Що ви робите з персоналом та особистими ноутбуками?

Сьогодні у одного з наших розробників викрали ноутбук у його будинку. Мабуть, він мав повну перевірку svn вихідного коду компанії, а також повну копію бази даних SQL.

Це одна з важливих причин, чому я особисто не дозволяю компанії працювати на персональних ноутбуках.
Однак, навіть якби це був ноутбук, який належить компанії, у нас все одно виникне та сама проблема, хоча ми будемо в дещо сильнішій ситуації застосувати шифрування (WDE) на всьому диску.

Питання такі:

1. Що ваша компанія робить щодо даних компанії про обладнання, яке не належить компанії?
2. Чи WDE розумне рішення? Чи створює це багато накладних витрат на читання / запис?
3. Окрім зміни паролів для речей, які зберігалися / отримували доступ до них, є ще щось, що ви можете запропонувати?

1. Проблема полягає в тому, що дозволяти людям робити неоплачувану понаднормову роботу за власний комплект дуже дешево, тому менеджери не так готові зупиняти це; але, звичайно, з радістю звинувачуватимуть ІТ, коли з’явиться витік ... Тільки сильно застосовується політика не зможе цього запобігти. Це до менеджменту, де вони хочуть досягти балансу, але це дуже велика проблема людей.

2. Я протестував WDE (Truecrypt) на ноутбуках із завантаженням на рівні адміністратора, і це насправді не так вже й погано, ефективність роботи, хіт вводу / виводу незначний. У мене є кілька розробників, які зберігають на ньому ~ 20 ГБ робочих копій. Це само по собі не «рішення»; (Наприклад, це не зупинить, коли дані завантажуються з незахищеної машини під час завантаження), але це, безумовно, закриває багато дверей.

3. Як щодо заборони ковдри на всі дані, що зберігаються зовні; супроводжуються деякими інвестиціями в послуги віддаленого робочого столу, пристойний VPN та пропускну здатність для його підтримки. Таким чином весь код залишається всередині офісу; користувачі отримують сеанс з доступом до ресурсів локальної мережі; а домашні машини просто стають німим терміналами. Він не підходить для всіх середовищ (переривчастий доступ чи висока затримка може бути порушенням угоди у вашому випадку), але варто подумати, чи важлива робота вдома для компанії.

Наша компанія вимагає шифрування на весь диск на всіх ноутбуках, що належать компанії. Звичайно, накладні витрати є, але для більшості наших користувачів це не проблема - вони мають веб-браузери та офісні пакети. Мій MacBook зашифрований, і він насправді не вплинув на речі, які я помітив, навіть під час запуску VM під VirtualBox. Для тих, хто проводить більшу частину свого дня за складанням великих дерев коду, це може бути більшою проблемою.

Очевидно, вам потрібні рамки політики щодо подібних речей: потрібно вимагати, щоб усі ноутбуки, що належать компанії, були зашифровані, і вам потрібно вимагати, щоб дані компанії не могли зберігатися на обладнанні, яке не належить компанії. Ваша політика також повинна застосовуватись до технічного та виконавчого персоналу, навіть якщо вони скаржаться, інакше ви просто знову зіткнетеся з тією ж проблемою.

Я б менше зосереджувався на самому обладнанні та більше на даних, що стосуються. Це допоможе уникнути проблем, з якими ви стикаєтесь зараз. Можливо, у вас немає важелів для доручення політики щодо особистого обладнання. Однак вам краще мати важелі для маніпулювання способом обробки даних, що належать компанії. Будучи університетом, у нас такі питання виникають постійно. Факультет не може фінансуватися таким чином, щоб їх кафедра могла придбати комп'ютер, або вони могли придбати сервер обробки даних за грант. Загалом, рішення цих проблем - захист даних, а не апаратних засобів.

Чи існує у вашій організації політику класифікації даних? Якщо так, що це говорить? Як класифікувати сховище коду? Які вимоги висуваються до цієї категорії? Якщо відповідь на будь-який із них - "Ні" або "Я не знаю", я рекомендую поговорити з вашим офісом з питань інформаційної безпеки, або хто з вашої організації несе відповідальність за розробку політики.

Виходячи з того, що ви говорите, було випущено, якби я був власником даних, я, швидше за все, класифікую його як "Високий" або "Код червоний", або будь-який ваш найвищий рівень. Як правило, це потребує шифрування в спокої, під час транзиту, і навіть може перераховувати деякі обмеження щодо того, де дозволяється розміщувати дані.

