Noté que mis empleados podían desbloquear sitios que bloqueé y descubrí que era con la ayuda de Browsec. ¿Cómo contrarresto las funciones de Browsec y cómo vuelvo a bloquear los sitios desbloqueados, sin que ellos lo sepan?

Intentando responder a la pregunta.

La respuesta corta es mediante la implementación de un buen filtro de contenido que esté en línea con el tráfico destinado a Internet que también admite SSL Decrypt. SSL Decrypt requerirá que los certificados se instalen en la máquina en el almacén Trusted Root Certification Authorities, lo que evitará el mensaje de un certificado no confiable cuando naveguen a sitios habilitados para SSL o intenten usar el cifrado SSL. Firefox usa su propio almacén de certificados, por lo que necesitaría implementar una política que prohíba su instalación. Ejecuté una captura de paquetes en mi máquina después de instalar Browsec y parece que usa SSL para crear la conexión VPN entre la máquina y sus servicios. SSL no se puede deshabilitar, ya que se usa tan ampliamente para las empresas, por lo que la descodificación de SSL junto con un filtro de contenido es probablemente la mejor opción. No he intentado bloquear este tipo específico de tráfico, pero esas piezas fundamentales son las que probablemente sean necesarias.

La realidad (IMO)

Como se indicó anteriormente, los usuarios expertos en tecnología siempre encontrarán una forma de evitar los controles, como el filtrado de contenido. El software no es una buena niñera y nunca será efectivo. La educación del usuario final es clave para construir un entorno de trabajo productivo seguro. Ayude a los empleados a comprender por qué se implementa el filtrado, como explicar que los sitios malintencionados deben bloquearse para evitar la pérdida de información personal y de la empresa, lo que significa que la información del empleado también está en riesgo, trate de ayudarlos a entender esto.

Además, intentar crear un entorno que esté estrechamente controlado solo dificultará la productividad. He conocido profesionales que usaron su teléfono celular para descargar el código fuente de muestra, y luego lo enviaron por correo electrónico para hacer su trabajo porque el filtro web era demasiado restrictivo. Este es un problema obvio y contribuye a disminuir la moral y la pérdida de productividad. Estoy totalmente a favor de bloquear sitios maliciosos conocidos de la base de empleados, registrar todo y permitir la mayoría de los sitios. Comuníquese con todos los empleados y explique qué es aceptable y qué no. Esto normalmente se hace con una política de uso aceptable que ellos firman y normalmente es parte del proceso de contratación. Si superan constantemente las expectativas y no arriesgan los recursos de la empresa, permítales hacer lo que quieran, siempre que se encuentre dentro de los límites de la política de uso aceptable que firmaron.

La administración debe ser empoderadora y comprometida con sus informes directos. No pueden simplemente sentarse y recibir informes por correo electrónico sobre quién hizo qué en Internet y luego castigar a los “10 principales” en la lista. Si alguien no produce de manera consistente, entonces averigüe por qué. ¿Es esta una persona que siempre ha sido un buen productor, y ahora de repente se están deslizando? Si es así, habla con ellos, tal vez su vida personal tenga una tragedia desenfrenada, si es así, ayúdalos a volver a ponerse de pie. Tal vez sea alguien que nunca haya producido buenos resultados, si es así, capacítelos, intente ayudar y discipline cuando sea necesario. La capacitación de nuevos empleados conlleva un costo definitivo, y no estoy hablando de cursos de capacitación formal reales internos o externos. Me estoy refiriendo al costo de una menor productividad para las nuevas contrataciones, independientemente de su competencia, esto a menudo es pasado por alto por la administración. Creo firmemente que vale la pena mantener a un empleado calificado con experiencia, incluso si se están deslizando por un período de tiempo.

Las políticas disciplinarias progresivas implementadas de manera efectiva son muy efectivas cuando se combinan con ayuda, capacitación y alcance. Pocas personas disfrutan de despedir a otros, y las que lo hacen deben ser enlatadas rápidamente para no contaminar la fuerza de trabajo.

Espera que esto ayude.

Divulgación: trabajo para Palo Alto Networks, pero estas opiniones son únicamente mías.

Todos han mencionado el bloqueo y han proporcionado razones por las que no debes bloquear. Me referiré al bloqueo explícitamente, y solo, como una solución que debe evitarse también. Siempre habrá formas para que los usuarios encuentren otra solución para eludir los “bloques”.

En su lugar, nuestra recomendación es usar una solución que le permita decir de manera positiva qué usuarios pueden usar, desde la perspectiva de la aplicación. Este es el concepto de aplicación de listas blancas.

Considere la forma en que nuestra tecnología maneja Browsec: podemos diferenciarlo (y muchas otras cosas) de Web_Browsing, por la naturaleza del tráfico generado. No confiamos en un filtro de URL o direcciones IP de destino para esto. Nuestros decodificadores de aplicación identifican Browsec, final de la historia.

En una política de seguridad, si usted permite la navegación web pero no Browsec, simplemente no se permitirá el tráfico generado por Browsec. Esa es la naturaleza misma del enfoque de aplicación de listas blancas.

Ahora note cómo no he mencionado números de puerto, direcciones IP o entradas de URL. No los necesitamos en absoluto. Browsec se ejecuta por defecto en el puerto tcp / 443. Por lo general, permitirías eso. Utiliza la encapsulación HTTPS y, por lo general, permitiría el tráfico HTTPS de salida. Para poder identificar con precisión a Browsec, necesitaría descifrar el tráfico SSL, por lo que allí necesita una solución capaz de hacerlo por usted.

El otro beneficio de la inclusión en listas blancas es que obtendrá el control sobre una serie de otras cosas que aún no sabe que están sucediendo en su red. Usted se sorprendería de lo esclarecedor que puede ser.

Todo lo mencionado anteriormente se puede lograr fácilmente, por lo que vale la pena echarle un vistazo con más detalle en el lugar correcto.

Después de haber trabajado muchos años en seguridad informática, puedo decirle que nunca podrá bloquear los sitios que crea que necesita. También puedo decirle que si no hace ningún esfuerzo por detener la actividad ilegal, nuestro sistema legal puede encontrar a la compañía responsable en lugar del empleado. Realidad: nunca los bloqueará, pero si eluden algún mecanismo que lo intente, entonces legalmente han demostrado que están dispuestos a realizar la actividad y eso es suficiente en el tribunal para despejar a la compañía de negligencia.

Así que sí, use algún mecanismo simple para bloquear aquellas cosas que legalmente pondrán a la empresa en problemas en el lugar de trabajo: pornografía, drogas, etc., pero no pierda el tiempo con Facebook, Amazon, etc. pasan el tiempo sin trabajar por cualquier motivo (ahora es muy fácil e incluso automatizado examinar los registros de donde alguien visita todo el día) y maneja a los individuos en lugar de a todos.

Debes concentrar tu tiempo más en malware e infiltración que en cualquier otra cosa. Si nunca has mirado, probablemente ya estás violado. Trabajar en eso en su lugar.

¿De qué tipo de sitios web estamos hablando y por cuánto tiempo?

Todas las políticas comunes de uso de Internet permiten el uso personal de la red corporativa, siempre que sea apropiado y no comprometa la productividad.

Si un hombre trabaja 48 horas a la semana y ve algo personal durante 30 minutos / 1 hora fuera de un turno de 12 horas (digamos), esto no es gran cosa (siempre que vea cosas normales, por supuesto, no hable sobre pornografía o similares).

Si navega por cosas personales durante 10 horas de cada 12, algo anda mal y debería preguntarse si este tipo realiza un negocio personal o si no tiene nada que hacer porque un cambio tan largo no está justificado por la carga de trabajo correspondiente.

Entonces se necesita algo de sentido común para entender. Digamos que el chico fue a un sitio web para leer noticias relacionadas con TI y en la misma página había un anuncio o una foto que mostraba a una chica sexy. ¿Lo regañarías porque estaba buscando fotos de chicas desnudas o puedes entender que el contenido que buscaba no tenía nada que ver con eso y estaba leyendo algo legítimo?

Ahí es donde la microgestión apesta.

NOTA: usé la palabra “chico” mientras que quise decir “empleado”; Espero que eso no sea considerado como sexista.

Su respuesta: EMM / MDM
(Revelación completa: trabajo para una empresa que tiene un producto MDM)

Algunos sitios necesitan ser bloqueados (un empleado puede sentir que está trabajando en un entorno hostil si su colega mira pornografía todo el tiempo y es responsabilidad de la Administración / TI / RR.HH. que no ocurra). Y, desafortunadamente, no todos los trabajos son para trabajar en una piratería de inicio de Silicon Valley en Big Data. Por lo tanto, el tamaño de la empresa, la distancia, el conjunto de habilidades, etc. pueden obstaculizar la capacidad de un gerente para corregir el comportamiento de todos sus empleados (para una compañía de 100 mil empleados, incluso si el 99.5% del personal hace lo correcto, deja a 500 personas involucradas). mal comportamiento)

Limitaciones del cortafuegos actual:
– El tráfico SSL puede ser confuso desde el firewall
– Browsec es una tecnología VPN, por lo que el tráfico fluye a los centros de datos de otra persona. En realidad, esto es súper aterrador (gran riesgo de seguridad / privacidad para la empresa). ¿Se ha preguntado por qué estas personas están pagando el ancho de banda y los servidores para obtener su tráfico de Internet? ¿Qué hay en ello para ellos? El bloqueo del tráfico UDP para interrumpir la VPN también puede interrumpir otros tipos de tráfico como Voip.

Solución: Gestión de la movilidad empresarial / gestión de dispositivos móviles.
Instale un producto MDM en todos sus dispositivos corporativos y obligue a sus empleados a instalar MDM como parte de unirse a su red corporativa (su red, sus reglas). Cualquier producto MDM decente le avisará si un dispositivo en su red tiene Browsec instalado (o para su navegador o cualquier otro anonimizador)

Usted no Acepte el hecho de que los empleados con conocimientos tecnológicos (del tipo que QUIERES que trabaje para usted) encontrarán formas de evitar su gestión de la mano sin importar lo que haga, o se desharán del acceso a Internet por completo.

¿Están sus empleados cumpliendo sus metas? Si es así, déjalos manejar su propio tiempo. Si no lo son, deshazte de ellos. (O vuelva a evaluar si está estableciendo metas realistas, alcanzables y medibles).

De cualquier manera, el único problema que debe resolverse aquí es su estilo de gestión disfuncional.

Como solo recibió ideologías sobre su gestión y no una respuesta legítima, le proporcionaré una.

La única forma de evitar software como browsec es restringir la instalación de computadoras en primer lugar. Puede contrarrestar el uso en el backend con sus servidores, conmutadores y enrutadores, pero esto se convierte en una pregunta para su departamento de TI. (Bloquea el DNS de cualquier persona que usted autorice. Direcciones IP específicas para browsec. La lista continúa.)

Algunos te dirán que la gente encontrará formas de evitar las cosas que bloqueas, y son correctas. Este es el problema de la trampa del mouse con el que se encuentra el departamento de seguridad de TI en una batalla constante. Una vez que crees la trampa para ratones, alguien encontrará la manera de obtener el queso sin tropezar. A continuación, deberá crear una nueva trampa para bloquear el agujero que se perdió. Tendrá que repetir este proceso muchas veces hasta que haya creado un entorno que sea más difícil de manejar de lo que vale la pena. (Tenga en cuenta que no dije un entorno que no se pudiera frustrar).

Simplemente cree una cuenta de usuario para cada empleado que no permita el uso de dicho software, y luego despida a aquellos que no cumplan con las reglas. Esto incluirá software de bloqueo como Chrome que tiene la capacidad de instalar extensiones de browsec. Sé que esto suena duro, pero, aparte de usar el departamento de TI en el backend, será su único curso de acción.

Le diré que tiendo a estar de acuerdo con la evaluación de productividad de algunas personas. Quitarse “algo” a lo largo del día puede ayudar a una persona a lograr más que molerla todo el día. Los cerebros necesitan descansos mucho más a menudo de lo que la mayoría de los gerentes admiten.

Me preocuparía más que sus empleados utilicen Browsec u otras tecnologías similares a VPN. Piénselo, todos sus flujos de tráfico a través de los centros de datos de alguien en Rusia. Y ellos pueden ver lo que hacen sus empleados. Desaliente el uso de dichas tecnologías al desbloquear los sitios que sus empleados desean visitar, y comunique adecuadamente la política de uso aceptable.
O bien, obtenga un mejor firewall que inspeccione el tráfico y sea capaz de bloquear Browsec.

