リモートアクセス状況のポリシー?
ユーザー(主に管理職、IT部門、および社長)がVPNを使用して、職場のデスクトップにリモート接続したり、自宅からラップトップを使用したりするネットワークがあります。
一部のユーザーが自分でリモートアクセスソフトウェアをインストールした後、何が許容され、何が許容されないかをユーザーに説明するリモートアクセスポリシーを作成することを提案しました。OKされたシステムでのみソフトウェアを使用するなどです。
上司は、リモートアクセスについては誰にも言わないことを提案しました。リモートアクセスについての知識が少なければ少ないほど、問題は少なくなります。ファイアウォール(gotomypcなど)からの不正なリモートアクセスをブロックするだけでした。
ほぼすべての政策を立てることが重要だと思いますが、この状況では意見が一致しません。
どう思いますか?
ポリシーを持つことは非常に重要だと思います。これは、企業のデータを保護するのに役立つだけでなく、ユーザーがデータを持ち出すための空気を開くことにもなります。個人的には、GoToMeetingやLogmeinを使い始めてから数か月後や、何かが失われたときを知るよりも、ユーザーにアプローチしてGoToMeetingやLogmeinの使用について質問してもらいたいと思っています。
私は自分の仕事のために多くのHIPAAセキュリティポリシーを作成しましたが、私が受け取った最大のポイントは、リスク/データの認識されたコスト/価値と、それを保護するために何かを実装するコストとのトレードオフです。ポリシーを作成することで、座ってデータが実際にどれほど重要であるかを考えることができます。これにより、ユーザーに対してどれだけ安全で厳格でなければならないかが決まります。
リモートアクセスを許可すべきでない場合、ポリシーがないと、誰かがファイアウォールを回避して何らかの問題を引き起こした場合に、上司に懲戒処分の根拠がなくなります。これは禁止されていないためです。
それがあなたの状況でどれほど重要であるかは、あなたとあなたの上司が決めることです。