Varnostne pasti v pisarniških okoljih: tiskalniki
V želji, da bi podjetja kar se da hitro uredila področja ravnanja z osebnimi podatki, ki ga je zahtevala skladnost z uredbo GDPR, so marsikje hiteli z analizo zbirk podatkov in posodabljanjem programske opreme. Informatiki so posodabljali računalnike in mobilne naprave. Le na vdane in zveste delavce, kot so tiskalniki, ni nihče pomislil.
Naraščajoče število pametnih telefonov, tabličnih računalnikov, drugih povezanih oziroma omreženih naprav in predvsem najrazličnejših aplikacij veča kompleksnost IT-okolja, ki naj ga podjetje varuje. Včasih se največje nevarnosti skrivajo prav tam, kjer stvari jemljemo za samoumevne – npr. na tiskalnikih in skenerjih.
»Ne moremo si zatiskati oči pred dejstvom, da je bilo leto 2018 in leta, ki bodo sledila, zahtevno obdobje za področje varstva podatkov in upravljanja informacijskih tveganj, saj spreminjajoče se zakonodajno okolje neposredno vpliva na poslovanje podjetij. Menim, da bodo uspela tista podjetja, ki bodo sprejela poslovni model, temelječ na podatkih, in uvedla potrebne spremembe, da bo v središču vsega, kar počnejo, informacijska varnost – pa naj gre za direktorja IT ali pa direktorja upravnega odbora,« je stanje in prihodnost na področju informacijske varnosti v poslovnih okoljih komentiral Quentyn Taylor, direktor informacijske varnosti v podjetju Canon Europe Ltd.
GDPR je, žal, pogosto zgolj na papirju
Informacijska varnost v digitalnem svetu je lahko zastrašujoča. Hiter razvoj tehnoloških inovacij je prinesel enako nemoten razvoj zakonodajnega okolja, saj predpisi uspešno sledijo vzponu interneta stvari, masovnim podatkom, digitalni preobrazbi in neštetim drugim trendom, ki spreminjajo podobo podjetij in pisarn po Evropi. Informacije potujejo hitreje kot kadar koli prej in prek več naprav, zato je varno ravnanje z njimi na način, ki ne ovira tekočega poslovanja, bistveno za
podjetja vseh velikosti in panog.
Konec maja je minilo leto dni, kar je Splošna uredba o varovanju podatkov (GDPR) stopila v veljavo. Raziskovalno podjetje Gartner je ocenilo, da več kot polovica podjetij do konca leta 2018 ni popolnoma uskladila svojega delovanja z uredbo GDPR.
Slabo ravnanje z dokumenti
Canonova raziskava s področja varnosti pisarniških okolij je prav tako razkrila marsikatero slabo prakso. Skoraj vsak drugi (47 %) direktor podjetja v regiji EMEA se zaveda, da v njegovi organizaciji izginjajo dokumenti, 46 odstotkov pa jih ugotavlja, da zaposleni izgubljajo dokumente tudi izven podjetja. Medtem, ko so se podjetja pri zagotavljanju skladnosti z uredbo GDPR osredotočala predvsem na digitalne kanale in vsebine, so pogosto pozabila na analogno plat. Ob tiskanju dokumentov tako v marsikaterem poslovnem okolju dokumenti z osebnimi in drugimi občutljivimi podatki »sedijo« na tiskalnikih in jih lahko vidi vsak mimoidoči. Dobra praksa zato predvideva uvedbo sistema tiskanja, kjer se dokument tiskalniku na poljubni napravi natisne ob njegovi neposredni avtentikaciji (s pametno kartico, telefonom, geslom ipd.), do takrat pa varno ždi na tiskalniškem strežniku.
Hekerji tudi vse bolj pogosto ciljajo na tiskalnike, saj so ti računalniki v malem. Opremljeni so lahko tudi z diskom za hrambo podatkov in ker so pogosto med varnostnimi ukrepi spregledani, so lažje tarče. Tako velja pri skrbi za informacijsko varnost posebno pozornost nameniti tudi tiskalnikom in večopravilnim napravam ter šifrirati njihovo komunikacijo in dokumente, ki se morebiti hranijo na napravi.
Ciljajte na ISO 27002
Mednarodna organizacija za standardizacijo (ISO) je varnostni standard ISO 27002 opisala kot mednarodni standard najboljših praks za informacijsko varnost. Deluje kot kodeks ravnanja, ki ga
je mogoče certificirati, in temelji na obveznih zahtevah, prvič opredeljenih v varnostnem standardu ISO 27001, ter se osredotoča na tri vidike ureditve informacijske varnosti: ljudi, postopke in tehnologijo. Podjetjem, ki želijo uvesti, izboljšati ali vzdrževati svoje varnostne postopke, varnostnega standarda ISO ni treba upoštevati, lahko pa jim pomaga, da izkoristijo najboljše prakse. Prav tako strankam in kupcem certificirana skrb za varnost vzbuja zaupanje, da je zagotovljeno ustrezno upravljanje tveganja.