Amministratori di Sistema: stato dell`arte e problematiche aperte, a
Transcript
Amministratori di Sistema: stato dell`arte e problematiche aperte, a
Amministratori di Sistema: stato dell’arte e problematiche aperte, a valle dell'entrata in vigore del provvedimento del Garante Privacy Il Provvedimento del Garante della Privacy del 27/11/2008 e successive modificazioni Faggioli, Bechelli, Fumagalli Febbraio 2010 Il provvedimento sugli amministratori di sistema e il commento alle FAQ Gabriele Faggioli Il provvedimento del Garante sugli amministratori di sistema L’attività regolamentare del Garante ha da ultimo interessato un aspetto molto importante rispetto alla sicurezza informatica aziendale attraverso la previsione di alcune regole concernenti l’attività di amministratore di sistema. Con il provvedimento del 27 novembre 2008 (pubblicato sulla Gazzetta Ufficiale lo scorso 24 dicembre) il Garante ha infatti prescritto specifiche misure ed accorgimenti ai titolari dei trattamenti (es. aziende) “effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. In realtà il provvedimento non riguarda esclusivamente l’attività degli amministratori di sistema intesi tradizionalmente quali soggetti che svolgono funzioni di gestione e manutenzione dei sistemi informatici ma anche ad altre categorie di figure professionali quali gli amministratori di banche dati, di reti e apparati di sicurezza e di sistemi di software complessi, le cui attività possono comunque in determinati casi comportare dei rischi per la protezione dei dati personali. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 3 Il provvedimento del Garante sugli amministratori di sistema Il Garante nel provvedimento ha in primo luogo specificato le ragioni che hanno reso necessaria la previsione di accorgimenti specifici per tali categorie professionali Viene in particolare rilevato che le attività di carattere tecnico svolte dagli amministratori di sistema, nell’ampia accezione sopra richiamata (es. backup dei dati, gestione dei supporti di memorizzazione, manutenzione dell’hardware), possono influire sulle informazioni conservate dall’azienda e le stesse attività, in queste circostanze, devono essere qualificate quali trattamenti di dati personali ai sensi del d.lgs 196/2003, ciò ”anche quando l’amministratore non consulti in chiaro le informazioni medesime”. La delicatezza del ruolo di questa figura professionale è ulteriormente dimostrata, si legge nel provvedimento, dal fatto che il nostro legislatore in relazione ad alcune fattispecie di reato informatico (es. accesso abusivo a sistema informatico, frode informatica, danneggiamento di informazioni, dati e programmi informatici) ha previsto specifiche aggravanti in caso di loro commissione con abuso della qualità di amministratore di sistema. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 4 Il provvedimento del Garante sugli amministratori di sistema Ai sensi dell'art. 154, comma 1, lett. c) del Codice il Garante ha quindi prescritto l'adozione delle misure enunciate ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008): Quali sono i trattamenti fuori ambito: Nel provvedimento del 19 giugno 2008 il Garante per la protezione dei dati personali ha emanato un provvedimento contenente “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili“ dove si legge: “Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); omississ” © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 5 Il provvedimento del Garante sugli amministratori di sistema a. Valutazione delle caratteristiche soggettive L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il Titolare e il Responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 6 Il provvedimento del Garante sugli amministratori di sistema b. Designazioni individuali La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 7 Il provvedimento del Garante sugli amministratori di sistema c. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza oppure, nei casi in cui il Titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 8 Il provvedimento del Garante sugli amministratori di sistema Quali sono i nuovi obblighi d. Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 9 Il provvedimento del Garante sugli amministratori di sistema e. Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 10 Il provvedimento del Garante sugli amministratori di sistema f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 11 Il provvedimento del Garante sugli amministratori di sistema A quali trattamenti si applica il provvedimento? Il Provvedimento non si applica ai trattamenti di dati personali effettuati per finalità amministrativo contabile • 2. ai sensi dell'art. 154, comma 1, lett. c) del Codice prescrive l'adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008) © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 12 Il provvedimento del Garante sugli amministratori di sistema A quali trattamenti si applica il provvimendimento? FAQ 6: Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008). Provvedimento del 19 giugno 2008 “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili” che definisce come tali in via esemplificativa la gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 13 Il provvedimento del Garante sugli amministratori di sistema A quali trattamenti si applica il provvimendimento? FAQ 24: Si possono ritenere esclusi i trattamenti relativi all'ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell'autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali ecc...) Tali trattamenti possono considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, esclusi dall'ambito applicativo del provvedimento. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 14 Il provvedimento del Garante sugli amministratori di sistema Chi sono gli amministratori di sistema? In realtà il provvedimento non riguarda esclusivamente l’attività degli amministratori di sistema intesi tradizionalmente quali soggetti che svolgono funzioni di gestione e manutenzione dei sistemi informatici ma anche ad altre categorie di figure professionali quali gli amministratori di banche dati, di reti e apparati di sicurezza e di sistemi di software complessi, le cui attività possono comunque in determinati casi comportare dei rischi per la protezione dei dati personali. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 15 Il provvedimento del Garante sugli amministratori di sistema Chi sono gli amministratori di sistema? FAQ 1. In assenza di definizioni normative e tecniche condivise, nell'ambito del provvedimento del Garante l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali. Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi. Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 16 Il provvedimento del Garante sugli amministratori di sistema Quali caratteristiche devono avere gli amministratori di sistema? Lettera a) Provvedimento. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. FAQ 20. Il riferimento alle caratteristiche da prendere in considerazione, al comma 2, lettera a), del dispositivo, è all'esperienza, alla capacità e all'affidabilità del soggetto designato. Si tratta quindi di qualità tecniche, professionali e di condotta, non di requisiti morali. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 17 Il provvedimento del Garante sugli amministratori di sistema Quali sono gli adempimenti da effettuare nella individuazione degli amministratori di sistema? Lettera b) Provvedimento. La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. FAQ 7. Il provvedimento prevede che all'atto della designazione di un amministratore di sistema, venga fatta "elencazione analitica" degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l'attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell'art. 29 del Codice riguardante i responsabili del trattamento. FAQ 8. E’ sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 18 Il provvedimento del Garante sugli amministratori di sistema Come devono essere gestiti gli adempimenti inerenti l’elencazione e la conoscibilità degli amministratori di sistema? Lettera c) Provvedimento. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 19 Il provvedimento del Garante sugli amministratori di sistema Come devono essere gestiti gli adempimenti inerenti l’elencazione e la conoscibilità degli amministratori di sistema? Lettera c) Provvedimento. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 20 Il provvedimento del Garante sugli amministratori di sistema Come devono essere gestiti gli adempimenti inerenti l’elencazione e la conoscibilità degli amministratori di sistema? FAQ 18. Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori. FAQ 21. Gli "estremi identificativi" degli amministratori di sistema sono il minimo insieme di dati identificativi utili a individuare il soggetto nell'ambito dell'organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 21 Il provvedimento del Garante sugli amministratori di sistema Come devono essere gestite le relazioni con gli outsourcer e quali sono gli obblighi in carico agli stessi? Lettera d) Provvedimento. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. FAQ 23. (Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota...) da parte di una società italiana non titolare dei dati gestiti). Il provvedimento si rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano al più una responsabilità di trattamento (secondo il Codice italiano), e sono quindi esclusi dall'ambito applicativo del provvedimento. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 22 Il provvedimento del Garante sugli amministratori di sistema Quali verifiche periodiche occorre fare almeno annualmente? Lettera e) Provvedimento. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. FAQ 5. E' da sottoporre a verifica l'attività svolta dall'amministratore di sistema nell'esercizio delle sue funzioni. Va verificato che le attività svolte dall'amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza. FAQ 14. Gli scopi di verifica sono 1uelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e). L'adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell'organizzazione. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 23 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? Lettera f) Provvedimento. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 24 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 4. Anche i client, intesi come "postazioni di lavoro informatizzate", sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS. Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità. Sarà comunque con valutazione del titolare che dovrà essere considerata l'idoneità degli strumenti disponibili oppure l'adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell'integrità delle registrazioni. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 25 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 9. Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all'atto dell'accesso o tentativo di accesso da parte di un amministratore di sistema o all'atto della sua disconnessione nell'ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software. Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo "username" utilizzato, alla data e all'ora dell'evento (timestamp), una descrizione dell'evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…). © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 26 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 10. Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un'estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 27 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 11. La caratteristica di completezza è riferita all'insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L'analisi dei rischi aiuta a valutare l'adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 28 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 12. Caratteristiche di mantenimento dell'integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e "certificati". È ben noto che il problema dell'attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli "accessi" (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 29 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 13. Non sono previsti livelli di robustezza specifici per la garanzia della integrità. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14). FAQ 15. Il provvedimento non chiede in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. FAQ 22. L'accesso a livello applicativo non rientra nel perimetro degli adeguamenti, in quanto l'accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati. L'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 30 Il provvedimento del Garante sugli amministratori di sistema Quali sono esattamente gli obblighi e le modalità di conservazione dei log di accesso? FAQ 19. Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 31 Il provvedimento del Garante sugli amministratori di sistema Quali sono le finalità perseguibili nel controllo dei log? FAQ 16. La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L'analisi dei log può essere compresa tra i criteri di valutazione dell'operato degli amministratori di sistema. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 32 Alcuni profili di criticità L’articolo 4 dello Statuto dei Lavoratori E’ vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro provvede la Direzione Regionale del Lavoro omississ © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 33 Alcuni profili di criticità L’articolo 4 dello Statuto dei Lavoratori La giurisprudenza (Cassazione civile , sez. lav., 06 marzo 1986, n. 1490) ha ulteriormente chiarito che il divieto posto dall'art. 4 st. lav. per il datore di lavoro di far uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori non è escluso: • né dalla circostanza che tali apparecchiature siano state solo installate ma non siano ancora funzionanti • né dall'eventuale preavviso dato ai lavoratori, i quali quindi siano avvertiti del controllo suddetto • né infine del fatto che tale controllo sia destinato ad essere discontinuo perché esercitato in locali dove i lavoratori possono trovarsi solo saltuariamente © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 34 Alcuni profili di criticità La giurisprudenza in materia di controlli