Да, именно к таким выводам я и пришёл. Я стараюсь думать какой ответ по сотруднику я смогу дать руководству, и если этот уровень приемлем, то и нет смылса играть в вахтёров. Ну и поглядывать за величинами трафика необходимо, чтобы отслеживать вирусную активность. Если будет какой-то троянец хитрый никакие средства безопасности не смогут предотвратить кражу ценной информации, и на таких ПК лучше вообще не иметь Интернет.
Лучше развиваться в сторону изучения нового, нежели бегать и всех ограничивать.
Да, похоже на фантастику, чтобы тысячу сотрудников могли использовать столь узкий канал. Это достигается жёстким ограничением соц. медиа? — Не думаю, что кеширующий прокси сервер на такое способен в эпоху Web2.0 и повального роста HTTPS траффика.
BYOD набирает популярность, но он более развлекательный характер носит — то есть его спокойно можно отвести в отдельную локальную сеть. — Как показывает мой опыт, люди не хотят носить с собой свои ноутбуки, потому как это тяжело, а вот побаловаться планшетником вполне себе, но как показывает практика это устройства потребления контента, т.е. сотрудники кроме как почту более ничего из корпоративного не делают на таких вещах. В настоящий момент у нас только один сотрудник изъявил желание носить корпоративный ноутбук, и пользоваться только им. Не знаю насколько ему это в конечном счёте будет удобно. — Вот этот вариант мне в плане безопасности видится самым плохим вариантом увы.
Конечно я понимаю, что в банке должно всё быть строго. А вообще мне видится, что на ЭВМ которые обрабатывают критически ценную информацию — вообще не должно быть никакого Интернет — так спокойно и надёжно.
Я вижу это следующим образом: приобретается корпоративный платный антивирус. Приобретается лицензионное ПО на компьютер. — Отнимаются права «Администратора» на рабочем месте. Этих трёх составляющих уже вполне достаточно.
Как дополнение: можно запретить запуск exe файлов со съёмных носителей, и на подпись сотруднику дать бумагу, что он обязуется не устанавливать никакого дополнительного программного обеспечения приведённого ниже по списку (без предварительного согласования с начальником отдела, и отделом ИТ.).
Эти меры дают наиболее ощутимый результат по моему мнению. Замену лицензионной WindowsXP руководство не спешит делать, так-как это финансовые затраты, по-этому приходтся сопровождать то, что есть. Постепенно конечно оно вытесняестся, но любой процесс требующий больших затрат и не приносящий очевидной выгоды всегда будет протекать медленно.
А что касается «залётной» ЭВМ техники: то такую технику необхоидмо уводить в отдельную подсеть со своими правилами firewall, по возможности без доступа вообще в корп. сеть. — И пусть там хоть WindowsME будет у них. Это их дело.
Интересное конечно решение не пускать по UserAgent.
Полностью согласен. Были у нас случаи и с плохими работниками. Там всё было просто: если сотрудник не выолпнят свою работу, начальник начинает искать этому косвенные признаки. Потреблёный объём трафика, и более пристальное наблюдение за качеством работы сотрудника — дают гарантированный результат.
И тут я считаю, что лезть системному администратору дальше чем помочь осуществить доступ руководства к компьютеру работника, его документам — лезть не имеет смысла. И сам никогда не лез, и считаю, что я такой же работник как и служащий в офисе.
А музыка из vk и всё прочее — это произведение состоящее из: ширины канала офиса * доброту руководства конкретного отдела. И как правило ширина канала всё же диктует свои условия.
Лучше развиваться в сторону изучения нового, нежели бегать и всех ограничивать.
BYOD набирает популярность, но он более развлекательный характер носит — то есть его спокойно можно отвести в отдельную локальную сеть. — Как показывает мой опыт, люди не хотят носить с собой свои ноутбуки, потому как это тяжело, а вот побаловаться планшетником вполне себе, но как показывает практика это устройства потребления контента, т.е. сотрудники кроме как почту более ничего из корпоративного не делают на таких вещах. В настоящий момент у нас только один сотрудник изъявил желание носить корпоративный ноутбук, и пользоваться только им. Не знаю насколько ему это в конечном счёте будет удобно. — Вот этот вариант мне в плане безопасности видится самым плохим вариантом увы.
Конечно я понимаю, что в банке должно всё быть строго. А вообще мне видится, что на ЭВМ которые обрабатывают критически ценную информацию — вообще не должно быть никакого Интернет — так спокойно и надёжно.
Спасибо за CISCO ISE, интересно почитать об этом.
Я вижу это следующим образом: приобретается корпоративный платный антивирус. Приобретается лицензионное ПО на компьютер. — Отнимаются права «Администратора» на рабочем месте. Этих трёх составляющих уже вполне достаточно.
Как дополнение: можно запретить запуск exe файлов со съёмных носителей, и на подпись сотруднику дать бумагу, что он обязуется не устанавливать никакого дополнительного программного обеспечения приведённого ниже по списку (без предварительного согласования с начальником отдела, и отделом ИТ.).
Эти меры дают наиболее ощутимый результат по моему мнению. Замену лицензионной WindowsXP руководство не спешит делать, так-как это финансовые затраты, по-этому приходтся сопровождать то, что есть. Постепенно конечно оно вытесняестся, но любой процесс требующий больших затрат и не приносящий очевидной выгоды всегда будет протекать медленно.
А что касается «залётной» ЭВМ техники: то такую технику необхоидмо уводить в отдельную подсеть со своими правилами firewall, по возможности без доступа вообще в корп. сеть. — И пусть там хоть WindowsME будет у них. Это их дело.
Интересное конечно решение не пускать по UserAgent.
И тут я считаю, что лезть системному администратору дальше чем помочь осуществить доступ руководства к компьютеру работника, его документам — лезть не имеет смысла. И сам никогда не лез, и считаю, что я такой же работник как и служащий в офисе.
А музыка из vk и всё прочее — это произведение состоящее из: ширины канала офиса * доброту руководства конкретного отдела. И как правило ширина канала всё же диктует свои условия.