Passa ai contenuti principali

GDPR: cosa cambia per gli amministratori di sistema?

Che ne sarà dei provvedimenti dei singoli garanti nazionali quando il GDPR entrerà nel pieno della sua efficacia il 25 maggio del 2018? Anche qui il regolamento europeo è molto chiaro: i provvedimenti e le linee guida emanate dalle authority nazionali che NON sono in contrasto col regolamento stesso continueranno ad essere in vigore. È questo il caso del noto provvedimento che riguarda gli amministratori di sistema datato 27 novembre 2008 denominato "Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" e quindi vale la pena riassumere quali sono queste importanti disposizioni. Ma prima vediamo questo simpatico video di Balabit, leader mondiale di soluzioni per il monitoraggio degli utenti privilegiati, che ci fa comprendere molto bene perché gli utenti privilegiati e quindi gli amministratori di sistema possono essere una potenziale grossa minaccia per qualsiasi sistema informatico.



Purtroppo tutti i giorni devo constatare nella mia attività professionale come molto spesso la sicurezza informatica di realtà anche molto importanti sia demandata esclusivamente al corretto comportamento degli amministratori di sistema senza alcun controllo sul loro operato da parte di soggetti terzi indipendenti. Gli utenti privilegiati, sono pur sempre utenti e anche loro potrebbero commettere degli errori certamente anche involontari ma i cui effetti, visto il loro alto profilo autorizzativo, potrebbero essere davvero problematici rispetto ad un utente standard. Su rischio cyber e fattore umano si legga anche il mio post sempre su questo blog.

Chi sono gli amministratori di sistema? Nel Codice della Privacy si intende per amministratore di sistema chi svolge sul sistema informatico un'attività contraddistinta da un elevato profilo autorizzativo che gli permette di accedere a praticamente a tutte le risorse del sistema, della rete, dei servizi web, delle attività legate al backup e al ripristino dei dati, delle attività legate alla manutenzione ed alla sicurezza dei sistemi informatici. Se vogliamo dividere i rischi informatici in esterni ed interni in questo caso ovviamente si tratta di una minaccia interna. In particolare questo provvedimento che come abbiamo detto resterà in vigore anche dopo l'entrata in vigore del nuovo regolamento europeo sui dati personali stabilisce i seguenti punti:

  1. Nella designazione dell'amministratore di sistema il titolare del trattamento deve valutare l'esperienza, le capacità, l'affidabilità del soggetto incaricato.
  2. La nomina deve essere individuale ed avvenire per iscritto riportando gli estremi identificativi dell'amministratore di sistema e specificando analiticamente nel dettaglio tutte le mansioni affidategli in un documento che andrà protocollato e conservato per eventuali controlli da parte dell'autorità garante. 
  3. Il titolare del trattamento dovrà verificare con cadenza almeno annuale l'operato degli amministratori di sistema in riferimento al trattamento dei dati personali, alle misure organizzative e tecnologiche adottate per minimizzare il rischio.
  4. Il titolare del trattamento dovrà adottare o verificare la presenza nei propri sistemi informatici di strumenti atti a registrare gli accessi logici (autenticazione informatica) al sistema in un apposito file di log che deve tenere traccia dei riferimenti temporali e della descrizione degli eventi. Tali registrazioni, di cui deve essere verificata l'integrità, devono essere conservate per un periodo non inferiore a sei mesi.  
Ecco quindi che arriviamo al fatidico tracciamento dei log degli eventi, su questo punto talvolta si fa molta confusione: attenzione, il provvedimento non chiede in alcun modo che vengano registrati dati sulle attività svolte dagli amministratori di sistema. Ma prima di tutto vediamo in cosa consistono questi log:
Login :   Feb  9 15:12 user jsmith succesful login from port 10.22.0.14
Web log:   User ID 41551490 2016-01-01 00:25:43 2.111.94.18 Mozilla/5.0 Version/5.0.3 http://www.cnn.com/main/" https://www.google.com/#cnn
Generalmente tutti i sistemi operativi server linux e microsoft hanno un sistema per registrare i log degli eventi, il vero problema è che questi file di log diventano in breve tempo molto voluminosi e di conseguenza di difficile gestione. Ecco perché per avere un tempo di risposta efficace ad un incidente informatico è essenziale avere un programma che ne faciliti la consultazione.




Commenti

Post popolari in questo blog

Whistleblower: storia e quadro giuridico di riferimento

Disegno tutorial di Edward Snowden È uscita in queste settimane l'autobiografia di Chelsea Manning dal titolo README.txt , il nome che l'analista junior dell'intelligence dell'esercito americano aveva dato al file di testo che accompagnava il materiale di quello che diventerà il più grande leak nella storia degli Stati Uniti. Per chi non conoscesse i suo caso giudiziario, Chelsea Manning è stata la più grande whistleblower della storia, durante il suo servizio in Iraq rilasciò attraverso la piattaforma  WikiLeaks circa 750.000 documenti classificati contribuendo ad influenzare in maniera determinante la percezione dell'opinione pubblica sull'andamento della guerra in Iraq. Per questo atto Chelsea fu condannata a 35 anni di reclusione essendo stata ritenuta colpevole di reati connessi alla diffusione di notizie coperte da segreto e al possesso di software non autorizzati, pena poi commutata dal presidente Obama alla fine del suo mandato. In quattrocento pagine

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian