Amministratori di sistema: le FAQ del Garante

Con netto anticipo sulla scadenza fissata per la consultazione pubblica avviata dal Garante Privacy sul tema degli Amministratori di sistema, è stata pubblicata oggi sul sito del Garante una lista di domande e risposte che sciolgono senz’altro alcuni dei dubbi che tutti abbiamo sulla reale portata del provvedimento dello scorso novembre, anche se molte altre domande ancora rimangono senza risposta. In ogni caso, alcune precisazioni estrapolate da una prima veloce lettura si possono già fare.

Ad esempio, il Titolare di trattamento che sia anche l’unico utente di un pc, a meno di casi particolari, non è tenuto ad applicare quanto previsto dal provvedimento. Il che fa tirare un grosso sospiro di sollievo a tante piccole e micro imprese che si chiedevano se fosse il caso di installare un server apposito per registrare i log di accesso.
Già che parliamo di modalità tecniche, si nota dalle risposte che in realtà non viene richiesto nulla di esoterico, bastando in molti casi già gli strumenti posti a disposizione dal sistema operativo. E’ comunque compito del Titolare valutare quale sia il giusto grado di sicurezza da implementare per proteggere e conservare “per almeno sei mesi” i log. Quindi in casi specifici potrà essere necessario ricorrere a server di log centralizzati, salvataggio con crittografia, copia su supporti ottici, e quant’altro, ma nella maggior parte dei casi tutto questo non sarà necessario.

Altra domanda spesso fomulata: cosa registrare? Il Garante precisa che sono da registrare solo gli eventi legati dal sistema di autenticazione informatica, pertanto login, logout ed eventuali condizioni di errore. E se il log registra anche altri eventi oltre a quelli legati all’autenticazione, cosa comune ad esempio su syslog? Fa nulla. Il requisito dettato dal provvedimento è rispettato lo stesso.

A leggere le risposte inserite in queste FAQ, viene quasi da pensare che alla fine, tutto il parlare fatto su questo provvedimento sia stato solo tempo perso. Intendiamoci, mi sto riferendo alle discussioni tecniche che sono fiorite un pò dappertutto. Ad esempio, sull’affidabilità di un log gestito da chi poi è la stessa figura che il log dovrebbe permettere di controllare. Insomma, il classico “chi controlla il controllore?”.  Riporto un brano dalla riposta n. 12:

“E’ ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante  non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.”

Insomma: “State tutti tranquilli. Abbiamo scherzato.” 😉

Il link al documento del Garante Privacy contenente le FAQ sugli amministratori di sistema

Forse ti interessa leggere anche: soluzione-open-source-per-log-amministratori-di-sistema