difensivi Secondo l’orientamento giurisprudenziale prevalente (anche se più risalente nel tempo) i controlli difensivi rientrerebbero nell’applicazione dell’articolo 4 comma 2 St. Lav: • La Corte di Cassazione ha ritenuto illegittima l’installazione di alcuni impianti audiovisivi destinati al controllo dell'uso e della conservazione dei cartellini segna-orario sistemati in apposite custodie all'ingresso dello stabilimento senza che il datore di lavoro avesse ottenuto, come alternativamente richiesto, nè il consenso dei sindacati, nè l'autorizzazione dell'ufficio del lavoro (Cassazione civile, sez. lav., 06 marzo 1986, n. 1490) • La Corte di Appello di Milano (sentenza 688/2005) ha recentemente confermato questo orientamento rilevando che l’istallazione di strumenti che consentono il controllo elettronico centralizzato deve avvenire nel rispetto delle procedura di cui dell’articolo 4 comma 2 St. Lav. (a nulla rilevando che i dati siano utilizzati per finalità di carattere difensivo © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 35 Alcuni profili di criticità La giurisprudenza in materia di controlli difensivi Secondo un orientamento giurisprudenziale minoritario i controlli difensivi non rientrerebbero invece nell’applicazione dell’articolo 4 comma 2 St. Lav. Una sentenza della Corte di Cassazione (Cassazione civile , sez. lav., 03 aprile 2002, n. 4746 ha stabilito per esempio che: • Ai fini dell'operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell'attività dei lavoratori previsto dall'art. 4 l. n. 300 del 1970, è necessario che il controllo riguardi (direttamente o indirettamente) l'attività lavorativa, mentre devono ritenersi certamente fuori dell'ambito di applicazione della norma sopra citata i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell'accesso ad aule riservate o, come nella specie, gli apparecchi di rilevazione di telefonate ingiustificate Il Tribunale Milano, con sentenza del 31 marzo 2004 ha confermato che: • “Il divieto del controllo a distanza dell'attività dei lavoratori posto dall'art. 4 st. lav. non si estende ai cosiddetti controlli difensivi, i quali, peraltro, non costituiscono una categoria a sè esentata, a priori, dall'applicabilità delle previsioni dell'art. 4, ma semplicemente un modo per definire controlli finalizzati all'accertamento di condotte illecite del lavoratore che non rientrano nell'ambito di applicazione del divieto perché non comportano la raccolta anche di notizie relative all'attività lavorativa” © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 36 Alcuni profili di criticità La giurisprudenza in materia di controlli difensivi Recentemente il Tribunale di Perugia ha confermato la legittimità dei controlli relativi alle connessioni ad internet di un dipendente (analisi dei file di log) posti in essere senza attivazione della procedura di cui dell’articolo 4 comma 2 St. Lav. Il Tribunale, in particolare conformandosi all'orientamento minoritario a cui si è accennato prima (Cass. Civ. n.4746 del 3 aprile 2002) ha ritenuto che l’analisi dei file di log relativi alla navigazione possa rientrare non già in una forma diretta o indiretta di verifica dell''attività lavorativa, ma si sostanziasse in un cd. "controllo difensivo", volto ad accertare le condotte illecite dei lavoratori” © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 37 Sanzioni Il provvedimento del Garante è stato adottato ai sensi dell’art. dell'art. 154, comma 1, lett. c) del Codice. L’art. 162 comma 2 ter (inserito dall'articolo 44, comma 3, lettera c), del D.L. 30 dicembre 2008, n. 207) prevede che: “In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro”. In pratica questa nuova disposizione diviene applicabile in caso di violazione di tutti i provvedimenti generali del Garante adottati ai sensi dell’art. 154 comma 1 lett. c) del Codice. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 38 Grazie per l’attenzione! [email protected] © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 39 Amministratori di Sistema: stato dell'arte e problematiche aperte a valle dell'entrata in vigore del provvedimento del Garante Privacy Luca Bechelli [email protected], [email protected] www.bechelli.net, www.clusit.it - blog.clusit.it 40 Introduzione © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 41 “External” vs. “Internal” Security August Ferdinand Möbius (1790-1868) © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 42 “External” vs. “Internal” Security La sicurezza dei dati e dei sistemi è sempre percepito come un problema di confine tra l’azienda ed il mondo esterno La sicurezza di confine non risolve i problemi delle organizzazioni I problemi, anche quando provengono da fuori, hanno impatti e si risolvono all’interno © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 43 “External” vs. “Internal” Security Indipendentemente da metodologie, analisi e standard, è necessario ricondurre la gestione della sicurezza all’informazione © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 44 Information Security I dati sono sotto il controllo dell’azienda, che si esplica attraverso processi, procedure, ownership e strumenti tecnologici è reale!? L’azienda è in grado: di garantire il controllo completo sull’informazione ai soggetti che ne hanno la ownership? di individuare senza dubbi le responsabilità sulle attività svolte? di manlevare se stessa ed il personale in caso di problemi rispetto ad azioni condotte nell’esercizio delle proprie funzioni? © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 45 Due Diligence: obbligo o necessità? Con il Provvedimento del 27 Novembre 2008, il Garante per la Privacy richiama le aziende alla Due Diligence nella gestione della propria IT Cautele nello svolgimento delle mansioni di amministratore IT Esercizio dei doveri di controllo, secondo legge © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 46 Due Diligence: obbligo o necessità? L’esercizio del controllo garantisce Consapevolezza del livello di sicurezza della propria IT Capacità decisionale, basata su dati reali Reattività, nella gestione dei problemi, “anche” di sicurezza © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 47 Considerazioni Preliminari Gli amministratori di sistema (…), pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), (…) sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 48 Considerazioni Preliminari (…) particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della "Società dell'informazione”. