Politica di registrazione e monitoraggio

La Politica di registrazione e monitoraggio (P22) stabilisce un quadro robusto e applicabile per acquisire e analizzare eventi di sistema ed eventi di sicurezza in tutto l’ambiente IT dell’organizzazione. Lo scopo principale di questa politica è supportare un’efficace rilevazione delle anomalie, una risposta rapida alle minacce, l’indagine forense, la preparazione all'audit e una rigorosa conformità legale. Per raggiungere questi obiettivi, la politica stabilisce mandati chiari per generare, conservare e proteggere i log, con un focus sulla correlazione accurata degli eventi tramite sincronizzazione temporale a livello di sistema. L’ambito della politica è esteso. Include tutti i tipi di infrastruttura, in locale, cloud (IaaS, PaaS, SaaS), ambienti ibridi, nonché sistemi operativi, banche dati, applicazioni, apparati di rete e sistemi di sicurezza specializzati come SIEM e firewall. La politica si applica a un’ampia gamma di parti interessate, inclusi utenti di sistema e amministrativi, operazioni IT, team del Centro operativo di sicurezza (SOC), sviluppatori, proprietari delle applicazioni e fornitori terzi di servizi. Ciascuno di questi gruppi ha responsabilità specifiche, come garantire l’acquisizione dei log, verificare l’integrità dei log, integrare i log con sistemi di monitoraggio centralizzati e supportare funzioni di audit e conformità. Gli obiettivi sono chiaramente definiti e coprono l’intero ciclo di vita dei dati evento. Tutti i sistemi critici devono generare e conservare log che descrivano l’accesso degli utenti, attività privilegiate, modifiche di configurazione, guasti, rilevamenti di malware ed eventi di rete, assicurando il rispetto di obblighi normativi e obblighi contrattuali. I log devono essere protetti da manomissione o cancellazione non autorizzate, con uso obbligatorio di canali cifrati per l’inoltro dei log. È richiesta l’aggregazione e la correlazione centralizzate tramite un SIEM sicuro, abilitando monitoraggio cooperativo, escalation basata su regole e risposta agli incidenti quasi in tempo reale. La politica introduce inoltre requisiti rigorosi per la sincronizzazione dell’orologio tramite NTP, consentendo una correlazione accurata tra sistemi e un’analisi forense affidabile. I requisiti di governance impongono la necessità di una Norma di registrazione e monitoraggio, che definisce tipi di evento, asset critici, periodi di conservazione dei log e formati dei log, garantendo un’applicazione coerente in tutta l’organizzazione. Nel caso in cui i sistemi non possano aderire ai requisiti di registrazione per limitazioni tecniche, deve essere presentata una Richiesta di eccezione alla registrazione (LER) formale, valutata formalmente e riesaminata periodicamente per mantenere i rischi accettabili. La conformità è obbligatoria per tutto il personale e verificata tramite audit regolari, con sanzioni severe, inclusa la rimozione dall’ambiente di produzione, escalation alle Risorse Umane (HR) o azioni legali, per violazioni intenzionali della politica. Infine, questa politica è profondamente allineata agli standard internazionali e ai quadri normativi attuali, inclusi ISO/IEC 27001:2022 e 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA e COBIT 2019. Questo allineamento garantisce non solo conformità, ma anche resilienza operativa tramite pratiche approfondite di monitoraggio, rilevamento, protezione e miglioramento continuo.