O que você poderia fazer é bloquear o SOE tão apertado que a única forma de usá-lo fora do escritório para acessar a Internet é forçá-lo a usar sua VPN para que ele use seu sistema de proxy corporativo (ISA /Casaco azul). Ao fazer isso, é possível configurar o acesso restrito a sites em torno dos pontos que você declarou e acompanhar o que eles fazem.
Se você estiver usando o Windows, então você pode usar a política de grupo do AD para bloquear o sistema, certifique-se de que eles não têm direitos de administrador (use o UAC para realmente bloquear o sistema de forma tão restrita que tudo o que eles podem fazer é programas abertos que estão instalados pensaram algo como SCCM). Bloqueie o acesso ao BIOS, isso significaria que eles não poderiam inicializar outras mídias para tentar ignorar qualquer uma das restrições que você estabeleceu. Estas são algumas ideias básicas sobre o que você pode fazer.
Mas a única coisa que é muito importante é ter uma política de usuário de computador muito bem redigida e limpa que declare quais serão as punições se quaisquer violações forem provadas.
Você também precisa entender o que a lei está em torno da privacidade, pois você pode descobrir que o que você gostaria de fazer não pode ser feito devido a alguma lei. Então, você precisa ter certeza de que as empresas estão bem cobertas nesse sentido, como se você despedisse alguém de alguma coisa e descobrisse que você violou a lei da maneira como descobriu que elas infringiram alguma política e que sua empresa poderia ser tomada. para tribunal. Como exemplo, onde eu vivo o que as pessoas vêem na internet e os e-mails que enviam são considerados privados, seja de uma máquina doméstica ou de um computador de trabalho.
Espero que isso ajude.