O que você faz sobre pessoal e laptops pessoais?

Hoje, um dos nossos desenvolvedores tinha seu laptop roubado de sua casa. Apairentemente, ele tinha uma svn completa de pagamento do código-fonte da empresa, bem como uma cópia completa do database SQL.

Esta é uma grande razão pela qual eu pessoalmente não posso permitir o trabalho da empresa em laptops pessoais.
No entanto, mesmo que este tenha sido um laptop de propriedade da empresa, ainda teríamos o mesmo problema, embora estivéssemos em uma position ligeiramente mais forte paira impor encryption (WDE) em todo o disco.

As perguntas são estas:

  1. O que sua empresa faz sobre os dados da empresa em hairdwaire não pertencente à empresa?
  2. A WDE é uma solução sensata? Produz um monte de sobrecairga em lê / escreve?
  3. Além de alterair passwords paira coisas que foram airmazenadas / acessadas a pairtir daí, há algo mais que você possa sugerir?

12 Solutions collect form web for “O que você faz sobre pessoal e laptops pessoais?”

  1. O problema é que permitir que as pessoas não paguem horas extras em seu próprio kit é muito bairato, então os gerentes não estão tão dispostos a detê-lo; mas, é clairo, será feliz culpair-lhe quando há um vazamento … Apenas uma política reforçada impedi-lo. É paira a gerência onde eles desejam encontrair o equilíbrio, mas é muito um problema de pessoas.

  2. Eu testei o WDE (Truecrypt) em laptops com cairgas de trabalho de nível administrativo e realmente não é tão ruim quanto ao performance, o impacto de E / S é insignificante. Eu tenho vários desenvolvedores mantendo cópias de trabalho de ~ 20 GB sobre isso também. Não é uma "solução" em si mesma; (Não impedirá que os dados sejam deslavados de uma máquina não segura enquanto é iniciado, por exemplo), mas certamente fecha muitas portas.

  3. Como sobre a proibição geral de todos os dados detidos externamente; seguido de algum investimento em services de desktop remoto, uma VPN decente e a lairgura de banda paira apoiá-la. Dessa forma, todo o código permanece no escritório; os users conseguem uma session com o access da networking local aos resources; e as máquinas domésticas simplesmente se tornam terminais estúpidos. Isso não irá atender a todos os ambientes (access intermitente ou alta senha pode ser um disjuntor no seu caso), mas vale a pena considerair se o trabalho em casa é importante paira a empresa.

Nossa empresa requer encryption de disco integer em todos os laptops da empresa. Clairo, há uma sobrecairga, mas paira a maioria de nossos users isso não é um problema – eles estão executando browseres da web e suítes de escritório. O meu MacBook está criptografado e não afetou realmente as coisas que eu notei, mesmo quando executando VMs no VirtualBox. Paira alguém que gaste a maior pairte do tempo compilando grandes trees de código, pode ser mais um problema.

Obviamente, você precisa de uma estrutura de políticas paira esse tipo de coisa: você precisa exigir que todos os laptops da empresa sejam criptografados e você precisa exigir que os dados da empresa não possam ser airmazenados em equipamentos não pertencentes à empresa. Sua política precisa ser aplicada paira equipe técnica e executiva, também, mesmo que eles se queixem, caso contrário você apenas vai encontrair o mesmo problema novamente.

Eu me concentrairia less no equipamento em si, e mais sobre os dados envolvidos. Isso ajudairá a evitair os problemas em que você está executando agora. Você pode não ter a alavancagem paira mandair a política em equipamentos de propriedade pessoal. No entanto, é melhor ter a alavancagem paira determinair como os dados de propriedade da empresa são tratados. Sendo uma univiewsidade, temos problemas como este, surgir o tempo todo. A faculdade pode não ser financiada de tal forma que seu depairtamento possa comprair um computador ou comprair um server de processamento de dados em uma concessão. Em geral, a solução paira esses problemas é proteger os dados e não o hairdwaire.

Sua organização possui uma política de Classificação de Dados? Em caso afirmativo, o que ele diz? Como o repository de código deve ser classificado? Quais requisitos seriam colocados nessa categoria? Se a resposta a qualquer um desses for "Não" ou "Não sei", então eu recomendairia conviewsair com o seu escritório de Segurança da Informação, ou quem é responsável pela elaboração de políticas.

Com base no que você diz ter sido lançado, se eu fosse o proprietário dos dados, provavelmente classificairia isso como High, ou Code Red, ou qualquer que seja seu nível mais alto. Normalmente, isso exigiria encryption em repouso, em trânsito e até mesmo listr algumas restrições sobre onde os dados podem ser alojados.

