Il log management è un’attività centrale per il comparto informativo delle imprese. Attraverso un processo di acquisizione, parsing, correlazione, analisi e conservazione dei log, le aziende soddisfano infatti le proprie esigenze informative circa l’attività dei sistemi informativi e allineano la propria condotta ad apposite norme e regolamenti.
Log management, tra obbligo e opportunità
Si può dire che l’attività di log management sia in realtà obbligatoria per le imprese, quanto meno nell’ottica della trasparenza sull’operato degli Amministratori di Sistema (Provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008). Attuare un processo di log management, supportato da strumenti ad hoc, è inoltre considerato un fattore di conformità con il GDPR, stante il principio dell’accountability sposato dal legislatore europeo.
Caratteristica peculiare del log management sono i vari ambiti applicativi che offre. Moltissime aziende intraprendono questo percorso per le esigenze di conformità di cui sopra, salvo poi realizzarne gli straordinari benefici anche per altri scopi, come quello della sicurezza (i sistemi SIEM si basano sulla raccolta, l’ analisi e la correlazione degli eventi registrati nei security log dai sistemi e dai dispositivi IT) e anche del potenziamento delle performance delle reti e degli applicativi; il tema dell’Application Performance Monitoring (APM), per esempio, si basa sull’acquisizione e la valorizzazione di metriche di performance, che di fatto sono dei log.
Log Management e i requisiti di conservazione
Quando si parla di requisiti legali di conservazione dei log, si suppone di essere arrivati allo step conclusivo del processo gestionale. Quando l’obiettivo è la compliance, come nel caso dell’attività degli AdS (Amministratori di Sistema), è proprio la conservazione l’elemento cardine del processo.
Affinché le rilevazioni di un sistema circa il comportamento degli AdS abbiano valore legale, e lo stesso vale per tante altre fattispecie di conformità come il GDPR o l’acquisizione di certificazioni ISO, i log devono essere conservati in un certo modo, rigorosamente definito dalla legge. Sotto questo profilo, giova riferirsi proprio all’intervento del Garante circa la conservazione dei log degli accessi ai sistemi informativi. Si afferma in modo molto chiaro che “Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”.
Al di là dei riferimenti temporali, che ovviamente variano a seconda della normativa, i requisiti di completezza, inalterabilità e possibilità di verifica (reperibilità) rappresentano una sorta di standard all’interno del mondo della conservazione digitale. L’articolo 44 del CAD (Codice dell’Amministrazione Digitale) sancisce infatti che, per avere valenza legale, il documento digitale debba garantire autenticità, integrità, affidabilità, leggibilità e reperibilità.
Come conservare un log a norma di legge
Per conservare i log a norma di legge, le aziende devono in primis definire una policy di conservazione chiara e coerente, stabilendo tempi e modi di conservazione per ciascun tipo di log in base alle normative applicabili.
A prescindere dalla normativa di riferimento, e quindi con una prospettiva di osservazione più alta, occorre utilizzare tecnologie di archiviazione sicura, che per esempio garantiscano l’inalterabilità del dato e appongano automaticamente le marche temporali sui log memorizzati. Inoltre, è fondamentale implementare, a livello infrastrutturale e applicativo, misure di sicurezza robuste per proteggere l'integrità, l’accessibilità continua e la riservatezza dei log archiviati. Ciò risulta fondamentale per dimostrare la conformità normativa in caso di audit, di richieste legali o di incidenti da gestire.
Nel caso si opti per l’outsourcing, tra gli elementi da valutare in chiave di conformità c’è ovviamente l’infrastruttura del partner: qui fanno fede le certificazioni relative ai sistemi di gestione (ISO), ma anche quelle relative all’infrastruttura stessa, come i Tier dei data center. Chiaramente gli aspetti di garanzia sull’immutabilità dei dati sono da ritenersi un fattore preferenziale per una scelta di un provider. Tutto, infatti, converge in un fattore di solidità e resilienza che non solo aiuta le aziende ad essere conformi alla regolamentazione in essere, ma anche a garantire la continuità operativa del proprio business.