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 49 Considerazioni Preliminari …si è invece riscontrata (…) una carente consapevolezza delle criticità insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 50 Il ruolo dell’Amministratore Nell’ambito del trattamento dei dati personali, il Garante per la Privacy individua nell’Amministratore una figura: Capace di azione propria (indipendenza) Avente mansioni di natura fiduciaria Essenziale per la sicurezza Chiamata a svolgere delicate funzioni Chiamata a vigilare sul corretto utilizzo dei sistemi informatici © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 51 Quindi, cosa non va? Considerazioni in merito all’intervento normativo Considerazioni in merito alla situazione attuale Valutazioni sul passato Ipotesi per il futuro… © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 52 L’opportunità VS. Opportunità Obbligo Governare il cambiamento La compliance come lo sviluppo di un processo teso a “restituire” il controllo delle informazioni all’azienda © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 53 Parte 1: Prescrizioni (i.e.: l’obbligo) © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 54 Prescrizioni del Provvedimento Valutazione delle Caratteristiche Soggettive Designazioni Individuale Elenco degli Amministratori di Sistema Servizi in Outsourcing • L’azienda deve incaricare personale di comprovata esperienza, capacità ed affidabilità • La designazione è individuale e reca l’elenco analitico degli ambiti di operatività consentiti • Tenuta di un elenco recante i nominativi degli AdS, con l’elenco delle funziono ad essi attribuite • Conservazione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing Registrazione degli Accessi • Gli accessi devono essere registrati e tenuti almeno 6 mesi con garanzia di Integrità, Completezza e Possibilità di Verifica Verifica delle attività • Verifica, almeno annuale, dell’operato degli AdS © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 55 Garanzia delle vigenti disposizioni in materia di trattamento Valutazione delle • L’azienda deve incaricare personale di comprovata esperienza, capacità ed affidabilità Caratteristiche Soggettive Conoscenza della normativa vigente Conoscenza delle best practices di riferimento in materia di gestione “sicura” dei sistemi informatici Consapevolezza relativamente ai rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 56 Investire sul capitale umano 1° segnale: l’adeguamento al Provvedimento non è una misura “contro” l’IT 1° risultato: l’adeguamento diventa un obiettivo comune, e pone al centro la tutela e la professionalità delle persone Obiettivi formativi: 1. Competenze in materia di gestione sicura dei sistemi • Standard di riferimento: COBIT, ISO 27002, … 2. Conoscenza delle normative di riferimento e delle responsabilità connesse con il “ruolo” di AdS © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 57 Ed i fornitori? Nei diversi settori dell’azienda, quanto l’amministrazione dei sistemi dipende da personale esterno? Quali sono i confini della responsabilità? Indipendentemente dall’impatto normativo, la valutazione delle caratteristiche soggettive deve diventare requisito (e obiettivo) di qualità dei servizi acquisiti L’azienda (il Titolare) ha in ogni caso specifici doveri e responsabilità in materia di Trattamento dei dati I processi di qualità (dal contratto al controllo) devono tenerne conto Il problema non può essere affrontato solo all’interno dell’azienda! © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 58 Formazione o certificazione? Gli standard e le metodologie di riferimento sono di stampo internazionale e pertanto non possono focalizzarsi sulle specificità della normativa italiana È possibile ricorrere a certificazioni nazionali inerenti la compliance, quali ad esempio la LoCSI © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 59 Certificazioni sulla Localizzazione delle Competenze di Sicurezza Informatica, realizzata e promossa da AIPSI – Associazione Italiana Professionisti della Sicurezza Informatica ( capitolo italiano ISSA) – www.aipsi.org Attestano le competenze relative alle norme, regolamenti e legislazioni Italiane ed Europee Specificatamente per l’ambito della tutela dei dati personali, è possibile scegliere il livello “LoCSI Privacy” Si integrano in un percorso di certificazione più ampio, a seconda dei diversi livelli, per completare il quadro di competenze del professionista/dipendente © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 60 Designazioni individuali Designazioni Individuali • La designazione è individuale e reca l’elenco analitico degli ambiti di operatività consentiti Separazione della gestione IT in ambiti di operatività Definizione/formalizzazione di (nuovi?) ruoli e funzioni Definizione di profili di autorizzazione Designazione individuale © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 61 Ambiti di Operatività Si assimila l’AdS ad un “Responsabile al Trattamento” (FAQ n°7) descrizione puntuale degli stessi (ambiti di operatività), evitando l'attribuzione di ambiti insufficientemente definiti, analogamente a quanto (…) riguardante i responsabili del trattamento “è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.” (FAQ n°8) © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 62 Elenco AdS Elenco degli • Tenuta di un elenco recante i nominativi degli AdS, con l’elenco delle funziono ad essi attribuite Amministratori di Sistema Determinazione dei sistemi che trattano dati dei lavoratori Designazioni Individuali Aggiornamento dell’elenco degli amministratori “Conoscibilità” degli amministratori che operano su sistemi che trattano dati dei lavoratori © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 63 Outsourcing Servizi in outsourcing • Conservazione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing Individuazione delle tipologie di “outsourcing” Acquisizione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing Determinazione dei servizi erogati in outsourcing Predisposizione di eventuali comunicazioni ai clienti © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 64 Registrazione Registrazione degli Accessi • Gli accessi devono essere registrati e tenuti almeno 6 mesi con garanzia di Inalterabilità, Completezza e di Verifica dell’Integrità Identificazione “perimetro” dei sistemi Analisi dei Rischi Attuazione misure di raccolta, conservazione e cancellazione Attuazione delle misure volte ad assicurare Completezza, Inalterabilità e Verifica dell’Integrità © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 65 Definizione del Perimetro Determinazione analitica dei sistemi afferenti il Provvedimento Sono previsti anche i client (FAQ 4) Quale impatto sulle applicazioni? Applicazione: piattaforma che, tramite un insieme di servizi di front-end, middle-ware e di data management, supporta l’attuazione di uno o più processi aziendali © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 66 Dipendenza Nell’ambito di una applicazione, i singoli sistemi trattano i dati secondo modalità e meccanismi diversi Il Provvedimento intende l’AdS come figura dedicata alla gestione ed alla manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali compresi: i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 67 Dipendenza Nell’ambito di una applicazione, i singoli sistemi trattano i dati secondo modalità e meccanismi diversi Tali sistemi rientrano nel perimetro del Provvedimento se vengono trattati, anche indirettamente, dati personali (Completezza dei Log di Accesso) l’accesso amministrativo ai diversi layer (S.O., DBMS e apparati di rete) consente di intervenire sui dati personali la Capacità di Intervento presuppone la possibilità di eseguire azioni sugli stessi, indipendentemente(?) dalla necessità di comprenderne il contenuto