Beveiligingsmanagers moeten rekening houden met zoveel dreigingen van buitenaf dat de interne dreigingen door slecht beheerde multifunctionele producten al snel over het hoofd gezien worden. Gelukkig kan deze tekortkoming worden opgelost met de nieuwste generatie apparaten en de hulp van deskundige dienstverleners.
Malware, ransomware, social engineering. IJverige IT-managers en chief information security officers zorgen voor bescherming tegen allerlei dreigingen voor essentiële bedrijfsgegevens. Maar één gebied wordt vaak niet opgemerkt door de beveiligingsradar en het is zelfs aanwezig in het meest afgeschermde netwerk. Ontoereikend beheerde multifunctionele producten (MFP's) die verbonden zijn met deze netwerken vormen een significant veiligheidsrisico, waarbij zowel bedrijfshacks als onbedoelde gegevenslekken door medewerkers het gevolg kunnen zijn. De reden: de beveiliging van deze apparaten vereist een veelzijdige aanpak waarbij niet alleen rekening wordt gehouden met netwerkconfiguraties en de kracht van clouddiensten.
Maar gelukkig kunnen deze gaten in de beveiliging worden gedicht door een combinatie van de nieuwste technologie, beheerde services en best practices zonder de productiviteit van eindgebruikers te beperken. Ik zal u vertellen welke punten belangrijk zijn bij het evalueren van MFP's en het beoordelen van de beveiligingsexpertise van mogelijke beheerde dienstverleners.
MFP's moeten vanaf het begin gebouwd worden met de beveiliging van gegevens in het achterhoofd, in plaats van dat er achteraf hardware en software wordt toegevoegd. Maar hoe kunt u dit bepalen? De vaste schijf van een apparaat is het beginpunt voor gegevensbescherming, dus begin daar. De harde schijf moet ondersteuning bieden voor gegevensencryptieprotocollen die door de overheid worden gesteund voor zowel stromende als opgeslagen gegevens. Een voorbeeld is AES (Advanced Encryption Standard), dat wordt gebruikt voor vertrouwelijke overheidsdocumenten.
Bovendien moeten MFP's over software beschikken waarmee gegevens van de vaste schijf gewist kunnen worden, zodat gevoelige informatie niet blijft hangen nadat een afdruktaak is uitgevoerd of als het apparaat uit bedrijf wordt genomen. Het wissen van gegevens alleen is niet genoeg, want als een taak wordt onderbroken of de schijfopruiming is uitgeschakeld, lopen de gegevens nog steeds gevaar.
Door encryptieprotocollen zijn gegevens veilig tijdens opslag of als ze over het netwerk worden verstuurd, maar gegevens zijn ook op andere momenten kwetsbaar. Vergis u niet: ook bij de uitvoerlade zijn er risico's. Als een MFP een afdruktaak verwerkt voordat de gebruiker tijd heeft om het document op te halen, hebben onbevoegde personen die toevallig langs lopen toegang tot bijvoorbeeld financiële gegevens, personeelsbestanden of andere gevoelige informatie. Om dit te voorkomen, heeft de software van de MFP opties voor follow-me-printing, waardoor de afdruktaak centraal wordt opgeslagen tot de bevoegde gebruiker een id-badge scant, een wachtwoord invoert of beiden, afhankelijk van het bedrijfsbeleid.
De meest effectieve manier voor beheerders om autorisaties te beheren is door de autorisatiegegevens centraal op te slaan in de Active Directory van het bedrijf in plaats van op het apparaat zelf. Zorg wel voor veilige verbindingen tussen de Active Directory van het bedrijf en de badgelezers op de apparaten. Voor de beveiliging van deze overdracht worden directe verbindingen aangeraden waarbij de communicatie wordt versleuteld. Bovendien zorgt het centrale beheer van de af te drukken documenten voor een betere beveiliging, omdat de informatie niet op de vaste schijf van het apparaat wordt opgeslagen.
