log management studio consulenza gdpr rabaioli

Log Management


Log Management: Il nostro studio di Consulenza Privacy fornirà supporto alle aziende clienti in merito agli accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici.

I log file rappresentano uno strumento capace di “fotografare” le operazioni compiute sui sistemi informatici e quindi sui dati personali.

Se correttamente “sfruttati”, i log file, consentono di garantire la sicurezza dell’infrastruttura informatica e la conseguente lecita gestione dei dati personali.

Pertanto una oculata attività di Log Management risulta essere fondamentale per evitare episodi di data breach.

Log management: perchè è necessario?

Cos’è il Log Management

Con Log Management si intende l’attività di registrazione e conservazione di “log file” all’interno di un’azienda.

Un log file è un file contenente la “storia” delle operazioni effettuate da un utente utilizzando un computer o un altro dispositivo su un file.

In altre parole, in un log file vengono registrate tutte le operazioni, in ordine cronologico, che vengono svolte nel normale utilizzo di un dispositivo elettronico all’interno di una rete aziendale.

Dunque, la gestione dei log permette di monitorare una serie di attività tra cui gli accessi al sistema effettuati in un dato lasso temporale, le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware.

Pertanto, relativamente alle attribuzioni delle funzioni di amministratore di sistema vista la particolare delicatezza di questo ruolo, devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Le registrazioni degli “access log” devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Risulta quindi necessario per le aziende dotarsi di un software (come ad esempio “SolarWinds Log Analyzer”) in grado di effettuare e semplificare la verifica dei log, e di implementare ed integrare l’analisi del software.

Log Management e GDPR

Il GDPR ha reso di fatto obbligatorio il salvataggio dei log file per poter ricostruire un’eventuale violazione di accessi ad una rete o ad un file non autorizzato.

Il regolamento del GDPR non parla esplicitamente di log file, ma obbliga i titolari del trattamento dei dati ad avere dei metodi per “comprovare” che i dati vengano trattati nel rispetto delle normative.

Il GDPR afferma che non è sufficiente rispettare la normativa sui dati personali, ma occorre lasciare una traccia dell’operato del titolare del trattamento dei dati. Pertanto vi è una sorta di “doppio binario” dove da un lato i titolari del trattamento devono compiere tutte le attività necessarie per salvaguardare gli interessati; dall’altra devono acquisire le prove degli adempimenti e mostrarle in caso di ispezioni da parte delle autorità competenti.

Queste prove sono dunque i file di log che registrano una traccia indelebile delle operazioni svolte dal Titolare o dal Responsabili o dai loro incaricati sui dati.

Log Management: le fasi

1. Registrare i file di log

Il primo passo da compiere è la creazione del file di log per mezzo di un sistema operativo oppure, soluzione preferibile, attraverso un software specifico, che conservi all’interno del file le informazioni che lo rendono conforme al GDPR.

Il file di log è conforme al GDPR se contiene al suo interno determinate informazioni. La registrazione per essere conforme al GDPR deve pertanto possedere le seguenti caratteristiche:

  1. completezza; ossia riguardare sia il tipo di operazione riguardante i dati (compreso l’accesso e la consultazione);
  2. i soggetti che compiono detta operazione;
  3. inalterabilità, in caso contrario sarebbe sufficiente modificare il file cancellando l’accesso o l’operazione in violazione; verificabilità devono cioè consentire il controllo del corretto utilizzo dei dati.

Ovviamente è necessario anche che i file di log tengano traccia dell’orario in cui la determinata operazione è stata eseguita.

Per registrare i file di log è quindi necessario un sistema che copra l’interezza della rete aziendale, e che sia in grado di registrare ogni singolo accesso a dati protetti da privacy, registrando l’utente o il computer che ha effettuato l’accesso, le operazioni svolte, la data e l’orario di accesso.

2. Mantenere i file di log

Una volta creato, il file di log deve essere mantenuto correttamente ed inalterato. Questo vuol dire che, il file di log non può essere modificato “a mano” in quanto si presterebbe facilmente ad operazioni di manomissione o falsificazione delle informazioni in esso contenuto.

3. Backup del file di log

L’azienda deve garantire un sistema di backup affinché il file di log sia recuperabile anche in caso di perdita o malfunzionamento dei sistemi principali.

4. Marcatura temporale del file di log

Una marca temporale è un servizio che permette di associare data e ora certe e legalmente valide a un documento garantendone la validità nel tempo. La marca temporale deve essere quindi “certificata”.

Software di log management e suo funzionamento

Un software di Log Management per funzionare correttamente deve essere installato all’interno della rete aziendale e deve essere in grado di “controllare” tutti i dispositivi connessi: computer, router, gateway, server, ecc.

I log file come sistema di controllo delle violazioni

Tutto quanto esposto sino ad ora sui log file ci è servito ad evidenziarne l’importanza nell’ambito dell’attività preventiva richiesta dal GDPR. Infatti, il GDPR impone non solo che si registrino le eventuali violazioni ai dati, ma anche che queste vengano segnalate tempestivamente.

Il sistema di Log Management quindi deve essere dotato di un sistema di “allarme” che segnali immediatamente la violazione, ad esempio tramite una notifica via email.

Le soluzioni di Log Management forniscono gli “snapshot” sullo stato degli host e dei servizi dando evidenza di eventuali comportamenti anomali che potrebbero rivelarsi indizi di pericolo.

Avere a disposizione una copia remota dei file di log permette di analizzare eventuali problemi relativi ad un dato sistema, anche se quest’ultimo non dovesse risultare accessibile e di evitare la perdita dei dati sia nel caso di un guasto hardware che software.

In conclusione, i log file consentono di verificare l’attività dei titolari del trattamento, e sono l’unico strumento che consente un’efficace verifica a posteriori dell’attività dei titolari del trattamento.

Senza la disponibilità dei Log file sarebbe impossibile sapere se un soggetto ha posto in essere una violazione in materia di trattamento dei dati e di conseguenza i diritti degli interessati sarebbero irrimediabilmente compromessi, considerato anche il fatto che non sarebbe possibile prevedere un eventuale risarcimento.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Formazione e Aggiornamento del Personale
  • Attività di Consulenza Privacy e assistenza annuale
  • Consulenza per Casi Particolari (ricorsi, segnalazioni...)
  • Modello Organizzativo della Privacy
  • Nomine di Responsabile del Trattamento dei Dati
  • Redazione delle Informative sul Trattamento dei Dati
  • Redazione dei Registri delle Attività dei Trattamenti
  • Regolamento per l'utilizzo dei Dispositivi Informatici
  • Ricopriamo il ruolo di Responsabile della Protezione Dati
  • Valutazione d'Impatto sulla Protezione dei Dati
  • Verifica della Conformità del Sito Web e Cookies Policy
  • Consulenza su Videosorveglianza e Geolocalizzazione
 

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli