Consideraciones de seguridad al proporcionar acceso VPN a computadoras no emitidas por la compañía

No considero que tu política sea demasiado restrictiva o paranoica en absoluto. Es correcto considerar que las computadoras cliente VPN son menos confiables que las computadoras conectadas a la LAN en sus instalaciones. Es una buena práctica tener cortafuegos u otros dispositivos de control para limitar el tráfico permitido a / desde esa zona de seguridad VPN semi-confiable a áreas más confiables de la red. El acceso VPN desde computadoras unidas a un dominio y propiedad de la compañía es, en mi opinión, más confiable que el acceso VPN desde computadoras domésticas. Sin embargo, dependiendo de los mecanismos de autenticación utilizados por las computadoras propiedad de la compañía, podría estar inclinado a limitar su acceso como lo haría con las computadoras domésticas. Si el simple hecho de deslizar una computadora portátil de la empresa otorga acceso a la VPN sin autenticación adicional, por ejemplo, también estaría bloqueando el acceso a la red de las computadoras de la empresa desde la VPN.

Sin embargo, el problema de raíz al que se refiere es un problema de política y no técnico. Si a los empleados se les debe permitir o no replicar los datos de la compañía en mecanismos de almacenamiento de datos que no pertenecen a la compañía es una decisión de política que su administración debe tomar. No siempre es cierto que un repositorio de almacenamiento de datos que no sea de la empresa sea menos seguro, pero casi siempre es algo de lo que la empresa no tiene la capacidad de auditar fácilmente la seguridad. Tomar seguridad en la fe sin auditar es una mala idea.

Otra opción sería usar una VPN que tenga una capacidad NAC integrada que incluya escaneo del lado del cliente.

Un agente del lado del cliente podría verificar la postura de seguridad de los dispositivos de propiedad personal y ofrecer cierto nivel de seguridad sobre el riesgo de conexión a la red. Puede usar un escáner de acceso basado en la web (que tiene limitaciones debido al contexto del usuario) o, dado que se están conectando para trabajar, puede requerir que descarguen e instalen un agente de software para tener privilegios de conexión.

Me parece que el problema es cuán valiosos son los datos para su negocio. Si se siente cómodo almacenándolo en computadoras no seguras en redes domésticas con controles de seguridad desconocidos o si la divulgación de datos no pone a la empresa en un riesgo demasiado alto, entonces no hay necesidad de restricciones.

Verifique los términos de servicio de Dropbox. Solía ser bastante abierto sobre quién podría acceder (su personal, agencias gubernamentales, etc.). También tuvieron una violación donde CUALQUIER contraseña permitiría el acceso.

Creo que el uso de VPN y / o escritorio remoto tiene sentido. Entonces, al menos, puedes administrar qué datos se almacenan donde.

También hemos utilizado SharePoint con SSL (HTTPS) para permitir que los usuarios accedan a documentos internos y luego puedan registrar, retirar y mantener las versiones.

En mi opinión, su preocupación por el hardware del hogar es razonable.

También implementamos CrushFTP que permitió a HTTPS acceder a carpetas específicas. Los usuarios tendrían acceso a los archivos y podríamos compartir con clientes y socios. Tomó un poco de gestión, pero fue bien recibido y le dio más control.