Bloquear sitios es una parte estándar de ser un administrador de sistemas. Ciertos sitios son propensos a ser explotados o conducen a sitios explotados. La seguridad debe ser la única razón para bloquear sitios. Deje que la gente de recursos humanos se ocupe de las pérdidas de tiempo. Browesec sería un sitio que personalmente bloquearía. – Revise el proxy de navegación anónimo gratuito Browsec Entonces, le guste o no, la mayoría de las respuestas se basan en la idea de que el OP bloquea los sitios por la razón de Recursos Humanos no por el aspecto de seguridad. Bloqueo sitios con OpenDNS y no permito que se use DNS externo a nivel de estación de trabajo a través de mis reglas de firewall. Se aplican restricciones de políticas de software para no permitir la ejecución de software falso.

Hay un montón de problemas aquí. Tanto tecnológicos como en el campo de los recursos humanos.

Los sitios de bloqueo no ayudarán. La gente encuentra maneras de evitar eso. Y dado que generalmente investigan ese problema en el trabajo, porque ahí es donde se bloquean sus sitios favoritos, se pierde productividad.
Lo que ayuda es crear una política de comportamiento responsable de internet. Trabaja en eso en colaboración con tus empleados. Esto tiene varios beneficios.

1. Los haces corresponsables, lo que aumenta su motivación para cumplir.
2. Usted mismo necesita dedicar menos tiempo a verificar si hay sitios que son contrarios a sus ideas de sitios web aplicables. Así que aumenta su productividad también
3. Usted reconoce la profesionalidad de sus empleados al involucrarlos.
4. De hecho, al crear esta política, usted crea una manera objetiva de reprender a sus empleados por su comportamiento en Internet.

Por supuesto, tiene que decirles y convencerlos de por qué necesita esa política. Así que aquí hay algunos argumentos válidos.

• Es contrario a los intereses de la empresa, si sus direcciones IP aparecen en registros de sitios web dudosos. Incluso puede abrir la empresa al chantaje o perder los contratos del gobierno.
• El trabajo no es el lugar para hacer lo que está prohibido en casa.
• Si necesita los servicios de una empresa, ¿cómo se sentiría con respecto a la compañía si sus empleados visitan abiertamente sitios web dudosos?
• Un deslizamiento del dedo, destinado a un juego de palabras, puede enviar correo a un cliente apreciado, en lugar de a su colega. Eso es problemático para la comunicación funcional interna, pero desastroso para comunicaciones dudosas.

Por último, un consejo.
Acepte el hecho de que los empleados de todas partes utilizan una pequeña cantidad de recursos de la empresa para negocios que no pertenecen a la empresa. No solo es visto generalmente como un beneficio, sino que también ayuda a aumentar la lealtad a la empresa. Al tratar de controlar el comportamiento de los empleados por medios unilaterales, no solo cuesta productividad, sino que elimina cualquier lealtad. Y eso significa que pierdes el activo más valioso de la empresa, tus empleados.

Obviamente no puedes bloquear el sitio sin que ellos lo sepan. Tan pronto como intenten ir a un sitio y se bloqueen, sabrán que se está bloqueando. Sin embargo, si desea bloquear ciertos sitios, o solo permitirlos, puede probar el sitio web Zapper. (Página en leithauserresearch.com). Revelación completa: escribí este programa. Espero no estar violando ninguna política de Quora al mencionar este programa. Si es así, pido disculpas y editaré este mensaje.

¡Gracias! Nunca he oído hablar de Browsec hasta ahora 😉

Aunque en serio no. Bloquear sitios no es la respuesta. El tiempo puede ser abusado de muchas maneras. Al bloquear los sitios, no está garantizando más productividad, ya que la mayoría de las personas pueden hacerlo en un teléfono inteligente de todos modos.

En lugar de mostrar desconfianza y monitoreo a sus empleados, muéstreles confianza y si alguien está abusando del privilegio, deje que la política guíe la acción.

Mejor aún, deje de dedicar su tiempo a preocuparse por lo que hacen sus empleados cada segundo y asegúrese de que los proyectos cumplan con los objetivos y que el equipo esté contento. Usted cosechará más recompensas de eso.

¿Por qué estás bloqueando sitios y por qué tus empleados intentan sortear esos bloques? ¿Lo que le preocupa son los sitios que le preocupan o el tiempo que dedican a mirarlos?

Mi inclinación es decir renunciar al intento y hablarles sobre las políticas de uso apropiadas.

