Blog Jooma! Raccoglitore di news e bloggate sul CMS Joomla!

Dal 15 Dicembre 2009 scatta l'obbligo, per tutte le aziende che trattano dati critici e sensibili, di nominare un Amministratore di Sistema e dotarsi di un software per il Log Management in grado di tracciare gli accessi degli operatori e amministratori ai dispositivi ed alle applicazioni che gestiscono. Questo sistema dovrà conservare i dati in maniera sicura per un periodo minimo di sei mesi e dovrà essere consultabile dall'azienda ed eventualmente dalle autorità competenti.
Le sanzioni previste dal Garante della Privacy in caso di omissione possono essere anche molto pesanti: si va da un minimo di 1.000 euro ad un massimo di 60.000.

Per amministratori di sistema si intendono gli amministratori di reti, sistemi software complessi, database e apparati di sicurezza . L’azienda o l’ente è tenuto a identificare gli amministratori di sistema, per poi registrare e conservare i log di tutti gli accessi effettuati.

I log registrati dovranno “comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”. Le registrazioni degli access log devono inoltre essere completi, conservabili su sistemi che garantiscano la loro inalterabilità e che garantiscano al contempo la possibilità di verifica della loro integrità. In pratica ogni azienda o ente dovrà dotarsi di un sistema di Log Management, in grado di tracciare gli accessi degli amministratori di sistema ai vari dispositivi ed applicazioni che gestiscono i dati in modalità sicura.

Il provvedimento messo a punto dal Garante per la Privacy nasce ovviamente da ragioni di sicurezza e mira a rendere le aziende sensibili sulle misure di protezione da accessi indebiti ai propri sistemi e sui poteri attribuiti a chi ha un controllo esteso sull’ambiente informativo e, quindi, figure da individuare in modo certo, dotate di credenziali sicure e monitorate nelle loro attività. In pratica, dovranno essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e le registrazioni devono avere riferimenti temporali certi, contenere la descrizione dell'evento che le ha generate ed essere conservati per una futura reperibilità. Azzz... !!!

Cosa fare per mettersi in regola

1) Individuare i sistemi che contengono i dati più critici (dispositivi di rete, database, apparati di sicurezza e sistemi software complessi)

2) Nominare gli Amministratori di Sistema – interni ed esterni - e tenere un elenco aggiornato degli stessi

3) Dotarsi di un sistema di in grado di tracciare gli accessi degli operatori ai dispositivi ed alle applicazioni che gestiscono

4) Conservare i dati in maniera che non sia possibili modificarli

5) Mantenere i dati per un periodo minimo di sei mesi al fine di permettere eventuali verifiche e controlli

Un argomento scottante che a prima vista porterà a cambiamenti delicati nella gestione di moltissimi siti web. Evitiamo di citare qualche risorsa da integrare, visto che non conosciamo bene i dettagli della faccenda, ma è bene sapere che online risorse che possono toglierci dai guai, evitando di incorrere nella sanzione, ve ne sono già ed anche abbastanza affermate. A presto, per nuove delucidazioni, quando ne capiremo di più anche noi...