AGLEA SAP Security Blog

SIEM GDPR Compliance

Scritto da Rosario Imperiali | Mar 30, 2021 10:00:00 PM

La digitalizzazione dei processi aziendali comporta l’incremento dell’esposizione a incidenti ed attacchi informatici che mettono a rischio la riservatezza, l’integrità e la disponibilità dei dati trattati (“personal data breach”) e il corretto funzionamento delle infrastrutture IT (“technical data breach”).

 



La disciplina sulla protezione dei dati personali svincola il concetto di adeguatezza della sicurezza informatica dal criterio di “discrezionalità” del vertice aziendale sostituendolo con quello di “sostanzialità” a beneficio dei “data subjects” o “interessati”, cioè coloro cui si riferiscono i dati stessi.

Sicurezza adeguata

L’azione di protezione dei dati, personali e critici, richiede che l’attività di prevenzione si basi sul rilevamento e analisi precoce delle possibili anomalie dei flussi informativi mediante il monitoraggio di sistemi ed applicazioni IT in rete.

 

Questo consente di intervenire prima che le minacce incombenti possano concretizzarsi in incidenti, o aggravare violazioni già in atto.

 

Modalità di intervento

L’attività di monitoraggio di un’infrastruttura IT a fini di prevenzione è realizzata mediante la raccolta e l’analisi dei cosiddetti “file di log” che i sistemi IT già registrano in via automatica.

 

Il SIEM: Cos’è e come opera

La piattaforma che riceve ed analizza automaticamente la gran mole di file di log per i citati fini è denominata SIEM (Security Information and Event Management).

Man mano che i dati vengono acquisiti, gli algoritmi di SIEM esaminano in tempo reale le correlazioni tra i file di log ricevuti per rilevare modalità ritenute anomale; ogni “anomalia” è oggetto di un avviso, volto ad informare gli analisti preposti alla relativa valutazione.

Anche i log, per lo più, sono “dati personali” e, come tali, dovranno essere trattati e conservati, ad esempio rispettando il principio di conservazione per il tempo minimo necessario per il soddisfacimento della finalità perseguita, generalmente non più di sei mesi.

 

 

Dati utilizzati e soggetti interessati

Le informazioni utilizzate dall’azienda (in gergo “titolare del trattamento”) che implementa il SIEM sono eterogenee e dipendenti dalla classe di anomalia riscontrata, ad esempio, indirizzo IP, username, URL, dati traffico di posta come i campi mittente, destinatario e oggetto di una e-mail, data ed ora di un evento.

Alcuni di questi dati sono suscettibili di identificare un individuo (detto anche “interessato” o “data subject”): gli utenti che accedono ai sistemi informatici aziendali (dipendenti, manutentori, consulenti, visitatori).


I dati identificativi, anche in via indiretta, si qualificano come “dati personali” in base al GDPR; per essi vige regolamento UE e “codice privacy”, cioè la norma italiana di adeguamento al GDPR. La maggior parte dei dati di pertinenza di SIEM – siano essi dati personali o meno – sono classificabili come “dati di traffico”.

I dati di traffico trasmessi su una rete di comunicazione elettronica accessibile al pubblico (es. internet o servizio di posta elettronica) sono regolati dalla cosiddetta disciplina e-Privacy, contenuta nelle direttive europee 2002/58/CE e 2009/136/CE, attuate tramite il codice privacy.

La cosiddetta e-Privacy è la disciplina speciale – di cui il GDPR è norma generale – riferita alla protezione dei dati delle comunicazioni elettroniche; di conseguenza, per e-mail, comunicazioni telefoniche o messaggistica online e simili, si applicano due livelli normativi: l’e-Privacy per tutti i dati pertinenti e il GDPR, se essi sono anche “dati personali”.

La base giuridica del trattamento di dati operato dal SIEM (cioè cosa lo rende legittimo) è fornita dall’interesse legittimo dell’azienda di avvalersi di un adeguato sistema di sicurezza preventiva; ma il solo interesse non basta, occorre trasparenza e accordo sindacale (modalità di controllo).

 

Trasparenza

L’utilizzo di dati personali e dati di traffico per lo svolgimento delle attività del SIEM presuppone il soddisfacimento di obblighi di trasparenza consistenti in:

 

  1. informare dettagliatamente gli interessati delle modalità d’uso dei dati a loro riferibili
  2. dare al lavoratore adeguata informazione dei potenziali controlli tramite il SIEM.

