Blogger invitato: Mark Chillingworth, scrittore e redattore sulla leadership tecnologica europea e fondatore di Horizon CIO Network.
Nel clamore e nell’entusiasmo tipici di quando azienda implementa una trasformazione digitale, la sicurezza dell'output viene troppo spesso tralasciata. Si ritiene che l'output non faccia parte della digitalizzazione, ma i processi aziendali vitali si basano sia su output fisici che digitali. Pertanto, l'output, in tutte le sue forme, richiede gli stessi elevati livelli di strategia di sicurezza dei processi digitali puri, come l'e-commerce e la sicurezza dei dati, che si basano entrambi sulla gestione dell'output.
"La prima cosa che si fa a un paziente al momento del ricovero è assegnargli un braccialetto", spiega Guy Tucker, Solutions Architect presso LRS. Il braccialetto viene stampato sul posto e contiene informazioni uniche relative al singolo paziente. La digitalizzazione ha cambiato e migliorato molti processi aziendali, ma in molti mercati verticali permane l'esigenza di un output fisico e anche digitale. Questo è vero sia quando si tratta di etichettare scatole di prodotti che un'azienda ha preparato per la distribuzione, sia quando si tratta di identificare campioni in un laboratorio o di soddisfare le esigenze di accessibilità di clienti e colleghi.
La gestione dell’output e della stampa è rimasta un elemento centrale dell'attività aziendale, in quanto ecomonicamente vantaggiosa. I tag RFID sono costosi ed erodono il margine di profitto dei produttori alle prese con livelli record di inflazione. La gestione dell'output va oltre la stampa. La creazione di un documento di carico in PDF elimina la stampa di copie cartacee, ma richiede comunque gli stessi livelli di gestione dell'output della stampa aziendale.
Vulnerabilità digitali
Se la gestione dell'output non viene presa in considerazione nella trasformazione digitale di un'organizzazione, e quindi inclusa nella sua strategia di sicurezza informatica, si creano dei punti vulnerabili. Nel 2023, le vulnerabilità nelle tecnologie di output hanno portato a backdoor di autenticazione nelle organizzazioni, aprendo le installazioni tecnologiche a rischi di SQL injection e cross-site scripting. Una particolare vulnerabilità ha esposto le organizzazioni a 18 tipi di minacce diverse. Altre vulnerabilità hanno esposto le aziende ad attacchi di tipo SSRF (falsificazione delle richieste lato servizio). Questo avviene in un momento in cui il Digital Leadership Report, un rapporto annuale della comunità dei CIO e dei CTO, indica che il 52% delle grandi organizzazioni ha subito un grave attacco alla sicurezza informatica negli ultimi due anni.
"Gli incidenti informatici possono avere gravi ripercussioni sulle organizzazioni di tutte le dimensioni, sia a breve che a lungo termine, che possono variare da danni alla reputazione all’interruzione dell’attività", ha dichiarato Lindy Cameron, CEO del National Cyber Security Centre (NCSC), l’ente della sicurezza informatica del governo britannico. "Con l'aumento degli incidenti, è fondamentale che le organizzazioni collaborino con i loro fornitori per identificare i rischi della catena di fornitura e garantire l'adozione di misure di sicurezza adeguate", ha aggiunto Ian McCormack, vicedirettore dell'NCSC per la resilienza informatica del governo britannico. Le catene di fornitura complesse sono diventate la normalità nelle attività commerciali moderne e si affidano alle tecnologie di output per condividere e verificare le informazioni.
Guy Tucker di LRS ritiene che parte del problema sia dovuto al fatto che l'output è considerato una mera utilità e le organizzazioni ed il loro personale non sono consapevoli dei rischi. Ha affermato: “Se devi stampare un report, devi aprire un data stream e i data stream aperti devono essere autenticati". La società di analisi tecnologica Gartner ha rilevato nel 2022 che il 69% dei dipendenti ignora le indicazioni sulla sicurezza informatica della propria organizzazione e il 74% è disposto a ignorare le misure di sicurezza informatica pur di svolgere il proprio lavoro. Le tecnologie di output, se non gestite in modo efficace, possono consentire ai dipendenti di aggirare le regole di sicurezza e mettere a rischio l'organizzazione.
