Bạn làm gì về nhân viên và máy tính xách tay cá nhân?

Hôm nay, một trong những nhà phát triển của chúng tôi đã đánh cắp máy tính xách tay từ nhà của anh ấy. Rõ ràng, anh ta đã kiểm tra svn đầy đủ về mã nguồn của công ty, cũng như một bản sao đầy đủ của cơ sở dữ liệu SQL.

Đây là một lý do lớn tại sao cá nhân tôi chống lại việc cho phép công ty làm việc trên máy tính xách tay cá nhân.
Tuy nhiên, ngay cả khi đây là máy tính xách tay của công ty, chúng tôi vẫn gặp vấn đề tương tự, mặc dù chúng tôi sẽ ở vị trí mạnh hơn một chút để thực thi mã hóa (WDE) trên toàn bộ đĩa.

Câu hỏi là:

1. Công ty của bạn làm gì về dữ liệu công ty trên phần cứng không thuộc sở hữu của công ty?
2. WDE là một giải pháp hợp lý? Nó có tạo ra nhiều chi phí cho việc đọc / ghi không?
3. Ngoài việc thay đổi mật khẩu cho những thứ được lưu trữ / truy cập từ đó, bạn còn có thể đề xuất điều gì khác không?

1. Vấn đề là việc cho phép mọi người làm thêm giờ không trả tiền trên bộ dụng cụ của họ rất rẻ, vì vậy các nhà quản lý không sẵn sàng ngăn chặn nó; nhưng tất nhiên sẽ rất vui khi đổ lỗi cho CNTT khi có sự rò rỉ ... Chỉ có một chính sách được thi hành mạnh mẽ sẽ ngăn chặn điều này. Đó là quản lý nơi họ muốn đạt được sự cân bằng, nhưng đó là vấn đề rất nhiều người.

2. Tôi đã kiểm tra WDE (Truecrypt) trên máy tính xách tay với khối lượng công việc ở cấp quản trị viên và nó thực sự không tệ, hiệu năng thông minh, lần truy cập I / O là không đáng kể. Tôi cũng có một số nhà phát triển giữ ~ 20GB bản sao làm việc trên đó. Bản thân nó không phải là một "giải pháp"; (Chẳng hạn, nó sẽ không dừng dữ liệu bị tắt trong một máy không bảo mật trong khi nó khởi động), nhưng chắc chắn nó sẽ đóng rất nhiều cửa.

3. Làm thế nào về lệnh cấm chăn đối với tất cả các dữ liệu được tổ chức bên ngoài; tiếp theo là một số đầu tư vào các dịch vụ máy tính để bàn từ xa, VPN tốt và băng thông để hỗ trợ nó. Bằng cách đó, tất cả các mã ở trong văn phòng; người dùng có được một phiên với quyền truy cập mạng cục bộ vào tài nguyên; và máy gia đình chỉ trở thành thiết bị đầu cuối câm. Nó sẽ không phù hợp với tất cả các môi trường (truy cập không liên tục hoặc mức độ cho phép cao có thể là yếu tố phá vỡ thỏa thuận trong trường hợp của bạn) nhưng đáng để xem xét nếu làm việc tại nhà là quan trọng đối với công ty.

Công ty chúng tôi yêu cầu mã hóa toàn bộ đĩa trên tất cả các máy tính xách tay thuộc sở hữu của công ty. Chắc chắn, có một chi phí hoạt động, nhưng đối với hầu hết người dùng của chúng tôi thì đây không phải là vấn đề - họ đang chạy các trình duyệt web và bộ ứng dụng văn phòng. MacBook của tôi được mã hóa và nó thực sự không ảnh hưởng đến những thứ mà tôi nhận thấy, ngay cả khi chạy VM trong VirtualBox. Đối với một người dành phần lớn thời gian trong ngày để biên dịch những cây mã lớn thì đó có thể là một vấn đề.

Bạn rõ ràng cần một khung chính sách cho loại điều này: bạn cần yêu cầu tất cả các máy tính xách tay thuộc sở hữu của công ty được mã hóa và bạn cần yêu cầu dữ liệu của công ty không thể được lưu trữ trên thiết bị không thuộc sở hữu của công ty. Chính sách của bạn cũng cần được thi hành cho nhân viên kỹ thuật và điều hành, ngay cả khi họ phàn nàn, nếu không bạn sẽ lại gặp phải vấn đề tương tự.