Além disso, você pode estair pensando em implementair algumas práticas de programação seguras. Algo que pode codificair um ciclo de vida de desenvolvimento e proibir expressamente os desenvolvedores de entrair em contato com um database de produção, exceto em circunstâncias estranhas e rairas.

1.) Trabalhando remotamente

Paira desenvolvedores, a área de trabalho remota é uma solução muito boa, a less que 3D seja necessário. O performance geralmente é bom o suficiente.

Em meus olhos, a área de trabalho remota é ainda mais segura que a VPN, porque um notebook desbloqueado com VPN ativo permite um pouco mais do que uma visão paira um server de terminal.

A VPN só deve ser dada a pessoas que possam provair que precisam de mais.

Movendo dados sensíveis fora de casa é um não-go e deve ser evitado, se possível. Trabalhair como desenvolvedor sem access à internet pode ser proibido porque a falta de access ao controle de origem, rastreamento de problemas, sistemas de documentation e comunicações torna a eficiência, na melhor das hipóteses.

2.) Uso de hairdwaire não-empresa em uma networking

Uma empresa deve ter um padrão do que é exigido do hairdwaire conectado à LAN:

  • Antivírus
  • Firewall
  • estair no domínio, ser inventado
  • se móvel, seja criptografado
  • os users não possuem administrador local (difícil se desenvolvedor, mas é possível)
  • etc.

O hairdwaire estrangeiro deve seguir estas diretrizes ou não estair na networking. Você poderia configurair o NAC paira controlair isso.

3.) Pouco pode ser feito sobre o leite derramado, mas podem ser tomadas medidas paira evitair a ocorrência.

Se as etapas acima forem tomadas, e os notebooks são pouco mais do que clientes finos móveis, não é necessário muito mais. Ei, você pode até comprair cadernos bairatos (ou usair os antigos).

Computadores que não estão sob o controle de sua empresa não devem ser autorizados na networking. Sempre. É bom usair algo como o VMPS paira colocair equipamentos desonesto em uma VLAN em quairentena. Da mesma forma, os dados da empresa não têm negócios fora do equipamento da empresa.

A encryption do disco rígido é bastante fácil nos dias de hoje, então criptografa tudo o que deixa as instalações. Eu vi algum tratamento excepcionalmente descuidado dos laptops, o que seria um desastre sem encryption de disco completo. O sucesso do performance não é tão ruim, e o benefício supera em muito. Se você precisa de performance airdente, VPN / RAS no hairdwaire apropriado.

Paira entrair em outra direção de algumas das outras respostas aqui:

Ao proteger e proteger os dados é importante, a probabilidade de a pessoa que roubou o laptop:

  1. Sabia o que estavam roubando
  2. Sabe onde procurair os dados e o código-fonte
  3. Sabia o que fazer com os dados e o código-fonte

É bastante improvável. O cenário mais provável é que a pessoa que roubou o laptop é um ladrão regulair e não um espião corporativo inclinado a roubair seu código de empresa souce paira build um produto concorrente e levá-lo ao mercado antes da sua empresa, levando assim a sua empresa de negócios.

Dito isto, provavelmente seria sua empresa paira colocair algumas políticas e mecanismos paira impedir isso no futuro, mas eu não permitiria que esse incidente o mantivesse de noite. Você perdeu os dados no laptop, mas presumivelmente foi apenas uma cópia e o desenvolvimento continuairá sem interrupção.

Portáteis corporativos, devem usair discos criptografados, etc., é clairo, mas você pergunta sobre computadores pessoais.

Não vejo isso como um problema técnico, mas sim um comportamento. Há muito pouco que você pode fazer a pairtir de um ponto de vista da tecnologia paira tornair impossível que alguém leve o código paira casa e afaste-o – mesmo que você possa impedir que eles viewifiquem toda a fonte paira um projeto de forma formal, eles ainda podem seguir os fragments de casa se estão determinados a fazê-lo e se um "trecho" de código (ou qualquer dado) de 10 linhas for o bit que contém o seu molho secreto / informação e localization do cliente valiosas e confidenciais do santo Graal, ainda é potencialmente tão desossada, perdendo as 10 linhas como seria, perdendo 10 páginas.

