Logo ImpresaCity.it

Parola di CA

Elio Molteni, Senior technology Specialist di CA, ci parla del provvedimento del Garante relativo all'attribuzione delle funzioni di Amministratore di sistema per quanto riguarda la protezione dei dati sensibili.

Autore: Barbara Torresani

Con Elio Molteni, Senior technology Specialist di CA, ovvero l'esperto all'interno di CA delle tematiche inerenti alla "tracciabilità dei log", le norme che sono entrate in vigore il 15 dicembre 2009 e riguardano nello specifico la protezione dei dati sensibili e il ruolo e la figura dell'Amministratore di Sistema, entriamo nello specifico del tema.
Quali i motivi alla base del provvedimento emesso dal Garante in merito all'Amministratore di Sistema?
parola-di-ca-1.jpgCome spiega il provvedimento stesso, il Garante dopo aver effettuato una serie di verifiche presso alcune aziende, ha constato che non vi è un'attenzione specifica al controllo della figura degli Amministratori di Sistema (database, reti, sistemi operativi, software complessi).
Nel caso specifico dell'Amministratore di Sistema il relativo codice utente non corrisponde a un utente individuale ma è spesso un utente generico utilizzabile da differenti persone che sono a conoscenza della password. E' questo anche il caso delle utenze comuni, come ad esempio l'utenza root dei sistemi Unix. Se si è a conoscenza della password di questa utenza si può accedere al sistema e non è poi possibile risalire al singolo utente che è entrato nel sistema, essendo la password condivisa da molti.
Le utenze che riguardano gli Amministratori di Sistema hanno spesso priviligi molto elevati e ad esse è consentito effettuare molte operazioni. Essendo queste utenze privilegiate e potenti, tanto da essere chiamate in alcuni casi "superuser", è sorta la necessità da parte del Garante di controllare maggiormente queste figure per salvaguardare la privacy dei dati.
Penso che le imprese non debbano solo preoccuparsi della privacy dei dati ma anche porre attenzione alla salvaguardia delle informazioni aziendali critiche che, se finiscono  in  mani sconosciute, possono rappresentare un serio pericolo.  

In sostanza cosa cambia per l'Amministratore di Sistema, una figura che tende ad assumere un ruolo sempre più chiave in azienda?
A differenza del passato, gli Amministratori di Sistema devono ricevere un incarico da parte del responsabile del trattamento dei dati.  In sintesi, l'Azienda deve "nominare" coloro che  utilizzano  queste utenze privilegiate. In sostanza,  gli Amministratori che erano utenti dell'IT, lo diventano ancora di più e vengono ‘nominati', ricevendo un incarico secondo la privacy. 

[tit:Il ruolo della tecnologia]

La tecnologia che valenza assume in quest'ambito?
Quando si parla di sicurezza e anche di privacy dei dati occorre prendere in considerazione sia gli aspetti organizzativi sia gli aspetti tecnologici. I primi riguardano, per esempio, la nomina degli Amministratori, il fatto di seguire determinate procedure interne di registrazione, ciò che il provvedimento richiede di adempiere. Dietro al provvedimeto, però, vi sono anche richieste esplicite relative all'utilizzo della tecnologia. Tracciare l'accesso degli amministratori verso i sistemi, i database, la rete, non può essere un'operazione manuale, ed ecco quindi che entra in gioco la tecnologia. Per seguire l'attività degli Ammininistratori di sistema è necessario avere degli strumenti tecnologici che consentano di tracciare le informazioni, reperirle, e, possibilmente centralizzarle al fine di renderle disponibili per un utilizzo diretto o indiretto da parte dell'azienda o da parte degli adetti del Garante. 

La tecnologia che diventa quindi un elemento abilitante...
Le organizzazioni definiscono le policy; le policy devono essere messe in atto e la messa in atto è ad appannaggio della tecnologia. E' una sorta di triangolazione che ricomincia dall'organizzazione. Si prenda per esempio la sicurezza. Rispetto a questo tema, ove al centro si pongono i dati, le persone definiscono come comportarsi all'interno dell'azienda grazie alle  policy. Affinché vengano messe in atto in modo corretto, occorre rispettare gli aspetti organizzativi (procedure, formazione, ...) e utilizzare le tecnologie che abilitano tali disposizioni.
La tecnologia consente quindi di abilitare tanti processi e in questo caso diventa un elemento che facilita l'esecuzione del  provvedimento del Garante in materia di Amministratori di Sistema. 

