it-swarm-es.com

¿Cuál es su enfoque para manejar el acceso a Internet de los huéspedes?

Supongamos que usted es una compañía que utiliza un proxy web para bloquear el contenido objetable en su red corporativa, y esta tecnología puede causar problemas con algunos VPN de terceros. O tal vez esta tercera parte está trabajando en un proyecto que no debe gestionar o participar por razones políticas.

¿Cómo manejaría una solicitud de un vendedor visitante, o contratista, que necesita acceso a Internet sin restricciones?

¿En qué condiciones necesitarías eximirlos de monitorear?

¿Sujetarías a ciertos visitantes de manera diferente a otros? ¿Cómo manejaría los auditores financieros (PWC), por ejemplo?

¿Qué solución técnica emplearía y cómo manejaría el acceso a esa solución?

[editar]

Si su solución implica usar la inalámbrica para resolver el problema anterior, ¿cómo previene el abuso de los empleados internos que simplemente pueden asociarse a su punto de acceso y descargar contenido? ¿No es una preocupación hoy hasta que alguien lo abusa?

8

Ofrecemos una red inalámbrica de invitados abiertos que solo bloquea categorías como porno, juegos de azar y racista. La red corporativa bloquea un poco más, como las redes sociales, pero la red de invitados no puede acceder a los recursos internos. Nadie obtiene acceso "sin restricciones", siempre bloqueamos los sitios categorizados como maliciosos. Si hay un sitio específico categorizado incorrecto, estamos dispuestos a cambiarlo, pero cualquier sitio bloqueado debe ser revisado individualmente. Si a un proveedor no le gusta, pueden suministrar su propia tarjeta de red celular.

Todos los tipos comunes de VPN están abiertos salientes en nuestra red. En nuestro entorno, si un proveedor está en el sitio y necesita conectarse a su red corporativa, está bien; Si no confiamos en ellos, no los contrataríamos.

Los auditores se conectan a la red inalámbrica invitado. Si necesitan datos de un sistema, nos dicen qué consulta o informe se desea y lo ejecutamos. A ningún momento se les da acceso directo a ninguno de nuestros sistemas.

Para responder más directamente a su pregunta, si los sistemas de TI usaban el conflicto con un proyecto con el que se supone que no debes participar o suponer que diría que el proyecto necesita su propia conexión a Internet. También deberían estar fuera de la red corporativa si se están ejecutando independientemente del sistema de seguridad principal y supongo que están operando fuera de sus políticas en torno a la seguridad del sistema (a menos que tenga muchos de estos y lo ponga en la política) .

8
Wayne

A partir de un fondo de haber trabajado para un auditor, y de proporcionar orientación a grandes bancos, las dos categorías principales son las siguientes:

Acceso para huéspedes completamente separado de la red corporativa: esto es más simple, y como dijo Wayne, se requiere algo de seguridad, pero esto no debería ser demasiado onerosa. Debe buscar bloquear categorías amplias de contenido inadecuado y poner controles básicos para evitar que los atacantes obtienen acceso a los datos o sistemas de otros "invitados", pero aparte de eso, no quiere estar mirándolo demasiado de cerca, de lo contrario, Se podría asumir que lo está trinerando como su red corporativa y sus responsabilidades pueden ser mucho más altas. Definitivamente vale la pena conseguir que todos los invitados firmen una política de uso aceptable.

Para los auditores, a menudo requieren acceso tanto a sus sistemas como a su propio, pero el acceso general no restringido a Internet no suele ser un requisito, lo que significa que puede proporcionar una solución mucho más simple, a menudo solo un punto final VPN que solo permitirá la conexión a Su solución de acceso remoto. Luego, si desean conectividad a Internet, pueden conectarse a través de su propio proxy corporativo. Esto lo protege en gran medida, y significa que todavía pueden ser monitoreados por sus propios sistemas. Puede tomar un poco de tiempo para establecerse, pero después de haber trabajado en una gran cantidad de organizaciones en un rol de auditoría de TI, esto fue a menudo el más simple/más barato. (De acuerdo, a veces la solución más simple era que los auditores tengan una tarjeta GPRS en la computadora portátil, pero nunca fue más barato :-)

Ambas soluciones tienen un requisito más claro posible en términos de monitoreo y gestión continuos.

2
Rory Alsop