Considerazioni preliminari: (…) criticità di mansioni che comportino la potenzialità di violazione del dato personale anche in condizioni in cui ne sia esclusa la conoscibilità, come può avvenire, per esempio, nel caso della cifratura dei dati. L’accesso avviene nell’ambito di attività “non occasionali” © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 68 Analisi dei Rischi Completezza: Inalterabilità: (l’analisi dei rischi) aiuta a valutare l'adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log (…)richiesti. condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento Verifica dell’integrità: Sarà comunque con valutazione del titolare che dovrà essere considerata l'idoneità degli strumenti disponibili oppure l'adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell'integrità delle registrazioni…(sistemi client) Valutazione dei livelli di robustezza lasciata al Titolare, in base al contesto operativo © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 69 Verifica Verifica delle attività • Verifica, almeno annuale, dell’operato degli AdS Definizione dei criteri di verifica Definizione dei ruoli Definizione delle modalità attuative Applicazione del processo di verifica © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 70 Criteri di verifica Rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle normative vigenti …Verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 71 Definizione dei ruoli Aziende medio-grandi: Funzione di audit/Security con delega al controllo dell’applicazione delle misure di sicurezza Separazione delle funzioni operative e di controllo Piccole e medie imprese / PPAA di piccole dimensioni: Necessità di reperire competenze Difficoltà ad attuare i criteri di controllo in caso di forte utilizzo di competenze esterne © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 72 Modalità Attuative Verifica annuale dell’operato degli amministratori Possibile utilizzo dei log degli accessi Limite (inferiore) della conservazione dei log di accesso a 6 mesi Rispetto della normativa sul controllo dei lavoratori Efficacia del controllo Annuale Periodico Continuo © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 73 Parte 2: Attuazione (i.e.: impatti e opportunità) © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 74 Dalle prescrizioni all’adeguamento L’attuazione delle singole prescrizioni non può essere vista come un insieme disorganico di interventi Costruendo un Processo di Adeguamento è possibile definire organicamente gli interventi rispetto agli obiettivi normativi e di sicurezza aziendali © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 75 Processo di Adeguamento Plan Caratteristiche Soggettive Do Check Act Designazioni Individuali Elenco degli AdS Registrazione degli Accessi Verifica delle Attività Designazioni Individuali Elenco degli AdS © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 76 Plan Plan Caratteristiche Soggettive Do Check Act Designazioni Individuali Separazione della gestione IT in ambiti di operatività Definizione/formalizzazione di (nuovi?) ruoli e funzioni Definizione di profili di autorizzazione Elenco degli AdS Registrazione degli Accessi Identificazione “perimetro” dei sistemi Analisi dei Rischi Definizione Misure di raccolta, conservazione e cancellazione Definizione Misure di Completezza, Inalterabilità e Verifica dell’Integrità Definizione dei criteri di verifica Definizione dei ruoli Definizione delle modalità attuative Verifica delle Attività © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli Designazioni Individuali Elenco degli AdS 77 Propedeuticità & Interdipendenza Designazioni Individuali Designazioni Individuali Registrazione degli Accessi Verifica delle Attività Registrazione degli Accessi Verifica delle Attività •Definizione ambiti di operatività •Definizione dei Profili di Autorizzazione •Definizione ambiti di Operatività •Definizione Ruoli e Funzioni •Definizione dei Profili di Autorizzazione •Analisi dei Rischi •Definizione Misure di Completezza, Inalterabilità e Verifica dell’Integrità •Identificazione “perimetro” dei sistemi •Analisi dei Rischi •Definizione dei criteri di verifica •Definizione dei ruoli •Definizione dei criteri di verifica •Definizione dei ruoli •Definizione delle modalità attuative © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 78 WBS © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 79 Analisi dei Rischi Nuove Minacce Nuovi Impatti Rivalutazione degli Obiettivi Attuazione degli Adempimenti •La scelta di effettuare l’analisi dei Rischi è motivata dall’introduzione degli obiettivi di Due Diligence, dalla considerazione delle nuove minacce (se prima non previste) inerenti abusi o errori apportati con accessi amministrativi, dalla rivalutazione degli Impatti a seguito delle prescrizioni normative. •Resta ovviamente l’obiettivo primario, come suggerito dalle FAQ del Provvedimento, di individuare tramite l’Analisi dei Rischi i criteri per assicurare Completezza, Inalterabilità e Verifica dell’Integrità delle registrazioni degli Accessi © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 80 Dividere la gestione IT in ambiti di operatività (esempi) Quale che sia la scelta, questa deriverà dal modello organizzativo in essere per l’IT Aree Applicative Aree Funzionali Ambiti Tecnologici © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 81 (Nuovi?) Ruoli e Funzioni (esempi) Aree Applicative •Produzione •DWH: •ERP Aree Funzionali Ambiti Tecnologici •DWH •Schema management •Servizi di Supporto •System management •Collection management •Progettazione •DBA •Collaudo •Facility •… •… •Vendite •Vendite •… © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 82 Profili di Autorizzazione (esempi) Aree Applicative •DWH: •Schema management •Collection management •… 1. Può modificare la struttura del DBMS 2. Non può creare utenti 3. Non può accedere ai dati 4. Ha un accesso non amministrativo ai sistemi Aree Funzionali •Produzione •Servizi di Supporto •Progettazione •Collaudo •… 1. Ha un accesso amministrativo ai sistemi utente (dell’area) 2. Gestisce i servizi di backup e le applicazioni di supporto (dell’area) Ambiti Tecnologici •DWH •System management •DBA •Facility •… 1. Ha accesso all’interfaccia di amministrazione delle applicazioni 2. Può eseguire batch e stored procedure 3. Non ha accesso amministrativo ai DB ed ai sistemi © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 83 Definizione di Ruoli e Funzioni Obiettivo normativo: determinare e censire analiticamente ruoli e funzioni degli AdS Obiettivo di tutela: assicurare che ogni azione sia ricondotta alla persona che l’ha condotta Obiettivi di Verifica: determinare ambiti di operatività ben definiti e rigidamente perimetrati individuare le funzioni di audit più adatte ad assicurare l’osservanza del requisito di verifica L’obiettivo di sicurezza: segregation of duties? Obiettivi di Business: minimizzare l’impatto di adeguamento e assicurare l’efficienza della struttura IT © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 84 Opportunità… Ascoltare il Business! Il governo della funzione IT, se ben implementato, ha in primo