L’utilità ed opportunità di dotarsi di uno strumento di log management è indiscutibile o dovrebbe, perlomeno, esserlo per qualsiasi azienda che ha a cuore la sicurezza delle proprie informazioni.
Lo chiedono basilari regole di prudenza e sicurezza e lo impongo, inoltre, anche specifiche norme di legge, a cominciare dal Provvedimento del Garante del 2008 in materia di Amministratori di sistema fino all’odierno art. 32 del Regolamento UE 679/2016 (“GDPR”).
Ma tra il dire e l’adottare uno strumento di log management il salto è, ancora per molti imprenditori, specie se PMI, né semplice né scontato.
L’imprenditore che decide di dotarsi di un apposito prodotto o servizio per il log management si trova di fronte una varietà di soluzioni e prodotti che rendono la scelta estremamente difficile: quali caratteristiche deve avere, in concreto, un valido prodotto di log management?
Per orientare i miei clienti nella scelta più corretta, ho intervistato alcuni primari produttori di strumenti di log management con lo scopo di individuare quali siano i requisiti fondamentali ed indispensabili da tenere in considerazione in fase di acquisto.
Vi anticipo la conclusione della mia indagine prima di spiegarvi le ragioni sottostanti: è più importante il fornitore del prodotto.
O, meglio, un buon prodotto di log management può aiutarvi poco senza un fornitore serio ed affidabile che vi accompagni nel processo di analisi delle vostre effettive esigenze, tenendo conto delle specifiche caratteristiche della vostra impresa, in modo da consentirvi di sfruttare tutte le potenzialità dello strumento che state acquistando.
Proprio perché ogni azienda è differente dall’altra, ciascun imprenditore avrà necessità di uno strumento di log management diverso, che si adegui alle caratteristiche proprie dell’azienda in un determinato settore di business .
Nella scelta del prodotto corretto, le imprese dovranno, infatti, valutare:
- se hanno necessità di un prodotto che registri massivamente tutte le informazioni oppure se sia preferibile optare per uno strumento più selettivo che analizzi solo certi registri di sistema. Nel primo caso (utile se siete, ad esempio, un cloud provider) avrete una copertura totale delle informazioni, ma la mole di dati registrati richiederà maggiori risorse e implicherà maggiori costi (anche di personale) e, in qualche caso, tempi di reazioni più lenti; nel secondo caso, lo strumento di log management sarà più performante e meno costoso ma sarà realmente efficace solo se è stata svolta con particolare attenzione la fase preliminare di risk assessment per evitare pericolose lacune nel monitoraggio dei log;
- se devono gestire log all’esterno del loro sistema, come avviene se si utilizzano servizi in cloud: in questi casi occorrerà verificare se il prodotto di log management abbia la possibilità di accedere ai log di questi fornitori esterni e possa importarli, normalizzarli, etc., con quali tempi e con quali costi;
- se il prodotto è scalabile ed ha la capacità di adattarsi alle future esigenze di sviluppo dell’impresa (situazione non tanto remota, soprattutto ora che il PNRR spinge tutte le imprese verso un’intensa digitalizzazione);
- se scegliere un fornitore nazionale o estero, tenendo conto della complessità e specificità della normativa europea sulla protezione dei dati e degli orientamenti espressi dal nostro Garante in materia. Affidarsi ad un produttore locale che possa offrire un concreto e tempestivo supporto in caso di ispezione e controllo da parte delle nostre Autorità, magari quale conseguenza di un evento di data breach, è un aspetto da non sottovalutare;
- se lo strumento che si vuole acquistare garantista l’inalterabilità / immodificabilità dei log registrati (tramite blockchain, certificati digitali, etc.), come richiede la normativa vigente. In questo contesto, occorre anche tenere presente che la conservazione di log integri non deve entrare in conflitto con la necessità, sancita dal GDPR, di cancellare le informazioni secondo i criteri di data retention stabiliti dall’azienda o in caso di richieste da parte degli interessati;
- se sia preferibile / opportuno sottoscrivere appositi servizi di monitoraggio dei log da remoto con il fornitore. Questo servizio potrebbe essere utile alle PMI che non hanno molto personale da dedicare alla supervisione dei risultati ma, in questo caso, occorre che il servizio sia adeguatamente disciplinato e presidiato da un contratto che tuteli l’azienda contro negligenze del fornitore.
Se, infatti, il contratto prevedesse clausole limitative della responsabilità a favore del fornitore, l’utilità (ed il costo) del servizio sarebbe vanificata nel momento in cui, a fronte di una violazione o di un errore del fornitore, quest’ultimo potesse limitare il risarcimento del danno a valori esigui, come spesso viene stabilito in questo genere di contratti.
Considerato, quindi, il ruolo cruciale che assume il fornitore nella scelta e nella configurazione del prodotto di log management adatto alla vostra azienda, il mio personale consiglio è di non valutare il prezzo del servizio/prodotto in sé, ma di verificare attentamente che tale prezzo sia congruo anche in relazione alle responsabilità che si assume il fornitore nei vostri confronti, facendo analizzare, prima della sottoscrizione, il contratto al vostro legale di fiducia.
E’, inoltre, appena il caso di ricordare che affidarvi ad un prodotto poco costoso solo per “apparire” conformi alle norme di legge non vi mette al riparo da sanzioni qualora il Garante dovesse verificare, in concreto, l’inadeguatezza del Responsabile del trattamento cui vi siete affidati per il monitoraggio dei log.
A seconda della soluzione di log management scelta, il vostro fornitore può, infatti, ricoprire il ruolo di Responsabile del trattamento ai sensi dell’art. 28 GDPR: in questo caso, l’impresa dovrà esaminare attentamente la documentazione contrattuale e tecnica contenuta nel data processing agreement collegato al contratto di fornitura del prodotto/servizio di log management. Meglio, quindi, anche in questo caso, affidarvi al vostro legale di fiducia.
Da ultimo, ricordatevi che il monitoraggio dei log implica anche il monitoraggio dei vostri dipendenti e che, pertanto, occorre dare loro un’idonea informativa ai sensi dell’art. 13 GDPR sulle modalità con cui avviene tale attività di trattamento dei loro dati personali.
In ogni caso, è bene tenere sempre a mente che anche il miglior programma di log management non può sopperire agli errori o disattenzioni del vostro personale: è, quindi, essenziale abbinare a questo tipo di prodotti un valido percorso di formazione del vostro personale, come, peraltro, previsto obbligatoriamente dall’art. 32 del GDPR.
Spero di avervi aiutato nella scelta del vostro strumento di log management.
Se avete dubbi o richieste specifiche sul tema, potete scrivermi qui e sarò felice di aiutarvi.