Considerazioni sulla sicurezza nella fornitura dell'accesso VPN a computer non aziendali

Non ritengo la tua politica eccessivamente restrittiva o paranoica. È giusto considerare i computer client VPN meno affidabili rispetto ai computer collegati alla LAN in loco. È prassi consolidata disporre di firewall o altri dispositivi di controllo per limitare il traffico autorizzato a spostarsi da / verso la zona di sicurezza VPN semi-attendibile in aree più affidabili della rete. A mio parere, l'accesso VPN da computer appartenenti a domini, di proprietà dell'azienda, è più affidabile dell'accesso VPN dai computer di casa. A seconda dei meccanismi di autenticazione utilizzati dai computer di proprietà dell'azienda, tuttavia, potrei essere propenso a limitare il loro accesso come se fosse un computer di casa. Se semplicemente facendo scorrere un laptop di proprietà dell'azienda si garantisce l'accesso VPN senza un'autenticazione aggiuntiva, ad esempio, avrei bloccato anche l'accesso alla rete dei computer di proprietà dell'azienda dalla VPN.

Il problema principale a cui stai andando, però, è un problema di policy e non tecnico. Indipendentemente dal fatto che i dipendenti debbano essere autorizzati a replicare i dati aziendali in meccanismi di archiviazione dei dati di proprietà non aziendale è una decisione politica che la tua gestione deve prendere. Non è sempre un truismo che un archivio di dati di proprietà non di proprietà dell'azienda sia meno sicuro, ma è quasi sempre qualcosa che la società non ha la capacità di controllare facilmente la sicurezza di. Prendere la sicurezza sulla fede senza auditing è una cattiva idea.

Un'altra opzione potrebbe essere l'utilizzo di una VPN con funzionalità NAC integrate, inclusa la scansione lato client.

Un agente sul lato client sarebbe in grado di verificare la posizione di sicurezza dei dispositivi di proprietà personale e dare un certo livello di sicurezza sul rischio di collegamento alla rete. È possibile utilizzare uno scanner all'accesso basato sul Web (che presenta limitazioni dovute al contesto dell'utente) o, dal momento che si connettono per lavoro, è possibile richiedere loro di scaricare e installare un agente software per disporre dei privilegi di connessione.

Mi sembra che il problema sia quanto siano preziosi i dati per la tua azienda. Se si desidera archiviarlo su computer non protetti su reti domestiche con controlli di sicurezza sconosciuti o se la divulgazione di dati non pone il business a un rischio troppo elevato, allora non sono necessarie restrizioni.

Controlla i termini di servizio di Dropbox. Era piuttosto aperto su chi poteva accedere (il loro personale, agenzie governative, ecc.). Hanno anche avuto una violazione in cui QUALSIASI password consentirebbe l'accesso.

Credo che l'uso di VPN e / o desktop remoto abbia senso. È quindi possibile gestire almeno quali dati sono memorizzati dove.

Abbiamo anche utilizzato SharePoint con SSL (HTTPS) per consentire agli utenti di raggiungere i documenti interni e quindi poter effettuare il check-in e il check-out e mantenere il controllo delle versioni.

La tua preoccupazione sull'hardware di casa è ragionevole a mio parere.

Abbiamo anche implementato CrushFTP che consentiva a HTTPS di accedere a cartelle specifiche. Gli utenti avrebbero quindi accesso ai file e potremmo condividere con clienti e partner. Ha preso qualche managemnt ma è stato ben accolto e ha dato più controllo.