Adempiere tecnologicamente al
provvedimento del Garante per
gli Amministratori di Sistema
Massimo Cotta
Marketing & Presales Director
Redco Telematica S.p.A
[email protected]
20 Maggio 2009 – Assago - Milanofiori
Agenda
• Situazione ad oggi in merito alle misure richieste dal
Garante
• Un possibile approccio produttivo alla tematica
• La soluzione tecnologica
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Le misure richieste dal Garante
Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi
dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati
personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in
ambito pubblico e privato a fini amministrativo-contabili, ovvero:
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Le misure richieste dal Garante
4.3 Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con
l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento
programmatico sulla sicurezza,……
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il
titolare deve conservare direttamente e specificamente, per ogni eventuale
evenienza, gli estremi identificativi delle persone fisiche preposte quali
amministratori di sistema.
4.4 Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza
almeno annuale, di un'attività di verifica da parte dei titolari del trattamento,
in modo da controllare la sua rispondenza alle misure organizzative, tecniche e
di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme
vigenti.
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Le misure richieste dal Garante
4.5 Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilità e possibilità
di verifica della loro integrità adeguate al raggiungimento dello scopo di
verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un congruo
periodo, non inferiore a sei mesi.
Fonte: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Bene, e adesso?
• Il quadro normativo da tenere presente è ben più ampio (es. Art. 4 Statuto Lavoratori)
• La Normativa è assolutamente soggetta ad interpretazione
• Ogni Azienda dovrà scegliere l’approccio più adeguato alla
Normativa e definire la propria risposta
• E’ fortemente consigliato valutare l’opportunità di una
consulenza in ambito privacy / legale
• La soluzione tecnologica sarà solo una parte del sistema
globale che porterà al raggiungimento della compliance
aziendale alla normativa
• Non per ultimo, tutti sperano in una provvidenziale proroga….ma ciò ritarderà solo la
reale risoluzione del problema che deve invece essere risolto quanto prima
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Chi ha letto la normativa si è certamente chiesto
1: Quali figure sono identificabili nel ruolo appartenente agli
“Amministratori di Sistema”
2: Quali sono gli eventi da collezionare
3: Se occorre solo tracciare il login ed
il logout dell’amministratore o anche
l’attività svolta
4: Quanto spazio sullo storage servirà
per collezionare tutti log
5: Come è possibile farsì che gli
amministratori non cancellino le loro
tracce informatiche
6: Come poter garantire e provare che il dato memorizzato non sia stato alterato
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Ecco le uniche risposte certe
• Per «amministratore di sistema» si individuano generalmente, in ambito informatico, figure
professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue
componenti.
Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal
punto di vista dei rischi relativi alla protezione dei dati, quali:
• Amministratore di base dati
• Amministratori di reti e di apparati di sicurezza amministratori di
sistemi software complessi
• Amministratori di sistemi di backup/restore e manutenzione hardware
Avendo molte associazioni di categoria (Asstel, ABI, Confindustria) esposto i
propri dubbi in merito ad alcuni aspetti del provvedimento, il 21 Aprile, il
Garante ha aperto una consultazione pubblica
(http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986) per chiarire
definitivamente i punti controversi. Tutti coloro che vogliano inoltrare
suggerimenti, osservazioni o commenti avranno tempo fino al 31 maggio p.v.
Non resta, quindi, che attendere il pronunciamento dell’Autorità Garante Privacy e sperare che possa
finalmente fornire i chiarimenti richiesti.
