-----Original Message----- From: [email protected] [mailto:[email protected]] On Behalf Of Massimo Giaimo Sent: giovedì 29 ottobre 2009 11.34 Subject: [ml] log amministratori di sistema
> Buongiorno a tutti, > come sapete entro il 15 dicembre ogni azienda dovrà adeguarsi al > provvedimento del > Garante della privacy relativo al controllo delle attività degli > amministratori di > sistema. Volevo sapere se qualcuno in lista ha già avuto modo di testare > qualche > prodotto ed eventualmente se potesse dare un giudizio sui pro e sui contro > delle > soluzioni provate. Buongiorno, per l'azienda per la quale lavoro sto approcciando, dall'inizio dell'anno, il mercato italiano (prevalentemente large account) su questa tematica, seguendo e realizzando diversi progetti, sia di taglio organizzativo che tecnologico, e avendo modo di confrontarmi con moltissimi Security Manager. Prodotti sul mercato ce ne sono moltissimi. Si va dai più blasonati prodotti di mercato RSA enVision e Arcsight, a ELM di CA, a Sentinel Log Manager di Novell, alla suite Oracle per i DB, per arrivare a soluzioni opensource (syslog-ng, snare, ..) che moltissimi stanno valutando e implementando per la raccolta dei log. Una via alternativa all'implementazione di una soluzione in casa è l'outsourcing del servizio verso un SOC, che permette di essere conformi con la normativa con un investimento iniziale minimo e pagando il servizio a canone. Per la mia esperienza la scelta di una soluzione rispetto ad un'altra dipende prevalentemente (oltre che ovviamente dai rapporti commerciali già in essere) dalla visione del cliente, che può essere: - tattica: ovvero l'implementazione minima che mi permette di essere conforme alla normativa, senza pensare alle possibile evoluzioni - strategica: una volta che una funzione aziendale inizia ad accentrare i log poi "l'appetito vien mangiando" e diverse aree sono interessate (pensate all'IT per performance e monitoring, alla sicurezza per correlazione e rilevazione di incidenti di sicurezza, al top management per cruscotti direzionali, ...) Un altro driver fondamentale per la scelta della soluzione è la disponibilità di personale interno per mantenere la soluzione. Una soluzione basata su appliance è tipicamente più semplice da implementare e mantenere rispetto ad una soluzione custom basata su software opensource, in cui ad esempio è necessario sviluppare autonomamente i report (che nelle soluzioni commerciali sono tipicamente già presenti, o più semplicemente sviluppabili). Quello che generalmente si consiglia, indipendentemente dalla soluzione tecnica scelta, è di non approcciare il Provvedimento da un mero punto di vista tecnologico, ma di coinvolgere le aree organizzative (HR, Privacy, Compliance, ...) per disegnare e formalizzare insieme all'IT i processi ottimali per l'azienda. Questo concetto generale vale non solo per il requisito meramente tecnologico del Provvedimento (quello relativo alla conservazione dei log), ma anche per i requisiti di stampo più tipicamente organizzativo (definizione del processo di verifiche, designazione, mantenimento dell'elenco degli amministratori, ...). Spero che le considerazioni fatte, per quanto generali, siano lo stesso utili. Consideri che è molto difficile consigliare un prodotto come migliore degli altri per un Provvedimento come questo che per le aziende medio grosse può avere impatti molto consistenti. Per fare capire i due estremi, alcune aziende interpretano il Provvedimento con la necessità di implementare una suite di Identity and Access Management integrata col sistema di Log Management ($$$), altre si limitano a masterizzare i log su cdrom una volta al mese (seguendo il parere del legale interno all'azienda)... Valentino Squilloni Security Reply S.r.l. www.reply.eu -- The information transmitted is intended for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
