Что вы делаете с персоналом и персональными ноутбуками?

Сегодня у одного из наших разработчиков украли ноутбук у него дома. По-видимому, у него была полная svn проверка исходного кода компании, а также полная копия базы данных SQL.

Это одна из весомых причин, почему я лично не разрешаю компании работать на личных ноутбуках.
Однако, даже если бы это был ноутбук, принадлежащий компании, у нас все равно была бы та же проблема, хотя мы были бы в несколько более сильной позиции для обеспечения шифрования (WDE) на всем диске.

Вопросы такие:

1. Что ваша компания делает с данными компании об оборудовании, не принадлежащем компании?
2. Является ли WDE разумным решением? Это приводит к большим накладным расходам при чтении / записи?
3. Кроме изменения паролей для вещей, которые были сохранены / доступны оттуда, есть что-нибудь еще, что вы можете предложить?

1. Проблема в том, что позволить людям оплачивать сверхурочно на своем собственном наборе очень дешево, поэтому менеджеры не очень хотят это останавливать; но, конечно, будем счастливы обвинять ИТ-специалистов в случае утечки ... Только жесткая политика предотвратит это. Это зависит от руководства, где они хотят соблюсти баланс, но это очень большая проблема для людей.

2. Я тестировал WDE (Truecrypt) на ноутбуках с рабочими нагрузками уровня администратора, и это действительно не так уж плохо, с точки зрения производительности, количество операций ввода-вывода незначительно. У меня есть несколько разработчиков, которые хранят около 20 ГБ рабочих копий. Это не «решение» само по себе; (Это не остановит, например, передачу данных с незащищенной машины во время загрузки), но, безусловно, закрывает много дверей.

3. Как насчет общего запрета на все внешние данные; Затем следуют инвестиции в услуги удаленного рабочего стола, достойный VPN и пропускную способность для его поддержки. Таким образом, весь код остается внутри офиса; пользователи получают сеанс с доступом к ресурсам локальной сети; и домашние машины просто становятся тупыми терминалами. Это не подходит для любой среды (прерывистый доступ или высокая длительность могут быть препятствием в вашем случае), но стоит подумать, важен ли домашний труд для компании.

Нашей компании требуется шифрование всего диска на всех принадлежащих компании ноутбуках. Конечно, есть накладные расходы, но для большинства наших пользователей это не проблема - они используют веб-браузеры и офисные пакеты. Мой MacBook зашифрован, и он не оказал такого существенного влияния, что я заметил, даже при работе виртуальных машин под VirtualBox. Для кого-то, кто проводит большую часть своего дня, составляя большие деревья кода, это может быть более серьезной проблемой.

Очевидно, вам нужна основа политики для такого рода вещей: вам нужно требовать, чтобы все ноутбуки, принадлежащие компании, были зашифрованы, и вам нужно, чтобы данные компании не могли храниться на оборудовании, не принадлежащем компании. Ваша политика должна быть обязательной для технического и исполнительного персонала, даже если они жалуются, иначе вы просто столкнетесь с той же проблемой снова.

Я бы сосредоточился не столько на самом оборудовании, сколько на данных. Это поможет избежать проблем, с которыми вы сейчас сталкиваетесь. У вас может не быть рычагов, чтобы предписывать политику в отношении принадлежащего лично оборудования. Тем не менее, вам лучше иметь рычаг, чтобы поручить, как обрабатываются данные, принадлежащие компании. Будучи университетом, у нас постоянно возникают такие проблемы. Преподаватели не могут финансироваться таким образом, чтобы их кафедра могла купить компьютер, или они могли бы купить сервер обработки данных на грант. В общем, решение этих проблем заключается в защите данных, а не оборудования.

Есть ли в вашей организации политика классификации данных? Если так, что это говорит? Как будет классифицировано хранилище кода? Какие требования будут предъявляться к этой категории? Если ответом на любой из этих вопросов является «Нет» или «Я не знаю», то я бы порекомендовал поговорить с вашим отделом информационной безопасности или с тем, кто в вашей организации отвечает за разработку политик.

Исходя из того, что вы говорите, было выпущено, будь я владельцем данных, я бы, скорее всего, классифицировал его как «Высокий» или «Красный код», или каков ваш самый высокий уровень. Как правило, для этого требуется шифрование в состоянии покоя, при передаче и даже может быть указан ряд ограничений на то, где разрешено размещать данные.

