Il provvedimento “Amministratori di sistema” e la registrazione dei log di accesso

Il provvedimento “Amministratori di Sistema” è uno dei passi fondamentali per la protezione dei dati personali nelle organizzazioni. È ancora in vigore oggi, come il GDPR e le misure minime AGID, ed è di centrale rilevanza in tema log management.

Il provvedimento Amministratori di sistema

Il provvedimento Amministratori di sistema è stato introdotto dal Garante privacy il 27 novembre 2008, modificato con Provvedimento del 25 Giugno 2009 ed è attualmente in vigore. Lo scopo è quello di migliorare la protezione dei dati personali digitali delle persone all’interno delle aziende, pubblica amministrazione, etc. 

Con questo provvedimento il Garante ha cercato di definire e mettere sotto controllo una delle figure più importanti nella società dell’informazione: l’Amministratore di Sistema. 

Esso, infatti, ha un notevole potere sui dati personali all’interno delle organizzazioni, grazie alle sue credenziali privilegiate è in grado potenzialmente di conoscere ogni attività e ogni dato degli utenti all’interno dell’infrastruttura IT che gestisce. Per questo motivo il garante ha creato il provvedimento con l’obiettivo di monitorare il suo operato ed evitare abusi.

Cosa dice il provvedimento?

Il provvedimento in primis definisce la figura dell’amministratore di sistema:

”Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.”

Le attività tecniche svolte da queste figure come il backup/recovery, l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano in molti casi, un´effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali. Anche nel caso in cui i dati non siano consultati in chiaro.

Per questi motivi il Garante ha prescritto degli accorgimenti e delle misure ai responsabili del trattamento nei confronti degli amministratori di sistema, di rete e di database. 

Quali sono le misure e gli accorgimenti per adeguarsi al provvedimento?

Le misure e gli accorgimenti si articolano in 5 punti.

• – La valutazione delle caratteristiche soggettive: “L´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell´esperienza, della capacità e dell´affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell´art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell´art. 29.” In sostanza l’amministratore di sistema non può essere una persona qualunque ma deve avere delle caratteristiche soggettive particolari. Anche quando le sue funzioni sono effettuate da un sostituto come il responsabile del trattamento dati o il titolare del trattamento.
• – La designazione dell’amministratore di sistema in ogni caso deve recare l’elenco analitico degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. In pratica deve esserci un documento scritto che elenca attività e responsabilità dell’amministratore di sistema. 
• – I dati anagrafici identificativi e gli estremi degli amministratori di sistema devono essere trascritti in un documento interno da poter fornire in ogni momento per eventuali controlli ispettivi. Anche quando essi sono in outsourcing e non interni all’organizzazione. Se fra i dati compresi nel trattamento ci sono quelli personali dei lavoratori dell’organizzazione, anche questi ultimi, devono essere noti gli amministratori di sistema.
• – L’attività degli amministratori deve essere almeno annualmente soggetta ad un controllo da parte dei titolari o responsabili del trattamento. 
• – Devono essere adottati sistemi idonei alla registrazione dei log di accesso agli elaboratori e agli archivi elettronici degli amministratori di sistema. Le registrazioni devono essere complete di riferimento temporale, della descrizione dell’evento che hanno generato e conservate per almeno 6 mesi.

In quali casi si è esclusi dall’adeguamento al provvedimento?

Purtroppo la definizione stessa del provvedimento impedisce una risposta chiara e semplice al problema. Bisogna valutare spesso caso per caso.

In alcuni casi però c’è esplicita esclusione dal provvedimento, in particolare:

• – Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).
• – C’è esclusione nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d’impresa. In questo caso specifico non si applicheranno le previsioni relative alla verifica delle attività dell’amministratore né la tenuta del log degli accessi informatici. 
• – In linea di principio generale anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. È proprio questo il punto critico, bisogna capire caso per caso se è necessario adeguarsi al provvedimento, comprendendo che tipologia di dati si stanno trattando nella propria infrastruttura IT. Se non si dovesse effettuare nessun trattamento dei dati non sarà necessario adeguarsi.

Come faccio ad adeguare i log al provvedimento “Amministratori di Sistema”?

Bisogna raccogliere i log in modo che siano inalterabili, completi, verificabili in ogni momento e devono essere conservati per almeno sei mesi. Per completezza le FAQ del garante spiegano nel dettaglio che :”il log deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali” mentre per inalterabili:”Caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati””.

Ci sono due momenti critici per i log in merito alla compliance e alla sicurezza: l’acquisizione e il trasporto. Nel primo caso infatti bisogna certificare che l’acquisizione sia stata effettuata correttamente, il log sia completo e identico a quello generato. Inoltre va firmato o vanno garantite in altro modo le sue proprietà di inalterabilità e completezza. Nel secondo caso bisogna invece verificare che il log non possa subire attacchi e modifiche lungo il suo tragitto (attacchi man in the middle ad esempio). Infine meno complesso è l’archiviazione e rendere verificabile il log per controlli ispettivi in qualsiasi momento.

Chiaramente ogni organizzazione può decidere di raccogliere i log in autonomia, centralizzarli da sé e renderli sicuri senza dover ricorrere a software specifici. Con tutti i rischi del caso. Per questo esistono soluzioni di log managament con focus sulla compliance dei log che sono già pronte all’uso e garantiscono una soluzione mirata al problema.

HTS e il provvedimento amministratori di sistema

HTS – Hi-Tech Services con i suoi prodotti LogBox e COALA risolve il problema dell’adeguamento al provvedimento “Amministratori di sistema”. Vuoi maggiori informazioni sulle nostre soluzioni? contattaci compilando il form.