Log management: che cosa è, a cosa serve e come si inserisce nell’ambito del RGPD

gestore Settembre 6, 2019

La gestione dei log è un processo che consiste nella raccolta centralizzata di dati generati da ambienti operativi (dispositivi, applicazioni, database, in generale “sorgenti”) a fronte del manifestarsi di molteplici eventi di sistema alcuni dei quali di estrema rilevanza in chiave aziendale.

La raccolta dei dati di log può rendersi necessaria per diverse finalità quali:

La verifica di vulnerabilità
La gestione degli incidenti di sicurezza
Il controllo degli accessi ai dati e alle applicazioni
Il monitoraggio e l’allarmistica in tempo reale
La verifica di malfunzionamenti di natura applicativa
La gestione dei sistemi
Gli adempimenti normativi
L’analisi forense

Da un punto di vista normativo, la gestione dei log rappresenta una importante misura da intraprendere in osservanza ai principi fondamentali della protezione dei dati secondo quanto già stabilito dalla direttiva UE 95/46/EC e, successivamente, dagli obblighi introdotti dal Regolamento Generale sulla Protezione dei Dati Personali (RGPD o GDPR).

Si evidenzia come la gestione dei log rappresenti una misura proattiva in grado di prevenire eventi invasivi prima che essi accadano. Questo approccio risulta pienamente rispondente al principio della Privacy by Design per il quale si rende necessario intraprendere misure adeguate al fine di evitare che i rischi di violazioni si materializzino.

La gestione dei log richiede un bilanciamento efficace tra la disponibilità dinamica delle risorse da mettere a disposizione e la quantità di dati di log sempre crescente. Inoltre, fin dalla prima fase di acquisizione dei data log, è necessario tenere in considerazione una serie di fattori, spesso causa di crescente complessità, che sono:

Il numero delle sorgenti di log da considerare
Il volume di data log generati
La varietà degli eventi che generano data log
La tipologia di data log
La modalità di acquisizione dei data log
L’adeguatezza dei sistemi a protezione dei data log

In ultimo, ma non certamente in ordine di importanza, è necessario considerare quei principi di riservatezza, integrità e disponibilità dei dati i quali, anche nel caso dei dati di log, devono essere rispettati onde evitare possibili inavvertite o intenzionali violazioni. A tal fine è opportuno fare qualche riflessione per comprendere quali possano essere le possibili soluzioni da adottare per consentire anche al personale incaricato della gestione dei log (responsabili di processo e/o amministratori di sistema) di poter intervenire nel pieno rispetto dei suddetti requisiti (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499).

L’infrastruttura di gestione dei log è costituita da un insieme di componenti hardware, software e di rete opportunamente configurati per interagire tra loro. Le comunicazioni tra i componenti dell’infrastruttura di gestione dei log avvengono tipicamente nella medesima rete locale utilizzata per le principali funzioni aziendali. Tuttavia, è opportuno valutare la possibilità di effettuare la raccolta dei dati su una rete separata (fisicamente o logicamente) onde evitare che, a fronte di un incidente di waremal diffuso o altri attacchi di rete, i dati possano subire alterazioni o essere intercettati o eliminati. Nei casi in cui non fosse possibile tale scelta architetturale, è opportuno prevedere ulteriori accorgimenti come la crittografia dei dati.

In termini pratici, una infrastruttura di log management dovrebbe garantire il rispetto dei seguenti requisiti:

contenere le informazioni utili allo scopo della raccolta secondo i principi di minimizzazione e proporzionalità;
mantenere i dati inalterabili durante l’intero ciclo di vita;
garantire l’integrità dei dati raccolti senza che subiscano alterazioni;
conservare i dati per un periodo limitato (norme, politica di retention).

Le fasi tipiche della gestione dei log sono le seguenti:

Definizione e classificazione delle sorgenti di interesse

I dati di log possono essere acquisiti da diverse sorgenti presenti all’interno della rete aziendale. Pertanto, si rende necessario circoscrivere l’ambito di intervento alle sole sorgenti di interesse attraverso un censimento di tutti gli host di rete attivi secondo una opportuna classificazione che tenga conto delle finalità per le quali i dati richiedono di essere raccolti.