Om de beveiliging nog verder op te krikken kunnen IT-managers overwegen om bestanden direct vanuit een pc naar een printer te sturen, zodat er geen afdruktaken worden opgeslagen op de afdrukservers. Dit is belangrijk om veel organisaties bestanden die tijdelijk op afdrukservers worden opgeslagen, niet versleutelen waardoor hackers mogelijk toegang kunnen krijgen tot de informatie. Het versleutelen van gepoolde bestanden is een mogelijkheid, al kan dit het gebruik van follow-me-printing voor een organisatie beperken. Daarom moeten beleidsmakers de verschillende opties goed overwegen en op basis van het belang van de te verwerken gegevens en de gevolgen voor de productiviteit de oplossing kiezen die het beste aansluit op hun specifieke vereisten.
MFP's voldoen mogelijk niet aan de beveiligingsnormen van het bedrijf als de installatieprogramma's de standaardinstellingen van de apparaten niet aanpassen. Het configuratieproces moet daarom instellingen bevatten waarmee wordt bepaald of er voor bepaalde werkgroepen of individuele gebruikers limieten zijn voor scannen-naar-e-mail, faxen, afdrukken en kopiëren.
Voor apparaten die gebruikt worden voor het verwerken van zeer gevoelige informatie, zoals medische dossiers en burgerservicenummers, zijn DLP-programma's (preventie van gegevensverlies) het overwegen waard, omdat deze beheerders kunnen waarschuwen en zelfs afdruktaken die zulke gegevens bevatten kunnen blokkeren.
Ten slotte spelen bij de configuratie van de apparaten de eindgebruikers die met de afzonderlijke apparaten werken een belangrijke rol. Niet elke afdeling werkt bijvoorbeeld met bestanden waarvoor DLP of tweeledige verificatie nodig is. Mensen dwingen om onnodig uitgebreide protocollen te volgen, zorgt ervoor dat ze bestaande procedures omzeilen om productiever te zijn, waardoor er meer kwetsbaarheden ontstaan.
Verleners van beheerde afdrukservices spelen een belangrijke rol voor grote organisaties. Ze voeren regelmatig onderhoud uit op de apparaten om mechanische problemen en incidenten te voorkomen. Zo wordt de productiviteit niet onderbroken omdat een printer bijvoorbeeld geen toner of papier meer heeft. Deze specialisten kunnen bovendien de beveiliging correct instellen en softwarepatches installeren, zodat hackers geen gebruik kunnen maken van bekende bugs. Het is essentieel om te bepalen welke dienstverleners over de juiste kennis beschikken om bedrijfsgegevens veilig te houden.
Omdat dienstverleners veel beheertaken op afstand uitvoeren, is het belangrijk om te weten hoe het netwerk van de verlener verbinding maakt met de printers. Bekijk hoe deze verbindingen worden beveiligd en of de dienstverlener speciale tunnels en VPN's gebruikt om met de apparaten te communiceren.
Omdat de apparaatinstellingen aan elke werkgroep moeten worden aangepast – niet te streng en niet te coulant – moet u geen dienstverlener kiezen die universele beveiligingsoplossingen biedt.
Beveiligingsmanagers moeten rekening houden met zoveel dreigingen van buitenaf dat de interne dreigingen door slecht beheerde MFP's al snel over het hoofd gezien worden. Gelukkig kan deze tekortkoming worden opgelost met de nieuwste generatie apparaten en de hulp van deskundige dienstverleners. De buitenwereld wordt er misschien niet veiliger op, maar CIO's en chief information security officers hoeven tenminste 's nachts niet wakker te liggen omdat ze zich zorgen maken over hun MFP's.
Eric McCann
Manager, Product Marketing
Eric McCann is manager, softwareproduct marketing in Global Marketing, en richt zich op het wereldwijde aanbod van Smart MFP-software van Lexmark met de nadruk op firmware, beveiliging en mobiliteit.
Eric is in 2008 in dienst getreden bij Lexmark en heeft verschillende functies bekleed in R&D voordat hij bij Marketing ging werken.
Meld u nu aan en ontvang veiligheidswaarschuwingen en updates.
Deze site gebruikt cookies voor verschillende doeleinden, onder andere om uw ervaring te verbeteren, voor analyse en voor advertenties. Door deze site te blijven gebruiken of door te klikken op 'Accepteren en sluiten' ga je akkoord met ons gebruik van cookies. Lees onze pagina over cookies voor meer informatie.