Помимо этого, вы можете посмотреть на реализацию некоторых безопасных методов программирования. Что-то, что может кодифицировать жизненный цикл разработки и однозначно запретить разработчикам вступать в контакт с производственной базой данных, за исключением странных и редких обстоятельств.

1.) Работа удаленно

Для разработчиков удаленный рабочий стол - очень хорошее решение, если не требуется 3D. Производительность обычно достаточно хорошая.

На мой взгляд, удаленный рабочий стол даже более безопасен, чем VPN, потому что разблокированный ноутбук с активным VPN позволяет намного больше, чем просмотр терминального сервера.

VPN следует давать только людям, которые могут доказать, что им нужно больше.

Перемещение конфиденциальных данных из дома - это запрет, и его следует по возможности предотвратить. Работа в качестве разработчика без доступа к Интернету может быть запрещена, поскольку отсутствие доступа к управлению исходным кодом, отслеживанию проблем, системам документации и коммуникациям в лучшем случае снижает эффективность.

2.) Использование оборудования сторонних компаний в сети

Компания должна иметь стандарт того, что требуется от оборудования, подключенного к локальной сети:

• антивирус
• Межсетевой экран
• быть в области, быть изобретенным
• если мобильный, быть зашифрованным
• пользователи не имеют локального администратора (сложно, если разработчик, но выполнимо)
• и т.п.

Иностранное оборудование должно либо следовать этим рекомендациям, либо не находиться в сети. Вы можете настроить NAC для управления этим.

3.) С пролитым молоком мало что можно сделать, но можно предпринять шаги, чтобы избежать повторения.

Если вышеуказанные шаги будут предприняты, а ноутбуки - это не больше, чем мобильные тонкие клиенты, то не нужно больше. Эй, вы даже можете купить дешевые ноутбуки (или использовать старые).

Компьютеры, не контролируемые вашей компанией, не должны быть разрешены в сети. Когда-либо. Хорошая идея использовать что-то вроде VMPS для помещения мошеннического оборудования в изолированную VLAN. Аналогичным образом, данные компании не имеют никакого отношения к оборудованию компании.

Шифрование жесткого диска в наши дни довольно простое, поэтому шифруйте все, что покидает помещение. Я видел исключительно небрежное обращение с ноутбуками, которое без полного шифрования диска было бы катастрофой. Хит производительности не так уж и плох, и выгода намного превышает его. Если вам нужна невероятная производительность, подключите VPN / RAS к соответствующему оборудованию.

Чтобы пойти в другом направлении от некоторых других ответов здесь:

Хотя защита и защита данных важна, вероятность того, что человек украл ноутбук:

1. Знал, что они воруют
2. Знал, где искать данные и исходный код
3. Знал, что делать с данными и исходным кодом

Это довольно маловероятно. Наиболее вероятный сценарий - то, что человек, который украл ноутбук, является обычным старым вором, а не корпоративным шпионом, стремящимся украсть исходный код вашей компании, чтобы создать конкурирующий продукт и вывести его на рынок раньше вашей компании, тем самым вытеснив вашу компанию. бизнеса.

При этом, вероятно, вашей компании следует внедрить некоторые политики и механизмы, чтобы предотвратить это в будущем, но я бы не позволил этому инциденту держать вас ночью. Вы потеряли данные на ноутбуке, но предположительно это была только копия, и разработка будет продолжаться без перерыва.

Корпоративные ноутбуки должны использовать зашифрованные диски и т. Д., Конечно, но вы спрашиваете о персональных компьютерах.

Я не вижу в этом технической проблемы, а скорее поведенческой. С технологической точки зрения вы очень мало можете сделать, чтобы кто-то не смог взять код домой и взломать его - даже если вы можете помешать им проверять весь исходный код проекта на формальной основе, которую он все еще может принять. фрагменты домой, если они намерены это сделать, и если один 10-строчный «фрагмент» кода (или каких-либо данных) окажется битом, который содержит ваш секретный соус / ценную и конфиденциальную информацию о клиенте / местонахождение Святого Грааля, тогда вы ' Потерять эти 10 строк по-прежнему потенциально можно так же, как и потерять 10 страниц.

