Il Garante per la protezione dei dati personali ha stabilito che entro il 15 Dicembre 2009 la maggior parte delle aziende - private e pubbliche - dovranno registrare e conservare i dati relativi agli accessi degli Amministratori di Sistema ai sistemi contenenti dati sensibili da loro gestiti, al fine di agevolare la “verifica sulla loro attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici” (Gazzetta Ufficiale n. 300, 24 Dicembre 2008).

In questo provvedimento per amministratori di sistema si intendono gli amministratori di reti, database, apparati di sicurezza e sistemi software complessi. L’azienda o l’ente è quindi tenuto a identificare gli amministratori di sistema, per poi registrare e conservare i log di tutti gli accessi logici: ciò significa che ad essere registrati dovranno essere per legge solamente i “log-in” e “log-out” degli amministratori sui sistemi contenenti i dati più sensibili, e non tutte le attività svolte su tali sistemi.

I log registrati dovranno “comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”. Le registrazioni degli access log devono inoltre essere completi, conservabili su sistemi che garantiscano la loro inalterabilità e che garantiscano al contempo la possibilità di verifica della loro integrità.

In pratica ogni azienda o ente, dopo aver nominato gli amministratori, dovrà dotarsi di un sistema di “Log Management”, in grado di tracciare gli accessi degli amministratori di sistema ai vari dispositivi ed applicazioni che gestiscono e che possa conservare i dati in maniera sicura per un periodo minimo di sei mesi.

...maggiori info