La Direttiva (UE) 2022/2555, meglio nota come NIS2, rappresenta un passo significativo verso la definizione di un livello comune di sicurezza informatica in tutta l'Unione Europea. Questa direttiva, entrata in vigore il 16 gennaio 2023, mira a rafforzare la resilienza dei servizi essenziali e dei fornitori di servizi digitali contro le minacce informatiche, introducendo standard e pratiche di sicurezza informatica coerenti.
Il settore della stampa, insieme a molti altri, rientra nell'ambito di applicazione della direttiva NIS2. Pertanto, le entità del settore della stampa devono comprendere le implicazioni della direttiva NIS2 e adottare le misure necessarie per soddisfare gli standard di sicurezza. Entro il 17 ottobre 2024, gli Stati membri sono tenuti ad adottare e pubblicare le misure essenziali per conformarsi alla direttiva NIS2.
Questo articolo approfondirà i dettagli della Direttiva NIS2 e le sue implicazioni per i distributori e i clienti di MyQ X.
Se sei un cliente finale di MyQ X, discuti i requisiti e le raccomandazioni della direttiva NIS2 con il tuo fornitore/distributore MyQ X. I partner MyQ sono formati per fornire un'assistenza di alto livello e ti aiuteranno ad attuare le misure necessarie.
Principali ambiti della direttiva NIS2
Gestione dei rischi e sicurezza informatica
Adottare un approccio di gestione del rischio alla sicurezza informatica. Ciò include l'identificazione e la valutazione dei rischi per la rete e i sistemi informativi, l'implementazione di misure per mitigare tali rischi e la revisione periodica di tali misure.
Assicuratevi che il vostro server e il software associato siano aggiornati con le ultime patch di sicurezza per mitigare le vulnerabilità. Inoltre, implementare e testare regolarmente piani di backup e di ripristino di emergenza per garantire la disponibilità e l'integrità dei dati. MyQ fornisce regolarmente patch per i propri prodotti. Si raccomanda vivamente di tenersi informati, seguire queste versioni e definire in anticipo la propria strategia e procedura di aggiornamento. MyQ genera una Software Bill of Materials (SBOM) per ogni versione, ottenibile tramite il proprio fornitore/distributore MyQ, consentendo alle organizzazioni di analizzare i componenti utilizzati nel software per individuare eventuali vulnerabilità di sicurezza.
La segmentazione della rete è uno strumento essenziale per implementare una politica Zero Trust nella pratica. Offre alle organizzazioni modi per controllare le proprie reti con politiche di sicurezza più granulari. Assicura che, anche se un aggressore compromette una parte della rete, non possa spostarsi facilmente lateralmente verso altre aree. Tuttavia, le organizzazioni con ambienti segmentati affrontano sfide nel rendere la stampa prontamente disponibile.
Con MyQ X, le code di stampa possono essere propagate in reti segmentate tramite Mobile Print Agents, e i documenti ospitati nel cloud possono essere scaricati e rilasciati immediatamente dallo schermo del dispositivo con Easy Print. Il supporto per Microsoft Universal Print o Application Proxy nel Mobile Client può aiutare significativamente le organizzazioni nell’abilitazione dei servizi di stampa in tutto il loro ambiente, assicurando al contempo che l’accesso a tali risorse sia protetto.
I certificati SSL per connessioni sicure aiutano a soddisfare i requisiti NIS2 per la trasmissione sicura dei dati attraverso le reti. MyQ X, fin da subito, è dotato di comunicazione sicura abilitata grazie all’Autorità di Certificazione integrata. Le organizzazioni che utilizzano Enterprise PKI possono raggiungere un livello ancora maggiore di sicurezza delle comunicazioni fornendo direttamente certificati personalizzati.
Ove possibile, applicare il protocollo TLS per la comunicazione con altri sistemi. Proteggere la connessione ad Active Directory o ad altre directory utenti tramite LDAPS. Assicurarsi che la trasmissione delle e-mail avvenga tramite SMTPS e verificare tutte le impostazioni nella pagina Rete di MyQ X e nella scheda Sicurezza di Easy Config (ad esempio, che il server Web consenta solo connessioni sicure).
MyQ offre anche la possibilità di crittografare database, scansioni e lavori di stampa. La crittografia dei dati è fondamentale per garantire la riservatezza e l'integrità delle informazioni sensibili, che è un aspetto chiave della conformità NIS2.
Per la comunicazione tra dispositivi, è essenziale implementare protocolli di comunicazione che garantiscano il massimo livello di sicurezza. Si raccomanda vivamente di utilizzare SNMPv3 anziché v1 o v2(c) per monitorare e gestire lo stato e le funzionalità dei dispositivi su una rete.