Individuazione degli events-log

Per ogni sorgente, in relazione ai servizi da essa erogati, è quindi necessario individuare gli eventi di interesse cercando di limitare la scelta a quelli che realmente hanno un peso prevalente rispetto agli scopi per cui vengono acquisiti (principio di minimizzazione).

Scelta della soluzione tecnologica per la gestione centralizzata dei dati di log

La scelta della soluzione tecnologica per la gestione dei log deve consentire l’efficiente e l’efficace gestione del processo nel rispetto di quei requisiti di completezza, integrità e inalterabilità del dato necessari ai fini della conformità della soluzione stessa.

Una possibile soluzione per la raccolta e l’analisi dei dati è basata sul prodotto Graylog compatibile con i sistemi di logging basati sia su Linux che Windows. La soluzione è dotata di funzionalità di configurazione per la raccolta centralizzata dei dati all’interno di specifici server. Essendo installato su un web server, Graylog consente di avere un’unica interfaccia attraverso la quale monitorare diverse sorgenti di log. Inoltre può essere configurato per inviare a un utente alert in presenza di eventi indesiderati. Il log file è basato su Linux e fornisce panoramiche giornaliere. Una volta filtrati gli eventi di log ordinari o, il sistema può anche inviare via email messaggi con i riassunti delle informazioni più importanti e segnalazioni di potenziali anomalie.

Raccolta dei dati di log mediante l’utilizzo di metodi senza agente e/o basati su agente

Per stabilire un protocollo di comunicazione che consenta al sistema centralizzato di raccogliere i dati di log dalle sorgenti ad esso collegate, è necessario effettuare una serie di configurazioni/installazioni sia in Graylog che all’interno della sorgente.
Per gli eventi provenienti da ambienti Unix like, Graylog è in grado di accettare e analizzare i messaggi in formato syslog, rsyslog, syslog-ng conformi agli standard RFC 5424 e/o RFC 3164 e supporta il trasporto via TCP e UDP.
Per registrare eventi a livello di applicazione, Graylog accetta il formato GELF mediante il quale è possibile ricevere i dati via http o direttamente dalla applicazione. In alternativa, è possibile utilizzare Heroku attraverso il quale è possibile inoltrare i dati di log della applicazione a un server syslog.
Per i sistemi Windows, Graylog raccomanda l’utilizzo di un agent opensource da installare direttamente sulla sorgente (es. client PC Windows) denominato NXLog.
Infine, è utile citare JSON, JSONPath, fluentd e logstash tra le altre soluzioni disponibili per la raccolta dei dati.

Conservazione dei dati di log originali (non elaborati, non modificati)

La conservazione è una fase di estrema importanza per le implicazioni che ha da un punto di vista normativo, investigativo e di sicurezza. Un sistema di log management per essere adeguato richiede che la conservazione dei dati di log sia tale da preservare l’informazione in essi contenuta senza che questa possa subire alterazioni di sorta entro il periodo prestabilito dalla politica di retention. Superato il periodo di conservazione prestabilito, i dati potranno poi essere eliminati per lasciare posto a quelli più recenti (log rotation).

Analisi e monitoraggio dei dati di log

L’analisi è una fase piuttosto impegnativa del processo ma anche una delle più importanti in quanto consente di circoscrivere l’ambito ai soli dati che hanno rilevanza ai fini degli scopi per cui vengono raccolti. Questa operazione può risultare complessa a causa della eterogeneità dei dati rispetto alle diverse sorgenti nonché per la complessità della sintassi dei record generati per evento. In relazione alle scelte fatte, i software di log management e, più specificatamente di Security Information & Event Management (SIEM), consentono poi di predisporre dei meccanismi di filtraggio attraverso i quali riconoscere e fornire risposte automatiche in presenza di eventi indesiderati. La qualità e il livello delle risposte non sempre risulta attendibile (problema dei falsi positivi) dopo le prime configurazioni, per cui è spesso necessario procedere per fasi successive andando a ricalibrare le scelte precedentemente effettuate.

