GDPR: cosa cambia per gli amministratori di sistema?

Che ne sarà dei provvedimenti dei singoli garanti nazionali quando il GDPR entrerà nel pieno della sua efficacia il 25 maggio del 2018? Anche qui il regolamento europeo è molto chiaro: i provvedimenti e le linee guida emanate dalle authority nazionali che NON sono in contrasto col regolamento stesso continueranno ad essere in vigore. È questo il caso del noto provvedimento che riguarda gli amministratori di sistema datato 27 novembre 2008 denominato "Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" e quindi vale la pena riassumere quali sono queste importanti disposizioni. Ma prima vediamo questo simpatico video di Balabit, leader mondiale di soluzioni per il monitoraggio degli utenti privilegiati, che ci fa comprendere molto bene perché gli utenti privilegiati e quindi gli amministratori di sistema possono essere una potenziale grossa minaccia per qualsiasi sistema informatico.



Purtroppo tutti i giorni devo constatare nella mia attività professionale come molto spesso la sicurezza informatica di realtà anche molto importanti sia demandata esclusivamente al corretto comportamento degli amministratori di sistema senza alcun controllo sul loro operato da parte di soggetti terzi indipendenti. Gli utenti privilegiati, sono pur sempre utenti e anche loro potrebbero commettere degli errori certamente anche involontari ma i cui effetti, visto il loro alto profilo autorizzativo, potrebbero essere davvero problematici rispetto ad un utente standard. Su rischio cyber e fattore umano si legga anche il mio post sempre su questo blog.

Chi sono gli amministratori di sistema? Nel Codice della Privacy si intende per amministratore di sistema chi svolge sul sistema informatico un'attività contraddistinta da un elevato profilo autorizzativo che gli permette di accedere a praticamente a tutte le risorse del sistema, della rete, dei servizi web, delle attività legate al backup e al ripristino dei dati, delle attività legate alla manutenzione ed alla sicurezza dei sistemi informatici. Se vogliamo dividere i rischi informatici in esterni ed interni in questo caso ovviamente si tratta di una minaccia interna. In particolare questo provvedimento che come abbiamo detto resterà in vigore anche dopo l'entrata in vigore del nuovo regolamento europeo sui dati personali stabilisce i seguenti punti:

  1. Nella designazione dell'amministratore di sistema il titolare del trattamento deve valutare l'esperienza, le capacità, l'affidabilità del soggetto incaricato.
  2. La nomina deve essere individuale ed avvenire per iscritto riportando gli estremi identificativi dell'amministratore di sistema e specificando analiticamente nel dettaglio tutte le mansioni affidategli in un documento che andrà protocollato e conservato per eventuali controlli da parte dell'autorità garante. 
  3. Il titolare del trattamento dovrà verificare con cadenza almeno annuale l'operato degli amministratori di sistema in riferimento al trattamento dei dati personali, alle misure organizzative e tecnologiche adottate per minimizzare il rischio.
  4. Il titolare del trattamento dovrà adottare o verificare la presenza nei propri sistemi informatici di strumenti atti a registrare gli accessi logici (autenticazione informatica) al sistema in un apposito file di log che deve tenere traccia dei riferimenti temporali e della descrizione degli eventi. Tali registrazioni, di cui deve essere verificata l'integrità, devono essere conservate per un periodo non inferiore a sei mesi.  
Ecco quindi che arriviamo al fatidico tracciamento dei log degli eventi, su questo punto talvolta si fa molta confusione: attenzione, il provvedimento non chiede in alcun modo che vengano registrati dati sulle attività svolte dagli amministratori di sistema. Ma prima di tutto vediamo in cosa consistono questi log:
Login :   Feb  9 15:12 user jsmith succesful login from port 10.22.0.14
Web log:   User ID 41551490 2016-01-01 00:25:43 2.111.94.18 Mozilla/5.0 Version/5.0.3 http://www.cnn.com/main/" https://www.google.com/#cnn
Generalmente tutti i sistemi operativi server linux e microsoft hanno un sistema per registrare i log degli eventi, il vero problema è che questi file di log diventano in breve tempo molto voluminosi e di conseguenza di difficile gestione. Ecco perché per avere un tempo di risposta efficace ad un incidente informatico è essenziale avere un programma che ne faciliti la consultazione.




Commenti