10-10-2011
La importancia de la seguridad del entorno de impresión
La conectividad en red, junto con el almacenamiento en el disco duro y en la memoria, suponen que los multifuncionales ahora son vulnerables a muchos de los riesgos para la seguridad que afectan a los PC y servidores, además del riesgo tradicional de que material confidencial impreso vaya a parar a manos de quien no debe. No obstante, con demasiada frecuencia se pasa por alto la seguridad del entorno de impresión y apenas se hace nada para mitigar estas amenazas.
Aunque la mayoría de empresas reconocen las graves consecuencias de la filtración al exterior de datos confidenciales, muchas no se dan cuenta de la amenaza que supone para su negocio un entorno de impresión no seguro. Puesto que la impresión constituye una parte fundamental de muchos procesos empresariales, la protección de las impresoras y los multifuncionales en red debería ser un componente crítico de la estrategia de seguridad informática de cualquier organización. La seguridad de la impresión es fundamental en tres áreas clave: usuarios, documentos y dispositivos. Mediante el control del acceso de los usuarios, la protección de los documentos y la protección de los dispositivos, las empresas podrán cumplir los requisitos normativos y de confidencialidad de datos que cada vez son más estrictos.
¿La impresión sin control puede suponer un riesgo para la seguridad?
Ante un número cada vez mayor de casos de filtraciones de datos, la protección de los datos frente a amenazas internas y externas es imprescindible para las empresas sometidas a innumerables normativas. El acceso no autorizado a los datos puede desembocar en una filtración de datos confidenciales, ya se trate de la información financiera de una organización o de propiedad intelectual. Puede aumentar el riesgo de robo de identidad o provocar un incumplimiento de normativa si se trata de datos personales. Para empresas de todos los tamaños, la pérdida o el robo de datos no sólo exponen a la empresa a multas económicas y a consecuencias jurídicas, sino que también puede empañar gravemente su marca y su reputación. Aunque hay muchas empresas que siguen invirtiendo en seguridad de la información para proteger sus sistemas informáticos de amenazas internas y externas, pocas le dan la misma importancia estratégica a la protección de la infraestructura de impresión, que desempeña un papel fundamental en la creación, producción y distribución de documentos. Sin el control adecuado sobre los dispositivos de impresión, los documentos críticos para la empresa pueden desviarse en cuestión de segundos a personas no autorizadas.
Es fácil pasar por alto las impresoras a la hora de evaluar la seguridad informática, ya que a menudo se las considera dispositivos periféricos "mudos". Pero se acabaron los días en los que para proteger una impresora bastaba con cerrar con llave. La evolución reciente de los dispositivos multifuncionales y de las impresoras en red es inherente a los entornos de oficinas actuales. Pero, pese a que las impresoras compartidas comportan mayor rapidez y comodidad en la oficina, también han supuesto amenazas para la seguridad que muchos departamentos informáticos no han mitigado de forma adecuada. Con la capacidad de imprimir, copiar, escanear a destinos de la red, almacenar en unidades de disco locales, enviar como adjuntos de correo electrónico y enviar y recibir documentos por fax, los multifuncionales tienen muchas de las características y vulnerabilidades de seguridad de cualquier servidor de la red. Incluso si son independientes, estos dispositivos “inteligentes” conservan imágenes de documentos latentes, de modo que podrían poner en peligro información confidencial. El almacenamiento en el disco duro, varios puertos de red abiertos a todos los usuarios, potentes procesadores que se ejecutan en sistemas operativos integrados, servidores Web y clientes de correo electrónico demuestran que un multifuncional es mucho más que un dispositivo mudo.
Como las impresoras suelen estar situadas en zonas comunes con seguridad física básica únicamente, es muy sencillo que la información impresa acabe en manos de quien no debe, bien por error o de forma intencionada. Y si un periférico multifuncional tiene la capacidad de enviar por correo electrónico documentos escaneados sin medidas de seguridad, puede utilizarse para reenviar documentos confidenciales fuera de la empresa sin que haya forma de identificar al remitente.
Casi todas las organizaciones producen datos impresos que resultarían perjudiciales hasta cierto punto si se utilizaran de forma incorrecta. Piense en el tipo de documentos que se imprimen, se copian, se envían por correo electrónico o por fax y se escanean a diario: información personal, extractos financieros, informes confidenciales, mensajes de correo electrónico, datos de clientes e información sobre los empleados. La protección inadecuada de los dispositivos de impresión puede tener graves consecuencias. Hay muchos casos en los que la confidencialidad y la integridad de la información se han puesto en peligro. En 2007, un empleado de una sucursal de inversiones de un importante banco fue arrestado en Nueva York. Se sentaba junto a una impresora compartida, y leía lo que imprimían sus compañeros. Entre dicha información había datos sobre próximas fusiones y decisiones acerca de inversiones. El empleado había reenviado esa información por correo electrónico y teléfono móvil, tras lo cual sus cómplices compraron y vendieron acciones, hasta conseguir un beneficio de 7 millones de dólares. El banco fue multado por abuso de información privilegiada y el empleado fue condenado a varios años de cárcel.
Por supuesto, la protección frente a las amenazas a la seguridad no constituye el único desafío en materia de seguridad al que se enfrentan las organizaciones hoy en día. Las empresas también deben proteger sus datos para poder cumplir con la lista cada vez más larga de normativa administrativa y del sector, como Basel II, MiFID y la Directiva de protección de datos en Europa. Una característica común a todas estas leyes es el requisito de que las organizaciones controlen el acceso a los datos, auditen cómo se utilizan, gestionen su distribución, y los protejan de modo que no se pierdan ni sufran cambios no autorizados.
Muchas empresas nunca consideran los riesgos potenciales asociados con un entorno de impresión no seguro, pero es posible utilizar los dispositivos de forma segura mediante el establecimiento de una estrategia de seguridad que proteja las impresoras y los periféricos multifuncionales en red. Quocirca cree que las empresas deben ampliar su estrategia de seguridad informática y de cumplimiento de la normativa de modo que incluya la impresión. Las empresas deben adoptar un enfoque por niveles ante la seguridad de la impresión, que empiece por la introducción de medidas de seguridad lo más cerca posible del punto de creación, que se vean reforzadas por la inclusión de funciones de impresión integradas, la implementación de soluciones de impresión segura avanzadas cuando proceda y la aplicación de prácticas de impresión recomendadas en materia de políticas de seguridad de la información. No obstante, la efectividad de la estrategia de seguridad de una organización depende de no dejar ningún cabo suelto. Para minimizar el riesgo, debe lograrse un equilibrio entre personas, procesos y tecnología. Por ejemplo, la tecnología de impresión segura puede reducir la probabilidad de que alguien reclame información confidencial impresa, pero no puede eliminar la posibilidad de que se dejen documentos confidenciales en la papelera por error de algún empleado.
En artículos posteriores se destacan las principales vulnerabilidades para la seguridad de impresoras y multifuncionales en red y se exponen las técnicas que pueden utilizarse para mitigar dichos riesgos. Estos artículos van dirigidos expresamente a los responsables de la seguridad informática o la gestión de las impresoras.
Informe independiente de Quocirca Ltd. www.quocirca.com Encargado por HP © Quocirca 2010
|
