Como bloquear sitios para adultos a los usuarios de la empresa registrando el contenido
No es un secreto que el contenido adulto es un sostén de Internet. Mientras que es bastante duro evitar que lleguen imágenes desagradables a las pantallas de los usuarios manteniendo un bloqueo de ventanas emergentes y spam, es aún más difícil cuando son los usuarios quienes buscan activamente sitios web para adultos. Hay varias estrategias, no obstante, que pueden reducir mucho el contenido adulto y el malware que acarrea.
Política de uso aceptable y filtrado de contenido Web
Si quiere que su política (ud. tiene una política oficial prohibiendo el acceso a contenido inapropiado desde los sistemas de trabajo, ¿cierto?) sea efectiva, sus empleados deben saber de ella. Envíe un recordatorio por correo electrónico o ponga un aviso del Gerente General o el responsable de Recursos Humanos (RRHH) en el portal interno para empleados recordándoles la política. Esta comunicación debe incluir la política de uso aceptable de la compañía, las consecuencias de las violaciones de la política, y un recordatorio que el uso de Internet de los empleados está siendo monitoreado.
El problema con el contenido adulto se extiende más allá del contenido en si mismo. Debido a su popularidad, los sitios web para adultos a menudos son usados por sinvergüenzas para distribuir malware. Lidiar con el problema del malware que viene junto con el contenido adulto involucra a la administración de accesos; las aplicaciones y los usuarios deben trabajar con los mínimos privilegios necesarios. Esta estrategia, si bien no va a eliminar el malware, reduce mucho sus efectos.
Mientras que los productos de filtrado de contenido Web pueden ser medios efectivos para identificar a los empleados que violan la política, pueden ampliar demasiado lo que ellos consideran inapropiado e ineficaz en impedir que una persona encuentre material explícito si él o ella están empeñados. Adicionalmente, a medida que la fuerza de trabajo se hace más móvil y las laptops se hacen un estándar, el filtrado de contenidos basado en servidor se vuelve cada vez menos realista.
Para mejores resultados, el temas del contenido inapropiado debe ser tratado como un problema de administración además de uno tecnológico. En realidad, acceder a contenido explícito, no es diferente a otro comportamiento potencialmente inapropiado, ya sea leer cosas no relacionadas con el trabajo o no asistir al trabajo. Involucre al jefe directo del empleado sospechado para asegurarse que el empleado está haciendo su trabajo. El jefe tendrá una mejor comprensión de lo que es inapropiado para un empleado específico: después de todo, lo que es apropiado para una persona puede ser demasiado para otra.
Caso en cuestión: Recientemente, un compañero en la industria de TI me explicó que si compañía usó un software de monitoreo/filtrado de contenido Web, y que uno de los filtros lo alertó a él de un empleado que estaba accediendo a contenido adulto. No pudieron encontrar al encargado ni al jefe del encargado de modo que el jefe del equipo de seguridad alertó a RRHH y el empleado fue tranquilamente despedido. Cuando el empleado vino a cobrar su cheque final, se pudo determinar que los sitios porno eran en verdad clientes de la compañía y que el empleado estaba validando que el software de la compañía estaba funcionando bien. No es necesario decir que el empleado fue rápidamente re-contratado y permitido su acceso a todos los sistemas y se le permitió volver a su trabajo. Un incidente como este, sin embargo, es un juicio a la espera de suceder. Siempre es mejor involucrar al jefe directo antes de tomar ninguna medida.
Registro de contenido: forense y aplicación
Una buena alternativa al filtrado Web es el registro (log), ya que este le permite al administrador de seguridad realizar no solo análisis forense, sino también provee la información necesaria para demostrar la violación de las políticas cuando se documentan los asuntos como parte del proceso de su aplicación. Se les debe pedir a los administradores que obtengan la aprobación del departamento de legales o de RRHH antes de acceder a esos registros; la información de registros que libere el equipo de seguridad debe ir a legales o RRHH de modo que esos departamentos puedan trabajar directamente con el jefe del empleado.
Involucrar a RRHH y el equipo de legales también limita la percepción que los de seguridad de TI son los "policías de la red". Los programas de seguridad más efectivos son aquellos en los que seguridad de TI se asocia con el negocio, y eso es imposible en un ambiente donde el equipo también es percibido como que son los chicos malos. Enviar los registros (logs) a través de los canales apropiados ayuda a evitar esa percepción.
Finalmente, no tema ser creativo. Un uso tal de los registros que puede reducir el contenido adulto en la empresa involucra el conjunto de los registros del firewall y encontrar los 20 sitios más visitados. Una vez armada la lista, publíquela en un lugar destacado del portal interno de empleados. Como es lógico, a menudo esto causa una drástica caída de la navegación inapropiada; es un recordatorio importante para los empleados respecto que están siendo monitoreados, y puede servir como una métrica liviana para que la alta dirección comprenda la atmósfera de trabajo de la compañía. Nunca es un buen síntoma cuando los tres primeros puestos son todos de sitios para búsqueda de trabajo.
