Per tutte le discussioni e le buone intenzioni dell’ufficio senza carta, stampa rimane un appuntamento fisso della vita quotidiana. Sembra probabile, almeno nel prossimo futuro, che ci sarà sempre qualche requisito aziendale per documenti cartacei e scansionati, rendendo stampanti multifunzione (MFP) essenziali per la maggior parte delle organizzazioni.
Ma sebbene le ramificazioni ambientali della stampa siano ben definite, i rischi per la sicurezza fanno parte della conversazione molto meno spesso.
In una certa misura, affrontare il problema è semplice quanto applicare i buoni principi generici di gestione dei documenti in modo sicuro e protetto, ad esempio assicurandosi che non vengano lasciati fuori perché nessuno li veda dopo essere stati stampati.
Tuttavia, poiché le stampanti sono essenzialmente una serie di risorse IT connesse alla rete aziendale, con grandi quantità di dati spesso sensibili che le attraversano, devono essere considerate un altro endpoint vulnerabile nell’infrastruttura IT. E questa vulnerabilità è esacerbata dal collega e usa natura di molti MFP, il che significa che richiedono pochissima configurazione e possono essere inseriti in qualsiasi punto della rete. Dal punto di vista fisico, di solito si trovano in luoghi facilmente accessibili all’interno dell’azienda, con ovvie implicazioni.
Ridurre al minimo i rischi posti dalle stampanti a livelli accettabili richiede che un’organizzazione elabori una strategia incentrata su processi, tecnologia e persone.
Processo di revisione
Il primo passo è valutare completamente i requisiti aziendali. Perché le persone hanno bisogno di stampare documenti? Quali devono stampare? A quali rischi espone l’organizzazione?
Questa comprensione consente di sviluppare i diversi scenari che potrebbero verificarsi e, successivamente, di costruire un processo per garantire il ciclo di vita di stampa del documento.
I team di sicurezza informatica e sicurezza fisica o aziendale dovranno riunirsi per garantire che tutto sia considerato e che entrambe le entità abbiano la capacità e la capacità di supportare e controllare i processi sviluppati.
Quando le informazioni digitali si spostano nel dominio fisico, la mancanza di chiarezza su chi è responsabile di eventuali problemi che si verificano può portare a regole contrastanti da parte di ciascun team e, in definitiva, a pratiche che non corrispondono alla propensione al rischio dell’organizzazione.
Oltre a rispecchiare la propensione al rischio dell’impresa, il livello di processo dovrebbe considerare che l’introduzione di troppi controlli potrebbe compromettere le operazioni rendendole eccessivamente onerose.
Affrontare la tecnologia
Come qualsiasi altro endpoint sulla rete, le stampanti devono essere configurate e protette correttamente se le persone devono disporre della tecnologia di cui hanno bisogno per svolgere il proprio lavoro senza incorrere in rischi. Come per la fase di processo, le azioni esatte intraprese dipenderanno dalla propensione al rischio dell’impresa, ma i seguenti controlli di sicurezza dovrebbero essere in cima all’elenco delle considerazioni:
- Registra ogni stampante nel registro delle risorse e Database di gestione della configurazione (CMDB).
- Includere le stampanti nel processo di applicazione delle patch e di gestione delle vulnerabilità.
- Utilizza gli strumenti di rilevamento e risposta degli endpoint per monitorare le stampanti e integrarle nella capacità di monitoraggio generale in modo che gli indicatori di compromissione (IoC) siano contrassegnati e i dati rilevanti vengano esaminati dagli analisti per determinare le implicazioni sulla rete aziendale più ampia. Cripta i lavori di stampa e scansione mentre si spostano attraverso la rete e sono a riposo sulla stampante stessa, con il livello di crittografia determinato dalla classificazione dei dati trasmessi.
- Impiegare regole uniformi in tutte le risorse IT; se i dispositivi USB non possono essere collegati ad altri dispositivi endpoint, ad esempio, ciò vale anche per le stampanti.
- Utilizzare un tipo e un modello di stampante in tutta l’organizzazione per consentire l’impostazione di uno standard di rafforzamento della sicurezza.
- Rendi la sicurezza fisica di ogni stampante adeguata alla sua posizione e a chi la utilizza.
- Limitare l’uso di stampanti non standard; solo le risorse umane dovrebbero essere in grado di stampare assegni paga, ad esempio, mentre le stampanti caricate con carta intestata aziendale dovrebbero essere accessibili ai manager e a nessun altro.
- Posizionare tutti i dispositivi di stampa su un’area dedicata LAN virtuale (VLAN) per garantire che siano cablati nella rete; i dati di stampa vengono tenuti separati dal traffico Internet pubblico e privato e solo i dispositivi con accesso alla VLAN specifica possono utilizzare le stampanti.
