Acquisire e gestire al meglio i log dei propri sistemi informativi (Log Management) è un’attività cui nessuna impresa può sottrarsi. Essa, infatti, non risponde soltanto a esigenze di conoscenza e trasparenza, ma è un requisito della conformità aziendale, della continuità del business e dell’efficienza operativa.
Log Management, una vera e propria necessità
Per un’azienda, acquisire e gestire i log in forma centralizzata significa ottenere preziose informazioni su tutto ciò che accade nei propri ambienti IT, con conseguente possibilità di controllo e di ottimizzazione.
Tuttavia, prima ancora di ragionare in termini di opportunità e di considerarlo (giustamente) uno strumento di vantaggio competitivo, il logging è un’attività che le imprese sono tenute a fare per essere conformi a svariate policy e regolamenti, per contrastare efficacemente le minacce informatiche ed evitare spiacevoli sorprese come perdite di dati, sanzioni, danni economici e reputazionali.
Il tema è complesso, e per questo non tutte le imprese stanno gestendo al meglio il proprio patrimonio informativo. Spesso mancano risorse adeguate e competenze specialistiche, oppure non è chiaro quale sia il modo migliore per approcciare i progetti e ‘fare’ Log Management. Talvolta, emergono anche limiti di natura infrastrutturale, poiché il logging comporta la gestione di grandi volumi di dati in tempo reale. Per tutti questi motivi, alcune imprese realizzano di doversi attrezzare per la gestione log a seguito di eventi come il mancato rilascio (o il rinnovo) di una certificazione ISO, un’ispezione di conformità al GDPR, un audit fallito o magari un data breach.
Alla luce di queste informazioni, possiamo sintetizzare i motivi per approcciare al mondo della Gestione dei Log in 4 punti principali:
Log Management come requisito di compliance
Come anticipato, diverse leggi e regolamenti impongono alle imprese la registrazione e la conservazione dei log. Questi, rafforzati da requisiti di completezza, verificabilità e inalterabilità, sono elementi chiave della documentazione su cui si basano le procedure di audit. A titolo di esempio, citiamo:
- Provvedimento Garante per la Protezione dei Dati Personali – 27/11/2008
A partire dal 2008, sulle imprese pende l’obbligo di tracciare, registrare e conservare per almeno 6 mesi i dati di login, logout e i tentativi di login degli Amministratori di Sistema (ADS). Le imprese sono tenute a rendere completi e inalterabili i log e, mediante gli stessi, a valutare almeno annualmente l’operato degli ADS. In altri termini, le aziende devono dotarsi di un sistema di Log Management finalizzato a tracciare gli accessi degli ADS a sistemi e dispositivi;
- GDPR, Regolamento (UE) 2016/679
Il principio di accountability del GDPR ha introdotto l’obbligo, per il titolare del trattamento dei dati, di dimostrare il rispetto delle sue stesse norme. Il GDPR pone quindi un doppio onere alle imprese: rispettare i suoi principi e predisporre sistemi adeguati a dimostrarne l’osservanza. Questi non possono che essere i log file, dotati di caratteristiche di certezza, autenticità e immodificabilità;
- La normativa americana sul trattamento dei dati sanitari (HIPAA);
- Il Sarbanes-Oxley Act (SOX)
Il Sarbanes-Oxley Act ha affermato il principio della Segregation of Duties per la prevenzione dei conflitti di interesse in ambito aziendale ed è stato ripreso anche dalla normativa italiana con la legge 262/2005.
A questi interventi normativi, e a molti altri, si sommano gli standard internazionali ad adesione volontaria, che certificano la disponibilità di asset, competenze e processi adeguati a porre in essere le best practice di settore, condizionando il vantaggio competitivo aziendale. Anche in questo caso, molti regolamenti impongono la registrazione e la conservazione dei log come requisito essenziale per acquisire e mantenere le certificazioni. Sotto questo profilo, segnaliamo:
- Payment Card Industry Data Security Standard (PCI DSS): è lo standard internazionale di sicurezza per le aziende che gestiscono informazioni di pagamento (dati di Carte di Credito);
- ISO 27001: si tratta dello standard internazionale per i sistemi di gestione della sicurezza delle informazioni. La certificazione ISO 27001 dimostra al mercato che l’azienda è in grado di gestire in modo sicuro i dati propri e quelli dei clienti attraverso una miscela virtuosa di asset, processi e competenze allo stato dell’arte.
Un tassello essenziale della sicurezza informativa
Qualsiasi impresa, a prescindere dalla sua dimensione, deve adottare misure tecniche, organizzative e di awareness finalizzate a proteggersi dalle minacce interne ed esterne alla sicurezza informatica.
L’universo della sicurezza si sta orientando sempre di più verso un approccio proattivo rispetto a minacce che cambiano e aumentano di giorno in giorno: questo approccio non sarebbe mai concretizzabile senza una piena trasparenza e visibilità su tutti gli eventi di sicurezza cui è soggetto l’ecosistema aziendale.
Qualsiasi attività anomala, di ogni genere, tipologia e natura, deve essere nota agli amministratori e agli specialisti di sicurezza; essa va poi arricchita e integrata con ulteriori informazioni al fine di definire un indice di rischio su cui prendere decisioni ponderate o attivare risposte automatizzate.
In tal senso, il Log Management è un layer essenziale di sicurezza su cui innestare attività di monitoraggio continuo, costruire alert personalizzati e migliorare KPI come il Mean Time to Detect (MTTD) e Mean Time to Respond (MTTD). Infine, ma non per importanza, Log Management è un requisito essenziale dell’analisi forense.
Troubleshooting e performance monitoring
Mai come oggi, le infrastrutture informatiche e le applicazioni devono garantire prestazioni straordinarie in termini di reattività, resilienza, disponibilità e rapidità nell’esecuzione delle richieste: la produttività e la competitività sul mercato, infatti, sono condizionate dalle performance dell’intero ecosistema digitale nel quale opera l’azienda.
L’acquisizione degli event log è essenziale per rilevare le cause di criticità e di prestazioni non in linea con i requisiti e le aspettative aziendali. Il Log Management abilita il monitoraggio di componenti infrastrutturali come reti, apparati hardware e server, ma anche delle singole applicazioni, facendo confluire il tutto in messaggi e alert che indirizzano i tecnici verso le soluzioni più efficaci. Senza un sistema di raccolta e analisi dei log come quello realizzato con la soluzione QUIELM di Intesys Networking grazie alla piattaforma Elastic Stack, risalire alle cause di eventuali problematiche sarebbe proibitivo in termini di tempi e costi, e talvolta anche poco efficace.
Efficienza dei processi e innovazione
Ormai, i processi di business sono digitalizzati e transitano nei sistemi informativi aziendali. L’analisi dei log dei sistemi può identificare eventuali inefficienze, dovute talvolta a processi non ben architettati o a un’esecuzione non conforme alle policy aziendali. In questi casi, l’analisi può suggerire ipotesi di riprogettazione e ottimizzazione dei processi, facendo eventualmente uso dell’automazione nei segmenti più ripetitivi e di routine. Così facendo, uno strumento di conoscenza, sicurezza e compliance si trasforma in un driver di efficienza e di crescita aziendale.
Amazing
Good
Bad
Meh
Pff