Durante le fasi di monitoraggio dei dati di log è opportuno effettuare una serie di verifiche rispetto a:

Volume del traffico degli eventi ricevuti
Numero dei dispositivi controllati
Stato e statistiche degli incidenti o dei casi rilevati
Numero delle regole di correlazione attive
Funzionamento del sistema di notifica e escalation

Previous Post: Regolamento Generale Protezione Dati Personali: fasi del processo

Next Post: COVID-19: adempimenti privacy ai fini delle modalità di ingresso in azienda

Vademecum - Il condominio e la privacy

Il vademecum è stato realizzato prima dell’applicazione del Regolamento UE 679/2016, avvenuta in data 25 maggio 2018, circostanza di cui occorre tener conto nella consultazione
Misure idonee di sicurezza

Misure idonee di sicurezza: garantire integrità e riservatezza dei dati
Avvocati e GDPR

Avvocati e GDPR, adeguare lo studio legale alle norme privacy: le best practice
Vademecum - La scuola

Insegnare la privacy, rispettarla a scuola
Ordine dei Medici Chirurghi e degli Odontoiatri

Pubblicazione e accesso alle informazioni ambientali
Il garante francese rilascia un tool per eseguire DPIA

22 novembre scorso il CNIL – l’autorità francese per la protezione dei dati – ha rilasciato la versione beta di un software open source per assistere i Titolari di trattamento nell’esecuzione dei DPIA, i Data Protection Impact Assessment previsti dal GDPR. Il tool è scaricabile in locale (per Windows, MacOS, Linux) o fruibile online.
Is Google Analytics GDPR Compliant?

As we get closer to 25 May, the deadline for the new EU data regulations (GDPR), more and more questions are being raised. One of these questions is how Google Analytics measures up to these new regulations. (If you are not familiar with the content of GDPR, here are useful summaries of what GDPR is and how it will impact digital marketing.)
I sistemi di videosorveglianza

L’utilizzo di sistemi di videosorveglianza da parte delle imprese è molto diffuso, soprattutto per la protezione del patrimonio aziendale e per la sorveglianza di spazi e luoghi. Tuttavia, il loro impiego richiede alcune verifiche preliminari e alcune accortezze che non possono essere trascurate.
DECRETO LEGISLATIVO 10 agosto 2018, n. 10

Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) (GU Serie Generale n.205 del 04-09-2018)

Il Presidente del Garante per la protezione dei dati personali al Privacy Day Forum 2024 Aprile 18, 2024
Di recente la 45a Global Privacy Assembly, la conferenza, che riunisce le Autorità di protezione dati a livello mondiale, ha dedicato ampio spazio all’intelligenza artificiale e alle tecnologie emergenti, adottando un documento che chiede di garantire un uso dei sistemi di AI incentrato sull'uomo, evidenziando anche il diritto dell’individuo di non essere soggetto a una […]
FederPrivacy
Confindustria, Ania, Abi e Confcommercio: no alla cancellazione dopo 7 giorni dei metadati delle email aziendali Aprile 18, 2024
I metadati delle e-mail aziendali sono uno strumento di lavoro e anche dopo 7 giorni dalla creazione del messaggio la loro natura non cambia. Non si può perciò imporre al datore di lavoro di scegliere tra cancellarli dopo 7 giorni oppure, se vuole tenerli per più tempo, di fare una trattativa sindacale o di farsi […]
FederPrivacy

IA Generale, è “corsa agli armamenti”: i costi sociali, economici e ambientali Aprile 12, 2024
La corsa verso l'AI Generale vede i grandi player impegnati in una vera e propria accelerazione di traiettorie di ricerca verso un ignoto denso di incognite e rischi attuali. Corsa che non solo pone sfide tecniche e etiche, ma solleva anche questioni di sostenibilità ambientale legate al consumo energetico e alle risorse necessarie L'articolo IA […]
Mauro Lombardi
Acquisire messaggi criptati nel processo penale: cosa dice la Cassazione Aprile 11, 2024
La Cassazione a inizio aprile si è espressa in merito all'acquisizione dei messaggi Whatsapp, dunque criptati e da server esteri, nell'ambito di un procedimento penale: una pronuncia che permette di riflettere sul tema L'articolo Acquisire messaggi criptati nel processo penale: cosa dice la Cassazione proviene da Agenda Digitale.
Massimo Borgobello

La gestione dei log

La gestione dei Log: che cosa è, a cosa serve e come si inserisce nell'ambito del RGPD

Premessa

Problematiche da affrontare nella gestione dei log

Infrastruttura di Log Management

Processo