L’output non deve essere trascurato
Quando la gestione dell'output spesso non viene considerata parte della guida alla sicurezza informatica, il vettore delle minacce aumenta. Secondo Tucker, la gestione dell'output è troppo spesso trascurata quando le organizzazioni pianificano e implementano strategie di cloud computing. "Un dispositivo di output è un computer. Non è meno potente di un notebook, quindi c'è un nuovo punto di ingresso nella rete".
Il CIO Jevern Partridge è dello stesso parere: "Non si pensa alla sicurezza dei documenti stampati fino a quando non si verifica una fuga di notizie perché la stampa è stata eseguita su un dispositivo sbagliato". Tucker aggiunge che la fuga di notizie sulle cartelle cliniche della pop star Britney Spears dal Centro Medico UCLA negli Stati Uniti nel 2008 avrebbe dovuto essere un campanello d'allarme per le organizzazioni. La sicurezza dei documenti fa la differenza.
Una delle cause dei rischi per la sicurezza derivanti dalla gestione degli output è che la responsabilità è spesso condivisa tra i vari reparti. I team che si occupano di approvvigionamento e di gestione delle strutture hanno spesso un'ampia responsabilità in materia di tecnologia di output. Tuttavia, questi reparti sono spesso governati da indicatori di prestazione chiave (KPI) basati sui prezzi e non hanno competenze in materia di sicurezza dei dati. Nel peggiore dei casi, alcune organizzazioni permettono ai vari reparti di creare le proprie catene di fornitura di dispositivi di output.
Per quanto riguarda i responsabili delle tecnologie aziendali, il rischio è che percepiscano la gestione dell'output come una questione puramente di stampa. Che sia stampato su carta, su un tag elettronico o su un artefatto digitale, l'output è importante e deve essere valutato e gestito con gli stessi elevati livelli di cybersecurity di e-mail, reti, database e sistemi di e-commerce.
Un approccio strategico
Addossare la responsabilità su un singolo team non è la risposta giusta per molte organizzazioni. I risultati di business sono sempre uno sforzo congiunto. È più importante che le organizzazioni abbiano un approccio strategico alla gestione dell'output che definisca e rifletta le esigenze aziendali e i rischi per la sicurezza posti dalle informazioni in esso contenute.
La sicurezza informatica comincia a essere considerata un rischio aziendale che si affianca ad altre minacce per un'organizzazione, come l'emergenza climatica e i disastri naturali. La gestione dell'output deve essere intesa nello stesso modo. Le organizzazioni mature si stanno rendendo conto che la sicurezza informatica non è un problema esclusivo del reparto IT o del CISO, ma che tutti i membri dell'organizzazione hanno un ruolo da svolgere. La sicurezza dell'output deve seguire lo stesso percorso.
La gestione dell'output richiede che l'amministrazione degli utenti disponga di solide capacità in ogni disciplina, come database, rete e dispositivi", ha affermato Tucker. Il CIO Partridge si è dichiarato d’accordo: "Costruite le basi della sicurezza e costruitele bene". Consiglia ai colleghi di utilizzare le funzioni di sicurezza degli strumenti di creazione dei documenti in modo che la sicurezza sia impostata a livello di documento; ciò impedirà la stampa o la condivisione non necessaria di informazioni sensibili. "Se un documento viene contrassegnato come riservato, non può essere stampato, copiato o inviato", ha affermato.
Per quanto riguarda la politica di sicurezza, Partridge ha aggiunto: "È necessario educare, educare, educare e fornire al personale della vostra organizzazione esempi di vita reale per una migliore comprensione".
La digitalizzazione continuerà a modificare i processi aziendali. La creazione di output digitali e fisici continuerà a essere fondamentale per i processi aziendali. Se trascurata, la gestione dell'output potrebbe essere la porta aperta che un criminale informatico sta cercando e portare a danni significativi alle finanze e alla reputazione dell'azienda. La gestione dell'output, quindi, deve essere considerata come parte della strategia olistica per rendere l'azienda più efficace e sicura.
Le organizzazioni non possono permettersi di considerare la gestione dell'output come qualcosa di estraneo alle loro ambizioni di trasformazione digitale o alle protezioni di sicurezza informatica dell'azienda. La creazione di un panorama IT efficace e sicuro richiederà una maggiore collaborazione e un approccio strategico alla gestione dell'output.