Continuità operativa e gestione delle crisi
Le organizzazioni devono garantire che le loro operazioni possano continuare in caso di interruzioni significative.
Implementare server ridondanti o sistemi di failover per garantire che i servizi di stampa rimangano disponibili durante un incidente. MyQ X consente l'implementazione di misure di failover utilizzando diversi metodi.
MyQ supporta il clustering di failover di Windows Server per garantire l'alta disponibilità, assicurando che i servizi vengano trasferiti automaticamente a un nodo di backup in caso di guasto.
Se la connessione al server MyQ viene persa, la funzione di stampa di fallback consente agli utenti di continuare a stampare tramite un dispositivo di backup. MyQ Desktop Client invia i lavori di Stampa direttamente a un dispositivo di backup quando la connettività del server è interrotta. Ciò garantisce che le operazioni di stampa possano continuare senza interruzioni durante le interruzioni del server, il che è fondamentale per mantenere la continuità operativa. Allo stesso modo, la funzione Device Spooling supportata da alcuni fornitori può essere combinata con Offline Login per il funzionamento offline, aumentando ulteriormente il tempo di attività dei servizi di stampa.
I backup regolari del database e la possibilità di ripristinare i dati MyQ sono conformi ai requisiti NIS2 per garantire la disponibilità e la resilienza dei dati in caso di attacchi informatici o guasti del sistema. I backup del database e dei log possono essere pianificati con MyQ X ed eseguiti automaticamente, compresi i backup del database SQL del Central Server.
Per saperne di più:
Modello di accesso con privilegi minimi
Agli utenti dovrebbe essere concesso solo il livello minimo di accesso o le autorizzazioni necessarie per eseguire le operazioni richieste.
NIS2 incoraggia la separazione dei compiti per impedire l'accesso non autorizzato ai sistemi critici.
Assegnando diritti specifici per l'accesso alla gestione del sistema e degli utenti, alla gestione dei Lavori di Stampa, alla reportistica o ai log, è possibile concedere a determinati utenti un accesso con privilegi elevati a particolari aree dell'ambiente MyQ, limitando al contempo i diritti di accesso degli altri. Allo stesso modo, i diritti possono essere assegnati per ogni server di sito, in modo che gli amministratori di un server di sito locale non ottengano un accesso con privilegi elevati in altre sedi e filiali dell'organizzazione dove non è desiderato.
Quando l'amministratore utilizza la gestione degli utenti basata su gruppi (gruppi di sicurezza), può ridurre il numero di passaggi necessari per configurare i diritti di accesso, continuando a beneficiare del provisioning e del deprovisioning degli utenti. Per ulteriori informazioni, consultare la sezione Provisioning e deprovisioning degli utenti.
Le autorizzazioni di accesso granulari devono essere applicate all'intera infrastruttura organizzativa, compresi tutti i componenti all'interno dell'ecosistema MyQ X. L'accesso deve essere limitato esclusivamente agli amministratori e al personale autorizzato, garantendo che solo coloro che dispongono dei privilegi appropriati possano gestire e interagire con questi sistemi. Ciò riguarda i dispositivi fisici, i server fisici e il loro sistema operativo (Windows Server), i server SQL, lo storage e altro ancora.
Per saperne di più:
Risposta agli incidenti e auditing
Per gestire gli incidenti, stabilire e mettere in pratica regolarmente delle procedure. In caso di attività sospette, limitare o interrompere l'accesso dell'utente per prevenire ulteriori danni. La corretta implementazione di queste misure può mitigare l'impatto di eventi imprevisti.
Le funzionalità di registrazione e auditing di MyQ (MyQ Logs e MyQ Audit Log) possono essere estremamente utili per la risposta agli incidenti e il tracciamento. Questi log aiutano a rilevare, indagare e rispondere alle attività sospette, il che è un aspetto obbligatorio della NIS2.
I registri devono essere monitorati regolarmente e le notifiche devono essere abilitate per gli incidenti che l'organizzazione ritiene critici. A tal fine, l'utilità Log Notifier integrata in MyQ X può essere configurata per monitorare gli eventi nell'ambiente MyQ e il personale responsabile può essere avvisato per intraprendere azioni immediate. Anche le attività pianificate in esecuzione (come la sincronizzazione degli utenti, il rilevamento delle stampanti e altro) possono inviare avvisi a contatti prestabiliti. Gli amministratori possono inoltre configurare MyQ X per inviare avvisi automatici in caso di fallimento dei Lavori di Stampa o di errori critici.