luogo obiettivi di efficienza ed efficacia Disambiguità nella definizione di ruoli e funzioni, è innanzitutto un criterio di buona gestione Rivedere/applicare le policy! Segregation of duties? © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 85 Segregation of Duties Ambiti Tecnologico/Funzionali Solo per organizzazioni mediograndi Prevede/richiede competenze specialistiche Necessaria dove il rispetto dell’ambito di operatività è critico per l’azienda Garantisce la riduzione ““…delle criticità insite nello svolgimento delle predette mansioni” (Premessa, comma 9) Assicura il maggior grado di tutela •O&M •User Administrator •DB Administrator •System Administrator •Service Admin •App. Adm 1. Esegue la manutenzione ordinaria e straordinaria del sistema 2. Non può creare/gestire utenti 3. Non ha accesso amministrativo ai servizi, al DB ed alle Applicazioni © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 86 Definizione dei profili di autorizzazione Qualunque sia il modello organizzativo scelto, è bene considerare che l’applicazione di nuovi profili di accesso avrà un impatto rilevante sulle piattaforme in perimetro Laddove possibile, è opportuno valutare la definizione di profili standard aziendali, da utilizzare in tutti i casi possibili su larga scala © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 87 Criteri di Verifica Cosa monitorare? A quale scopo? Con quale “profondità? Efficacia del tracciamento: indica, a partire dall’insieme delle caratteristiche del sistema di registrazione degli eventi, la possibilità di determinare informazioni utili all’azienda a partire dai dati raccolti Il Provvedimento ha come obiettivi: In termini di sicurezza, tra gli aspetti più rilevanti è importante assicurare la verifica che gli AdS operino al’interno del proprio ambito di operatività © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 88 Efficacia del tracciamento Cosa monitorare? A quale scopo? Con quale “profondità? Limitazione delle possibili azioni non riconducibili ad una specifica sessione utente Criteri di custodia delle password non nominali e assegnazione a seguito di richiesta espressa e motivata Modalità di accesso al sistema mediante account nominali Segregare account di amministrazione e/o di gruppo Attribuire le azioni alle persone fisiche Log di tipo “Audit” Limitare/impedire la possibilità di accesso ai dati di Compartimentazi log con privilegi amministrativi one rigida degli ambiti di operatività – Segregation of Duties Utilizzo di specifici meccanismi di protezione dell’integrità e della completezza dei log © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli Estensione delle registrazioni alle “azioni” svolte dagli AdS 89 Livelli di implementazione Segregare gli account di gruppo Compartimentazione ambiti di Operatività Attribuire le azioni alle persone fisiche Prevede che gli accessi ai sistemi ed ai DBMS avvengano esclusivamente tramite account nominali, e che l’accesso alle credenziali (o ai privilegi) di amministrazione sia parte degli eventi soggetti a tracciamento Impone l’uso di account amministrativi solo in casi eccezionali. Nei casi di gestione ordinaria si ricorre a escalation di privilegi da account nominali. Implementato tramite procedure o strumenti di password vault Impone limitazioni negli ambiti nei quali gli utenti possono acquisire privilegi di amministrazione. Presuppone un regime di operatività fortemente regolamentato da procedure operative Limitazioni accesso ai log prodotti Tramite uno o più meccanismi tra i precedenti, assicura che solo un esiguo gruppo di AdS possano intervenire sui servizi di accounting o sui dati di log. In generale, la separazione dei ruoli assicura che chi ne ha diritto non abbia interesse a svolgere modifiche fraudolente. © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli Log di tipo “audit” Prevede la registrazione di tutti gli eventi significativi prodotti nell’ambito delle attività degli utenti. Misura in parte deterrente, deve esserne valutata la proporzionalità e la liceità anche in relazione ad altri obiettivi di sicurezza 90 Modalità attuative (Verifica) Definiti i criteri e l’ambito di operatività, è possibile stabilire come implementare la Verifica dell’operato degli amministratori Questioni di: Conformità: il Provvedimento impone un controllo annuale Opportunità: una maggiore periodicità consente l’identificazione ed il trattamento di eventi di sicurezza Fattibilità: un controllo “una tantum” può essere, oltre che inefficace, estremamente oneroso ed a scarso valore aggiunto (es: estrema numerosità di accessi legittimi) © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 91 Raccolta dei Log e Verifica Questioni di opportunità e conformità portano a considerare il problema della raccolta degli eventi da un altro punto di vista: In quale modo i meccanismi che adotterò mi permetteranno di riscontrare eventi ascrivibili a violazioni (es: trattamenti illeciti) o a incidenti di sicurezza (es: violazioni delle policy e/o degli ambiti di operatività)? © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 92 Verifica vs. Raccolta dei Log Qualunque sia la soluzione di raccolta dei log, se è previsto che la Verifica li utilizzerà per tutto o parte dei controlli previsti, è auspicabile che siano considerati: Meccanismi di selezione degli eventi significativi Procedure di monitoraggio continue o ad alta frequenza Correlazione tra eventi e definizione degli ambiti di operatività/privilegi assegnati agli utenti © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 93 Completezza, Inalterabilità e Verifica dell’Integrità Completezza Raccolta •Log “raw” mantenuti sul sistema o prelevati da log collector mediante meccanismi “stateful” •Utilizzo di supporti Conservazione non riscrivibili (!) Cancellazione •Eliminazione selettiva degli eventi su base “timestamp” Inalterabilità Verifica Integrità •Dati inviati/prelevati su/da piattaforma •Marcatura dei centralizzata(!) in dati mediante HA con utilizzo di hash e cifratura(!) canali di trasmissione sicuri •Utilizzo di supporti non riscrivibili (!) •Marcatura dei dati mediante hash e cifratura(!) •Costruzione della base dati degli eventi su base “timestamp” •Controlli crittografici trasparenti alla retention © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 94 Plan Plan Caratteristiche Soggettive Attuazione del piano formativo Formazione specifica per nuovi ruoli/funzioni nell’ambito dell’adeguamento Do Check Caratteristiche Soggettive Designazioni Individuali Allocazione dei ruoli/funzioni di gestione tecnica Implementazione dei profili sui sistemi Elenco degli AdS Registrazione degli Accessi Act Allocazione dei ruoli/funzioni di gestione dei servizi di registrazione Implementazione dei criteri di efficacia del tracciamento previsti Implementazione/configurazione/integrazione degli strumenti di registrazione Implementazione degli strumenti di Verifica Allocazione dei ruoli/funzioni di verifica Verifica delle Attività © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli Designazioni Individuali Elenco degli AdS 95 Criteri di monitoraggio e profili Compartimentazione ambiti di