He estado discutiendo si permitir o no que los usuarios conecten a través de VPN usando sus dispositivos personales (PCs en casa, tablets, smartphones). Solo tengo curiosidad por lo que hacen en su lugar de trabajo. Trabajo para una empresa de tamaño medio (160 usuarios). ¡Gracias!
Sí.
Primero, esto realmente no depende completamente de ti a menos que tu título sea “gran jefe de IT”, ya que en realidad es una decisión comercial.
Se trata de equilibrar riesgo y productividad.
Es más seguro si solo los dispositivos gestionados por IT pueden conectarse a la VPN. Sin embargo, dado que las personas pueden traer cualquier dispositivo que quieran para trabajar, será el mismo problema si se conectan a la VPN.
Mi casa sería más segura si bloqueara todas las ventanas. Pero entonces no puedo mirar por la ventana.
No hay una respuesta correcta ya que depende de una gran cantidad de factores. Estoy seguro de que los grandes bancos no permiten dispositivos no autorizados, pero enfrentan una serie de cuestiones regulatorias que nosotros no enfrentamos.
Pero de cualquier manera, esta decisión no debería ser solo de los técnicos de IT.
Sí, pero odio hacerlo.
Los usuarios en hardware personal solo tienen acceso RDP a su escritorio de trabajo o a un servidor de terminal compartido, así que la posibilidad de daño se reduce (esperamos).
Claro. Están en DMZ y no pueden acceder directamente a los recursos compartidos. Solo ftp, http y rdp.
No, solo desde máquinas de la empresa.
¡Claro que NO! Las computadoras personales de los usuarios pueden estar infectadas con malware, y al permitirles conectarse a la VPN, estás dando a ese malware acceso total a tu red interna. No tienes idea si su software antivirus está instalado, actualizado o comprometido. Otra forma en que puede fallar esto es si la computadora personal es compartida con miembros de la familia. Todos sabemos que los usuarios NUNCA anotan sus contraseñas. ¿Tienes algún adolescente hacker curioso en la familia? He oído hablar de esto en una empresa local donde trabaja un amigo en IT.
Sí. Seguridad basada en roles mediante ISE y una infraestructura inteligentemente diseñada. No es más riesgoso que un dispositivo propiedad de la empresa que proporciona acceso remoto.
Además, esta no es una decisión técnica, es una decisión de negocio. Los expertos en tecnología no deberían adjudicarse su propio equipo.
No. Ni de cerca.
Tengo que lidiar con esto a diario y si no es un dispositivo de la empresa, nuestro cliente OpenVPN y archivos de configuración no se instalan. PUNTO.
No voy a arriesgar CryptoLocker / CryptoWall porque papá dejó abierta su conexión VPN y algún pequeño vándalo infecta la máquina (sí, esto me ha pasado recientemente).
PD: También cumplimiento con HIPAA en algunos clientes, y SOX en algunos más.
Lo hacemos. Pero no creo que sea una buena idea ni una práctica recomendable sin tener sistemas que puedan detectar vulnerabilidades, escanear paquetes por tráfico ‘malo’, o que la VPN esté diseñada para eso, etc. Hay una razón por la que no era una práctica popular hasta hace unos 5 años. (Probablemente la excepción notable sea una universidad, pero quizás segregan esos sistemas mediante enrutamiento). Hay proveedores que realizan ‘inspección profunda de paquetes’ para detectar diversos problemas. También, las VPN ahora pueden ser específicas por aplicación, etc.
Sí, ya que usamos token RSA para VPN y RDP.
Si aceptas BYOD, entonces no veo desventajas, ya que ya estás lidiando con todos los riesgos asociados y solo deberías poder manejar los riesgos del acceso VPN de la misma manera. Si no aceptas BYOD, te estarías exponiendo a más riesgos y tendrías que gestionarlo apropiadamente.
Lo hacemos. Tenemos un conjunto de criterios para conceder acceso a la VPN (dispositivo personal o de empresa). Requisitos específicos de SO, antivirus, etc. La gente fuera de la oficina solo puede usar la VPN para conectarse a sus escritorios virtuales, sin riesgo real de que bloqueen toda la red con crypto-otros.