>> Luca Caldiero wrote: >> Esistono anche soluzioni software completamente gratuite (alcune open >> source) in grado di fornire supporto all'applicazione del decreto.
>Salve, >Sono molto interessato a quello che scrive, perchè sto studiando come >adempiere a alle richieste del provvedimento, ma portarmi in casa altro >software proprietario da gestire, non ho proprio voglia. >Sarebbe così gentile da indicarmi alcuni software open source? >Grazie >Alfredo Speranza Gentile Alfredo Speranza, putroppo gli elementi che mi ha fornito sono piuttosto scarni e mi fanno porre una domanda fondamentale: è sicuro di dover adempiere al provvedimento del Garante della Privacy? Mi permetto quindi di fare alcune assunzioni, ovviamente personali: 1) La "casa" a cui fa riferimento è un'azienda/istituzione che si deve adeguare al provvedimento. 2) Lei sta valutando, seppure sia facoltativo e mai menzionato come obbligatorio dal Garante, l'ipotesi di dotarsi di uno strumento che permetta una gestione "centralizzata e sicura" dei log prodotti. 3) Il suo ruolo nella "casa" prevede l'assunzione formale di responsabilità per l'applicazione del provvedimento. 4) Lei è conscio del fatto che l'espressione "open source" non significhi "a costo zero" e che l'adozione di qualsiasi software implichi una qualche forma di gestione. Fatte queste doverose premesse, la migliore soluzione open source in grado di fornire supporto (ed evidenzio la parola "supporto") per adempiere al provvedimento del Garante per la protezione dei dati personali è, a mio modesto avviso, syslog-ng. Il prodotto, nella sua edizione open source, è reperibile al seguente indirizzo: http://www.balabit.com/network-security/syslog-ng/opensource-logging-system Tuttavia tale soluzione presenta alcune limitazioni per quanto concerne il recupero dei log da ambienti "Microsoft Windows" che, nel bene o nel male, rappresentano la stragrande maggioranza delle postazioni client aziendali. Per rispondere a questa esigenza la mia indicazione ricade invece sul prodotto Snare, sempre nella sua versione open source, reperibile al seguente indirizzo: http://www.intersectalliance.com/projects/EpilogWindows/index.html In ultima istanza le riporto un estratto di una delle "FAQ" presenti sul sito del Garante della Privacy (fonte: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#4), che, dando ottimo esempio di semplificazione nella comunicazione tra lo Stato ed il Cittadino, invita comunque a valutare anche soluzioni di tipo più complesso. --- "4) Relativamente all'obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?" [...] Sarà comunque con valutazione del titolare che dovrà essere considerata l'idoneità degli strumenti disponibili oppure l'adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell'integrità delle registrazioni. --- Ultima considerazione: ritengo che spesso non comunicare alcune informazioni significhi mentire. Concludo quindi il mio intervento facendo presente che lavoro per un'azienda che offre sul mercato una soluzione in grado di aiutare le aziende sulla tematica in oggetto. L'azienda per la quale opero non è comunque in nessun modo legata da rapporti contrattuali di natura commerciale con le software house "Balabit" (produttrice di syslog-ng) o "InterSect Alliance" (produttrice di Snare). La ringrazio per l'attenzione e le auguro un felice fine settimana, Luca Caldiero. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