Operatività Attribuire le azioni alle persone fisiche •Implementazione di meccanismi di privilege management che consentano l’escalation dei privilegi da utenze nominali ad account amministrativi e di gruppo •Riconfigurazione dei moduli di autenticazione •Cleansing dei file degli utenti Segregare gli account di gruppo •Implementazione di soluzioni di password vault con procedure di cambio-password automatizzate o affidate ad apposita funzione •Analisi degli impatti su script, account M2M, A2A e A2DB; bonifica o implementazioni applicative •Controlli di integrità dei dati inerenti i profili autorizzativi •Traduzione degli ambiti di operatività in privilegi sui sistemi in perimetro •Configurazione dei meccanismi di privilege management perché consentano l’escalation di privilegi solo nell’ambio di ambiti di operatività preautorizzati per ciascun utente. Limitazioni accesso ai log prodotti Rafforzamento di tutta la catena di gestione del ciclo di vita dei log mediante gestione dei privilegi sui sistemi, segregation of duties, tecniche crittografiche e conservazione centralizzata © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli Log di tipo “audit” Adozione di specifici strumenti di privilege management, mediante installazione di moduli kernel, nuove shell utente e moduli di autenticazione ad hoc. 96 Soluzione di Registrazione Quale soluzione scegliere? Make o Buy? Ho veramente bisogno di una soluzione ad hoc? Registrazione degli Accessi •La scelta è, in questa fase, determinata da tutte le attività definite in fase “PLAN”. E’ tuttavia evidente come gran parte dello sforzo (interno) sia determinato dal “mettere a posto” l’organizzazione IT, le procedure e predisporre i sistemi: nessuna soluzione può essere adottata indipendentemente dalle attività propedeutiche descritte •La normativa fa riferimento a criteri “minimi” e proporzionali, con valutazioni di sicurezza dipendenti dal contesto che il Titolare deve svolgere autonomamente •Al di fuori dell’”onda emozionale” del Provvedimento, l’azienda o l’ente devono considerare di “bilanciare” i propri investimenti in competenze, tecnologie e nuovi modelli operativi adatti ad interpretare gli obiettivi di Due Diligence e protezione degli asset “critici” per il business © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 97 And Now? Plan Caratteristiche Soggettive Do Check Act Designazioni Individuali Elenco degli AdS Registrazione degli Accessi Verifica delle Attività Designazioni Individuali Elenco degli AdS © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 98 Per rimanere in tema… Error rates (fonte: Miracle) 40% -Operator error 40% -Software error 20% -Hardware error 70% -Building facilities, power, cooling 25% -Components 5% -Disaster © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 99 Domande? © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 100 Grazie! Luca Bechelli [email protected], [email protected] www.bechelli.net, www.clusit.it - blog.clusit.it © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 101 Obiettivi e qualità della risposta al Provvedimento sugli AdS Sergio Fumagalli - Vice Presidente ZEROPIU Spa Il problema Only 30 percent of all theft is committed by externals 70 percent is committed by employees. Four out of every five thefts are commited by males The fraud is usually committed by a college-educated, married person Worst of all, the person commiting the fraud is usually a long-time, trusted employee in a position of authority—not the high school kid working part-time Forrester Research 2009 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 103 Il problema “Each year, I expect the breach cost figures to decrease, but the numbers are still rising,” Ponemon says. “The 2009 study showed a slight increase in the organizational cost of a data breach -- from $6.65 million to $6.75 million per incident -- and a slight increase in the average cost per compromised record, from $202 to $204.” Fonte: Ponemon Institute © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 104 Il problema in relazione ai dati personali Dal provvedimento del Garante: … CONSTATATO che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti; RILEVATA la necessità di richiamare l'attenzione su tale rischio del pubblico, nonché di persone giuridiche, pubbliche amministrazioni e di altri enti (di seguito sinteticamente individuati con l'espressione "titolari del trattamento": art. 4, comma 1, lett. f) del Codice) che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di elaborazione utilizzati da una molteplicità di incaricati con diverse funzioni, applicative o sistemistiche; … Il Garante si occupa istituzionalmente della tutela dei dati personali. Il problema però riguarda tutti i dati aziendali © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 105 Il problema in relazione ai dati aziendali A.10.10.2 Monitoring system use Control Procedures for monitoring use of information processing facilities shall be established and the results of the monitoring activities reviewed regularly. A.10.10.3 Protection of log information Control Logging facilities and log information shall be protected against tampering and unauthorized access. A.10.10.4 Administrator and operator logs Control System administrator and system operator activities shall be logged . A.11.2.2 Privilege management Control The allocation and use of privileges shall be restricted and controlled. A.11.5.4 Use of system utilities Control The use of utility programs that might be capable of overriding system and application controls shall be restricted and tightly controlled. ISO 27001 individua specifici controlli relativi all’utilizzo di privilegi in relazione a tutti i dati aziendali © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 106 Il problema in relazione ai dati aziendali 11.2.2 Privilege management Control The allocation and use of privileges should be restricted and controlled. Implementation guidance Multi-user systems that require protection against unauthorized access should have the allocation of privileges controlled through a formal authorization process. The following steps should be considered: a) the access privileges associated with each system product, e.g. operating system, database management system and each application, and the users to which they need to be allocated should be identified; b) privileges should be allocated to users on a need-to-use basis and on an event-by-event basis in line with the access control policy (11.1.1), i.e. the minimum requirement for their functional role only when needed; c) an authorization process and a record of all privileges allocated should be maintained. Privileges should not be granted until the authorization process is complete; d) the development and use of system routines should be promoted to avoid the need to grant privileges to users; e) the development and use of programs which avoid the need to run with privileges should be promoted; f) privileges should be assigned to a different user ID from those used for normal business use. Other information Inappropriate use of system administration privileges (any feature