 

A ciascuno di questi soggetti dovrà essere fornita l’informativa privacy, ad esempio mediante invio di e-mail con ricezione della conferma di lettura oppure, in caso di eccessiva onerosità o impossibilità, mediante pubblicazione sul sito web istituzionale o sull’intranet aziendale.

La pseudonimizzazione dei dati è il processo che rende i dati non identificativi in assenza di ulteriori informazioni tenute separatamente e in modo riservato.

Il ricorso alla pseudonimizzazione non sottrae alle prescrizioni della disciplina data protection: essa, infatti, è una misura di sicurezza spesso utilizzata per ridurre i rischi connessi alla gestione delle informazioni la quale non altera, tuttavia, la natura “personale” del dato; il dato pseudonimizzato, grazie alla sua reversibilità tramite la chiave di decodifica, ritorna data identificativo.

 

Leggi qui cosa può fare SAP a proposito SAP Enterprise Threat Detection.

 

Modalità del controllo

In aggiunta alla trasparenza occorre anche adempiere alla disciplina sulle modalità di controllo in azienda.

Il SIEM attua un controllo sistematico e centralizzato delle interazioni computer/utente/applicazione, potendo quindi determinare una potenzialità di controllo a distanza dell’attività dei lavoratori per cui la sua installazione deve formare oggetto di preventivo accordo coi sindacati o, in mancanza, di autorizzazione dell’ispettorato territoriale del lavoro, in base allo Statuto dei lavoratori (l. n. 300/1970) come riformato dal jobs act (decreto legislativo n. 151/2015).

 

Ruoli soggettivi

Se l’azienda si avvale di terze parti, nelle fasi di implementazione e gestione del SIEM, queste dovranno essere selezionate tra operatori che offrano adeguate garanzie di conformità al GDPR e saranno designate – con apposito contratto – quali “responsabili” per le operazioni di trattamento di dati personali svolte per conto dell’azienda.

Come nel caso dell’adeguatezza delle misure, anche la valutazione delle terze parti va fatta con riferimento alla tutela offerta ai diritti dei soggetti interessati, diversamente da quanto avviene per la valutazione di adeguatezza di tipo “tecnico” che, invece, ha come riferimento la tutela degli asset aziendali.

L’Operatore SOC (Security Operations Center), cui è affidato il compito di esaminare gli alert, agisce sotto l’autorità dell’azienda, va formalmente autorizzato e riceve specifiche istruzioni scritte. L’Amministratore del Sistema SIEM deve rispettare le prescrizioni dei provvedimenti del Garante del 2008 e 2009.

 

Valutazione del rischio e DPIA

La decisione di ricorrere al SIEM richiede il rispetto del principio “Privacy-by-Design” – cioè l’impostazione del rispetto degli obblighi sin dalla fase di progettazione - cosicché le prescrizioni siano soddisfatte nativamente.

Il potenziale rischio conseguente al trattamento di dati personali operato col SIEM va preventivamente valutato; se ritenuto elevato, applicando i 9 criteri indicati nelle linee guida wp248 rev.01 (ad es. monitoraggio sistematico, trattamento di dati su larga scala, creazione di corrispondenze o combinazione di insieme di dati), dovrà essere sottoposto a valutazione d’impatto (DPIA).

 

Misure di sicurezza fisiche e logiche di accesso

La piattaforma SIEM va essa stessa protetta con misure tecnico-organizzative adeguate al rischio (art. 32, GDPR) per controllare e regolamentare gli accessi alle appliance installate.

 

Se le attività sono svolte in cloud, oltre a quanto detto sulla scelta delle terze parti, occorrerà prestare attenzione alla sicurezza dei dati aziendali sia in movimento che a riposo, nonché mapparne i flussi.

 

Se questi sono diretti o transitano in paesi al di fuori della UE, sarà necessario adottare ulteriori garanzie al fine di evitare il rischio di elusione della disciplina europea, in quanto essa non è applicabile fuori dal suo territorio.

 

 

Se desideri approfondire le soluzioni alle problematiche in materia di SIEM, di data protection e privacy in azienda premi il link seguente ed abbonati ai nostri servizi!

 

House of Data Imperiali