Co robisz z laptopami pracowniczymi i osobistymi?

Dzisiaj jeden z naszych programistów skradził laptopa z domu. Najwyraźniej miał pełną kasę svn kodu źródłowego firmy, a także pełną kopię bazy danych SQL.

Jest to jeden z głównych powodów, dla których osobiście jestem przeciwny pracy w firmie na laptopach osobistych.
Jednak nawet gdyby był to laptop należący do firmy, nadal mielibyśmy ten sam problem, chociaż bylibyśmy w nieco lepszej sytuacji, aby wymusić szyfrowanie (WDE) na całym dysku.

Pytania są następujące:

1. Co twoja firma robi z danymi firmy na sprzęcie nie będącym własnością firmy?
2. Czy WDE jest sensownym rozwiązaniem? Czy generuje dużo narzutu podczas odczytu / zapisu?
3. Poza zmianą haseł do rzeczy, które były tam przechowywane / dostępne, czy jest coś jeszcze, co możesz zasugerować?

1. Problem polega na tym, że pozwalanie ludziom na nieodpłatne nadgodziny na ich własnym zestawie jest bardzo tanie, więc menedżerowie nie są tak chętni, aby to zatrzymać; ale oczywiście z przyjemnością obwinie IT, jeśli nastąpi wyciek ... Tylko silnie egzekwowane zasady będą temu zapobiegać. To zależy od zarządzania, gdzie chcą znaleźć równowagę, ale to bardzo problem z ludźmi.

2. Testowałem WDE (Truecrypt) na laptopach z obciążeniami na poziomie administracyjnym i naprawdę nie jest tak źle, pod względem wydajności, trafienie we / wy jest znikome. Mam też kilku programistów, którzy przechowują na nim ~ 20 GB kopii roboczych. To samo w sobie nie jest „rozwiązaniem”; (To nie powstrzyma danych przed zrzuceniem z niezabezpieczonej maszyny, na przykład podczas uruchamiania), ale z pewnością zamyka wiele drzwi.

3. Co powiesz na ogólny zakaz wszystkich zewnętrznych danych; następnie inwestycje w usługi pulpitu zdalnego, przyzwoitą sieć VPN i przepustowość do jej obsługi. W ten sposób cały kod pozostaje w biurze; użytkownicy uzyskują sesję z dostępem sieci lokalnej do zasobów; a domowe urządzenia stają się głupimi terminalami. Nie będzie pasować do wszystkich środowisk (przerywany dostęp lub wysoka letancja może być w Twoim przypadku przeszkodą), ale warto zastanowić się, czy praca w domu jest ważna dla firmy.

Nasza firma wymaga szyfrowania całego dysku na wszystkich laptopach należących do firmy. Oczywiście, że jest to narzut, ale dla większości naszych użytkowników nie stanowi to problemu - używają przeglądarek internetowych i pakietów biurowych. Mój MacBook jest zaszyfrowany i tak naprawdę nie wpłynął na rzeczy, które zauważyłem, nawet podczas uruchamiania maszyn wirtualnych w VirtualBox. Dla kogoś, kto spędza większość dnia na kompilacji dużych drzew kodu, może to być większy problem.

Oczywiście potrzebujesz ram polityki dla tego rodzaju rzeczy: musisz wymagać, aby wszystkie laptopy będące własnością firmy były szyfrowane, i musisz wymagać, aby dane firmy nie były przechowywane na urządzeniach niebędących własnością firmy. Twoje zasady muszą być egzekwowane także dla personelu technicznego i wykonawczego, nawet jeśli narzekają, w przeciwnym razie znów napotkasz ten sam problem.

Skupiłbym się mniej na samym sprzęcie, a bardziej na danych. Pomoże to uniknąć problemów, na które napotykasz teraz. Możesz nie mieć wystarczającej siły, aby upoważnić do polisy na urządzenia osobiste. Lepiej jednak wykorzystaj dźwignię, aby określić sposób przetwarzania danych należących do firmy. Jako uniwersytet cały czas mamy takie problemy. Wydział nie może być finansowany w taki sposób, aby jego wydział mógł kupić komputer lub mogliby zakupić serwer przetwarzania danych na podstawie grantu. Ogólnie rzecz biorąc, rozwiązaniem tych problemów jest ochrona danych, a nie sprzętu.

Czy Twoja organizacja ma zasady klasyfikacji danych? Jeśli tak, co to mówi? Jak sklasyfikowane byłoby repozytorium kodu? Jakie wymagania zostaną nałożone na tę kategorię? Jeśli odpowiedź na którekolwiek z nich brzmi „Nie” lub „Nie wiem”, polecam rozmowę z biurem ds. Bezpieczeństwa informacji lub z osobą odpowiedzialną za opracowanie zasad.

Na podstawie tego, co według ciebie zostało wydane, czy jako właściciel danych prawdopodobnie sklasyfikowałbym go jako High, Code Red lub jakikolwiek inny najwyższy poziom. Zazwyczaj wymagałoby to szyfrowania w spoczynku, podczas transportu, a nawet może wymieniać pewne ograniczenia dotyczące miejsca, w którym dane mogą być przechowywane.

