L’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR) lo scorso 25 maggio, ha finalmente definito a livello europeo la delicata questione legata alla gestione dei dati che le Aziende Private e gli Enti Pubblici trattano quotidianamente.
Per molti anni la legislazione ha lasciato che i singoli Paesi implementassero normative al livello esclusivamente nazionale che, seppur rigide e chiare, non erano adeguatamente armonizzate per affrontare il processo di globalizzazione ormai avviato da tempo. Questo poteva generare falle nel sistema o una non chiara definizione delle responsabilità che ovviamente portava ad una tutela non coerente dei soggetti.
Oggi, i dipendenti, di qualsiasi livello e responsabilità, sono tenuti a conoscere la normativa e ad adottare comportamenti e utilizzare processi che tutelino le informazioni personali di clienti, fornitori e dipendenti nel migliore dei modi possibile.
Senza addentrarci sulle basi normative, ormai note, e sulle conseguenze che possono derivare da una errata gestione dei dati o dei sistemi utilizzati per custodirli (il furto degli stessi dati o il loro utilizzo per fini illeciti sono solo due esempi derivanti da errata gestione), è importante sottolineare che non solo gli aspetti legati puramente all’ambito informatico sono passibili di attacchi.
È troppo spesso opinione comune che gli attacchi possono arrivare esclusivamente dalla rete, ad esempio attraverso un malfunzionamento del sistema di protezione dalle intrusioni (firewall), ma è bene ricordare che le informazioni non circolano solo ed esclusivamente attraverso le e-mail o attraverso i Social Network ma anche su supporto cartaceo (stampe di file e fotocopie ne sono due esempi).
I Sistemi Multifunzione e le stampanti sono parte integrate del processo amministrativo e di comunicazione. Generalmente sono interconnesse alla rete e, generano, creano e gestiscono informazioni al pari di un Personal Computer. Proprio per questo devono essere oggetto di adeguata attenzione e protezione, in quanto il documento stampato contiene le stesse informazioni personali del file, informazioni molto importanti sotto il profilo giuridico legale e perciò tutelate. Inoltre occorre considerare che ancora oggi il documento cartaceo è utilizzato per archiviare e gestire le informazioni più importanti.
È sufficiente dunque dimenticare un qualsiasi documento sul vassoio di uscita della carta, oppure lasciarlo incustodito per qualche minuto prima di passare a ritirarlo, per mettere a rischio i dati dell'azienda o delle persone che vi lavorano. Chiunque può leggerne il contenuto e usare quelle informazioni sensibili per scopi personali danneggiando, anche involontariamente, la persona coinvolta o arrecando danni alla società detentrice dei dati
Considerando che oggi le periferiche personali sono in molti casi soppiantate da sistemi dipartimentali che servono gruppi di persone più o meno ampi per esigenze di ottimizzazione dei costi, la gestione corretta dei sistemi di stampa è ancora più importante visto che più persone condividono lo stesso strumento, occorrerà dunque essere ancora più attenti affinché sia chiaro chi è il responsabile di un processo di stampa.
Un esempio semplice di ciò che può succedere:
Il soggetto A, che chiamiamo Antonio per comodità, stampa il proprio cedolino dello stipendio, la stampa viene regolarmente depositata sul vassoio della multifunzione situata nel corridoio. Nello stesso momento il soggetto B, Bruno, sta effettuando una fotocopia e per errore assieme al suo plico preleva anche il cedolino del collega.
Bruno scopre che Antonio guadagna molto più di lui e usa questa informazione a suo beneficio oppure semplicemente la divulga ad altri.
Antonio subisce un danno (i dati finanziari sono considerati "sensibili") e può denunciare il fatto. L’azienda, qualora chiamata in causa, dovrà dimostrare di aver messo a disposizione degli impiegati degli strumenti e dei processi atti ad evitare queste situazioni. Bruno sarà sicuramente soggetto a sanzione, e l’azienda dovrà dimostrare che il sistema di gestione delle stampe era progettato a dovere.
La conformità al Regolamento GDPR impone alle aziende, tra l'altro, quest’ultimo aspetto ovvero l’utilizzo di processi e sistemi atti a prevenire il furto delle informazioni personali di terzi.
Ma allora, data la rilevanza della problematica, quali sono i principali passi che devono essere implementati dalle aziende e dagli enti per raggiungere la conformità al GDPR relativamente ai propri sistemi di stampa?
Seguendo il flusso logico delle operazioni è fondamentale che si tengano sotto controllo 3 passi fondamentali, che riassumiamo semplicemente di seguito:
1. INFRASTRUTTURA DI RETE SICURA
Di base è necessario che l’infrastruttura di rete sia sicura e controllata, dopodiché le periferiche di stampa devono adottare sistemi che ne garantiscano la protezione come autenticazione utente, cancellazione dei dati latenti sul disco fisso, comunicazione di rete criptate e cifratura dei dati nativa. Ultimo, ma non meno importante, l’adozione di un software apposito che renda sicuro il processo di stampa.
2. FLUSSI DI STAMPA SICURI
Le stampe devono essere rilasciate dal sistema di stampa solo in presenza dell’utente che dovrà autenticarsi (meglio con autenticazione a 2 fattori), immettendo sul display user name e password o anche tramite badge aziendale. L’utente dovrà anche attendere il termine della propria stampa per ritirare i documenti evitando di lasciare qualsiasi sorta di informazione incustodita sul vassoio di consegna. E’ anche importante che il software di gestione delle code di stampa gestisca anche gli errori delle stampanti, evitando che un documento venga rilasciato in maniera inaspettata dopo la risoluzione di qualsiasi sorta di possibile malfunzionamento.
3. TRACCIABILITA’ DEI LAVORI COMPLETATI
Il fine di poter riscostruire qualsiasi evento, è fondamentale che si tenga traccia dei lavori di stampa con appositi registri informatici e report contenenti tutti i dati legati al documento attraverso l'impiego di un apposito software di gestione. Il software di gestione centralizzato e i relativi report dovrebbe anche consentire la cancellazione di qualsiasi informazione di un determinato utente nel caso di richiesta di applicazione del diritto all’oblio.
Come ulteriore fattori di sicurezza si può ricorrere all’applicazione di filigrane e firme digitali sul documento, per una diretta identificazione della sorgente, ed eventualmente archiviare su un server sicuro una copia di ogni stampa prodotta per un registro storico accurato e completo.
Per concludere: Tutti hanno bisogno di utilizzare sistemi di stampa sicuri, ma in alcune organizzazioni non se ne può fare a meno. Ne sono un esempio Banche, la Difesa e tutte le attività correlate, Enti Governativi ed anche tutte le aziende che sempre più operano in ambito di e-commerce. In questi ambienti é importante l’impiego di sistemi certificati. Il piu recente é il HCD PPV1 che impone rigidi standard di conformità, adottato recentemente dai sistemi Sharp.
Naturalmente tutto ciò non si improvvisa dall'oggi al domani.
Occorre infatti, oltre alla conoscenza dei processi interni all'azienda, la padronanza delle normative internazionali sulla sicurezza.
Per approfondire:
https://www.sharp.it/cps/rde/xchg/it/hs.xsl/-/html/information-security.htm
(foto: web / U.S. Army)