I computer in negozio sono un rischio per la sicurezza?

Questa è una grande domanda e una che queste organizzazioni hanno probabilmente messo in discussione una quantità variabile di pensiero. Posso pensare ad alcuni scenari diversi riguardo ai sistemi che si trovano allo scoperto in questo modo. Li descriverò e i miei pensieri.

1. È la cosa più opportuna da fare : posizionare questi computer dove sono è efficiente per i loro processi aziendali. Non hanno considerato la sicurezza in alcun modo, forma o forma.
2. Questi sistemi sono fondamentalmente considerati terminali Questi sistemi potrebbero essere in qualche modo bloccati. Possono sostituire explorer.exe con qualche app sviluppata in proprio o semplicemente eseguire alcuni programmi sul sistema con un profilo desktop limitato. Questo è un po 'meglio ma non è ancora dove deve essere. Ci sono molti modi per compromettere un sistema quando ci si trova fisicamente.
3. Hanno una buona segmentazione della rete - Questi sistemi hanno poca o nessuna possibilità di accedere al resto della rete. Sono logicamente o fisicamente separati da altri sistemi e hanno poca o nessuna possibilità di accedere a Internet.
4. Hanno un programma di sicurezza per workstation completo - Hanno una segmentazione di rete, ma in aggiunta hanno davvero considerato questo come un vettore di attacco. Queste workstation sono indurite, bloccate, hanno una crittografia completa del disco, agenti residenti per rilevare il malware e sono limitate nella loro capacità di accedere al resto della rete o di Internet. Questo è più lavoro, ma ovviamente migliora la postura di sicurezza della tua rete in modo significativo e riduce notevolmente il rischio di esporre fisicamente questi sistemi.

Stai facendo molte supposizioni nella tua domanda.

Senza sapere dove e come questi sistemi si connettono alla rete aziendale non disponi di informazioni sufficienti per valutare il rischio.

Una possibilità è che quei sistemi siano collegati direttamente ai loro sistemi di inventario e ordine e se tu avessi accesso a uno di quei computer potresti accedere o modificare tutti i tipi di dati.

La seconda possibilità è che i terminali siano tutti isolati su una rete speciale che ha accesso solo ad alcune ben progettate API ben costruite e ben recensite che forniscono informazioni a bassa sensibilità come il conteggio delle scorte ei dettagli del prodotto.

La prima opzione sembra terribile. Il secondo non suona così male. La realtà è che i membri dello staff di questi negozi devono essere in grado di fornire supporto e informazioni ai clienti. Collocando i terminali attorno al negozio, autorizzi i dipendenti e ne traggano vantaggio. Se puoi farlo senza aumentare il rischio (troppo) dei tuoi dati e sistemi sensibili, allora è la mossa di business intelligente.

In alternativa, diciamo che collochi quei terminali in una stanza "sicura" nella parte posteriore del negozio, oltre a pochi segni "Dipendenti solo" e una porta con un lettore di badge. Ecco la ricaduta:

1. Non sono molto più sicuri. Un attaccante motivato camminerà oltrepassare i segni e "prendere in prestito" un badge di sicurezza.
2. Il dipendente impiegherà molto più tempo a fornire informazioni ai clienti, perdendo le vendite e la soddisfazione del cliente.
3. Sei ancora vulnerabile agli attacchi interni e hai un gran numero di addetti ai lavori. Una catena di grandi dimensioni avrà più di 40 dipendenti per negozio in 200 negozi in tutto il paese in qualsiasi momento. Pensi davvero di poter filtrare qualsiasi "cappello nero" che crea un falso ID e un falso curriculum e cerca di essere assunto?

Penso che la tua domanda e le tue ipotesi si concentrino sul problema sbagliato. Supponiamo che qualcuno proverà a utilizzare male i terminali e ad andare da li. Quali attenuazioni vuoi avere in atto per renderlo conto?