Cosa sono i sistemi SIEM e perché sono conformi al GDPR
La gestione aziendale in questi ultimi anni si è evoluta in modo sostanziale, soprattutto nel campo della sicurezza; l’accessibilità multipla, lo smart working, la gestione integrata dei processi produttivi ha implementato i livelli di rischio e la conseguente necessità di avere sotto controllo tutto quello che accade all’interno dell’universo Azienda.
Per ovviare a tali necessità sono nati i sistemi SIEM di cui andremo a parlare nel seguente articolo, in modo da spiegare a cosa servono e quali sono i vantaggi che offrono, sia operativamente che legalmente.
Che cos’è un SIEM
Si tratta di un acronimo (“Security Information and Event Management“) ed è un sistema che permette di archiviare processare e correlare gli eventi e i rispettivi Log Security in quanto esistono diversi sistemi all’interno dell’azienda che devono essere visti come un soggetto comune.
Ma che cosa fa esattamente un SIEM?
Fondamentalmente permette di raccogliere, normalizzare e correlare log o eventi di sicurezza e i dati raccolti sono poi inviati agli “Analyst Security” in modalità di Report oppure di eventi o notifiche che possono essere gestite in tempo reale.
Ma allora, per quale motivo diventa fondamentale avere un SIEM? Per due ragioni fondamentali, tecnica e normativa.
Per quanto riguarda la parte tecnica in molti sistemi integrati, come ad esempio i SAP, oggi esistono tantissimi meccanismi che producono log e generano eventi di sicurezza specifici; in questo caso per sistema si intende l’insieme dei singoli elementi presenti all’interno dell’azienda come ad esempio sistemi Microsoft, UNIX, firewall, router, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), applicativi di ogni genere come ad esempio il SAP o l’ERP che possono essere sia in azienda che in modalità Cloud.
Quanti log ed eventi possono produrre tutti questi sistemi?
Tanti, molti di più di quanto uno possa immaginare e, in considerazione del fatto che si sta operando in un ambito relativo alla sicurezza, è molto importante che tutti questi rimangano costantemente attivi.
Tuttavia se all’interno dell’azienda non esiste una figura specifica o una persona che possa verificare tutti questi Log prodotti, l’uso ma soprattutto il valore che questi Log hanno è sicuramente inferiore rispetto a quello reale e quindi il livello di interoperabilità e di risposta alle criticità è sicuramente molto basso.
Il trend attuale di tutti i sistemi periferici, ovvero quelli che sono stati elencati precedentemente, è quello di produrre e di gestire un numero sempre maggiore di eventi con la conseguenza di dover analizzare un sempre numero maggiore di Log.
Questa nuova esigenza ci collega all’aspetto normativo, e più precisamente al trattamento dei dati personali.
Dal 2016 il GDPR (“General Data Protection Regulation”) obbliga tutte le strutture alla tutela dei dati in loro possesso soprattutto se sono tra quelli definiti personali; è stato infatti appositamente creato il principio di accountability (presente nel secondo comma dell’art. 5) secondo il quali spetta al titolare del trattamento dei dati “l’obbligo di dimostrare l’effettivo rispetto della normativa, valutando l’adeguatezza delle soluzioni tecnologiche adottate e la relativa efficacia nella tutela dei dati personali”.
Nell’ambito della gestione complessa dei dati, hanno nuovamente preso importanza i file Log, dove vengono inserite tutte le attività connesse ai vari sistemi (come ad esempio accessi e loro durata), ed ecco quindi da dove proviene l’esigenza di dover centralizzare, analizzare e correlare gli eventi all’interno di un unico strumento, il SIEM.
Questo, inoltre, assume un’importanza fondamentale nel caso in cui l’azienda si sia fornita di sistemi ERP che per loro natura consentono un integrazione ed un collegamento tra i vari processi presenti all’interno dell’azienda stessa, sia produttivi che amministrativi.
Avere un sistema che possa essere di supporto per la valutazione della sicurezza in ambienti dove l’integrazione tra i processi è ormai un fatto consolidato, permette di poter aumentare il livello di sicurezza generale ma soprattutto il controllo dell’attuazione di tutte le security policy che, ovviamente, possono essere differenti e con livelli di attenzione per ogni reparto.
Che cosa consente di fare il SIEM
Il nome SIEM deriva dalle due aree in cui il sistema è suddiviso ovvero SIM e SEM.
Il primo è il “Security Information Management” mentre il secondo è il “Security Event Management”; possono sembrare uguali ma le loro funzionalità sono completamente diverse in quanto mentre il SEM effettua un monitoraggio costante in tempo reale su tutta l’infrastruttura della società (comprendendo gli ambienti di rete e tutti i dispositivi ad essa collegati con le rispettive applicazioni installate) in modo da poter segnalare immediatamente eventuali anomalie e dando anche l’eventuale soluzione nel momento in cui ci possano essere delle criticità.
Un tipico esempio può essere quello di un accesso effettuato da un utente autorizzato ma in un orario che non è quello prestabilito o usuale e in questo caso il software registra evento , lo segnala, lo inserisce all’interno del Log e crea un dettagliato Report su quanto registrato come ad esempio nome utente, ora di accesso, durata del collegamento, eventuali link visitati sia interni che esterni alla rete ecc.
Il SIM, invece, è il modulo che in modalità automatica invia tutti i file log presenti all’interno del sistema al server dedicato alla sicurezza in modo che ogni evento possa essere immediatamente valutato dalla pagina personale.
Le funzionalità del SIEM sono quindi molteplici ma possono essere racchiuse in tre ambiti generali:
- Centralizzare in una unica Dashboard tutti gli eventi che sono prodotti dei vari sistemi presenti in azienda
- Definire e gestire i piani di rimedio delle attività che sono emerse sia all’interno dell’azienda che verso i fornitori
- Determinare dei pattern per poter analizzare solamente ciò che viene considerato rischioso.
Ecco quindi che il SIEM permette un incrocio dei dati provenienti da tutte le fonti presenti all’interno del sistema azienda e questa aggregazione consente di avere in tempo reale una fotografia di tutto quello che sta succedendo all’interno del sistema azienda.
In questo modo si rilevano tutte le criticità o le anomalie che possano presentarsi ed è possibile azionare tutti i procedimenti necessari, che possono essere anche di prevenzione, con un conseguente miglioramento di tutto quanto il processo produttivo.