¿Cuál es su enfoque para manejar el acceso de invitado a Internet?

Navega tus respuestas
7

Supongamos que usted es una empresa que utiliza un proxy web para bloquear contenido objetable en su red corporativa, y esta tecnología puede causar problemas con algunas VPN de terceros. O quizás esta tercera parte está trabajando en un proyecto que TI no debe gestionar o participar por razones políticas.

¿Cómo manejaría una solicitud de un proveedor visitante, o contratista, que necesita acceso a internet sin restricciones?

¿Bajo qué condiciones necesitaría eximirlos del monitoreo?

¿Manejarías a ciertos visitantes de manera diferente a otros? ¿Cómo manejaría a los auditores financieros (PWC), por ejemplo?

¿Qué solución técnica emplearía y cómo gestionaría el acceso a esa solución?

[Edit◆

Si su solución involucra el uso de la tecnología inalámbrica para resolver el problema anterior, ¿cómo evita el abuso por parte de los empleados internos que pueden simplemente asociarse a su punto de acceso y descargar contenido? ¿No es una preocupación hoy hasta que alguien abusa de ello?

    
pregunta random65537 02.12.2010 - 04:41
fuente

2 respuestas

7

Ofrecemos una red inalámbrica abierta para huéspedes que solo bloquea categorías como pornografía, juegos de azar y racistas. La red corporativa bloquea un poco más, como las redes sociales, pero la red invitada no puede acceder a los recursos internos. Nadie obtiene acceso "sin restricciones", siempre bloqueamos los sitios clasificados como maliciosos. Si hay un sitio específico categorizado mal, estamos dispuestos a cambiarlo, pero cualquier sitio bloqueado debe revisarse individualmente. Si a un proveedor no le gusta, puede suministrar su propia tarjeta de red celular.

Todos los tipos comunes de VPN están abiertos en nuestra red. En nuestro entorno, si un proveedor está en el sitio y necesita conectarse a su red corporativa, está bien; Si no confiésemos en ellos, no los contrataríamos.

Los auditores se conectan a la red inalámbrica del huésped. Si necesitan datos de un sistema, nos dicen qué consulta o informe desea y nosotros lo ejecutamos. En ningún momento se les da acceso directo a ninguno de nuestros sistemas.

Para responder de manera más directa a su pregunta, si los sistemas de TI utilizados entran en conflicto con un proyecto en el que se supone que la TI no debe involucrarse o conocer, yo diría que el proyecto necesita su propia conexión a Internet. También tendrían que estar fuera de la red corporativa si se están ejecutando independientemente del sistema de seguridad principal y supongo que están operando fuera de sus políticas sobre seguridad del sistema (a menos que tenga muchos de estos y lo incluya en la política) .

    
respondido por el Wayne 02.12.2010 - 04:51
fuente
2

Desde el fondo de haber trabajado para un auditor y de proporcionar orientación a grandes bancos, las dos categorías principales son las siguientes:

El acceso de los invitados es completamente independiente de la red corporativa: esto es lo más simple y, como dijo Wayne, requiere algo de seguridad, pero no debería ser demasiado oneroso. Debería buscar bloquear categorías amplias de contenido inadecuado y poner controles básicos para evitar que los atacantes obtengan acceso a los datos o sistemas de otros 'invitados', pero aparte de eso, no quiere estar mirando demasiado de cerca, de lo contrario Podría suponerse que lo está evaluando como su red corporativa y que sus responsabilidades pueden ser mucho más altas. Definitivamente vale la pena hacer que todos los invitados firmen una política de uso aceptable.

Para los auditores, a menudo requieren acceso tanto a sus sistemas como a los suyos, pero el acceso general sin restricciones a Internet no suele ser un requisito, lo que significa que puede proporcionar una solución mucho más simple, a menudo solo un punto final de VPN que solo Permitir la conexión a su solución de acceso remoto. Luego, si quieren conectividad a Internet, pueden conectarse a través de su propio proxy corporativo. Esto lo protege en gran medida y significa que aún pueden ser monitoreados por sus propios sistemas. La configuración puede demorar un poco, pero después de haber trabajado en un gran número de organizaciones en un rol de auditoría de TI, este fue a menudo el más simple / barato. (bueno, a veces la solución más simple era que los auditores tuvieran una tarjeta GPRS en la computadora portátil, pero nunca fue más barato :-)

Ambas soluciones tienen el requisito más liviano posible en términos de monitoreo y gestión continuos.

    
respondido por el Rory Alsop 02.12.2010 - 10:13
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia exacta entre SAMLp y WS-Trust? si se hackea el hipervisor, ¿también se ven afectados todos los invitados?