Poza tym możesz zastanawiać się nad wdrożeniem pewnych bezpiecznych praktyk programistycznych. Coś, co może skodyfikować cykl rozwojowy i wyraźnie uniemożliwi programistom kontakt z produkcyjną bazą danych, z wyjątkiem dziwnych i rzadkich okoliczności.

1.) Praca zdalna

Dla programistów zdalny pulpit jest bardzo dobrym rozwiązaniem, chyba że wymagane jest 3D. Wydajność zwykle jest wystarczająco dobra.

Moim zdaniem zdalny pulpit jest jeszcze bezpieczniejszy niż VPN, ponieważ odblokowany notebook z aktywną VPN pozwala na coś więcej niż widok na serwer terminali.

VPN należy podawać tylko osobom, które mogą udowodnić, że potrzebują więcej.

Przenoszenie poufnych danych poza dom jest nieuniknione i powinno się temu zapobiegać, jeśli to możliwe. Praca jako programista bez dostępu do Internetu może być zabroniona, ponieważ brak dostępu do kontroli źródła, śledzenia problemów, systemów dokumentacji i komunikacji w najlepszym wypadku obniża wydajność.

2.) Wykorzystanie sprzętu spoza firmy w sieci

Firma powinna mieć standard tego, co jest wymagane od sprzętu podłączonego do sieci LAN:

• Antywirusowe
• Zapora ogniowa
• być w domenie, być zinwentaryzowanym
• jeśli jest mobilny, bądź szyfrowany
• użytkownicy nie mają lokalnego administratora (trudny, jeśli programista, ale wykonalny)
• itp.

Obcy sprzęt powinien być zgodny z tymi wytycznymi lub nie znajdować się w sieci. Możesz skonfigurować NAC, aby to kontrolować.

3.) Niewiele można zrobić z rozlanym mlekiem, ale można podjąć kroki w celu uniknięcia ponownego wystąpienia.

Jeśli powyższe kroki zostaną podjęte, a notebooki będą niewiele więcej niż mobilnymi cienkimi klientami, niewiele więcej będzie konieczne. Hej, możesz nawet kupić tanie notebooki (lub użyć starych).

Komputery nie będące pod kontrolą firmy nie powinny być dozwolone w sieci. Zawsze. Dobrym pomysłem jest użycie czegoś takiego jak VMPS, aby umieścić nieuczciwy sprzęt w sieci VLAN poddanej kwarantannie. Podobnie, dane firmy nie prowadzą działalności poza sprzętem firmy.

Szyfrowanie dysku twardego jest obecnie dość łatwe, więc szyfruj wszystko, co opuszcza lokal. Widziałem wyjątkowo nieostrożną obsługę laptopów, która byłaby katastrofą bez pełnego szyfrowania dysku. Uderzenie wydajności nie jest takie złe, a korzyść znacznie go przewyższa. Jeśli potrzebujesz niesamowitej wydajności, VPN / RAS na odpowiednim sprzęcie.

Aby przejść w innym kierunku od niektórych innych odpowiedzi tutaj:

Podczas ochrony i zabezpieczenia danych ważne jest prawdopodobieństwo, że osoba, która ukradła laptopa:

1. Wiedział, co kradli
2. Wiedział, gdzie szukać danych i kodu źródłowego
3. Wiedział, co zrobić z danymi i kodem źródłowym

Jest mało prawdopodobne. Najbardziej prawdopodobnym scenariuszem jest to, że osoba, która ukradła laptopa, jest zwykłym starym złodziejem, a nie korporacyjnym szpiegiem, który chce ukraść firmowy kod źródłowy, aby zbudować konkurencyjny produkt i wprowadzić go na rynek przed firmą, a tym samym wyprzeć firmę. biznesu.

To powiedziawszy, prawdopodobnie Twoim obowiązkiem byłoby wprowadzić pewne zasady i mechanizmy, aby zapobiec temu w przyszłości, ale nie pozwolę, aby ten incydent utrzymywał cię w nocy. Straciłeś dane na laptopie, ale prawdopodobnie była to tylko kopia, a rozwój będzie kontynuowany bez zakłóceń.

Laptopy należące do korporacji powinny oczywiście używać szyfrowanych dysków itp., Ale pytasz o komputery osobiste.

Nie uważam tego za problem techniczny, ale raczej behawioralny. Z technologicznego punktu widzenia niewiele można zrobić, aby uniemożliwić komuś zabranie kodu do domu i zhakowanie go - nawet jeśli możesz uniemożliwić mu sprawdzenie wszystkich źródeł projektu na formalnej podstawie, którą nadal mogą wziąć fragmenty domu, jeśli są do tego zdecydowane, a jeśli 10-liniowy „fragment” kodu (lub dowolnych danych) stanie się bitem zawierającym tajny sos / cenne i poufne informacje o kliencie / lokalizację świętego Graala, to „ nadal potencjalnie tak samo bez kości, tracąc te 10 linii, jak byście stracili 10 stron.

