Che cos’è il log management (gestione dei log)?

Articoli

  • log
  • log management

Che cos’è il log management (gestione dei log)?

Il log management (o gestione dei log) è la gestione delle registrazioni dei log di un sistema informatico. Più approfonditamente è la necessità di gestire la registrazione cronologica delle attività all’interno di un’infrastruttura IT formata da varie fonti come file, server, macchine, nodi, dispositivi, etc per scopi ispettivi, di sicurezza e tutela della privacy. 

codice sorgente esemplificativo

Che cosa sono i log?

In ambito informatico, i log (o audit log) sono delle registrazioni cronologiche delle attività rilevanti per la sicurezza di un sistema. Sono generati dai singoli sistemi opportunamente configurati (operativi, applicativi, dispositivi di rete, database,
ecc.). I log possono essere di vario tipo (es: log di accesso) e in base al loro contenuto possono consentire di “identificare chi fa cosa e quando”. A partire dai log si possono originare due attività diverse:

  • System monitoring formato da log collection, log monitoring e log analysis
  • SIEM (Security information and event monitoring).

System monitoring: log collection, log monitoring e log analysis

Il System Monitoring non è altro che il monitoraggio e controllo dell’infrastruttura IT di un’organizzazione. È formata da una serie di attività come log collection, log monitoring e log analysis.

La log collection è la raccolta e centralizzazione dei log da una o più fonti di origine diverse. Nel nostro caso specifico (Italia) è necessario che questi log siano raccolti in modo che siano immodificabili e visualizzabili in ogni momento, per motivi che vedremo in seguito.

Il log monitoring (osservazione dei log) è l’osservazione continua dei log mentre vengono generati. I software di log monitoring possono far partire allarmi se notano delle anomalie nel contenuto dei log. Da sole la registrazione e l’osservazione non sono sufficienti, spesso diventa necessario analizzare i log per comprendere eventuali irregolarità compiute in passato o possibili pericoli in arrivo.

La log analysis (analisi dei log) è quella parte del log management che si preoccupa di valorizzare i log dandogli un significato maggiore rispetto alle necessità normative. Il monitoraggio e l’analisi dei log interagiscono fra loro per garantire che le applicazioni funzionino nel modo migliore e per determinare in che modo i sistemi e le policy di sicurezza possano essere migliorati.

L’analisi dei log aiuta anche a identificare modi per rendere gli ambienti dell’infrastruttura IT più prevedibili, efficienti e resilienti. Infine fornisce un valore continuo alle aziende dando una finestra sui problemi presenti, funzioni di ispezione sulle attività passate e previsione di minacce future.

SIEM (Security Information and Event Management)

Il SIEM (Security Information and Event Management) è una soluzione di sicurezza informatica che aiuta le organizzazioni a riconoscere le potenziali minacce e vulnerabilità all’infrastruttura IT prima che si verifichino. Possiamo vederla come una branca che sfrutta i log prodotti dai vari sistemi IT in modo superiore al log management. Utilizza infatti l’intelligenza artificiale per automatizzare molti dei processi manuali associati al riconoscimento delle minacce, alla risposta agli incidenti e all’analisi del comportamento degli utenti per prevedere pericoli incombenti all’infrastruttura IT.

Perché si deve fare log management?

Il tutto nasce da un esigenza normativa da parte del Garante Privacy. Con una legge del 2008 (si, è passato parecchio tempo) si impone ai Titolari del trattamento privacy, pubblici e privati, una serie di obblighi sia di tipo organizzativo e sia di tipo tecnico-informatico relativamente alla gestione delle figure di amministratore di sistema:

  • – Individuazione, nomina scritta e tenuta di un elenco aggiornato degli amministratori di sistema.
  • – Obbligo di acquisizione e conservazione dei log di accesso degli amministratori di sistema per almeno 6 mesi con modalità che ne garantiscano la completezza, l’inalterabilità e l’integrità.
  • – Verifica almeno annuale dell’operato degli amministratori di sistema mediante l’analisi dei log.

Tutto questo perché gli amministratori di sistema, gestendo l’infrastruttura IT, hanno in mano anche la gestione dei dati personali degli utenti interni alla rete. Da qui la volontà da parte del Garante di monitorare le loro attività per proteggere la privacy delle persone.

Quali sono le conseguenze di una scorretta gestione dei log?

Sanzioni, sia amministrative sia penali. In primis l’articolo 58 del GDPR può impedire parzialmente o totalmente il trattamento dei dati personali al soggetto da punire (non potendo più effettuare il trattamento non puoi più richiedere informazioni personali a nessuno). Successivamente l’articolo 83 stabilisce come tetto massimo la somma di 20.000.000 di euro o del 4% del fatturato mondiale totale annuo dell’esercizio precedente, nel caso di imprese.

Le responsabilità penali invece sono legate ai casi degli articoli 167 (trattamento illecito dei dati), 168 (falsità nelle dichiarazioni al Garante) e 169 (inosservanza dei provvedimenti del Garante). Per questi risponde l’autore materiale del danno e in alcuni casi il responsabile del trattamento.

Come sono legati Garante Privacy e GDPR in tema di log management?

Abbiamo parlato sia di garante privacy che GDPR. Il Garante Privacy è stato il primo a muoversi in ambito di protezione dei dati personali e ad esplicitare alcune regole obbligatorie sugli accessi degli Amministratori di sistema. La GDPR che ha origine da norme europee integra le normative del Garante in tema richiedendo una maggior qualità sui controlli.

In realtà non ci sono solo le normative del GDPR e il garante, sono molte quelle nazionali e internazionali relative alla sicurezza e riservatezza dei dati che richiedono una gestione dei log: SPID (AGID – 2015), Misure Minime PA (AGID – 2017), ecc.

Perché è utile fare log management a prescindere dalle normative?

Sicurezza informatica e controllo dell’infrastruttura IT. Il numero di attacchi alle reti aziendali cresce ogni anno, i costi medi associati ad ogni attacco crescono e la maggior parte delle minacce arriva dall’interno (account deboli o dipendenti scontenti). Quindi diventa fondamentale dotarsi di sistemi di prevenzione e controllo. Tra i sistemi di controllo il log management consente di tenere sempre sotto controllo l’attività degli utenti interni e prevenire in certi casi le minacce esterne.

Vuoi saperne di più su log e log management? compila il form qui sotto.