Крім того, ви можете розглянути можливість впровадження деяких практичних програм безпечного програмування. Щось, що може кодифікувати життєвий цикл розвитку та прямо заборонити розробникам контактувати з виробничою базою даних, за винятком дивних та рідкісних обставин.

1.) Робота віддалено

Для розробників віддалений робочий стіл - дуже хороше рішення, якщо не потрібен 3D. Продуктивність зазвичай досить хороша.

На моїх очах, віддалений робочий стіл навіть безпечніший, ніж VPN, тому що розблокований ноутбук з активною VPN дозволяє набагато більше, ніж виглядає на термінальному сервері.

VPN слід надавати лише людям, які можуть довести, що їм потрібно більше.

Переміщення конфіденційних даних з дому - заборонено, і їх слід запобігати, якщо можливо. Робота розробника без доступу до Інтернету може бути заборонена, оскільки відсутність доступу до контролю джерел, відстеження випусків, систем документування та комунікацій робить ефективність не найкращою.

2.) Використання некомерційного обладнання в мережі

Компанія повинна мати стандарт того, що потрібно від обладнання, приєднаного до локальної мережі:

• Антивірус
• Брандмауер
• бути в домені, бути придуманим
• якщо мобільний, зашифруйте
• користувачі не мають локального адміністратора (важко, якщо розробник, але виконано)
• тощо.

Іноземне обладнання повинно або дотримуватися цих вказівок, або не бути в мережі. Ви можете створити NAC для управління цим.

3.) Щодо пролитого молока можна зробити мало, але можна вжити заходів, щоб уникнути повторного виникнення.

Якщо вищевказані кроки зроблені, а ноутбуки трохи більше, ніж мобільні тонкі клієнти, не набагато більше потрібно. Гей, ви навіть можете придбати дешеві зошити (або використовувати старі).

Комп'ютери, які не знаходяться під контролем вашої компанії, не повинні бути дозволені в мережі. Колись. Корисно використовувати щось на кшталт VMPS для розміщення шахрайського обладнання в карантинній VLAN. Аналогічно, дані компанії не мають бізнесу поза обладнанням компанії.

Зашифрування жорсткого диска в наші дні досить легко, тому зашифруйте все, що залишає приміщення. Я бачив винятково необережне поводження з ноутбуками, яке було б катастрофою без повного шифрування диска. Спектакль не так вже й поганий, а користь значно переважає його. Якщо вам потрібна надзвичайна продуктивність, VPN / RAS у відповідне обладнання.

Щоб піти в іншому напрямку з деяких інших відповідей тут:

Хоча захист і безпека даних є важливою, ймовірність того, що людина, яка викрала ноутбук:

1. Знав, що вони крали
2. Знав, де шукати дані та вихідний код
3. Знав, що робити з даними та вихідним кодом

Це малоймовірно. Найімовірніший сценарій полягає в тому, що особа, яка вкрала ноутбук, є звичайним старим злодієм, а не корпоративним шпигуном, який схиляється до викрадення коду соуса вашої компанії, щоб створити конкуруючий продукт і вивести його на ринок перед вашою компанією, тим самим вигнавши вашу компанію бізнесу.

Але, мабуть, ваша компанія повинна створити певну політику та механізми, щоб запобігти цьому в майбутньому, але я не дозволю, щоб цей інцидент підтримував вас вночі. Ви втратили дані на ноутбуці, але, мабуть, це була лише копія, і розробка триватиме безперебійно.

Ноутбуки, що належать корпоративній власності, повинні використовувати зашифровані диски тощо, але ви запитаєте про персональні комп'ютери.

Я не вважаю це технічною проблемою, а скоріше поведінковою. З точки зору технологій ви можете зробити дуже мало, щоб хтось не міг взяти код додому і зламати його, навіть якщо ви можете завадити їм перевірити все джерело на проект на формальній основі, який вони все ще можуть взяти фрагменти додому, якщо вони визначені для цього, і якщо один 10-рядовий "фрагмент" коду (або будь-яких даних) буде бітом, який містить ваш секретний соус / цінну та конфіденційну інформацію про клієнтів / місцезнаходження святого грааля, тоді ви ' Ви все ще потенційно так само втрачаєте втрату цих 10 рядків, як і втрату 10 сторінок.

