|
Le best practices per configurare al meglio i dispositivi multifunzione e ridurre i rischi di violazione di informazioni aziendali. Ogni azienda è sottoposta a rischi specifici che dipendono dalla tipologia di industria di cui fa parte e dalla propria struttura: sono moltissime le variabili che influiscono sull’esposizione alle problematiche di sicurezza come ad esempio le dimensioni, il tipo di infrastruttura IT, il profilo della forza lavoro. Tuttavia la criticità più diffusa a cui sono sottoposte quotidianamente le aziende è la “fuga” di dati, dovuta alla copia e alla distribuzione non autorizzata di documenti attraverso la stampa, gli strumenti di gestione documentale e i fax.
La sicurezza dei dati è una delle priorità in azienda e i dispositivi multifunzione (MFD) possono ricoprire un ruolo determinante nel ridurre il rischio di fuga di informazioni non autorizzate.
È stato rilevato che i multifunzione spesso non sono presi in considerazione nelle politiche generali di sicurezza dei dati. Ciò è aggravato dal fatto che frequentemente l’amministratore dei dispositivi multifunzione (MFD) è una figura che opera al di fuori dell’infrastruttura IT e del team di Information Security, con il risultato che le procedure definite per gli altri dispositivi digitali non comprendono i multifunzione stessi.
A conferma del fatto che i MFD possono entrare a tutti gli effetti a fare parte integrante delle strategie aziendali contro le insidie che minacciano la sicurezza dei dati, è dimostrabile che queste ultime possano essere facilmente evitate implementando le configurazioni opzionali riportare nei successivi paragrafi, di cui i dispositivi Canon imageRunner Advance sono dotati. Queste best practices sono utili a ridurre il rischio di esposizione alla fuga di dati sia accidentale sia intenzionale.
Le stampanti non sono più soltanto dispositivi per stampare
Il dispositivo multifunzione di ultima generazione può essere considerato a tutti gli effetti una sorta di server in quanto svolge funzioni di networking come la gestione della posta elettronica e del fax, il trasferimento dei file attraverso ftp, il collegamento web e, in alcuni casi, l’archiviazione. Per questi motivi tutti i multifunzione dovrebbero essere sottoposti alle stesse procedure di controllo riservate ai server aziendali di gestione del traffico di posta elettronica e del web, ma spesso questo non accade.
Ogni tipo di azienda di qualsiasi dimensione dovrebbe produrre una procedura ufficiale di configurazione dei dispositivi MFD e controllare che venga regolarmente rispettata, diffondendo così, sia presso gli amministratori dei sistemi sia presso gli utenti ma anche verso terze parti, una maggiore consapevolezza dell’importanza dell’uso corretto dei multifunzione.
L’importanza della password
Con la diffusione sempre più capillare dei social network e in generale dell’accesso al web, i “furti” di password sono diventati sempre più frequenti e relativamente semplici da attuare. Ne sono un esempio i così detti “malware”, di cui i più comuni sono i Trojan, software che diffondo via web programmi apparentemente utili attraverso messaggi fasulli: i destinatari nell’eseguirne i comandi, inconsapevolmente, installano anche i codici nascosti che consentono al truffatore di avere accesso al sistema e alle relative password.
Le statistiche rivelano che un terzo delle persone per motivi di praticità utilizza la stessa password, sia per l’accesso ai siti personali sia per gli account aziendali: ciò facilita il lavoro delle “spie informatiche”, che una volta individuata una password, non solo hanno accesso ai dati personali ma anche alle informazioni professionali dell’utente truffato.
Per assicurarsi che i MFD non costituiscano un elemento che metta a rischio la sicurezza dei dati nel flusso di informazioni aziendali, occorre disattivare la password standard verificando che ogni utente, per avere accesso alle funzioni di stampa, ne abbia una personale che risponda ai massimi requisiti di sicurezza. Una password sicura deve essere composta da 8 a 10 caratteri, deve essere alfanumerica e includere anche simboli speciali che la differenzino dalle parole del dizionario comune, più facili da essere memorizzate e individuate; la password deve inoltre essere cambiata ogni 90 giorni.
La fuga di informazioni da documenti cartacei
Circa un quarto dei problemi di diffusione di dati non autorizzata avviene attraverso i documenti cartacei¹ . È di fondamentale importanza per le aziende assicurarsi che i MFD non diventino veicolo di violazione della sicurezza dei dati, per questo occorre tenere sotto controllo la quantità di documenti che vengono stampati, dimenticati nel raccoglitore del dispositivo di stampa e di conseguenza cestinati senza essere preventivamente distrutti.
Ridurre questo rischio è semplice, basta utilizzare la funzione ‘Secure Job Release’ che trattiene il documento in una sorta di coda di stampa per procedere nell’output soltanto al momento dell’inserimento del corrispettivo PIN da parte dell’utente, che ne ha richiesto l’esecuzione. In questo modo il documento viene stampato soltanto nel momento in cui è realmente necessario e viene immediatamente raccolto dal diretto interessato.
Ridurre i rischi interni
Un altro dei rischi maggiormente diffusi per la sicurezza dei dati non proviene da fattori esterni ma da problemi interni all’azienda. Una minaccia di “furto” di documenti da cui è difficile proteggersi può essere l’accesso ai database da parte di persone che hanno lavorato o lavorano a stretto contatto con l’azienda, oppure semplicemente dall’errore umano.
Ad esempio molte aziende si servono di “outsourcer” che, per completare il loro lavoro, necessitano di avere un continuo accesso ai dati aggiornati. In questi casi attivare le funzioni di stampa sicura, tra cui ‘Secure Job Release’, protegge i documenti dimenticati nel cassetto di raccolta del multifunzione da occhi indiscreti e dall’accesso illegale da parte di terzi alle caselle di posta dei dipendenti dell’azienda.
Un’ulteriore funzione utile a proteggere da questo tipo di violazione dei documenti è la ‘Job Log Conceal’, che nasconde sia i dettagli dei recenti lavori di stampa sia i contenuti del documento, in modo che nessun dato sia memorizzato dal dispositivo di stampa.
Infine un altro aspetto assolutamente da non trascurare è ciò che accade al dispositivo al termine del proprio ciclo di vita. Così come prima di eliminare un computer ci si accerta di avere rimosso dalla memoria tutti i dati sensibili, allo stesso modo quando un multifunzione deve essere sostituito, occorre assicurarsi che il relativo hard disk non contenga informazioni riservate. Oppure bisogna verificare che l’operatore a cui si commissiona lo smaltimento sia assolutamente affidabile.
Osservare questi accorgimenti, tenendo sempre in considerazione che il dispositivo MFD deve rientrare a tutti gli effetti nelle policy di sicurezza dei dati al pari degli altri dispositivi di archiviazione, mette al riparo l’azienda dalla fuga di informazioni preziose.
¹Ponemon Institute, LLC, febbraio 2008
|