[tit:L'offerta CA]

Quale offerta propone CA in questo specifico contesto?
Per ciò che concerne il provvedimento del Garante, sul mercato esistono soluzioni di base e soluzioni complete. Da parte sua, CA ha una soluzione articolata, modulare, complementare e integrata, che parte da uno strumento tecnologico per la gestione dei log (eventi di sicurezza) denominato CA Enterprise Log Manager (questa è la componente minimale che soddisfa le richieste del Garante). Questo strumento permette di reperire i dati e le informazioni, effettuare reportistica, centralizzarli e renderli fruibili all'utente che deve gestire il sistema, ...per spingersi fino al completamento delle richieste del Garante,  puntando all'univocità delle utenze. Per fare un esempio, tornando all'utente root dei sistemi  Unix, questa utenza non è associata a una specifica persona, ma tutte quelle che conoscono la password. E oggi conoscere le password non è un'operazione così difficile.
Oltre allo strumento di gestione dei log (CA Enterprise Log Manager), CA mette a disposizione la tecnologia di controllo agli accessi, denominata CA Access Control, che permette di rendere univoche anche le utenze comuni. Come? Facendo in modo che ad ogni utenza comune venga associato, dietro espressa autorizzazione, un effettivo codice utente corrispondente a una persona fisica; che significa avere un'associazione sicura e tracciata dell'utilizzo di queste utenze comuni.
CA, inoltre, dispone di altre tecnologie che possono essere d'aiuto per la conformità al provvedimento del Garante. Una di queste, per esempio, pemette di individuare in maniera sicura e continuativa chi sono le utenze privilegiate richieste dal Garante. Questa soluzione, che rientra nell'ambito della suite di sicurezza, è denominata CA Eurekify Role & Compliance Manager, che permette di verificare e monitorare costantemente "chi fa cosa" prima di utilizzare il sistema: in pratica, uno strumento di audit e compliance.
A differenza di altri vendor che hanno nella loro offerta solo una componente (quella relativa alla gestione dei log), CA consente di rispondere fedelmente a tutto ciò che richiede il Garante.
Quella di CA non è soluzione sviluppata appositamente per adempiere a tale provvedimento, ma è un'offerta di sicurezza completa che contempla tutte le componenti necessarie a conseguire la conformità.  

[tit:Un contesto più ampio]

Avete studiato una formula per agevolare il processo di adeguamento alla normativa? Vi fate aiutare dai partner in questo processo?
Assolutamente sì. Ci sono situazioni in cui lavoriamo in sinergia coi partner che hanno competenze sia sulla tecnologia CA che sul tema della sicurezza e, nello specifico, del provvedimento. Al contempo CA è in grado anche di effettuare consulenza diretta, mettendo a disposizione persone certificate nell'ambito della sicurezza.  

Qual è la Vostra percezione rispetto all'adeguamento delle aziende al provvedimento emesso dal Garante?
Il provvedimento riguarda un perimetro molto vasto di aziende, grandi, medie e piccole. Il provvedimento, di per sè, non è molto restrittivo, come lo è quello imposto dal Garante nell'ambito delle Tlc.
Le posizioni variano da azienda ad azienda. C'è chi ha esagerato nell'interpretazione delle richieste del Garante chi, per contro, ha adottato un atteggiamento molto più superficiale. A nostro avviso non vi è una linea precisa seguita dalle aziende. Ciononostante buona parte delle aziende si è adeguata o è in procinto di farlo. Chi non lo ha ancora fatto lo dovrà fare. Dopo due proroghe è ora il momento di adeguarsi.     

Come valuta CA l'opportunità aperta dall'adeguamento alla normativa?
Per CA vuol dire proporre tecnologie note, che molto aziende utilizzano già, ma anche raggiungere nuove aziende che non le hanno ancora adottate. Non bisogna dimenticare che ciò che il provvedimento in questione richiede è un "di cui" di ciò che le aziende dovrebbero fare in modo molto più esteso in relazione al tema  sicurezza.
Il messaggio passato dal Garante è che questo provvedimento è volutamente non restrittivo, ma non è detto che un domani non si vadano a imporre misure più severe.
Il suggerimento che dà CA alle aziende è quello di non sottovalutare il provvedimento, in quanto è solo un primo passo lungo un percorso che pian piano si definirà con sempre maggiore chiarezza. Chi meno investe oggi, più spenderà in futuro! E questa considerazione non riguarda soltanto la Normativa del Garante in merito alla Privacy ma anche la salvaguardia dei dati sensibili aziendali, che richiedono quindi una considerazione più ampia relativa alla sicurezza. 
Pubblicato il: 08/01/2010

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

Red Hat Open Source Day, il futuro ha il sapore dell’open source

speciali

L’affermazione della stampa 3D tra prototipazione e produzione