Suddividiamolo in 3 sezioni: Digitale, Fisico e Umano
Digitale
Suggerirei di fornire loro un computer aziendale, indipendentemente dal fatto che stiano lavorando o fuori sede. Ciò ti consentirà di limitare e monitorare alcune delle loro attività. Tuttavia, non andare così lontano da installare un keylogger. Nessuno vuole un keylogger sul proprio sistema, anche se si tratta di un PC aziendale. Dovranno utilizzare login con password, che non vanno bene con i keylogger.
La maggior parte del monitoraggio dovrebbe essere sul lato server. Monitorare il traffico da e verso il server. Le attività dovrebbero essere registrate, indipendentemente dal fatto che siano o meno un dipendente, se tenta di interagire con il tuo server. Puoi arrivare fino al logging di ogni singola richiesta (cosa non così insolita, credo), o semplicemente loggando cose che interagiscono con le parti importanti del tuo sistema come l'accesso diretto al database.
Il traffico normale può indicano attività dannose. Ad esempio, se vedi 1 GB di dati in uscita, potresti voler controllare che sia solo il tuo dipendente che recupera alcuni dati per lavoro o qualcuno che cerca di esportare i tuoi dati. Vedere 500 GB di flusso di dati da / a un singolo IP dovrebbe essere una bandiera rossa immediata.
Qualsiasi lavoro amministrativo deve essere svolto dalla rete interna. Ciò significa che dovrebbero essere dall'interno anche per vedere il tuo portale di amministrazione. Se vuoi consentire loro di lavorare da remoto, ti suggerisco di configurare una VPN per consentire ai tuoi dipendenti di connettersi alla tua rete interna da remoto.
Fisica
Lì sono due cose principali a cui devi prestare attenzione: l'accesso all'ufficio fisico e al computer di lavoro. Parlerò solo del computer aziendale.
Beh, in realtà, non c'è molto che puoi fare quando hanno il computer fisico nelle loro mani. Il meglio che puoi fare sarebbe probabilmente mettere dei sigilli sul computer, in modo tale che qualsiasi tentativo di aprire l'hardware del computer sia visibile a te o almeno rilevato da un professionista forense.
Questo è legge 3 sulla sicurezza:
Se un malintenzionato ha accesso fisico illimitato al tuo computer, non è più il tuo computer
Umano
Questo è il fattore principale qui. Come menzionato da @Anonymous, questo è principalmente un problema umano.
Prima di tutto, assumi qualcuno di cui ti puoi fidare . Abbiamo dei penetration tester che cercano di entrare nei sistemi tutto il tempo di proposito. Uno dei motivi principali per cui sono autorizzati a farlo è perché hanno poche ragioni per fare cose cattive al tuo sistema. Per qualificarci, dobbiamo essere accuratamente controllati dalla società che assume. La fiducia e l'interesse sono le cose principali che impediscono alle persone con accesso al tuo sistema di fare danni intenzionalmente .
Notare che ho detto intenzionalmente . Le minacce interne non sono sempre intenzionalmente dannose. Le chiavi TSA sono trapelate no perché qualcuno voleva fare del male, ma a causa di errori da parte di interni e di terze parti. Un dipendente non addestrato può facilmente cancellare l'intero database per errore con un solo comando. I dipendenti non addestrati sono spesso vulnerabili agli attacchi di ingegneria sociale e possono far entrare un estraneo quando non dovrebbero.
Per evitare tali problemi, devi formare i tuoi dipendenti sia sull'amministrazione del sistema che sulla sicurezza. La formazione aiuterà con piccoli incidenti, ma solo un controllo approfondito può impedire agli attori malintenzionati di diventare parte della tua azienda.
Ora per affrontare le tue idee suggerite
Acquista un laptop di lavoro per loro
Buona idea
Crittografa il disco rigido (come con Bitlocker)
Questo proteggerà dati a riposo . Ottima idea, ma non sarà di grande aiuto contro un dipendente con accesso al computer e password.
Disabilita tutte le porte USB
Usiamo le porte USB tutto il tempo . Mouse USB, tastiere, webcam, ecc. Questo sarà anche il mezzo principale per trasportare comodamente i dati per la maggior parte delle persone. Invece di disabilitarli tutti, usa un software per avvisare l'utente ogni volta che viene collegato un dispositivo USB. Dovrai anche istruire i tuoi dipendenti a non collegare al computer di lavoro alcune USB casuali che hanno trovato per strada. Il massimo che puoi realisticamente fare è addestrare e inserire nella whitelist i loro dispositivi USB in modo che solo i dispositivi registrati possano connettersi al computer.
Crea un account utente non amministratore / con limitazioni senza autorizzazioni di installazione e solo il IDE (ad esempio Visual Studio) installati. Uso Windows 10 per la maggior parte dello sviluppo, ad eccezione di un Mac per la parte iOS dello sviluppo dell'app.
Anche in questo caso, la preferenza del software è personale. Questa sarà interamente una tua scelta per limitare le loro prestazioni lavorative se non consenti loro di utilizzare i loro strumenti preferiti. Si consigliano account non amministrativi limitati, anche se dovrai gestire da solo l'installazione degli strumenti.
Installa un qualche tipo di software di registrazione dei dipendenti.
La maggior parte dovrebbe essere sul lato server anziché sul computer del dipendente. La registrazione delle loro attività locali renderà più facile monitorarli e citarli in giudizio per attività dannose, ma fai attenzione a non andare troppo lontano. Ai bambini non piace che i loro genitori guardino tutto ciò che fanno, e nemmeno i tuoi dipendenti. La registrazione lato server non dovrebbe metterli a disagio, quindi è un ottimo modo per monitorare.
Disabilita l'accesso ai siti Web di hosting di file.
Potrebbe essere difficile da fare, ma non sono sicuro di come puoi farlo da solo.
Anche se puoi farlo, potrebbero aver bisogno di accedere alle loro unità personali per alcuni lavori, ma è una tua scelta restrittiva .
In qualche modo rilevare e fermare quando una determinata cartella viene caricata o copiata da qualche parte?
Monitora il traffico da e verso il tuo server. È loro la scelta di copiare i file su una chiavetta USB e caricarli altrove. Puoi monitorare solo per rilevare traffico insolito / sospetto dal / al tuo server.
In qualche modo rendi il repository git accessibile solo da quella macchina.
Usa un VPN per questo, così come per tutti i tuoi portali amministrativi.
Installare una sorta di sistema di gestione amministrativa remota? Azure Active Directory o qualcosa del genere?
Uso principalmente Linux, quindi non sono esperto su Windows, ma Active Directory dovrebbe essere accessibile solo dalla rete interna. Ancora una volta, utilizza una VPN per l'accesso remoto.