In queste ultime settimane mi sto cimentando con i contenuti del Provvedimento in oggetto (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499), con l'obiettivo di recepire in azienda le misure tecnico-organizzative che lo stesso prescrive.
Inutile dire che l'esercizio non è semplice: indicazioni generiche, molti dubbi - generati dal Garante stesso - oltre quelli legittimamente sottoposti dalla comunità ICT italiana - difetti tecnico-operativi e controlli non sempre applicabili sono solo alcuni degli elementi di difficoltà che mi vengono alla mente ...
Il punto senza dubbio più ostico è rappresentato dalla famosa registrazione degli accessi. Il testo del provvedimento recita:
"Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi"
Pare, ad una prima lettura, che sia suffiente un "normale" sistema di logging che provveda a registrare le operazioni di login e logout effettuate. Inoltre, per quanto concerne i criteri relativi alle garanzie di inalterabilità/integrità, si potrebbe fare riferimento ai meccanismi nativi di hashing che molti strumenti rendono disponibili.
Beh, prima di stabilire come procedere, mi documento ancora un po' ...
Nessun commento:
Posta un commento