Kontrola aktywności użytkowników w sieci

Co nie jest dozwolone, jest zabronione

Zanim rozpoczniemy kontrolowanie pracowników, warto wyraźnie określić i poinformować ich o niedozwolonej aktywności w sieci lub sprzecznym z rozporządzeniami wykorzystywaniu komputera. Podstawową zasadą jest zablokowanie usług i połączeń, z których nie wolno im korzystać. Blokady powinny być dokonywane zgodnie z opracowaną wewnętrzną polityką bezpieczeństwa oraz regulaminem pracy. Stosowanie zasady blokowania wszystkiego, co nie jest dozwolone, rozwiązuje wiele problemów.

Kontrola aktywności użytkowników w sieci

Architektura aplikacji monitorująco-kontrolującej

Blokady związane z połączeniami sieciowymi będą przeważnie ustawiane przy użyciu routera lub firewalla. Wykorzystując podstawowe funkcje list dostępu, możemy zrealizować praktycznie każdy scenariusz pracy w sieci. Zazwyczaj listy dostępu będą umożliwiały połączenia z adresami IP oraz portami docelowymi, które są niezbędne w pracy danego użytkownika. Wszystko, co nie jest niezbędne i dozwolone, zostanie za pomocą tych samych mechanizmów zablokowane. Ponadto można ograniczyć dostęp do określonych lokalizacji, w tym popularnych portali, które nie są niezbędne w wykonywanej pracy. Możliwa jest także uszczegółowiona kontrola protokołów w warstwie aplikacji, ale wymaga to wykorzystania zaawansowanych urządzeń. Wszystkie formy blokad usług w warstwie trzeciej sieci można z powodzeniem zrealizować poprzez już pracujące urządzenia dostępowe do internetu.

Trudniejsza jest ochrona stacji roboczej przed instalowaniem przez użytkownika oprogramowania, które nie jest wymagane w pracy. Tu zalecane jest stosowanie odpowiedniego przydziału uprawnień. Dostęp do zadań administracyjnych - w tym instalacji oprogramowania - powinien zostać przypisany wyłącznie zarządzającemu infrastrukturą. Pracownik powinien mieć dostęp wyłącznie do podstawowego poziomu zarządzania komputerem oraz do aplikacji wykorzystywanych w pracy. Niestety już na tworzenie, magazynowanie oraz modyfikowanie przez niego plików mamy mniejszy wpływ. Teoretycznie więc użytkownik może przynieść na pamięci przenośnej nielegalny plik MP3 i umieścić go w zasobach firmy. Możliwa jest także sytuacja odwrotna - gdy pracownik wynosi z firmy cenne dane na pendrivie. W takim przypadku może pomóc mechanizm DLP (Data Leak Prevention), który śledzi, co dzieje się z plikami, w tym ich przepływ między urządzeniami wejścia/wyjścia.

Administrator może zatem zastosować metody pasywne, aby zoptymalizować wykorzystanie czasu pracy oraz infrastruktury teleinformatycznej przez pracownika. Niestety, przedstawione mechanizmy są dostępne i zrozumiałe dla technicznej kadry IT, natomiast w mniejszym stopniu dla zarządu firmy. Wytłumaczenie szefowi, że wprowadzone przez dział IT procedury odnoszą odpowiedni skutek - wymaga już niemałego wysiłku.


TOP 200