Qualcosa da aggiungere?
Per amministratori di sistema si intendono gli amministratori di reti, sistemi software complessi, database e apparati di sicurezza . L’azienda o l’ente è tenuto a identificare gli amministratori di sistema, per poi registrare e conservare i log di tutti gli accessi effettuati.
I log registrati dovranno “comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”. Le registrazioni degli access log devono inoltre essere completi, conservabili su sistemi che garantiscano la loro inalterabilità e che garantiscano al contempo la possibilità di verifica della loro integrità. In pratica ogni azienda o ente dovrà dotarsi di un sistema di Log Management, in grado di tracciare gli accessi degli amministratori di sistema ai vari dispositivi ed applicazioni che gestiscono i dati in modalità sicura.
Il provvedimento messo a punto dal Garante per la Privacy nasce ovviamente da ragioni di sicurezza e mira a rendere le aziende sensibili sulle misure di protezione da accessi indebiti ai propri sistemi e sui poteri attribuiti a chi ha un controllo esteso sull’ambiente informativo e, quindi, figure da individuare in modo certo, dotate di credenziali sicure e monitorate nelle loro attività. In pratica, dovranno essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e le registrazioni devono avere riferimenti temporali certi, contenere la descrizione dell'evento che le ha generate ed essere conservati per una futura reperibilità. Azzz... !!!
1) Individuare i sistemi che contengono i dati più critici (dispositivi di rete, database, apparati di sicurezza e sistemi software complessi)
2) Nominare gli Amministratori di Sistema – interni ed esterni - e tenere un elenco aggiornato degli stessi
3) Dotarsi di un sistema di in grado di tracciare gli accessi degli operatori ai dispositivi ed alle applicazioni che gestiscono
4) Conservare i dati in maniera che non sia possibili modificarli
5) Mantenere i dati per un periodo minimo di sei mesi al fine di permettere eventuali verifiche e controlli
Un argomento scottante che a prima vista porterà a cambiamenti delicati nella gestione di moltissimi siti web. Evitiamo di citare qualche risorsa da integrare, visto che non conosciamo bene i dettagli della faccenda, ma è bene sapere che online risorse che possono toglierci dai guai, evitando di incorrere nella sanzione, ve ne sono già ed anche abbastanza affermate. A presto, per nuove delucidazioni, quando ne capiremo di più anche noi...
Qualcosa da aggiungere?