Conformità ISO 27001 e GDPR con FortiAnalyzer

FortiAnalyzer è una piattaforma avanzata di gestione dei log e analisi della sicurezza che aiuta le organizzazioni a mantenere la conformità a normative di settore come ISO 27001 e GDPR. Grazie alle sue funzionalità di auditing, reporting e gestione centralizzata dei log, FortiAnalyzer facilita il monitoraggio della sicurezza e la dimostrazione della conformità ai requisiti normativi.

In un panorama in cui le minacce informatiche sono in continua evoluzione, le aziende devono essere in grado di dimostrare non solo la loro capacità di proteggere i dati, ma anche di rispondere tempestivamente agli incidenti. La gestione proattiva dei log e il monitoraggio costante sono elementi chiave per garantire la sicurezza delle informazioni. FortiAnalyzer permette di raccogliere e analizzare grandi volumi di dati in tempo reale, offrendo strumenti avanzati per identificare anomalie, mitigare i rischi e generare report dettagliati per gli auditor.

Con la crescente pressione normativa e le severe sanzioni previste per la mancata conformità, disporre di un sistema efficiente come FortiAnalyzer è essenziale per soddisfare le esigenze di sicurezza e privacy. Le funzionalità di automazione, alerting e correlazione degli eventi di sicurezza riducono il carico di lavoro dei team IT e migliorano la reattività aziendale di fronte agli attacchi informatici.

Panoramica delle normative

ISO 27001

L’ISO 27001 è uno standard internazionale per la gestione della sicurezza delle informazioni (ISMS – Information Security Management System). Fornisce un quadro di riferimento per proteggere le informazioni aziendali attraverso controlli di sicurezza, valutazioni del rischio e gestione delle minacce.

Principali requisiti:

    • Gestione dei rischi: identificazione e mitigazione delle minacce alla sicurezza delle informazioni.
    • Controllo degli accessi: protezione dei dati sensibili con misure di autenticazione e autorizzazione.
    • Monitoraggio e auditing: registrazione e revisione delle attività per rilevare accessi non autorizzati.
    • Conservazione e protezione dei log: gestione sicura dei log per dimostrare la conformità e rispondere agli incidenti.

GDPR

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è la normativa dell’Unione Europea per la protezione dei dati personali. Impone obblighi stringenti per garantire la riservatezza, integrità e disponibilità dei dati personali degli utenti.

Principali requisiti:

  • Minimizzazione dei dati: raccolta solo delle informazioni strettamente necessarie.
  • Diritti degli utenti: diritto all’accesso, rettifica e cancellazione dei dati personali.
  • Sicurezza e crittografia: protezione dei dati con misure adeguate (es. pseudonimizzazione e crittografia).
  • Gestione delle violazioni: notifica delle violazioni dei dati alle autorità e agli interessati entro 72 ore.
  • Monitoraggio degli accessi: registrazione e controllo di chi accede ai dati personali.

Gestione della conservazione e della cancellazione dei Log 2.4

Per garantire la conformità a ISO 27001 e GDPR, è necessario implementare una gestione efficace della conservazione e della cancellazione dei log. FortiAnalyzer offre strumenti avanzati per automatizzare questi processi, riducendo il rischio di non conformità e migliorando la sicurezza dei dati.

  • Definizione delle politiche di cancellazione
    Si configurano policy di retention per determinare per quanto tempo i log devono essere conservati prima della loro eliminazione automatica. Il GDPR richiede che i dati personali non vengano conservati oltre il tempo strettamente necessario, mentre l’ISO 27001 raccomanda la conservazione dei log per finalità di auditing e gestione del rischio. Con FortiAnalyzer, si impostano regole specifiche per garantire l’eliminazione dei log nel rispetto delle normative vigenti.
  • Backup sicuri
    Per prevenire la perdita di dati critici, si implementano backup periodici dei log all’interno di FortiAnalyzer. È possibile archiviare i backup in ambienti sicuri, sia on-premise che su piattaforme cloud, garantendo così la disponibilità dei dati anche in caso di guasto o incidente. Si assicura inoltre che i backup siano crittografati, evitando accessi non autorizzati e proteggendo l’integrità delle informazioni registrate.
  • Protezione contro la manipolazione
    FortiAnalyzer garantisce l’integrità dei log attraverso l’uso di firme digitali e meccanismi di controllo che impediscono alterazioni non autorizzate. Ogni modifica ai file di log viene registrata e segnalata, permettendo di tracciare qualsiasi tentativo di manipolazione. Grazie ai sistemi di audit trail integrati, si mantiene un registro dettagliato delle attività, fornendo prove affidabili in caso di ispezioni o verifiche di conformità.