Co więc chce robić firma? Zupełnie możliwe jest stwierdzenie, że ludzie absolutnie nie mogą pracować nad biznesem firmowym z komputerów innych niż firmowe, co czyni przestępstwo zwolnienia z pracy „rażącym niewłaściwym postępowaniem” dla osób, które łamią tę zasadę. Czy to odpowiednia reakcja na osobę, która jest ofiarą włamania? Czy byłoby to sprzeczne z zasadami kultury korporacyjnej? Czy firmie to się podoba, gdy ludzie pracują z domu we własnym czasie i dlatego są gotowi zrównoważyć ryzyko utraty własności z postrzeganym wzrostem wydajności? Czy utracony kod służy do kontroli broni nuklearnej, skarbców bankowych lub sprzętu ratunkowego w szpitalach i jako takie naruszenie bezpieczeństwa nie może być w żadnym wypadku naprawione? Czy masz prawny lub regulacyjny obowiązek w zakresie bezpieczeństwa kodu „zagrożony”

Są to niektóre z pytań, które moim zdaniem należy wziąć pod uwagę, ale nikt tutaj nie może odpowiedzieć na nie za ciebie.

Co twoja firma robi z danymi firmy na sprzęcie nie będącym własnością firmy?

Z pewnością dane firmowe powinny być przechowywane tylko na urządzeniach firmowych, chyba że zostały zaszyfrowane przez dział IT

Czy WDE jest sensownym rozwiązaniem? Czy generuje dużo narzutu podczas odczytu / zapisu?

Każde oprogramowanie do szyfrowania dysku będzie miało narzut, ale warto, a wszystkie laptopy i zewnętrzne dyski USB powinny być szyfrowane.

Poza zmianą haseł do rzeczy, które były tam przechowywane / dostępne, czy jest coś jeszcze, co możesz zasugerować?

Możesz także uzyskać oprogramowanie do zdalnego czyszczenia, tak jak w środowisku BES dla jeżyn.

W sytuacji, w której jest zaangażowany kod źródłowy, a zwłaszcza gdy używany komputer nie może być kontrolowany przez dział IT firmy, pozwoliłbym osobie na rozwój w sesji zdalnej hostowanej na komputerze w siedzibie firmy, za pośrednictwem VPN.

Co powiesz na oprogramowanie do zdalnego czyszczenia? Działa to oczywiście tylko wtedy, gdy złodziej jest na tyle głupi, aby włączyć komputer do Internetu. Ale jest mnóstwo opowieści o ludziach, którzy nawet znaleźli w ten sposób skradzione laptopy, więc możesz mieć szczęście.

Czasowe czyszczenie może być również opcją, jeśli nie wprowadziłeś hasła w ciągu X godzin, wszystko zostanie usunięte i musisz ponownie sprawdzić. Nie słyszałem o tym wcześniej, być może dlatego, że jest to naprawdę głupie, ponieważ wymaga więcej pracy od użytkownika niż szyfrowanie. Może byłoby dobrze w połączeniu z szyfrowaniem dla osób martwiących się wydajnością. Oczywiście masz również problem z zasilaniem, ale tutaj nie jest wymagany dostęp do Internetu.

Myślałem o tym, że twoim największym problemem jest to, że wydaje się to sugerować, że laptop miał dostęp do sieci firmowej. Zakładam, że uniemożliwiłeś teraz temu laptopowi podłączenie się do sieci biurowej.

Dopuszczenie komputerów firmowych do sieci biurowej to naprawdę zły pomysł. Jeśli nie jest to laptop firmowy, jak możesz wymusić na nim odpowiedni program antywirusowy. Zezwolenie na to w sieci oznacza, że ​​nie masz kontroli nad programami, które na nim działają - np. Wireshark patrząc na pakiety sieciowe itp.

Niektóre inne odpowiedzi sugerują, że programowanie poza godzinami pracy powinno odbywać się w ramach sesji RDP i tym podobnych. W rzeczywistości oznacza to, że mogą pracować tylko tam, gdzie mają połączenie z Internetem - nie zawsze jest to możliwe w pociągu itp., Ale wymaga również, aby laptop miał dostęp do serwera na potrzeby sesji RDP. Musisz zastanowić się, jak zabezpieczyć dostęp RDP przed kimś, kto ma dostęp do skradzionego laptopa (i prawdopodobnie niektórych haseł przechowywanych na laptopie)

Wreszcie, najbardziej prawdopodobnym rezultatem jest to, że laptop został sprzedany komuś, kto nie jest zainteresowany treścią i użyje go tylko do obsługi poczty e-mail i Internetu. Jednak .... to dość duże ryzyko dla firmy.

W tym przypadku blokada laptopa zapobiegłaby temu problemowi. (Nie słyszałem jeszcze o zablokowaniu pulpitu, ale z drugiej strony, jeszcze nie słyszałem o włamywaczu kradnącym pulpit).

W ten sam sposób, w jaki nie zostawiasz swojej biżuterii, kiedy wychodzisz z domu, nie powinieneś pozostawiać laptopa bez zabezpieczenia.