Так, что бизнес хочет сделать? Вполне можно сказать, что люди абсолютно не должны работать на бизнес компании с компьютеров, не принадлежащих компании, и считать это "грубым неправомерным" увольнением для людей, нарушающих это правило. Это правильный ответ кому-то, кто стал жертвой кражи со взломом? Будет ли это идти вразрез с вашей корпоративной культурой? Нравится ли компании, когда люди работают дома в свободное от работы время, и поэтому она готова сбалансировать риск потери имущества с предполагаемым увеличением производительности? Используется ли утерянный код для контроля над ядерным оружием, банковскими хранилищами или спасательным оборудованием в больницах, и в качестве такого нарушения безопасности не может быть допущено ни при каких обстоятельствах? Есть ли у вас юридические или нормативные обязательства в отношении безопасности кода «на риск»

Вот некоторые из вопросов, которые, я думаю, вам нужно рассмотреть, но никто здесь не может ответить на них за вас.

Что ваша компания делает с данными компании об оборудовании, не принадлежащем компании?

Конечно, вы должны хранить только данные компании на устройствах компании, где бы вы ни находились, если только они не были зашифрованы вашим ИТ-отделом

Является ли WDE разумным решением? Это приводит к большим накладным расходам при чтении / записи?

Любое программное обеспечение для шифрования диска будет иметь некоторые издержки, но оно того стоит, и все ноутбуки и внешние USB-накопители должны быть зашифрованы.

Кроме изменения паролей для вещей, которые были сохранены / доступны оттуда, есть что-нибудь еще, что вы можете предложить?

Вы также можете получить программное обеспечение для удаленной очистки, как в среде BES для ежевики.

В ситуации, когда задействован исходный код, и особенно, когда используемая машина не может контролироваться ИТ-отделом компании, я бы позволил человеку развиваться только в удаленном сеансе, размещенном на машине в офисе компании, через VPN.

Как насчет программного обеспечения для удаленной очистки? Это, конечно, сработает только в том случае, если вор достаточно глуп, чтобы включить компьютер в Интернет. Но есть множество историй о людях, которые даже нашли украденные ноутбуки таким образом, так что вам может повезти.

Временная очистка также может быть вариантом, если вы не ввели пароль в X часов, все будет удалено, и вам придется снова оформить заказ. Раньше не слышал об этом, может быть, потому что это на самом деле довольно глупо, так как требует больше работы от пользователя, чем шифрование. Может быть, будет хорошо в сочетании с шифрованием для тех, кто беспокоится о производительности. Конечно, у вас есть проблемы с питанием здесь, но здесь не требуется Интернет.

Я подумала, что ваша самая большая проблема заключается в том, что это означает, что ноутбук имел доступ к сети компании. Я предполагаю, что вы теперь предотвратили вход этого ноутбука в офисную сеть.

Допуск компьютеров сторонних компаний в офисную сеть - действительно плохая идея. Если это не ноутбук компании, как вы можете установить на него адекватный антивирус. Разрешение этого в сети означает, что у вас нет контроля над программами, которые на нем работают - например, wireshark, просматривающий сетевые пакеты и т. Д ...

Некоторые другие ответы предполагают, что разработка вне часов должна быть сделана в сеансе RDP и т.п. На самом деле это означает, что они могут работать только там, где у них есть подключение к Интернету - это не всегда возможно в поезде и т. Д., Но также требуется, чтобы ноутбук имел доступ к серверу для сеанса RDP. Вам нужно подумать, как вы защищаете доступ RDP от кого-то, кто имеет доступ к украденному ноутбуку (и, возможно, к некоторым паролям, хранящимся на ноутбуке)

Наконец, наиболее вероятным результатом является то, что ноутбук продается кому-то, кто не интересуется содержимым и будет использовать его только для электронной почты и Интернета. Однако .... это довольно большой риск для компании.

Блокировка ноутбука предотвратила бы проблему в этом случае. (Я до сих пор не слышал о блокировке рабочего стола, но опять же, мне еще предстоит услышать о краже со стороны грабителя).

Точно так же, как вы не оставляете свои украшения, когда выходите из дома, вы не должны оставлять свой ноутбук без присмотра.