Registrare i log degli amministratori di sistema

Registrare i log degli amministratori di sistema

Nonostante la figura di Amministratore di Sistema non sia menzionata dal GDPR è comunque consigliato adottare le misure prescritte dal Garante della Privacy italiano nel 2008.

La registrazione dei log degli Amministratori di Sistema (AdS) è stata una misura prescritta ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema nel 2008 dal Garante della Privacy italiano (d.lgs.196/2003).

La figura di Amministratore di Sistema non viene in alcun modo menzionata dal GDPR ma nello stesso tempo non interviene sui provvedimenti del Garante, affermando solo il dovere di cancellare le norme e le regolamentazioni degli ordinamenti nazionali incompatibili con le disposizioni del regolamento stesso.

Il GDPR impone a carico del titolare e del responsabile del trattamento maggiore controllo e responsabilizzazione, secondo un’ottica di prevenzione del rischio in relazione ai dati personali.

Gli accorgimenti imposti dal Garante della privacy nel provvedimento sulla designazione degli Amministratori di Sistema appaiono pertanto essere conformi ai principi e alle disposizioni contenute nel GDPR, soprattutto ai fini dell’accountability.

Chi sono e cosa fanno gli Amministratori di Sistema

Gli Amministratori di Sistema sono soggetti interni e/o esterni all’azienda preposti alla sicurezza, gestione e manutenzione di banche date, sistemi, reti e infrastrutture informatiche.
Gli Amministratori di Sistema hanno la possibilità di accedere alle banche dati aziendali con lo scopo di applicare processi e gestire strumenti in grado di proteggere patrimonio informativo (es. per effettuare un backup o il test di un recovery).

In ragione delle proprie mansioni, l’Amministratore di Sistema è quindi in grado di accedere ai dati.

Registrare i Log degli accessi

Il Titolare del Trattamento deve in primis designare individualmente i singoli Amministratori di Sistema tramite un atto che elenchi le singole attività e in modo analitico il perimetro di azione.

In secondo luogo il Titolare del Trattamento deve riportare in un registro gli estremi identificativi di ogni AdS.

Infine il Titolare deve adottare strumenti software e hardware con cui registrare i Log degli accessi a sistema e ai dati da parte dell’Amministratore di Sistema.
I log devono essere in qualche modo validati con data certa per poi essere archiviati per un periodo di 6 mesi con caratteristiche di completezza, integrità ed inalterabilità.
Ogni Log deve comprendere la data, l’evento, l’identificativo del sistema e qualsiasi informazione per tracciare l’attività dell’AdS.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
Registrare i log degli amministratori di sistema
Titolo
Registrare i log degli amministratori di sistema
Descrizione
Nonostante la figura di Amministratore di Sistema non sia menzionata dal GDPR è comunque consigliato adottare le misure prescritte dal Garante della Privacy italiano nel 2008.
Autore
Publisher
InfoGDPR
Logo Publisher