Incominciamo dalla fine…

Posted by on May 21, 2010 in Uncategorized | 0 comments

vale a dire dalla gradevole cena di ieri sera con cui ci siamo salutati dai relatori della conferenza su Nagios & OSS monitoring che abbiamo organizzato. Ai numerosi americani, svedesi, tedeschi, toscani e romani noi altoatesini abbiamo fatto assaggiare qualche specialità culinaria locale. Tutti hanno apprezzato, particolarmente il Blauburgunder riserva e qualcuno ha anche ben pensato di portarsi dietro una (notevole) scorta di Strudel :-).
Dell’ evento parleremo nei prossimi giorni quando avremo a disposizione il materiale video e foto, vi posso però già anticipare che è stato un successo, con più di 350 partecipanti abbiamo superato tutte le ns. aspettative.

Read More

NetEye – provvedimento del garante status quo e features future

Posted by on May 10, 2010 in Log Auditing, NetEye | 0 comments

Nei giorni scorsi abbiamo avuto un incontro con l ‘ avvocato Luca de Muri ( consulente privacy  e Sicurezza per le aziende – Adacta Studio Associato) sul tema provvedimento del Garante per la Privacy.

I punti che sono emersi dall’ incontro sono che l‘attuale soluzione NetEye Syslog possiede tutte le caratteristiche richieste per l’adeguamento al provvedimento del Garante per la Privacy .
I punti forti della soluzione:

–    la firma digitale dei log che ne garantisce l’inalterabilità;

–    la cadenza giornaliera con cui la firma viene apposta (adeguata in quanto gli eventi vengono spediti subito dai server contenenti dati personali/sensibili tramite l’agent Safed/Snare);

–    la generazione dell’hash code MD5 della cartella giornaliera del giorno precedente (che a sua volta contiene l’MD5 checksum del giorno ancora precedente) e che crea un catena di dipendenze che aumenta l’inalterabilità dei dati e garantisce l’utilizzo di queste informazioni in casi di contenzioso;

–    il monitoraggio dell’agent Safed/Snare e del server su cui tale agent e` installato (si tratta di una parte integrante della soluzione NetEye Syslog, e deve sempre essere attivato nelle installazioni del modulo Syslog in modo che, se un amministratore ferma l’agent o scollega il server sotto monitoraggio del modulo Sylog di NetEye, il responsabile della sicurezza viene informato, in quanto si tratta di un’attività che può essere svolta solo dopo averla concordata in maniera formale);

Si e’ anche discusso delle buone consuetudini da utilizzare:
Good practices:

– Gli amministratori non devono avere la password di root dell’appliance NetEye utilizzato per l’auditing degli accessi degli AdS.

–    Gli amministratori di sistema devono essere sempre nominali e univoci: dai log di NetEye si deve poter capire quale singolo amministratore ha fatto l’attività di Login/Logoff. Per il garante per la privacy il tracciamento degli eventi di Login/Logoff è sufficiente ma nulla vieta di attivare l’auditing per tracciare anche cosa fa l’amministratore dopo l’accesso. La legge non lo richiede ma si tratta di una pratica che certamente può aiutare l’azienda in caso di contenzioso, specie per amministratori che trattano dati strategici o sensibili. Nel caso delle aziende sanitarie il tracciamento di tutte le attività degli amministratori è anzi un obbligo di legge.

–    I firewall dovrebbero sempre essere messi sotto monitoraggio nel Syslog: si tratta delle porte di entrata nell’azienda e un amministratore potrebbe sfruttare questo canale. Idem per la rete.

I device di rete (switch/router) vengono ritenuti device passivi e non è importante che siano monitorati con il modulo Syslog.

–    Gli amministratori di sistema devono essere informati per iscritto da parte del titolare che sono sotto monitoraggio e che l’azienda effettua questi controlli tramite NetEye.

–    L’azienda deve analizzare i dati dei log almeno una volta all’anno per certificare la coerenza degli accessi e in genere dell’attività di lavoro degli amministratori alle mansioni affidate e alle direttive e istruzioni ricevute. Per quest’attività  può essere incaricata anche un’azienda esterna. Si tratta comunque di un atto formale, che va specificato nel DPS e comunque in ultima istanza sempre da parte del titolare anche nella relazione accompagnatoria al bilancio.

–    L’analisi dei dati di log se possibile dovrebbe sempre essere effettuata da parte di un amministratore diverso da quello cui i dati si riferiscono (va garantita la separazione delle funzioni)

–    Il monitoraggio dei dati degli amministratori va coordinato con le norme sul controllo a distanza del lavoratore, e deve pertanto avere carattere di non sistematicità, progressività e non eccedenza allo scopo, al fine di evitare che si traduca in uno strumento invasivo della privacy. Tale coordinamento è possibile ad es. tramite procedure interne di carattere logico-organizzativo.

Read More