Products
Integration
Managed & Secure File Transfer
IBM WebSphere extensions
IBM Rational extensions
CosmoCall extensions
Security
SPAZIO Products
IBM WebSphere extensions
System Management
SPAZIO Management
Tivoli extensions
Resources
PCA brochure
Links
Back to News and Events main page

PRIMEUR Compliant Solution for System Administrators

[english version]

PRIMEUR annuncia una soluzione rapida ed efficace per adempiere al provvedimento emesso dal Garante della Privacy relativamente agli Amministratori di Sistema.

Introduzione

L’amministrazione dei sistemi informatici è un’attività estremamente delicata. Per il loro lavoro i System Administrator gestiscono quotidianamente dati personali, sia sensibili che non, in grande quantità. Tale attività è talmente delicata da aver richiamato l’attenzione del Garante della Privacy perché essa si svolga con le adeguate caratteristiche di sicurezza. In particolare il Garante richiede che tutte le attività di System Administration vengano opportunamente loggate e che il log sia sicuro, non modificabile.

Questo problema diventa ancora più complesso nelle realtà Enterprise. In queste realtà il numero di sistemi e sottosistemi (Basi Dati, Applicazioni, Infrastrutture di rete, DB di utenti, ecc.) oggetto delle attività di amministrazione è estremamente elevato ed i sistemi in questione sono spesso sistemi Legacy che non potevano essere disegnati con specifiche funzionali adatte alle necessità contemporanee.

Infine, per rendere le cose ulteriormente complesse, nelle grandi realtà spesso le attività di amministrazione dei sistemi sono appaltate a consulenti esterni, che possono variare con una certa dinamicità, e sui quali il controllo è fatalmente minore di quello che si può effettuare sul personale interno.

Specificatamente il Garante richiede:

  • Valutazione delle caratteristiche soggettive, Designazioni Individuali e stesura di un apposito elenco di Amministratori
  • Verifica almeno annuale delle attività di Amministrazione
  • Registrazione degli accessi completa, immodificabile e verificabile

La proposta di PRIMEUR si concentra sugli aspetti secondo noi più critici e difficoltosi nella realizzazione della conformità: la registrazione sicura degli accessi e la verifica delle attività.

La soluzione PCA, PRIMEUR Compliant Administrator: i punti di forza

Per ovviare al problema PRIMEUR propone una soluzione denominata PCA: PRIMEUR Compliant Administrator (la brochure del prodotto è scaricabile qui). Con PCA si rendono possibili, agevoli e sicure le attività di system administration e nel contempo pienamente rispondenti alle richieste del Garante in merito. Funzionalmente e sinteticamente PCA offre le seguenti feature:

  • Logging degli accessi amministrativi
  • Il log è inalterabile
  • L’accesso ai sistemi da parte degli amministratori avviene senza che questi conoscano le password di accesso
  • Vengono eliminate le Password amministrative troppo “facili”, mantenendo nel contempo una semplice usabilità del sistema
  • L’identità degli amministratori è disaccoppiata dai loro diritti di accesso sui sistemi target
  • Supporto di Strong Authentication
  • Possibilità di tracciare anche eventuali comandi eseguiti dagli utenti
  • Non ha alcun impatto (zero impact) sui sistemi Server coinvolti
  • Basso impatto sui sistemi client coinvolti
  • Possibilità di generare report periodici relativi agli accessi eseguiti con grande flessibilità
  • Possibilità di ottenere report basati sulla compliance ad una serie di Regolamentazioni e Best Practices quali BASEL2, SOX, ISO27001 ed altri

Con PCA il flusso funzionale si presenta nel seguente modo:

  • L’utente con funzionalità di amministratore esegue il logon al dominio aziendale. Il suo profilo viene automaticamente scaricato dal servente di Autenticazione a ciò preposto; questo è stato precedentemente sincronizzato rispetto ai sistemi target da amministrare.
  • L’utente per accedere ai sistemi utilizza gli strumenti abituali, ma le credenziali d’accesso sono gestite da un agente Software, inserendo al posto dell’utente lo user e la password (a lui ignota).
  • Così facendo si consente l’accesso amministrativo senza che l’utente sia a conoscenza delle password amministrative.
  • Contemporaneamente viene tracciato in modo sicuro (ed alternativo al Syslog) l’accesso amministrativo dell’utente.