La gestione dei log può essere centralizzata esportando ed elaborando i log tramite il Registro eventi di Windows e può essere ulteriormente elaborata dai sistemi SIEM quando necessario. Assicurarsi che i periodi di conservazione della cronologia, dei log e dei log di audit siano sufficienti per le proprie esigenze. Questa impostazione viene configurata in Impostazioni – Gestione del sistema.
Stabilire SLA solidi è essenziale per i servizi gestiti come MyQ, specialmente in base alle normative NIS2. Per garantire tempi di risposta rapidi agli incidenti, le organizzazioni dovrebbero prendere in considerazione l'adozione delle offerte di Supporto Premium.
Per saperne di più:
Autenticazione sicura
L'autenticazione sicura garantisce che solo gli utenti autorizzati possano accedere ai sistemi. L'autenticazione a due fattori (2FA) migliora questo aspetto richiedendo due tipi di credenziali, aumentando significativamente la sicurezza.
I requisiti relativi a password e PIN, l'autenticazione a due fattori sugli Embedded Terminal o l'uso di "Accedi con Microsoft" sulle interfacce web o sugli Embedded Terminal (con il client mobile MyQ X) offrono alternative per proteggere l'accesso all'ambiente MyQ X.
Il client mobile MyQ X può essere configurato per richiedere la verifica biometrica, migliorando ulteriormente la sicurezza dell'account utente MyQ X richiedendo un fattore aggiuntivo durante l'autenticazione ai dispositivi.
L'implementazione di meccanismi di blocco dell'account utente dopo diversi tentativi di accesso falliti migliora la sicurezza e riduce il rischio di attacchi di forza bruta.
Per saperne di più:
Provisioning e deprovisioning degli utenti
L'attivazione e la disattivazione garantiscono che agli utenti venga immediatamente negato l'accesso all'ambiente MyQ al momento della loro rimozione dalla directory utenti di origine.
MyQ supporta la sincronizzazione automatica degli utenti con sistemi esterni quali LDAP, Microsoft Entra ID (precedentemente Azure AD), Google Workspace e file CSV. Ciò garantisce che gli utenti appena aggiunti vengano importati automaticamente nell'ambiente MyQ X senza necessità di inserimento manuale. Sincronizzando regolarmente i dati degli utenti, MyQ X contribuisce a mantenere un elenco aggiornato di utenti con diritti di accesso corretti, riducendo il rischio di accessi non autorizzati.
La gestione basata su gruppi e l'uso di gruppi di sicurezza nella directory utenti di origine possono aiutare ad assegnare e rimuovere automaticamente l'accesso a parti dell'ambiente MyQ X per gli utenti appena aggiunti o rimossi.
MyQ X offre una funzione di registrazione automatica, che consente agli utenti di registrarsi autonomamente inviando lavori di stampa, strisciando una tessera identificativa o creando un account tramite l'interfaccia web. Questa funzione è particolarmente utile per ambienti con frequenti utenti esterni, come i dipendenti ospiti. Agli utenti del sistema può essere fornito un PIN temporaneo che scade dopo il periodo impostato, garantendo che l'accesso venga automaticamente revocato una volta che l'utente non ne ha più bisogno.
MyQ supporta l'anonimizzazione dei dati degli utenti per conformarsi alle normative sulla privacy. Questo processo rimuove in modo irreversibile tutti gli identificatori personali, rendendo gli account utente inutilizzabili e non rintracciabili, pur consentendo la creazione di report e l'auditing del sistema senza compromettere la privacy.
Per saperne di più:
Sensibilizzazione e formazione
NIS2 sottolinea la necessità di sensibilizzare e formare il personale sulle pratiche di sicurezza informatica.
Si raccomanda di organizzare sessioni di formazione per il personale IT e gli amministratori sulla gestione sicura dell'ambiente MyQ X, con particolare attenzione alla conformità NIS2. La scelta migliore è quella di consultare la gestione dell'ecosistema MyQ X con il proprio fornitore/distributore. I partner MyQ sono formati per fornire un'assistenza di altissima qualità.
Inoltre, dovrebbero essere sviluppati programmi di sensibilizzazione per aiutare gli utenti finali a identificare le minacce e istruirli sull'uso dell'ecosistema MyQ X, nonché sulle misure da adottare in caso di incidenti di sicurezza e di altro tipo.
White paper sulla sicurezza e implementazione sicura
Per ulteriori informazioni su come raggiungere i migliori standard di sicurezza con MyQ X, consultare il resto di questa guida dedicata alla sicurezza di MyQ X.
Aggiornato il 16/9/2024