Si realmente desea ser un fascista, configure un proxy con un registro e identifique de forma privada el uso inapropiado para las personas que podrían haberlo hecho, recordando que (a) puede ser inadvertido; (b) es posible que no sean ellos quienes lo hicieron, posiblemente un tipo diferente de problema de seguridad, como un malware o una acción de otro usuario de la máquina en cuestión.

Por mucho mejor asumir la buena fe de sus empleados y trabajar desde esa posición.

No estoy seguro de cuántos años tiene esta pregunta. Mis disculpas. Un buen servidor proxy hará el trabajo requerido. Intenté browsec en mi red hoy (22–04–2017), y no pasé por alto el servidor proxy. Una vez que habilita browsec en su navegador, no puede navegar por completo a ningún sitio. El servidor proxy eliminará todos los paquetes y romperá todas sus conexiones de navegación. Simplemente obtienes páginas en blanco que se cargan para siempre.

Los buenos servidores proxy incluyen BlueCoat y Fortinet

En muchas compañías, la solución es simple, bloquear Chrome para que no pueda instalar Browsec en primer lugar.

O simplemente bloquee las direcciones IP de la nube de Browsec.

Supongo que está preguntando porque tiene que hacer esto, el bloqueo del sitio es un poco aburrido para la experiencia laboral.

Aparentemente, a sus empleados no se les da suficiente trabajo para hacer, y el trabajo que hacen no es lo suficientemente inspirador como para hacer que busquen distracción.

En este punto, debe corregir sus propios defectos y también incluir una política de bloqueo de Internet “insulsa” + un registro de su actividad contra sus reglas. Lo último no es para evitar que naveguen en sitios web divertidos, sino tener algo accionable a mano para cuando naveguen en sitios web muy inapropiados y querrá defenderse ante un tribunal.

Por último, pero no por ello menos importante, puede crear una lista de aquellos que pueden perder el tiempo pero que siguen estando programados en comparación con los que pasan solo 10 minutos en Internet; sin embargo, pierden los plazos todo el tiempo. ¿Quién es “justo” para castigar entre ellos?
Respuesta: podría ser usted (de nuevo). Contrató a un grupo incoherente de “genios” y les dio muy poco que hacer (hasta el punto de que navegan por Internet) y “runts” que ni siquiera pueden realizar el trabajo estándar de los empleados. Es posible que desee deshacerse de este último, a pesar de que “solo” pasan 10 minutos en Internet.

¿Quién bloquea los sitios web en este punto? De Verdad? ¿Te gusta Facebook? O Amazon? Las personas necesitan poder equilibrar sus vidas, y si quieren que trabajen duro, a veces tienen que hacer algunas cosas personales a la mitad del día. Por ejemplo, por lo general estaría haciendo compras navideñas ocasionales durante el día de trabajo, cuando recordé que era necesario pedir algo. Obviamente, ese no es el tiempo facturable. También soy una que tiende a trabajar 50-60 horas a la semana. Sin embargo, si estuviera bloqueando mi tráfico, abandonaría su compañía, seguro.

Pueden usar una variedad de herramientas para circunnavegar varias medidas y volverás aquí para bloquearlas.

En vez de eso, pregúntate si estás demasiado apretado para empezar. Si están siendo relajados en sus trabajos, entonces es una cosa diferente. Pero si están haciendo bien su trabajo, entonces piense en ello como su “recompensa” para ellos. Si no, entonces puede usarlo como munición como la razón de su bajo rendimiento.

En mi opinión, el buen personal nunca se contrata, se desarrolla. Podrías sacar a cualquiera de la calle y convertirlo en un empleado estrella. Pero solo si los coloca en el trabajo correcto, con el entrenamiento y la orientación adecuados y los objetivos correctos.

Desplazar al personal suele ser un signo de su mala gestión de sus objetivos de trabajo y entusiasmo por el trabajo. Simplemente “girando el tornillo” en ellos no soluciona nada y en realidad genera más resentimiento.

Cuatro sencillos pasos:

1. Retire los cables de alimentación de todas las computadoras que usan sus empleados.
2. Llévelos a un área bien ventilada.
3. Agregue un poco de periódico o acelerador (si usa gasolina, tenga cuidado de no salpicarse).
4. Encienda un fósforo, tóquelo hacia el acelerador y luego aléjese rápidamente del área.