¿Cuáles son los posibles enfoques y argumentos para proteger los sistemas de TI corporativos con la mayoría de las computadoras portátiles?

Navega tus respuestas
2

Trabajé como el único administrador de sistemas de una empresa donde la mitad de las computadoras son portátiles y se las llevan para trabajar en casa, viajes de negocios, visitas a clientes, etc., y tengo acceso a prácticamente todo mientras estoy conectado a redes corporativas internas.

Y la mayoría de los usuarios de computadoras, incluso escritorios, son administradores. En el (los) grupo (s) de trabajo de Windows, no hay Active Directory / Domain Controller.

  • Actualización: más de 35 estaciones de trabajo con Windows 7, XP, Vista y dos servidores Windows 2003, uno para servicios de terminal (que sirve a todos los aplicaciones de contabilidad), otro servidor Windows 2003 es para sitios web / portal y externos Acceso desde internet. La oficina (redes internas) se distribuye en 2 ubicaciones principales (una es la oficina principal y otra está produciendo instalaciones en otra ciudad) y La oficina principal tiene 2 edificios con comunicación por WiFi.
    Los empleados (vendedores, contadores, abogados) conectan las computadoras portátiles a la red de cable interna mientras están en la oficina
    Consulte la información sobre mi situación específica en mi pregunta ¿Cómo asegurarse de que el administrador de sistemas anterior no haya comprometido la seguridad de TI corporativa? [cerrado]
    Fin de actualización

¿Cuáles son los primeros pasos más urgentes para asegurar / reorganizar dicha infraestructura corporativa de TI y los argumentos para convencer a la alta gerencia en su necesidad?

    
pregunta Gennady Vanin Геннадий Ванин 27.03.2012 - 00:10
fuente

6 respuestas

2

Yo restringiría según el tipo de datos a los que necesitan acceso.

¿Necesitan almacenar alguna información localmente? Si es así, ¿qué tipo de datos? Es posible que deba forzar el cifrado completo del disco si se trata de datos sensitivos, es decir, SS # 's, CC's, etc. También puede tener un requisito legal dependiendo de su industria para hacerlo.

Si solo necesitan acceso a los archivos de tipo MS-Office, puede ejecutar la publicación de la aplicación de servicios de terminal y todo el trabajo se realizará en el servidor O, ya que mencionó que todo está en una configuración de grupo de trabajo que es mejor que esté ejecutando. un programa llamado go-global por graphon. Esto es definitivamente más barato que los servicios de terminal y puede probar la prueba para ver si funcionará para su aplicación. echa un vistazo a enlace

¿Cuántos sistemas hay y cuáles son? (Estación de trabajo XP, computadora portátil con Win 7, servidor win2k3 que no funciona como controlador de dominio, etc.)

¿Hubo una razón específica por la que la red se configura como un grupo de trabajo?

¿Qué tipo de datos desea proteger?

    
respondido por el Brad 27.03.2012 - 01:28
fuente
2

No confíes en nada. Todos los dispositivos móviles deben colocarse en su propio segmento de red, que no tiene acceso a toda la infraestructura. Esta red no confiable no debe tratarse de manera diferente a la Internet abierta. Asegúrese de exponer solo los servicios que son necesarios para esta red no confiable.

Asegúrese de que todos los dispositivos móviles tengan un software antivirus. Todavía soy escéptico con el software antivirus para teléfonos. Asegúrese de que los dispositivos se actualizan regularmente.

    
respondido por el rook 27.03.2012 - 00:18
fuente
2

La mayor parte de esta pregunta está fuera de mi alcance, pero tengo una pequeña sugerencia. Cuando se trata de seguridad física (específicamente, la recuperación de dispositivos perdidos o robados), generalmente soy un fanático de estos tipos:

enlace

Nunca antes extravié alguna de mis propiedades, pero generalmente soy un fanático de todo su sistema. Me parece intuitivo, potente, personalizable, programable, etc. Realmente no puedo pensar en nada que cambiaría.