Conformità con FortiAnalyzer

Di seguito si riportano due scenari pratici in cui FortyAnalizer lavora proattivamente in relazione alle due suddette normative.

Esempio 1: Generazione del Report di Conformità ISO 27001:2022

FortiAnalyzer 7.4.1 include un report specifico per la conformità a ISO 27001:2022, che può aiutarti a valutare la tua postura di sicurezza rispetto ai requisiti tecnici di questo standard. Ecco come generarlo:  

1. Sezione “Reports” > “Report Definitions” > “Templates” . In questa sezione si trovano i template di report predefiniti.  

2. Nella colonna “Preview”, si clicca su “PDF” o “HTML” per visualizzare un’anteprima del report nel formato desiderato . Questo darà un’idea di quali informazioni include il report.  

3. Si seleziona la casella di controllo accanto a “Template – ISO 27001:2022 Compliance Security Rating Report” .  

4. Dal menu a tendina “More”, si clicca su “Create Report” per generare un report utilizzando questo template . Si può anche scegliere “Clone” per duplicare il template e personalizzarlo ulteriormente se necessario.  

5. Per eseguire il report, si va in “Reports” > “Report Definitions” > “All Reports” e si fa doppio clic sulla riga relativa a “ISO 27001:2022 Compliance Security Rating Report” . Si aprirà il pannello “Edit: ISO 27001:2022 Compliance Security Rating Report”.  

6. Si seleziona “Run Report” . Una volta generato, si clicca sul formato desiderato per visualizzare il report.  

Questo report fornisce una valutazione della postura di sicurezza della tua Security Fabric in relazione ai requisiti di ISO 27001:2022, aiutando il team a identificare eventuali aree di miglioramento.  

 

Esempio 2: Configurazione della Privacy Masking per il GDPR

Per supportare la conformità al GDPR, FortiAnalyzer offre la funzionalità di “Privacy Masking” che permette di mascherare i dati personali presenti nei log per proteggere la privacy degli utenti . Ecco come configurarla: 

1. Si naviga verso la sezione “System Settings” > “Admin Profiles” . Qui si possono creare o modificare i profili amministratore.  

2. Attivare l’opzione “Privacy Masking” impostandola su “ON” .  

3. Nella sezione “Masked Data Fields”, si selezionano i campi che si desiderano mascherare. Questi campi verranno visualizzati con dati anonimi in tutti i moduli che li mostrano, inclusi i report generati dall’amministratore con questo profilo. Se alcuni campi che devono essere mascherati non sono disponibili, possono essere aggiunti manualmente tramite CLI (Command Line Interface) .  

4. Nel campo “Data Mask Key”, si inserisce una chiave che permetterà agli utenti autorizzati di smascherare i dati originali quando necessario .  

5. Nel campo “Data Unmasked Time”, si può specificare per quanti giorni i dati rimarranno inizialmente smascherati dopo l’accesso (inserisci un valore tra 0 e 365) . I log più vecchi di questo periodo appariranno mascherati.  

6. Si clicca su “OK” per salvare le modifiche al profilo amministratore.

Quando un amministratore con un profilo abilitato per la Privacy Masking visualizzerà i log, i campi selezionati appariranno mascherati. Per visualizzare i dati originali, l’amministratore potrà cliccare su “See Original Data” nel banner e inserire la “Data Mask Key” configurata. Questa funzionalità aiuta a garantire che solo il personale autorizzato possa accedere ai dati personali completi nei log, supportando i principi di minimizzazione e protezione dei dati del GDPR .  

Vuoi integrare Fortinet nei tuoi sistemi?

Affidati ai nostri esperti e compila i campi qui sotto, ti ricontatteremo quanto prima.