La Soluzione alle richieste del Garante: Scopri come mettere in regola la tua azienda!

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema.

L'enorme volume di eventi di sistema generato quotidianamente acquisisce un'importanza sempre maggiore per le organizzazioni la cui attività richiede di registrare informazioni a fini legali e ottemperare al numero sempre crescente di conformità normative.

L'aumento delle minacce alla continuità operativa delle aziende richiede un approccio che permetta un monitoraggio in tempo reale della rete, nonché la facoltà di analizzare e produrre report sui dati degli eventi per poter far fronte a eventuali incidenti o timori relativi alla sicurezza. Si tratta di un lavoro immane. Tuttavia, GFI EventsManager aiuta a ottemperare a conformità legali e normative, tra cui il D.P.R. 513/1997 e le leggi SOX, PCI DSS, Codice di connessione e HIPPA.

Questa soluzione pluripremiata elabora e archivia i log in modo automatico, raccogliendo le informazioni necessarie relative ai più importanti eventi che si verificano sulla rete.

È compatibile con un'ampia gamma di tipologie di eventi, ad esempio: eventi W3C, Windows, Syslog, log di controllo di SQL Server e trappole (trap) SNMP generate da dispositivi come firewall, router e sensori, nonché da dispositivi personalizzati.

Grazie alla sua compatibilità con dispositivi distribuiti dai maggiori produttori mondiali e a quella con dispositivi personalizzati, GFI EventsManager consente di controllare un'ampia gamma di prodotti hardware e di creare rapporti sullo stato di salute e operativo di ognuno.

GFI EventsManager aiuta l'azienda a:

- Proteggere il sistema informatico e la rete, grazie al rilevamento di intrusi e di violazioni della sicurezza

- Ottemperare a leggi e normative, fornendo un ausilio per rispettare le conformità normative

- Monitorare lo stato di salute del sistema, grazie al controllo preventivo dei server

- Realizzare indagini legali, diventando un punto di riferimento per quando qualcosa "va storto"

Motivi per avvalersi di GFI EventsManager

- Centralizzazione degli eventi Syslog, W3C, Windows, controlli SQL Server e SNMP trap generati da firewall, server, router, commutatori, centralini telefonici, PC e altro

- Miglioramento del tempo di operatività (uptime) della rete e scoperta di problemi attraverso gli avvisi in tempo reale e il pannello degli strumenti

- Monitoraggio e gestione dell'intera rete in modo rapido e conveniente

- Controllo degli eventi più approfondito e granulare

- Rilevamento di eventi di Windows che fanno capo agli amministratori

- Prestazioni di scansione degli eventi senza rivali, scalabili fino a oltre 6 milioni di eventi all'ora

- Integrazione dei dati degli eventi di GFI LANguard e GFI EndPointSecurity

- "Traduzione" degli eventi di Windows dal significato enigmatico

- Supporto del controllo di Oracle - Controllo del server SQL

- Meccanismo di auto aggiornamento

- Garanzia di conformità alle norme PCI DSS e ad altre normative

- Certificazione per Windows Server 2008 e compatibilità con Windows Vista e Windows 7

- Compatibilità con gli ambienti virtuali

GFI EventsManagerTM è concesso in licenza per nodo.

Sono considerati nodi tutti i dispositivi che generano un log.

I nodi per stazioni di lavoro hanno un prezzo distinto e inferiore rispetto ai nodi per la rete.

Il Provvedimento del Garante

Il 27 novembre 2008 il Garante per la Protezione dei Dati Personali, ha pubblicato un importante provvedimento riguardante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (di seguito AdS).

Il fine del Garante è quello di richiamare l’attenzione sulle responsabilità dell’AdS il quale, per l’esercizio delle sue funzioni, ha evidentemente un accesso privilegiato alle informazioni aziendali inclusi gli archivi contenenti dati personali.

Il termine per mettersi in regola è scaduto il 15 dicembre 2009, e chi non ha adottato le misure prescritte rischia – in caso di verifica - di incorrere in pesanti sanzioni pecuniarie.

1.1 Trattamenti relativi alle funzioni degli Amministratori di Sistema

Il Garante evidenzia “... la particolare criticità del ruolo degli amministratori di sistema...” e “... richiama l'attenzione ... sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema;...”.

Nell’assegnazione di ruoli con accesso privilegiato il Garante richiede ai titolari di “...valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. …” (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499)

Riportiamo di seguito una sintesi delle misure richieste dal Garante relativamente alla sceltae alla verifica dell’operato degli AdS:

• Valutazione delle caratteristiche soggettive delle persone designate

• Designazioni individuali (per es. evitare account di amministratore condivisi)

• Elenco formale degli AdS: system administrator, amministratore di base di dati (database administrator) o amministratore di rete (network administrator);

• Verifica periodica dell’operato degli AdS • Registrazione degli eventi di accessi (Access log degli AdS)

1.2 Gestione degli Access Log degli Amministratori di Sistema

Questo è uno degli adempimenti più complessi poichè implica sia una revisione di alcune procedure e documenti sia l’implementazione di adeguati sistemi di auditing.

Scendendo nel dettaglio il Garante obbliga le aziende al tracciamento completo (logging) degli eventi di accesso (e anche i tentativi falliti) degli amministratori di sistema a
sistemi e database.

I suddetti log (Access Log) devono essere archiviati e conservati per un periodo non inferiore a sei mesi, garantendo l’inalterabilità e l’integrità degli eventi.

Il Garante sottolinea il concetto di “idoneità” dei sistemi di audit, che dipende ovviamente dal contesto un cui vengono applicati: “...devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, e comunque non inferiore a sei mesi (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499)