Qual è il tuo approccio alla gestione dell'accesso a Internet ospite?

Naviga le tue risposte
7

Supponiamo che tu sia un'azienda che utilizza un proxy Web per bloccare contenuti discutibili sulla rete aziendale e questa tecnologia potrebbe causare problemi con alcune VPN di terze parti. O forse questa terza parte sta lavorando a un progetto che l'IT non dovrebbe gestire o essere coinvolto per ragioni politiche.

Come gestiresti una richiesta da un venditore o da un appaltatore che ha bisogno di un accesso illimitato a Internet?

In quali condizioni dovresti esonerarli dal monitoraggio?

Gestiresti determinati visitatori in modo diverso rispetto ad altri? Come gestiresti i controllori finanziari (PWC) ad esempio?

Quale soluzione tecnica utilizzeresti e in che modo gestiresti l'accesso a tale soluzione?

[Edit]

Se la soluzione prevede l'utilizzo di Wireless per risolvere il problema precedente, come impedire l'abuso da parte di dipendenti interni che possono semplicemente associarsi al punto di accesso e scaricare il contenuto. Non è una preoccupazione oggi fino a quando qualcuno lo abusa?

    
posta random65537 02.12.2010 - 04:41
fonte

2 risposte

7

Forniamo una rete wireless ospite aperta che blocca solo categorie come il porno, il gioco d'azzardo e il razzista. La rete aziendale blocca un po 'di più, come il social networking, ma la rete ospite non può accedere alle risorse interne. Nessuno ha accesso "illimitato", noi blocchiamo sempre i siti classificati come dannosi. Se esiste un sito specifico classificato errato, siamo disposti a cambiarlo, ma qualsiasi sito bloccato deve essere esaminato singolarmente. Se a un venditore non piace, possono fornire la propria scheda di rete cellulare.

Tutti i tipi comuni di VPN sono aperti in uscita sulla nostra rete. Nel nostro ambiente, se un fornitore è sul posto e deve connettersi alla rete aziendale, va bene; se non ci fidassimo di loro non li assumeremo.

I revisori si connettono alla rete wireless ospite. Se hanno bisogno di dati da un sistema, ci dicono quale query o rapporto si desidera e lo eseguiamo. In nessun punto hanno accesso diretto a nessuno dei nostri sistemi.

Per rispondere più direttamente alla tua domanda, se i sistemi IT utilizzati sono in conflitto con un progetto che l'IT non dovrebbe essere coinvolto o conosciuto, direi che il progetto ha bisogno della propria connessione internet. Avrebbero anche bisogno di essere fuori dalla rete aziendale se sono indipendenti dal sistema di sicurezza principale e immagino che stiano operando al di fuori delle vostre politiche in merito alla sicurezza del sistema (a meno che non ne abbiate molte e le mettiate nella policy) .

    
risposta data 02.12.2010 - 04:51
fonte
2

Da uno sfondo di aver lavorato per un revisore dei conti e dal fornire assistenza alle grandi banche, le due categorie principali sono le seguenti:

L'accesso agli ospiti è completamente separato dalla rete aziendale - questo è il più semplice e, come detto da Wayne, richiede una certa sicurezza, ma ciò non dovrebbe essere troppo oneroso. Dovresti cercare di bloccare ampie categorie di contenuti non adatti e inserire controlli di base per impedire agli aggressori di accedere ai dati o ai sistemi di altri "ospiti" ma, a parte questo, non vuoi guardarlo troppo da vicino - altrimenti si può presumere che lo stiate considerando come la vostra rete aziendale e le vostre responsabilità potrebbero essere molto più alte. Sicuramente vale la pena convincere tutti gli ospiti a firmare una politica di utilizzo accettabile.

Per gli auditor, spesso richiedono l'accesso sia ai propri sistemi che ai propri, ma l'accesso generale illimitato a Internet di solito non è un requisito, il che significa che è possibile fornire una soluzione molto più semplice - spesso solo un endpoint VPN che solo consentire la connessione alla loro soluzione di accesso remoto. Quindi se vogliono connettività internet possono connettersi tramite il proprio proxy aziendale. Questo ti protegge in larga misura e significa che possono essere monitorati dai loro sistemi. Può essere necessario un po 'di tempo per la configurazione, ma avendo lavorato in un gran numero di organizzazioni in un ruolo di audit IT, questo era spesso il più semplice / economico. (okay, a volte la soluzione più semplice era che gli auditor avessero una scheda GPRS nel portatile, ma non era mai la più economica: -)

Entrambe le soluzioni hanno il requisito più leggero possibile in termini di monitoraggio e gestione continui.

    
risposta data 02.12.2010 - 10:13
fonte

Leggi altre domande sui tag

La perdita di cronologia delle conversazioni è intrinseca alla crittografia end-to-end? se l'hypervisor è violato sono interessati anche tutti gli ospiti?