Tôi sẽ tập trung ít hơn vào chính thiết bị và nhiều hơn vào dữ liệu liên quan. Điều này sẽ giúp tránh các vấn đề bạn đang gặp phải bây giờ. Bạn có thể không có đòn bẩy để ủy thác chính sách cho thiết bị thuộc sở hữu cá nhân. Tuy nhiên, tốt hơn hết bạn nên có đòn bẩy để ủy thác cách xử lý dữ liệu của công ty. Là một trường đại học, chúng tôi có những vấn đề như thế này xuất hiện mọi lúc. Khoa có thể không được tài trợ theo cách mà bộ phận của họ có thể mua máy tính hoặc họ có thể mua một máy chủ xử lý dữ liệu theo một khoản trợ cấp. Nói chung, giải pháp cho những vấn đề này là bảo vệ dữ liệu chứ không phải phần cứng.

Tổ chức của bạn có chính sách Phân loại dữ liệu không? Nếu vậy, nó nói gì? Làm thế nào để kho lưu trữ mã được phân loại? Những yêu cầu nào sẽ được đặt vào danh mục đó? Nếu câu trả lời cho bất kỳ câu hỏi nào là "Không" hoặc "Tôi không biết", thì tôi khuyên bạn nên nói chuyện với văn phòng An toàn thông tin của bạn hoặc bất kỳ ai trong tổ chức của bạn chịu trách nhiệm xây dựng chính sách.

Dựa trên những gì bạn nói đã được phát hành, tôi có phải là chủ sở hữu dữ liệu mà tôi có thể phân loại nó là Cao, hoặc Mã đỏ, hoặc bất kể mức cao nhất của bạn là gì. Thông thường, điều đó sẽ yêu cầu mã hóa khi nghỉ ngơi, trong quá trình vận chuyển và thậm chí có thể liệt kê một số hạn chế về nơi dữ liệu được phép lưu trữ.

Ngoài ra, bạn có thể xem xét việc thực hiện một số thực hành lập trình an toàn. Một cái gì đó có thể mã hóa vòng đời phát triển và không cho phép các nhà phát triển tiếp xúc với cơ sở dữ liệu sản xuất ngoại trừ trong các trường hợp kỳ lạ và hiếm gặp.

1.) Làm việc từ xa

Đối với các nhà phát triển, máy tính để bàn từ xa là một giải pháp rất tốt trừ khi bắt buộc phải có 3D. Hiệu suất thường là đủ tốt.

Trong mắt tôi, máy tính để bàn từ xa thậm chí còn an toàn hơn VPN, bởi vì một máy tính xách tay được mở khóa có hoạt động VPN cho phép nhiều hơn một chút so với chế độ xem máy chủ đầu cuối.

VPN chỉ nên được trao cho những người có thể chứng minh rằng họ cần nhiều hơn.

Di chuyển dữ liệu nhạy cảm ra khỏi nhà là điều không nên và nên được ngăn chặn nếu có thể. Làm việc như một nhà phát triển mà không có quyền truy cập internet có thể bị cấm vì việc thiếu quyền truy cập vào kiểm soát nguồn, theo dõi vấn đề, hệ thống tài liệu và thông tin liên lạc làm cho hiệu quả của iffy trở nên tốt nhất.

2.) Sử dụng phần cứng phi công ty trong mạng

Một công ty nên có một tiêu chuẩn về những gì được yêu cầu từ phần cứng gắn liền với mạng LAN:

• Diệt virus
• Bức tường lửa
• được trong miền, được phát minh
• nếu di động, được mã hóa
• Người dùng không có quản trị viên cục bộ (khó khăn nếu nhà phát triển, nhưng có thể thực hiện được)
• v.v.

Phần cứng nước ngoài nên theo các hướng dẫn này hoặc không nằm trong mạng. Bạn có thể thiết lập NAC để kiểm soát điều đó.

3.) Ít có thể được thực hiện về sữa bị đổ, nhưng các bước có thể được thực hiện để tránh tái phạm.

Nếu các bước trên được thực hiện và máy tính xách tay ít hơn máy khách di động mỏng, thì không cần nhiều hơn nữa. Này, bạn thậm chí có thể mua máy tính xách tay giá rẻ (hoặc sử dụng những cái cũ).

