Il prossimo 25 maggio, in tutto il territorio UE entrerà in vigore la nuova Data Protection Regulation, il GDPR, e avrà a che fare anche con le stampanti.
Tutte le aziende e gli enti pubblici che operano nella UE dovranno garantire che le loro infrastrutture IT siano conformi alle normative indicate.
Non solo le aziende devono rispettare la normativa, ma devono anche dimostrare che i loro processi siano conformi, documentando in modo adeguato le decisioni intraprese per proteggere i dati personali.
La normativa definisce i dati personali come “ogni informazione che riguarda indicazioni personali o materiali relative a un individuo identificato o identificabile con precisione”.
Viene quindi estesa la definizione stessa di dati personali. Tra le informazioni che possono portare all’identificazione di un individuo, si possono considerare informazioni economiche, culturali o relative alla salute fisica e mentale di una persona, ma anche numeri di telefono, indirizzi IP, user name sui social media e molto altro ancora.
Su tutto questo, le aziende hanno 72 ore di tempo per rendere noto un data leak, o si troveranno a fronteggiare sanzioni significative.
Secondo Giancarlo Soro, Managing Director di Lexmark, nella discussione su come l’infrastruttura IT possa essere adattata e resa conforme a queste nuove normative, un punto solitamente poco considerato è la protezione dei dati nei processi di stampa. In fondo, i data leak non sono per forza i cyber attacchi, ma possono essere qualcosa di molto più semplice, come documenti che escono dalle stampanti e finiscono in mani sbagliate.
I potenziali problemi delle stampanti
Per Soro i punti deboli nella sicurezza di stampa possono variare, da avanzate di cifratura a banali errori umani. Ad esempio, molte aziende possono non essere al corrente che i dati personali vengono trasferiti in modo visibile, e non cifrato, sulla rete, per essere stampati. Oppur vengono salvati in chiaro sui server, o addirittura sui dischi delle stampanti.
E spesso non vengono definiti workflow alternativi, che rappresenterebbero uno strumento fondamentale per evitare che informazioni sensibili possano finire nelle mani sbagliate. Senza workflow alternativi, ogni dato personale potrebbe essere inviato a stampanti in location non sicure. Ma anche un documento dimenticato nel cassetto di uscita di una stampante potrebbe essere un caso di dati non protetti in modo adeguato.
Questi sono solo alcuni dei rischi potenziali che le aziende inevitabilmente incontreranno quando saranno chiamate a proteggere i loro dati in fase di stampa. Certo, problematiche ancor più complesse appariranno a fronte di una sempre maggiore presenza di tecnologie IoT all’interno dei processi quotidiani di business. Ci sono pochi dubbi sul fatto che le aziende si troveranno di fronte a un compito complesso quando dovranno assicurarsi di essere pronte al GDPR.
Come proteggere il parco stampanti
In sostanza, la sicurezza di stampa deve diventare parte fondamentale dei processi di pianificazione IT delle aziende. E per fare ciò, le aziende stesse devono considerare le tre aree principali della sicurezza di stampa.
La prima è rappresentata dai dispositivi. Molte organizzazioni hanno in casa dispositivi di stampa vecchi e protetti in modo inadeguato. La miglior difesa in questo caso sta nell’implementare funzioni di accesso sicuro che riservino la possibilità di usare i dispositivi di stampa a soggetti specifici, facendo uso di strumenti predefiniti di controllo di accesso degli utenti.
La seconda area è la rete. Con l’uso sempre più marcato di dispositivi mobile e la necessità di supportare iniziative BYOD, i dipartimenti IT devono trovare un equilibrio ideale tra la possibilità di fornire agli utenti gli strumenti necessari a massimizzare l’efficienza, e al tempo stesso la necessità di ridurre al minimo i rischi di intrusione attraverso reti e connessioni. Questo può includere certificati digitali, port filtering, IP address filtering, controllo degli accessi basato su ruoli, e molto altro ancora.
La terza e ultima area è rappresentata dai documenti. Una stampa non sicura può essere evitata sul dispositivo, configurandolo in modo da consentire lavori di stampa solo se l’utente si autentica. E’ anche possibile implementare un’autenticazione via badge per l’accesso ai locali fisici, l’uso di soluzioni di rilascio della stampa e un monitoraggio sicuro dei documenti. Si tratta di opzioni che permettono grande visibilità sui documenti fisici e riducono sensibilmente i rischi legati a minacce interne.
Alla fine, è fondamentale che le aziende inizino a considerare la sicurezza una componente integrale del loro hardware di stampa, e non solo dell’infrastruttura software e IT. A partire da maggio 2018, un documento stampato che finisca nelle mani sbagliate potrà rivelarsi costoso quanto un attacco informatico. La UE prospetta sanzioni che possono arrivare ai 20 milioni di Euro, o al 4% del fatturato annuale complessivo (a seconda di quale cifra sia la più alta). Per questo è fondamentale che le aziende operino per evitare che questo scenario diventi la realtà.
Con la scadenza del GDPR sempre più vicina, le organizzazioni dovrebbero prendersi il tempo di capire come trattano i dati personali che raccolgono, sia esternamente dai clienti che internamente dal proprio staff. Nella sostanza, è ora che le aziende si assicurino che la loro conformità alle norme di protezione dei dati si estenda lungo l’intero percorso che va dalla sicurezza web fino al cassetto di uscita della stampante.
