Di Giancarlo Soro, Country General Manager, Lexmark Italia
Malware, ransomware, social engineering. I responsabili IT e i chief information security officer monitorano una vasta gamma di minacce per i dati aziendali critici. Ma c’è una categoria che spesso viene ignorata, categoria che però si trova all’interno del perimetro aziendale: sono i dispositivi di stampa multifunzione (MFP) che, non adeguatamente gestiti, costituiscono una minaccia significativa – sia da parte di hacker intraprendenti che da fughe di dati accidentali da parte dei dipendenti. Il motivo: proteggere completamente questi dispositivi richiede un approccio poliedrico che considera più configurazioni di rete e la forza dei servizi cloud.
Fortunatamente, una combinazione delle più recenti tecnologie, servizi gestiti e best practice possono colmare queste lacune di sicurezza senza compromettere la produttività degli utenti finali. Ecco alcuni elementi irrinunciabili da considerare quando si valutano i MFP e l’esperienza di potenziali fornitori di servizi di stampa gestiti.
Scegliete i dispositivi progettati per la sicurezza
La sicurezza dei dati dovrebbe essere integrata nelle stampanti multifunzione sin dall’inizio, piuttosto che abilitata con hardware e software in modalità add-on. Come è possibile determinarlo? Iniziate focalizzandovi sul disco rigido di un dispositivo, che è il “ground zero” della protezione dei dati. L’unità deve supportare i protocolli di crittografia definiti a livello governativo per i dati in transito e a riposo. Alcuni esempi includono l’Advanced Encryption Standard utilizzato per i documenti classificati del governo.
Inoltre, il dispositivo multifunzione dovrebbe includere software per cancellare i dati dall’hard disk al fine di garantire che le informazioni sensibili spariscano una volta completata la stampa o quando l’unità è disattivata. La funzionalità di cancellazione dati da sola non è sufficiente, perché se un lavoro viene interrotto o la pulizia del disco è disattivata, i dati sono ancora a rischio.
I protocolli di crittografia proteggono i dati quando sono a riposo o in viaggio attraverso la rete, ma sono vulnerabili anche in altre occasioni. Non trascurate i rischi legati ai vassoi di stampa in uscita. Se una stampante multifunzione elabora un lavoro di stampa prima che il mittente abbia il tempo di recuperarlo, dati finanziari, file del personale, e altre informazioni sensibili sono esposte a qualunque persona non autorizzata passi di lì. Per evitare ciò, opzioni “follow-me” nel software di stampa multifunzione mantengono centralmente in attesa il lavoro di stampa fino a quando il destinatario legittimo scansiona un badge identificativo, immette una password o fa entrambe le cose, in base alla policy aziendale.
Le autorizzazioni possono essere gestite più efficacemente dagli amministratori se queste sono memorizzate centralmente nell’Active Directory aziendale, piuttosto che sul dispositivo stesso. Si deve prestare attenzione a proteggere le connessioni tra l’Active Directory e i lettori di badge sui dispositivi. I collegamenti diretti che cifrano le comunicazioni sono il modo più sicuro per abilitare queste trasmissioni. Inoltre, gestendo i documenti di stampa centralmente, la sicurezza è migliorata perché le informazioni non vengono memorizzate sull’hard disk del dispositivo.
Per rafforzare ulteriormente la sicurezza, i responsabili IT possono prendere in considerazione l’invio di file direttamente dal PC alle stampanti senza riunire i lavori in pool sul server di stampa. Questo è importante perché molte aziende non crittografano i file in attesa sul server di stampa, rendendo le informazioni potenzialmente accessibili agli hacker. La crittografia dei file in comune è un’opzione; tuttavia potrebbe limitare la capacità di un’organizzazione di consentire la stampa con funzionalità “follow-me”. Così, i decision maker devono bilanciare le diverse alternative in base alla criticità dei dati che vengono elaborati, anche in considerazione della produttività, per assicurare che ogni soluzione soddisfi specifiche esigenze.
Il dispositivo multifunzione potrebbe non riuscire a rispettare gli standard di sicurezza aziendali laddove gli installatori non modificano le impostazioni predefinite delle unità. Così, il processo di configurazione dovrebbe includere impostazioni che determinano se limitare funzionalità scan-to-email, fax, stampa, e le attività di copia di alcuni gruppi di lavoro e individui. Per i dispositivi che gestiscono informazioni particolarmente sensibili, come le cartelle cliniche e numeri di previdenza sociale, considerate le utility di data loss prevention (DLP) che possono avvisare gli amministratori e anche bloccare i lavori di stampa che includono tali dati.
Un’altra considerazione sulla configurazione è il ruolo degli utenti finali associati ai singoli dispositivi. Ad esempio, non tutte le unità elaborano i file che garantiscono l’autenticazione DLP o a due fattori. Costringere le persone a seguire protocolli inutilmente difficili le induce ad aggirare le procedure stabilite in nome della produttività, che poi crea ulteriori vulnerabilità.
Tenete a mente la sicurezza quando valutate i fornitori di managed print service
I fornitori di servizi di stampa gestiti svolgono un ruolo importante per le organizzazioni. Si occupano abitualmente dell’installazione e della manutenzione di ogni unità per evitare problemi meccanici e incidenti. Questi specialisti possono anche mantenere le impostazioni di sicurezza appropriate e installare patch software per impedire agli hacker di sfruttare bug noti. La chiave è determinare quali fornitori hanno l’expertise di sicurezza necessaria per proteggere le informazioni aziendali.
Dal momento che i fornitori di servizi eseguono molte attività di gestione da remoto, reperite informazioni su come la rete di un candidato si collega al parco stampanti. Analizzate come vengono protetti questi collegamenti, compreso se il provider utilizza tunnel dedicati e VPN per comunicare con i dispositivi.
E poiché ogni gruppo di lavoro richiede impostazioni del dispositivo su misura – né troppo blande né troppo forti – fate in modo che un potenziale service provider non offra soluzioni di sicurezza standard per tutti.