or facility of an information system that enables the user to override system or application controls) can be a major contributory factor to the failures or breaches of systems. ISO 27002 detta best practices non così distanti dalle misure individuate dal Garante © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 107 Affrontare il problema IL BUDGET 1 • Il provvedimento del Garante risponde ad una esigenza di sicurezza dei dati 2 • Affronta, in un ambito limitato, una criticità che riguarda la sicurezza di tutti i dati aziendali 3 • La motivazione all’investimento non è solo la compliance ma anche la sicurezza © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 108 La compliance: da obbligo a risorsa Efficiente: Utilizzare la tecnologia a supporto Efficace Produrre un risultato utile per il business aziendale Esimente: produrre risultati opponibili a terzi Efficiente, Efficace, Esimente: Finanziata © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 109 Le Misure Richieste dal Provvedimento Valutazione delle caratteristiche soggettive • valutazione delle caratteristiche di esperienza, capacità e affidabilità di chi è designato come AdS • L’AdS deve fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento 1 Designazioni individuali • La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. 2 Elenco degli amministratori di sistema • Gli identificativi degli AdS, con le funzioni ad essi attribuite, devono essere riportati nel DPS. • L'identità degli amministratori di sistema che hanno accesso a dati relativi ai lavoratori devono essere conoscibili dai lavoratori stessi 3 Verifica delle attività Registrazione degli accessi • L’operato degli AdS è oggetto, con cadenza almeno annuale, di un'attività di verifica in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza • Registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici degli AdS. 4 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli • Le registrazioni devono: • Includere riferimenti temporali • Includere descrizione dell'evento che le ha generate • Essere conservate per un congruo periodo, non inferiore a sei mesi 5 110 Le Misure Richieste dal Provvedimento Valutazione delle caratteristiche soggettive • valutazione delle caratteristiche di esperienza, capacità e affidabilità di chi è designato come AdS Designazioni individuali • La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Elenco degli amministratori di sistema • Gli identificativi degli AdS, con le funzioni ad essi attribuite, devono essere riportati nel DPS. • L'identità degli amministratori di sistema che hanno accesso a dati relativi ai lavoratori devono essere conoscibili dai lavoratori stessi Verifica delle attività Registrazione degli accessi • L’operato degli AdS è oggetto, con cadenza almeno annuale, di un'attività di verifica in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza • Registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici degli AdS. Per essere conformi e per ottenere un beneficio è necessario rispondere a tutti i requisiti: • Le registrazioni • Sapere chi sono gli AdS devono: • Includere • Sapere chi usa privilegi da AdS riferimenti temporali • Far crescere la consapevolezza • Includere descrizione che • Attribuire correttamente i privilegi dell'evento le ha generate • Controllare periodicamente le attività• Essere conservate per un • NON SOLO RACCOGLIERE I LOG DEGLI ACCESSI congruo periodo, • L’AdS deve fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento 1 2 3 4 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli non inferiore a sei mesi 5 111 L’architettura di una soluzione Un ambiente integrato per rispondere a tutti i requisiti Ogni requisito è affrontato da un modulo specializzato: A livello organizzativo e/o con un supporto tecnologico/applicativo 1 2 3 5 4 Un ambiente dedicato © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 112 Caratteristiche funzionali Valutazione delle caratteristiche soggettive • Valutazione delle caratteristiche di esperienza, capacità e affidabilità di chi è designato come AdS • L’AdS deve fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento Soluzione • Competenze e attitudini degli AdS (interni ed esterni) già presenti in azienda sono verificate mediante questionari online di autovalutazione • Le procedure di reclutamento/trasferimento degli AdS sono adeguate al provvedimento 1 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 113 Caratteristiche funzionali Elenco amministratori e Designazioni individuali • La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Soluzione • I ruoli di amministratore formalmente definiti sono acquisiti da una fonte autorevole aziendale • I ruoli effettivamente presenti nei sistemi sono rilevati da sistemi di role discovery • I risultati di questi due processi sono validati dal management responsabile • L’assegnazione degli incarichi è riferita all’ambito effettivo di accesso privilegiato • la gestione dei profili nel tempo è monitorata da mediante tecnologie Policy driven. 2 3 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 114 Caratteristiche funzionali Verifica delle attività degli AdS • L’operato degli AdS è oggetto, con cadenza almeno annuale, di un'attività di verifica in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza Soluzione • I comportamenti operativi degli AdS (interni ed esterni) sono rilevati mediante questionari online di autovalutazione • I log di accesso, collezionati per la conformità al provvedimento (vedi punto successivo), sono analizzati e valutati sulla base di modelli di rischio predefiniti 4 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 115 Caratteristiche funzionali Registrazione degli accessi • Registrazione degli accessi logici ai sistemi e agli archivi elettronici degli AdS. • Le registrazioni devono includere: • Riferimenti temporali • Descrizione dell'evento che le ha generate • Le registrazioni devono essere conservate per un periodo, non inferiore a sei mesi Soluzione • I dati essenziali relativi agli accessi degli amministratori contenuti nell’elenco, sono registrati nel repository centralizzato e protetto, non modificabile dagli amministratori • I log richiesti sono filtrati alla fonte e cifrati • I dati registrati sono storicizzati e cancellati dopo sei mesi 5 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 116 Caratteristiche funzionali Evoluzione Nella medesima architettura è possibile far confluire: • Esigenze specifiche di monitoraggio non solo sui log in, selezionando gli ambiti critici e le operazioni da controllare • Allarmi e cruscotti per un controllo online di eventi critici • Nuovi ambiti di controllo non riferibili a dati personali (listini, piani marketing, piani di investimento, progetti di ricerca…) L’architettura consente di integrare la soluzione con i sistemi aziendali: • Acquisire informazioni dal sistema di Identity Management aziendale • Acquisire i log dal sistema aziendale di log management 117 © CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli 117 Grazie per l’attenzione [email protected] © CLUSIT 2010 - Amministratori di 118 sistema - Faggioli, Bechelli, Fumagalli