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Un possibile approccio “trifase”
Considerando che, prima o poi, il provvedimento entrerà in
vigore, valutiamo allora un possibile approccio organico alla
problematica:
Fase1
Assessment
Fase2
Progetto
Fase3
Implementazione
Tuning
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Fase 1
• Che Cosa – Chi - Come
• Definizione delle procedure per identificare e gestire gli accessi
fisico / logici ai sistemi ed alla rete
Assessment
• Individuazione degli Amministratori di Sistema, di rete e delle
banche dati, al fine della regolamentazione delle procedure elencate
nella normativa del Garante
• Definizione delle procedure per definire le modalità di raccolta,
analisi e conservazione dei log di sistema
• Individuazione degli apparati e dei sistemi che dovranno essere
soggetti alla regolamentazione di raccolta ed analisi dei log
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Fase 2
Progetto
A conclusione dell’assessment procedurale e tecnologico
potrà essere proposta l’adozione di sistemi idonei alla
registrazione degli accessi logici ai sistemi di elaborazione
e agli archivi elettronici da parte degli amministratori di
sistema. In questa fase si identificherà l’architettura
tecnologicamente più adatta a soddisfare i prerequisiti
tecnici e normativi identificati.
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Fase 3
Implementazione
Tuning
Questa fase riguarderà l’implementazione ed il tuning
del sistema tecnologico proposto. L’obiettivo finale
sarà la definizione di policy minimali e funzionali, che
possano validare il percorso normativo / procedurale
definito nella “Fase 1”.
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Garante
Il processo piùDisposizioni
corretto
Esigenze Aziendali
Obiettivi progetto
Ufficio Legale
(risultati analisi)
Assessment per
identificazione sorgente
dati
Funzione
Compliance (DPS)
(risultati analisi)
Policy Aziendale
Amministratori di
Sistema
Procedure
OK?
NO
SI
Soluzione tecnologica
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Requisiti della soluzione tecnologica
La soluzione tecnologica dovrà, come minimo, consentire:
• La piena soddisfazione dei requisiti delle normative
• Un’analisi efficace e veloce, a fronte di richieste ed incidenti
• La gestione pro-attiva e reattiva di violazioni, mediante reporting ed alerting dedicato
• L’enforcement delle policy di accesso
• La correlazione degli eventi
• L’ integrabilità verso sistemi proprietari/legacy
• La certificazione dell’inalterabilità dei dati memorizzati
• Una gestione semplificata e multi-livello delle attività operative
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Una comune architettura aziendale
Web server
activity
Web
cache &
proxy logs
Content
management
logs
VA Scan logs
IDS/IDP
logs
Switch logs
Router logs
Windows logs
Client & file
server logs
Firewall
logs
Wireless
access
logs
VPN
logs
Linux, Unix,
Windows OS
logs
Windows
domain
logins
DHCP
logs
San File
Access
VLAN
Logs
Access &
Control logs
Mainframe
logs
Oracle
Financial Logs
Database
Logs
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
La razionalizzazione degli asset
IDS/IDP
logs
VA Scan logs
Firewall
logs
Switch logs
Client & file
server logs
VPN
logs
Windows
domain
logins
SAN file
Access
Logs
Mainframe
logs
Oracle
Financial Logs
Database
Logs
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Il vendor di riferimento: RSA enVision
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
L’architettura della soluzione - Collection
•Raccolta di eventi “RAW”
•Collezionamento completo (no prefiltering)
•Sorgenti di tipologia eterogenea
•Soluzione concepita per il Real-Time
•Flessibilità per analisi future di diverse tipologie
•Supporto ad elevati carichi in ricezione
•Disaccoppiamento tra Raccolta ed Analisi/Reportistica
•Possibilità di sviluppo a supporto di sorgenti dati
“sconosciute”
•Possibilità di approccio “incrementale”
•Raccolta RealTime ed Agentless
•Singolo punto di raccolta
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
L’architettura della soluzione - Storage
•Archivio WORM (Write Once Read Many) applicativo
•Inalterabilità: NON esistono funzioni di modifica dei dati
•Integrità: Hashing
•Marcatura temporale interna
•Conservazione su IPDB, NON su RDBMS (Relational
Database Management System)
•Differenziazione degli storage per rispettare le policy di
ridondanza
•Compressione dei dati archiviati
•Possibilità di aumentare la protezione dei dati mediante
funzionalità aggiuntive dei sistemi di storage supportati
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
L’architettura della soluzione – Analisi / Data Management
•Self-Auditing
•Separazione Ruoli
(funzionalità e visibilità dati)
•Reporting (schedulabile)
•Correlation & Alerting
•Disponibilità di oggetti
predefiniti e più di 1200 report
e correlazioni
•Singolo punto di accesso ai
dati raccolti
•Client per analisi forense
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Interfaccia grafica semplificata
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Interfaccia grafica semplificata
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
I vantaggi – Semplicità di integrazione
I logfile possono essere raccolti tramite:
• Syslog, Syslog NG
• SNMP
• Formatted log files
• Comma/tab/space delimited
• ODBC connection to remote databases
• Push/pull XML files via HTTP
• Windows event logging API
• CheckPoint OPSEC interface
• Cisco IDS POP/RDEP/SDEE
• Oltre 150 device già noti (www.rsasecured.com)
• Universal Device Support (linguaggio XML-like)
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
B-2
I vantaggi – Ottimizzazione dello storage
- 80%
- 65%
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
I vantaggi – Scalabilità
Baseline
Correlated
Alerts
Realtime
Analysis
Report
Forensics
Interactive
Query
Integrated Incident
Mgmt.