A modo de divulgación, no tengo ninguna afiliación con esta empresa. Solo soy un cliente satisfecho.

    
respondido por el Chris Allen Lane 27.03.2012 - 23:52
fuente
1

Uno de los más importantes para cualquier dispositivo portátil es LoJack. He estado instalando el software en todos mis dispositivos de trabajo durante algunos años, y aunque no he tenido que verlo en acción, el software es muy sólido, con un dispositivo robado al 97%. tasa de retorno: con seguimiento de Wi-Fi, aunque ahora que muchas computadoras portátiles tienen chips GPS, el software ahora también incluye esa capacidad, lo que aumenta la velocidad de retorno.

Aparte de eso, el cifrado de disco completo (Bitlocker o algo similar) es obligatorio, aunque si por alguna razón solo necesita cifrar algunos archivos, TrueCrypt es obligatorio.

Finalmente, si puede obtener lectores de huellas digitales en sus dispositivos, puede ser una buena capa adicional. Aunque algunos dispositivos tienen reconocimiento facial, sé que en Android se encontró una vulnerabilidad en la que el uso de una imagen del propietario del dispositivo engañó al software, pero no estoy seguro de que el mismo problema se aplique a las cámaras de los equipos portátiles.

    
respondido por el theonlylos 27.03.2012 - 01:35
fuente
1

Debería ver algunas de las grandes empresas de servicios profesionales que pueden tener usuarios móviles de 100k con computadoras portátiles.

  • no permitir el acceso del administrador
  • no les permita descargar archivos a menos que se analicen primero
  • parchea regularmente y actualiza el antivirus
  • utilice una etapa de evaluación de la plataforma en su solución VPN para evitar el acceso si la computadora portátil no está actualizada
  • use un firewall configurado para evitar la división de túneles
  • configure el navegador para que solo se conecte a través de los sitios web de VPN y de la lista blanca

Agregará un enlace una vez que encuentre la pregunta similar que se haya respondido previamente

    
respondido por el Rory Alsop 27.03.2012 - 19:07
fuente
1

En una empresa, la seguridad es una decisión empresarial tanto como cualquier otra cosa. Para estar realmente seguro, no puede usar equipos que no pueda controlar, y eso incluye computadoras móviles. Pero poner ese tipo de restricción en una empresa probablemente no ahorrará en responsabilidad de seguridad tanto dinero como costará en pérdidas de ingresos reales.

Por lo tanto, tratar de cambiar el comportamiento de los trajes que traen el dinero puede ser un poco problemático. Incluso si tienes razón.

En su lugar, es posible que desee volver a pensar dónde dibuja sus líneas. En lugar de ser de confianza, tal vez las estaciones de trabajo deberían considerarse hostiles, seguras y administradas individualmente, localmente, independientemente de la red. Los datos "centrales", sea lo que sea lo que pueda significar, se analizarán y examinarán en el camino desde las estaciones de trabajo basándose en el supuesto de que todas las estaciones de trabajo son atacantes. El acceso a los recursos centrales solo se permite a través de canales debidamente asegurados y autenticados. Acceso no anónimo, sin contraseña.

Además, es una buena idea adquirir el hábito de "nube" almacenando todos los documentos importantes (donde "nube" puede ser cualquier tipo de herramienta de sincronización de archivos entregada por Internet; por ejemplo, Dropbox, sharepoint, etc.) y regularmente. limpie y vuelva a aprovisionar todas las computadoras móviles propiedad de la empresa.

Para el usuario, es liberador poder tomar cualquier computadora portátil y hacer que sus datos simplemente se rellenen en ella, y hace que la falla de hardware sea apenas un inconveniente. Y desde su perspectiva, simplifica enormemente la seguridad; cada 3 meses, borra todo y comienza a limpiar en todos los dispositivos.

    
respondido por el tylerl 28.03.2012 - 08:03
fuente

Lea otras preguntas en las etiquetas

Se descubrió la vulnerabilidad de HTTP TRACE: ¿qué debo hacer? Robo de datos a través del disco de arranque en vivo