Passa ai contenuti principali

GDPR: cosa cambia per gli amministratori di sistema?

Che ne sarà dei provvedimenti dei singoli garanti nazionali quando il GDPR entrerà nel pieno della sua efficacia il 25 maggio del 2018? Anche qui il regolamento europeo è molto chiaro: i provvedimenti e le linee guida emanate dalle authority nazionali che NON sono in contrasto col regolamento stesso continueranno ad essere in vigore. È questo il caso del noto provvedimento che riguarda gli amministratori di sistema datato 27 novembre 2008 denominato "Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" e quindi vale la pena riassumere quali sono queste importanti disposizioni. Ma prima vediamo questo simpatico video di Balabit, leader mondiale di soluzioni per il monitoraggio degli utenti privilegiati, che ci fa comprendere molto bene perché gli utenti privilegiati e quindi gli amministratori di sistema possono essere una potenziale grossa minaccia per qualsiasi sistema informatico.



Purtroppo tutti i giorni devo constatare nella mia attività professionale come molto spesso la sicurezza informatica di realtà anche molto importanti sia demandata esclusivamente al corretto comportamento degli amministratori di sistema senza alcun controllo sul loro operato da parte di soggetti terzi indipendenti. Gli utenti privilegiati, sono pur sempre utenti e anche loro potrebbero commettere degli errori certamente anche involontari ma i cui effetti, visto il loro alto profilo autorizzativo, potrebbero essere davvero problematici rispetto ad un utente standard. Su rischio cyber e fattore umano si legga anche il mio post sempre su questo blog.

Chi sono gli amministratori di sistema? Nel Codice della Privacy si intende per amministratore di sistema chi svolge sul sistema informatico un'attività contraddistinta da un elevato profilo autorizzativo che gli permette di accedere a praticamente a tutte le risorse del sistema, della rete, dei servizi web, delle attività legate al backup e al ripristino dei dati, delle attività legate alla manutenzione ed alla sicurezza dei sistemi informatici. Se vogliamo dividere i rischi informatici in esterni ed interni in questo caso ovviamente si tratta di una minaccia interna. In particolare questo provvedimento che come abbiamo detto resterà in vigore anche dopo l'entrata in vigore del nuovo regolamento europeo sui dati personali stabilisce i seguenti punti:

  1. Nella designazione dell'amministratore di sistema il titolare del trattamento deve valutare l'esperienza, le capacità, l'affidabilità del soggetto incaricato.
  2. La nomina deve essere individuale ed avvenire per iscritto riportando gli estremi identificativi dell'amministratore di sistema e specificando analiticamente nel dettaglio tutte le mansioni affidategli in un documento che andrà protocollato e conservato per eventuali controlli da parte dell'autorità garante. 
  3. Il titolare del trattamento dovrà verificare con cadenza almeno annuale l'operato degli amministratori di sistema in riferimento al trattamento dei dati personali, alle misure organizzative e tecnologiche adottate per minimizzare il rischio.
  4. Il titolare del trattamento dovrà adottare o verificare la presenza nei propri sistemi informatici di strumenti atti a registrare gli accessi logici (autenticazione informatica) al sistema in un apposito file di log che deve tenere traccia dei riferimenti temporali e della descrizione degli eventi. Tali registrazioni, di cui deve essere verificata l'integrità, devono essere conservate per un periodo non inferiore a sei mesi.  
Ecco quindi che arriviamo al fatidico tracciamento dei log degli eventi, su questo punto talvolta si fa molta confusione: attenzione, il provvedimento non chiede in alcun modo che vengano registrati dati sulle attività svolte dagli amministratori di sistema. Ma prima di tutto vediamo in cosa consistono questi log:
Login :   Feb  9 15:12 user jsmith succesful login from port 10.22.0.14
Web log:   User ID 41551490 2016-01-01 00:25:43 2.111.94.18 Mozilla/5.0 Version/5.0.3 http://www.cnn.com/main/" https://www.google.com/#cnn
Generalmente tutti i sistemi operativi server linux e microsoft hanno un sistema per registrare i log degli eventi, il vero problema è che questi file di log diventano in breve tempo molto voluminosi e di conseguenza di difficile gestione. Ecco perché per avere un tempo di risposta efficace ad un incidente informatico è essenziale avere un programma che ne faciliti la consultazione.




Etichette:

Commenti

Posta un commento

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua
Posta un commento
Continua a leggere »

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca
Posta un commento
Continua a leggere »

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian
Posta un commento
Continua a leggere »