Отже, чим хоче займатися бізнес? Цілком можна сказати, що люди абсолютно не повинні працювати над бізнесом компанії на комп’ютерах, що не є компаніями, і робити це "грубим неправомірним поводженням" у відставці для людей, які порушують це правило. Це відповідна відповідь тому, хто є жертвою грабежу? Чи буде це проти зерна вашої корпоративної культури? Чи подобається компанії, коли люди працюють вдома у свій час, і тому готові збалансувати ризик втрати власності та передбачуваного збільшення продуктивності? Чи втрачений код, який використовувався для контролю над ядерною зброєю чи банківськими сховищами або рятувальним обладнанням у лікарнях, і як таке порушення безпеки не може бути усунено за жодних обставин? Чи є у вас юридичні чи регуляторні зобов'язання щодо безпеки коду "під загрозою"

Це деякі з питань, які я думаю, що вам потрібно розглянути, але ніхто тут насправді не може відповісти на них.

Що ваша компанія робить щодо даних компанії про обладнання, яке не належить компанії?

Напевно, ви повинні мати лише дані компанії, які зберігаються на пристроях компанії, ніде інше, якщо вони не були зашифровані вашим відділом ІТ

Чи WDE розумне рішення? Чи створює це багато накладних витрат на читання / запис?

Будь-яке програмне забезпечення для шифрування диска матиме накладні витрати, але воно того варте, і всі ноутбуки та зовнішні USB-накопичувачі повинні бути зашифровані.

Окрім зміни паролів для речей, які зберігалися / отримували доступ до них, є ще щось, що ви можете запропонувати?

Ви також можете отримати програмне забезпечення для віддаленого видалення даних, яке було б у середовищі BES для ожини.

У ситуації, коли задіяний вихідний код, і особливо, коли використовуваний апарат не може контролюватись ІТ-відділом компанії, я б тільки коли-небудь дозволив людині розвиватися на віддаленому сеансі, розміщеному на машині в приміщеннях компанії, через VPN.

Як щодо програмного забезпечення для віддаленого протирання. Це, звичайно, спрацює лише в тому випадку, якщо злодій буде достатньо німим, щоб підключити комп'ютер до Інтернету. Але є багато історій людей, які навіть знайшли свої викрадені ноутбуки таким чином, щоб вам пощастило.

Тимчасове витирання також може бути варіантом, якщо ви не ввели свій пароль протягом X години, все буде видалено, і вам доведеться знову зробити замовлення. Ніколи раніше про це не чули, можливо, тому що насправді це дуже дурно, оскільки вимагає від користувача ширшої роботи над цим шифруванням. Можливо, було б добре в поєднанні з шифруванням для тих, хто турбується про продуктивність. Звичайно, і у вас тут є проблема живлення, але Інтернет не потрібен.

Я подумав про це, що ваша найбільша проблема полягає в тому, що це, мабуть, означає, що ноутбук мав доступ до мережі компанії. Я припускаю, що ви зараз завадили цьому ноутбуку VPN'ing в офісну мережу.

Дозволити комп'ютери, що не є компаніями, в офісну мережу - це дуже погана ідея. Якщо це не фірмовий ноутбук, як можна застосувати адекватний антивірус на ньому. Якщо дозволити це в мережі, це означає, що ви не маєте контролю над програмами, що працюють у ньому - наприклад, проводка, що дивиться на мережеві пакети тощо

Деякі з інших відповідей говорять про те, що розробку поза годин слід проводити протягом сеансу RDP тощо. Насправді це означає, що вони можуть працювати лише там, де вони мають підключення до Інтернету - це не завжди можливо в поїзді тощо. Вам потрібно розглянути, як ви забезпечите доступ RDP від ​​того, хто має доступ до викраденого ноутбука (і, мабуть, деяких паролів, що зберігаються на ноутбуці)

Нарешті, найімовірнішим результатом є те, що ноутбук продається тому, хто не зацікавлений у вмісті, а просто використовуватиме його для електронної пошти та Інтернету. Однак .... це великий ризик для компанії.

Блокування ноутбука запобігло б проблему в цьому випадку. (Мені ще не доводилося чути про блокування робочого столу, але знову ж таки, мені ще ще не доводилося чути про крадіжку, що краде робочий стіл.)

Так само, як ви не залишаєте коштовності, коли вони виходять з дому, ви не повинні залишати свій ноутбук незахищеним.