Traducido para blog Segu-info por Raúl Batista
Autor: David Mortman (CISSP)
Fuente: SearchSecurity.co.uk
Política de uso aceptable y filtrado de contenido Web
Si quiere que su política (ud. tiene una política oficial prohibiendo el acceso a contenido inapropiado desde los sistemas de trabajo, ¿cierto?) sea efectiva, sus empleados deben saber de ella. Envíe un recordatorio por correo electrónico o ponga un aviso del Gerente General o el responsable de Recursos Humanos (RRHH) en el portal interno para empleados recordándoles la política. Esta comunicación debe incluir la política de uso aceptable de la compañía, las consecuencias de las violaciones de la política, y un recordatorio que el uso de Internet de los empleados está siendo monitoreado.
El problema con el contenido adulto se extiende más allá del contenido en si mismo. Debido a su popularidad, los sitios web para adultos a menudos son usados por sinvergüenzas para distribuir malware. Lidiar con el problema del malware que viene junto con el contenido adulto involucra a la administración de accesos; las aplicaciones y los usuarios deben trabajar con los mínimos privilegios necesarios. Esta estrategia, si bien no va a eliminar el malware, reduce mucho sus efectos.
Mientras que los productos de filtrado de contenido Web pueden ser medios efectivos para identificar a los empleados que violan la política, pueden ampliar demasiado lo que ellos consideran inapropiado e ineficaz en impedir que una persona encuentre material explícito si él o ella están empeñados. Adicionalmente, a medida que la fuerza de trabajo se hace más móvil y las laptops se hacen un estándar, el filtrado de contenidos basado en servidor se vuelve cada vez menos realista.
Para mejores resultados, el temas del contenido inapropiado debe ser tratado como un problema de administración además de uno tecnológico. En realidad, acceder a contenido explícito, no es diferente a otro comportamiento potencialmente inapropiado, ya sea leer cosas no relacionadas con el trabajo o no asistir al trabajo. Involucre al jefe directo del empleado sospechado para asegurarse que el empleado está haciendo su trabajo. El jefe tendrá una mejor comprensión de lo que es inapropiado para un empleado específico: después de todo, lo que es apropiado para una persona puede ser demasiado para otra.
Caso en cuestión: Recientemente, un compañero en la industria de TI me explicó que si compañía usó un software de monitoreo/filtrado de contenido Web, y que uno de los filtros lo alertó a él de un empleado que estaba accediendo a contenido adulto. No pudieron encontrar al encargado ni al jefe del encargado de modo que el jefe del equipo de seguridad alertó a RRHH y el empleado fue tranquilamente despedido. Cuando el empleado vino a cobrar su cheque final, se pudo determinar que los sitios porno eran en verdad clientes de la compañía y que el empleado estaba validando que el software de la compañía estaba funcionando bien. No es necesario decir que el empleado fue rápidamente re-contratado y permitido su acceso a todos los sistemas y se le permitió volver a su trabajo. Un incidente como este, sin embargo, es un juicio a la espera de suceder. Siempre es mejor involucrar al jefe directo antes de tomar ninguna medida.
Registro de contenido: forense y aplicación
Una buena alternativa al filtrado Web es el registro (log), ya que este le permite al administrador de seguridad realizar no solo análisis forense, sino también provee la información necesaria para demostrar la violación de las políticas cuando se documentan los asuntos como parte del proceso de su aplicación. Se les debe pedir a los administradores que obtengan la aprobación del departamento de legales o de RRHH antes de acceder a esos registros; la información de registros que libere el equipo de seguridad debe ir a legales o RRHH de modo que esos departamentos puedan trabajar directamente con el jefe del empleado.
Involucrar a RRHH y el equipo de legales también limita la percepción que los de seguridad de TI son los "policías de la red". Los programas de seguridad más efectivos son aquellos en los que seguridad de TI se asocia con el negocio, y eso es imposible en un ambiente donde el equipo también es percibido como que son los chicos malos. Enviar los registros (logs) a través de los canales apropiados ayuda a evitar esa percepción.
Finalmente, no tema ser creativo. Un uso tal de los registros que puede reducir el contenido adulto en la empresa involucra el conjunto de los registros del firewall y encontrar los 20 sitios más visitados. Una vez armada la lista, publíquela en un lugar destacado del portal interno de empleados. Como es lógico, a menudo esto causa una drástica caída de la navegación inapropiada; es un recordatorio importante para los empleados respecto que están siendo monitoreados, y puede servir como una métrica liviana para que la alta dirección comprenda la atmósfera de trabajo de la compañía. Nunca es un buen síntoma cuando los tres primeros puestos son todos de sitios para búsqueda de trabajo.
Traducido para blog Segu-info por Raúl Batista
Autor: David Mortman (CISSP)
Fuente: SearchSecurity.co.uk
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!