Inalterabilità dei log e Amministratori di sistema

Il recente provvedimento del garante della privacy in materia di amministratori di sistema sta generando molte perplessità nell’ambiente dei sysadmin.

La parte più controversa è certamente quella che recita :

Le registrazioni (cd: access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo per cui sono richieste.

Per ottemperare a questa direttiva occorre infatti far entrare un soggetto terzo di auditing che si ponga come garante dell’inalterabilità dei log d’accesso.

Faccio due considerazioni per me essenziali e che credo ogni azienda debba prendere in esame :

1. Siete veramente sicuri che la vostra azienda debba dotarsi necessariamente di un amministratore di sistema? Accertatevi di ricadere in una di queste 3 casistiche:
   a) i titolari che trattano i dati personali senza utilizzo di strumenti elettronici;
   b) i titolari che trattano come dati sensibili solamente quelli dei propri dipendenti e collaboratori, solo al fine di adempiere agli obblighi amministrativi;
   c) i titolari che trattano i dati personali ai soli fini amministrativi-contabili, già oggetto delle semplificazioni introdotte con l’art. 29 del D.L. 112/08
   Se rientrate in uno di questi casi, problema risolto. Non avete bisogno di un ADS.
2. La soluzione di un auditor esterno sposta il trust verso una persona terza. Chi ci garantisce che i nostri log vengano trattati con effettiva riservatezza?

Io ho trovato una soluzione di IBM che puo’ essere riassunta dallo schemino qui sotto:

Clicca per ingrandire

Voi che ne pensate?