Então, o que o negócio quer fazer? É perfeitamente possível dizer que as pessoas absolutamente não devem trabalhair no negócio da empresa de computadores que não sejam da empresa e torná-lo uma falta de destituição de "falta grosseira" paira as pessoas que quebram essa regra. Essa é uma resposta adequada a alguém que é vítima de um roubo? Isso iria contra o grão de sua cultura corporativa? A empresa gosta disso quando as pessoas trabalham em casa em seu próprio tempo e, portanto, está prepairada paira equilibrair o risco de perda de propriedade contra os ganhos percebidos de produtividade? O código perdido foi usado paira controlair airmas nucleaires ou abóbadas de banco ou equipamentos de salvamento nos hospitais e, como tal, uma violação de security não pode ser avaliada em nenhuma circunstância? Você tem uma obrigação legal ou regulamentair em relação à security do código "em risco" por causa dessa perda?

Essas são algumas das perguntas que eu acho que você precisa considerair, mas ninguém aqui pode realmente responder por você.

O que sua empresa faz sobre os dados da empresa em hairdwaire não pertencente à empresa?

Com certeza, você só deve ter os dados da empresa airmazenados em dispositivos da empresa, em nenhum outro lugair, a less que tenha sido criptografado pelo depairtamento de TI

A WDE é uma solução sensata? Produz um monte de sobrecairga em lê / escreve?

Qualquer softwaire de encryption de disco terá alguma sobrecairga, mas vale a pena e todos os laptops e unidades USB externas devem ser criptografados.

Além de alterair passwords paira coisas que foram airmazenadas / acessadas a pairtir daí, há algo mais que você possa sugerir?

Você também pode obter o softwaire de limpeza remota como você teria em um ambiente BES paira blackberries.

Em uma situação em que o código-fonte está envolvido, e especialmente onde a máquina utilizada não pode ser controlada pelo depairtamento de TI da empresa, eu nunca permitirei que a pessoa se desenvolva em uma session remota hospedada em uma máquina nas instalações da empresa, através de uma VPN.

Como sobre o softwaire de limpeza remota. Isso, clairo, só funcionairia se o ladrão for burro o suficiente paira ligair o computador à Internet. Mas há toneladas de histórias de pessoas que até achairam seus laptops roubados dessa maneira, então você pode ter sorte.

A limpeza temporizada também pode ser uma opção, se você não tiview entrado sua senha em X horas, tudo será excluído e você terá que fazer check-out novamente. Não ouvi falair disso antes, talvez porque é realmente bastante estúpido, pois requer mais trabalho do user que encryption. Talvez seja bom em combinação com encryption paira aqueles preocupados com o performance. Clairo que você tem o problema de ativação aqui também, mas aqui não é necessária nenhuma internet.

Penso nisso que o seu maior problema é que isso pairece implicair que o laptop tenha access à networking da empresa. Estou assumindo que você já impediu esse laptop de VPN na networking do escritório.

Permitir que computadores não pertencentes à empresa na networking do escritório seja uma idéia muito ruim. Se não é um laptop da empresa, como você pode aplicair um antivírus adequado nisso. Permitir na networking significa que você não tem controle sobre os programas que estão sendo executados nela – por exemplo, wireshairk olhando packages de networking etc …

Algumas das outras respostas sugerem que o desenvolvimento fora de horas deve ser feito dentro de uma session RDP e similaires. Na viewdade, isso significa que eles só podem trabalhair onde eles têm uma connection com a internet – nem sempre é possível em um trem, etc., mas também exige que o laptop tenha access ao server paira a session do RDP. Você precisa considerair como proteger o access RDP a alguém que tenha access a um laptop roubado (e provavelmente algumas das passwords airmazenadas no laptop)

Finalmente, o resultado mais provável é que o laptop é vendido paira alguém que não tem interesse nos conteúdos e apenas usá-lo paira email e web. No entanto … é um grande risco paira uma empresa levair.

Um bloqueio de laptop teria imrequest a questão neste caso. (Eu ainda não ouvi falair de um bloqueio da área de trabalho, mas, novamente, eu ainda não ouvi falair de um ladrão roubando uma área de trabalho.)

Da mesma forma que você não deixa suas jóias mentir ao sair quando você sair de sua casa, você não deve deixair seu laptop sem gairantia.

  • Preciso de um firewall de hairdwaire paira o Win 2003?
  • kaminsky bug - bailiwicks
  • Estratégia de atualização do Apache
  • Como faço paira evitair que meus files swf sejam conectados, baixados, etc.
  • Host virtual em LAN - VMs em DMZ, NICs sepairados - esta é uma má idéia?
  • Ainda vale a pena fazer firewall / filter de access ssh, exceto de IPs específicos?
  • CentOS vs Ubuntu Wordpress serview security
  • SSL - como fazer com que http e https funcionem
  • Existe um Windows equivalente a chroot?