I benefici

  • Le credenziali degli amministratori non sono in alcun modo note all’utente
  • L’identità è facilmente assegnabile in modo dinamico a personale diverso
  • L’identità degli amministratori viene opzionalmente stabilita in modo forte
  • Non vi è alcun impatto sui sistemi server
  • L’accesso ai sistemi è sicuro al massimo grado consentito dalla tecnologia odierna
  • Le attività di system administration sono automaticamente loggate
  • Il log ottenuto è reso inalterabile con tecniche crittografiche e, se necessario, per applicazioni altamente sensibili, l’accesso ai log può essere reso fisicamente tamper resistant
  • Si realizza pienamente il mandato del Garante della Privacy per quanto riguarda la parte più onerosa, la registrazione sicura degli accessi.

[top of the page]

PRIMEUR announces a quick and effective solution for compliance with the provision issued by the Guarantor of Privacy for System Administrators

Introduction

IT system administration is an extremely delicate activity. As part of their everyday work, System Administrators routinely manage large quantities of personal data, sensitive and otherwise. This is such a delicate activity that it attracted the attention of the Italian Guarantor of Privacy to make sure that it is carried out with appropriate security characteristics. In particular, the Guarantor requires all System Administration activities to be appropriately logged and requires the log to be secure and unalterable.

This problem becomes even more complex in Enterprise contexts. In such contexts, the number of systems and subsystems (Databases, Applications, Network Infrastructures, User DBs etc.) subject to administration activities is extremely high, and the systems in question are often Legacy systems that could not have been designed with functional specifications appropriate for current requirements.

Lastly, to make things even more complex, in large organizations the system administration activities are often contracted out to external consultants, who may often change, and over whom, critically, there is less possibility for control than in the case of internal employees.

The Guarantor specifically requires the following:

  • An assessment of the subjective characteristics, Individual Appointments and the drawing up of an appropriate list of Administrators
  • Annual audit of Administration activities
  • Complete, unalterable and verifiable access logging

The PRIMEUR proposal focuses on the aspects we believe to be the most critical and difficult in order to achieve compliance: secure access logging and checking of activities.

The PCA PRIMEUR Compliant Administrator solution: strengths

To overcome the problem PRIMEUR proposes a solution called PCA: PRIMEUR Compliant Administrator. PCA makes system administration activities possible, easy and secure, and at the same time fully compliant with the Guarantor's requirements. From a functional perspective PCA provides the following features:

  • Logging of administrative access
  • The log is unalterable
  • Access to the systems by administrators takes place without them knowing the access passwords
  • Excessively “easy” administration passwords are eliminated, while at the same time keeping the system simple to use
  • The identity of the administrators is decoupled from their rights of access on the target systems
  • Support for Strong Authentication
  • Possibility also to track any commands executed by users
  • Zero impact on the Server systems involved
  • Low impact on client systems involved
  • Possibility for highly flexible generation of periodic reports on accesses carried
  • Possibility to obtain reports based on compliance with a series of Regulations and Best Practices such as BASEL2, SOX, ISO27001 and others.

With PCA the operational flow appears as follows:

  • The user with administrator functions logs on to the company domain. The user's profile is automatically is downloaded from the purposely implemented Authentication server; this will have been previously synchronized for the target systems to be administrated
  • The user accesses the system in the usual manner, but the access credentials are now managed by a Software agent, which inserts the user and password on behalf of the user (who remains unaware of them)
  • In this way administrative access is allowed without the user having any knowledge of the actual administrative passwords
  • At the same time administrative access by the user is tracked securely (as an alternative to Syslog).

Benefits

  • Users are completely unaware of administrator credentials
  • Identity can be easily assigned dynamically to different personnel
  • The identity of the administrators can be optionally in strong mode
  • There is no impact on the server systems
  • Access to the systems is secure to the maximum level allowed by current technology
  • System administration activities are automatically logged
  • The log created is made unalterable through cryptographic techniques and, if necessary, for highly sensitive applications, access to the log can be made physically tamper resistant
  • Full compliance is achieved with the most onerous aspects of the Guarantor of Privacy's order, namely secure access logging