti di elaborazione con cui vengono effettuati i trattamenti dei dati personali.


Nel provvedimento del 2008, il Garante disciplina le modalità di individuazione, designazione, valutazione e verifica delle attività svolte da tali soggetti. 

In particolare, il Garante ha introdotto l’obbligo per i titolari del trattamento dei dati di conservare gli “accessi log” degli amministratori di sistema, per almeno 6 mesi, in archivi immodificabili e inalterabili. Ecco perché l’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema da parte del Garante Privacy

Quest’ultimo stabilisce infatti che l’operato degli ADS deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. 

Le aziende, gli enti o gli studi professionali (avvocati, notai etc.) che trattano dati sensibili o giudiziari (ad esclusione del trattamento che avviene per ordinarie finalità amministrativo-contabili), sono tenuti a dotarsi di un sistema di Log Management, a pena di sanzioni amministrative.

 

GDPR e Log Management

La corretta gestione dei log da parte delle aziende, quindi, non è solo una semplice sfida tecnologica, una procedura di controllo e audit interno, ma un adempimento importante e necessario. 

Il Log Management è un problema di tutela della Privacy: gestire e analizzare correttamente i file di log è fondamentale per assicurare il rispetto della normativa a tutela dei dati personali, poiché consente di ricostruire l’attività di un sistema informatico e di individuare eventuali responsabilità in caso di errore o violazioni di legge. 

Se sei interessato a gestire i log nella tua azienda nel completo rispetto della normativa contatta gli esperti di Unolegal per ottenere informazioni dettagliate sul software di log management di Sistemi HS, società del gruppo Sistemi UNO.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.