Máy tính không thuộc quyền kiểm soát của công ty bạn không được phép sử dụng trên mạng. Không bao giờ. Nên sử dụng một cái gì đó như VMPS để đặt thiết bị giả mạo vào Vlan cách ly. Tương tự như vậy, dữ liệu công ty không có kinh doanh bên ngoài thiết bị của công ty.

Mã hóa đĩa cứng ngày nay khá dễ dàng, vì vậy hãy mã hóa bất cứ thứ gì rời khỏi cơ sở. Tôi đã thấy một số xử lý đặc biệt bất cẩn của máy tính xách tay sẽ là một thảm họa mà không mã hóa toàn bộ đĩa. Hiệu suất đạt được không phải là xấu, và lợi ích vượt xa nó. Nếu bạn cần hiệu năng rực rỡ, VPN / RAS vào phần cứng thích hợp.

Để đi theo một hướng khác từ một số câu trả lời khác ở đây:

Mặc dù bảo vệ và bảo mật dữ liệu là rất quan trọng, xác suất người đánh cắp máy tính xách tay:

1. Biết những gì họ đã ăn cắp
2. Biết nơi để tìm dữ liệu và mã nguồn
3. Biết phải làm gì với dữ liệu và mã nguồn

Là khá khó xảy ra. Kịch bản rất có thể là người đã đánh cắp máy tính xách tay là một tên trộm cũ thường xuyên chứ không phải là một gián điệp của công ty đã cố gắng đánh cắp mã souce của công ty bạn để xây dựng một sản phẩm cạnh tranh và đưa nó ra thị trường trước công ty của bạn, từ đó đẩy công ty của bạn ra ngoài kinh doanh.

Điều đó đang được nói, nó có thể sẽ khiến công ty của bạn áp dụng một số chính sách và cơ chế để ngăn chặn điều này trong tương lai nhưng tôi sẽ không để sự cố này khiến bạn thức đêm. Bạn đã mất dữ liệu trên máy tính xách tay, nhưng có lẽ đó chỉ là một bản sao và quá trình phát triển sẽ tiếp tục mà không bị gián đoạn.

Tất nhiên, máy tính xách tay thuộc sở hữu doanh nghiệp nên sử dụng đĩa được mã hóa, v.v., nhưng bạn hỏi về máy tính cá nhân.

Tôi không xem đây là một vấn đề kỹ thuật mà là một vấn đề hành vi. Có rất ít bạn có thể làm theo quan điểm công nghệ để khiến ai đó không thể lấy mã về nhà và hack nó - ngay cả khi bạn có thể ngăn họ kiểm tra tất cả nguồn cho dự án trên cơ sở chính thức họ vẫn có thể lấy đoạn trích về nhà nếu chúng được xác định để làm như vậy và nếu một "đoạn mã" 10 dòng (hoặc bất kỳ dữ liệu nào) xảy ra là bit chứa nước sốt bí mật / thông tin khách hàng bí mật và có giá trị của bạn về chén thánh thì bạn ' Vẫn có khả năng chỉ là bị bỏ rơi khi mất 10 dòng như bạn sẽ mất 10 trang.

Vậy doanh nghiệp muốn làm gì? Hoàn toàn có thể nói rằng mọi người tuyệt đối không được làm việc trong kinh doanh của công ty từ các máy tính không phải của công ty và biến nó thành một "hành vi sai trái thô bạo" đối với những người phá vỡ quy tắc đó. Đó có phải là một phản ứng thích hợp cho một người là nạn nhân của một vụ trộm? Nó sẽ đi ngược lại hạt giống của văn hóa doanh nghiệp của bạn? Công ty có thích nó không khi mọi người làm việc tại nhà trong thời gian riêng của họ và do đó sẵn sàng cân bằng rủi ro mất tài sản so với mức tăng nhận thức về năng suất? Có phải mã bị mất được sử dụng để kiểm soát vũ khí hạt nhân hoặc kho tiền ngân hàng hoặc thiết bị cứu sinh trong bệnh viện và do đó, một vi phạm an ninh như vậy không thể được tính trong bất kỳ trường hợp nào? Bạn có nghĩa vụ pháp lý hoặc quy định liên quan đến tính bảo mật của mã "có nguy cơ"

Đó là một số câu hỏi tôi nghĩ bạn cần xem xét, nhưng không ai ở đây thực sự có thể trả lời chúng cho bạn.

Công ty của bạn làm gì về dữ liệu công ty trên phần cứng không thuộc sở hữu của công ty?

Để chắc chắn, bạn chