Il 18% delle imprese in Europa è vittima di sottrazione di dati, nel 67% dei casi ad opera di intrusioni interne (dati Global Fraud Report di Kroll). Un fenomeno “costoso”: le aziende perdono ogni anno il 5% dei profitti a causa di furti e reati ad opera dei dipendenti (dati CFE), complice la scarsa efficacia delle misure di sicurezza, soprattutto per i dati che viaggiano su Web, Mobile e Cloud, nonché sui device multifunzione. Per proteggere i dati bisogna prima classificarli per importanza e livello di privacy. Poi, per ogni fase del processo gestionale vanno previste opportune contromisure. Procedure, queste, che spesso non vengono estese a stampanti e dispositivi multifunzione (leggi come proteggere le stampanti). Può dunque essere utile ricordare alcune linee guida specifiche.
- Acquisto stampante: assicurarsi che sia fornita di crittografia dei dati (standard IP Security) per stabilire una connessione sicura con gli altri nodi di rete tipo server di stampa o workstation di gestione; il dispositivo genererà dinamicamente una chiave di decrypt che rende i dati illeggibili per qualsiasi altra stampante.
- Gestione dispositivo: limitare l’accesso al pannello di controllo ai soli utenti amministratori per proteggerne le impostazioni.
- Gestione stampe: inserire un codice (pin, smart card, badge personale) per ogni dipendente per evitare stampe fuori monitoraggio.
- Invio dati: cifrarli con protocollo SSL (Secure Socket Layer) per comunicazioni tra browser e server Web (in questo caso integrato), per scongiurare accessi non autorizzati.
- Misure di sicurezza: adottare funzioni di gestione remota sicura, filtraggio porte, filtro TCP per connessioni a reti di grandi dimensioni e autorizzazioni per singoli dipendenti su dispositivi particolari; soprattutto per stampanti e MFP, limitare l’accesso a determinate funzioni a singoli utenti.
- Precauzioni: cancellare ogni sera le stampe rimaste appese per liberare la cache del dispositivo e ridurre il rischio di download di documenti dalla coda di stampa.
Frodi finanziarie, sabotaggio e furto di proprietà intellettuale sono minacce reali, ma le aziende si attivano sempre dopo che le vulnerabilità si evidenziano e mai prima. Un approccio corretto, invece, coinvolge tutti i processi e settori aziendali con misure organizzative, procedurali e tecnologiche, a valle di un audit ed una puntuale valutazione del rischio (risk assessment), senza dimenticare la formazione e l’istituzione di policy aziendali. Ma prima di tutto bisogna assicurare la compliance al Codice Privacy (l. 196 del 2003), magari redigendo anche il Documento Programmatico sulla Sicurezza (DPS) che, pur non obbligatorio nelle PMI, “costringe” a controllare le diverse modalità di gestione dei dati (leggi come proteggere i documenti stampati).
