En este aspecto siempre hay que ir de menos a más. Creamos unas reglas de seguridad que no permitan hacer prácticamente nada a los usuarios, ni acceder a los puertos USB, ni al cederrón y por supuesto a internet. No permitimos, ni siquiera que el usuario pueda cambiar el fondo de escritorio. Lo más restrictivo posible para permitir que se desarrolle el trabajo del usuario con normalidad. A partir de aquí es cuando se empiezan a aplicar las excepciones, tal o cual equipo tiene que acceder a internet, y tal o cual departamento necesita que le habiliten el cederrón o los puertos USB. Esto siempre tiene un grado de degeneración que no se sabe al final por qué tal o cual usuario tenía determinados permisos. Es necesario documentar muy bien las excepciones y revocar los permisos cuando dejen de ser necesarios.
A mi no me gusta este tipo de restricciones, y soy más partidario de dar libertad al usuario y apelar a su propia responsabilidad. Eso si, siempre que los propios usuarios se corresponsabilicen de la seguridad de su puesto de trabajo. Tampoco soy partidario de restringir a todos los usuarios por igual, sino más bien de auditar los comportamientos de los mismos y en función de su responsabilidad aplicar políticas.
Pero esta última opción es complicada de implementar a medida que va creciendo la empresa. Por eso muchas veces se tira por la calle de en medio, o el no a todo, y a partir de aquí ya se abrirá la mano de forma que se puedan hacer determinadas cosas en función de los requerimientos de nuestro puesto de trabajo.
En Tecnología Pyme | Seguridad en nuestros equipos: perfiles de usuario en Windows XP Imagen | jdurham