- Avere processi (e attrezzature) chiari per lo smaltimento dei documenti cartacei.
- Collega le azioni di stampa alle proprietà del documento; quelli classificati come riservati o superiori, ad esempio, non possono essere stampati.
- Adotta la stampa FollowMe, che consente una coda di stampa condivisa in cui è possibile accedere e rilasciare i singoli lavori solo tramite l’autenticazione dell’utente con un token o un passcode (o entrambi se è necessaria l’autenticazione a due fattori). La tecnologia può aiutare gli utenti ad aiutare se stessi (e in definitiva la sicurezza dell’organizzazione).
- Disabilitare la funzionalità e i servizi dell’MFP non necessari. La funzionalità fax può essere utilizzata in un sito, ad esempio, ma essere ridondante altrove nell’azienda, mentre non tutte le stampanti avranno bisogno di un’interfaccia Web o di una connessione wireless (in particolare, le connessioni wireless che consentono a chiunque di connettersi e stampare dovrebbero essere messe sotto i riflettori).
- Includere documenti scansionati, che possono contenere informazioni sensibili di identificazione personale (PII) come i dettagli del passaporto, nel processo di gestione dei documenti. Le linee guida devono coprire dove sono archiviati, chi ha accesso ad essi e se devono essere crittografati se inviati tramite e-mail.
Educare la forza lavoro
Come per la maggior parte degli elementi di sicurezza informatica, una forza lavoro ben addestrata e una cultura della sicurezza costruttiva può limitare gran parte dell’esposizione di un’organizzazione al rischio correlato alla stampante.
In termini di istruzione, i processi devono essere spiegati e compresi in tutta l’organizzazione; dovrebbero anche essere rafforzati nel tempo per verificare che il richiamo dell’utente sia accurato e che vengano seguite le versioni più aggiornate dei processi.
Molto di questo è semplice, come insegnare alle persone a gestire correttamente le stampe e perché questo è importante, sia che si tratti di assicurarsi che abbiano raccolto i documenti dalla stampante, o di avere un cestino/trituratore di rifiuti riservato vicino alla stampante ed educare le persone a usarlo. Allo stesso modo, se le password vengono utilizzate per proteggere i documenti classificati dalla stampa incustodita, le password devono essere complesse.
A lungo termine, è fondamentale sviluppare una cultura in cui tutti incarnino buoni comportamenti di sicurezza, seguendo i processi di sicurezza anziché eluderli e segnalando eventuali carenze nel processo non appena identificato in modo che possano verificarsi indagini e rimedi.
Il rinforzo positivo è una tecnica utile; dovrebbe incoraggiare le persone ad allontanarsi dalla visione spesso diffusa secondo cui la sicurezza è un ostacolo allo svolgimento del proprio lavoro e concentrarsi invece sulla comprensione dell’importanza del proprio ruolo in buone operazioni di sicurezza. Le storie di vita reale delle implicazioni nel caso in cui i processi falliscano o non vengano seguiti possono essere utili, purché siano pertinenti e realistiche in modo da non essere viste come allarmismi.
L’ufficio post-pandemia
Il Il clima di Covid-19 ha posto domande a cavallo tra tutti e tre gli elementi del triangolo processo, tecnologia e persone. In che modo i datori di lavoro possono fornire ai propri team il processo e la tecnologia per stampare in modo sicuro a casa, oltre a garantire che gli utenti seguano i comportamenti di sicurezza richiesti (assicurandosi che il materiale riservato stampato a casa non venga utilizzato inavvertitamente da altri membri della famiglia, ad esempio) ?
Il personale può connettersi alle stampanti locali che ha acquistato personalmente, una mossa che potrebbe esporre la rete aziendale a grandi quantità di rischi aggiuntivi? Le persone possono distruggere i documenti usando i distruggidocumenti domestici?
Anche quando sono in atto strategie di sicurezza della stampa, molte sono state sviluppate prima della pandemia e sono quindi mature per la revisione. Queste domande, insieme a vari altri fattori, sono utili da considerare, in particolare in considerazione del potenziale cambiamento permanente dei luoghi di lavoro, poiché il numero di persone che lavorano da casa almeno per una parte del tempo sembra destinato a rimanere significativo.
La sicurezza della stampante potrebbe non essere inizialmente per la mente di molte persone, ma è un elemento chiave nell’elaborazione dei dati e quindi dovrebbe essere trattata con la stessa cura e attenzione riservata ad altre risorse IT.
More Stories
Risultati salutari sull’allentamento del Covid
Ukrtelecom e Iskratel lanciano l’espansione della rete in fibra da 12 milioni di euro in Ucraina
L’acquisizione di tecnologia per le forze dell’ordine richiede un esame più approfondito