Event
Explorer
Analyze
Manage
Collect
UDS
Windows
Server
Netscreen
Firewall
Cisco
IPS
Juniper
IDP
Microsoft
ISS
RSA enVision Supported Devices
Trend Micro
Antivirus
Device
Device
Legacy
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Le “marce in più” della soluzione tecnologica
• Raccolta, gestione ed analisi di qualsiasi tipologia di logfile
- Da qualsiasi device IP
- Eventi di ogni tipo
- Nel loro formato nativo (nessuna alterazione o
normalizzazione)
• Supporto di tutti i device
- Centinaia già noti e disponibili nel DB dell’apparato
- Espandibilità flessibile (Universal Device Support,
xml-like)
• Punto di osservazione centrale e globale
-Accesso unico a tutte le informazioni su tutta
l’infrastruttura
- Rispetto dei profili e dei ruoli (con accesso protetto)
• Installazione non invasiva
- Impatto nullo/minimo sull’infrastuttura monitorata (no agent)
- Facile integrazione
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Le “marce in più” della soluzione tecnologica
• Funzionalità avanzate
- Alert e Reporting fortemente personalizzabili
• Abilita ILM (Information Lifecycle Management)
- Uso ottimale dello Storage (compressione di
dati raw)
- Consente l’applicazione di policy di
Conservazione dei Dati
• Implementa Scalabilità ed Alta Disponibilità
- Architettura di Raccolta non-stop
- Hot StandBy e Fault Tolerance
- Scalabile a caldo (anche per lo storage)
• Performance elevate con TCO contenuto
- Referenze attive di 100.000 Eventi Per Secondo (EPS) e 10.000 device monitorati in tempo reale
- Impiego di appliance ad alte prestazioni anche nelle versioni entry level
- Scalabilità locale e geografica
- Nessuna competenza di DBA necessaria
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Riassumendo
• L’adozione di un DPS strutturato e realmente conforme, semplificherebbe
moltissimo l’adozione dei nuovi processi richiesti dal Garante
• La nuova normativa non deve essere considerata un problema, ma un
punto di partenza per il miglioramento delle procedure e dell’infrastruttura
tecnologica aziendale
• La scelta della soluzione tecnologica non deve essere dettata solo
dagli obblighi dalla normativa in oggetto, ma deve essere valutata
approfonditamente e considerata come una reale innovazione
tecnologica per l’Azienda
“ Dietro ogni problema, c’è una opportunità”
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Redco Telematica S.p.a
Redco Telematica S.p.A , grazie ai suoi 24 anni di esperienza maturata
sul mercato e alle referenze sino ad oggi maturate, è un partner
qualificato in grado di proporre soluzioni professionali alle
problematiche esposte.
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Grazie dell’attenzione!
Massimo Cotta
- Marketing Director -
Redco Telematica Spa
Via Alba 18/A - 21052 Busto Arsizio VA
: www.redco.it - @: [email protected]
Tel: +39-0331-397600
ONC SPRING 2009 – LA PRIMAVERA DELLE COMUNCAZIONI
Scarica

Redco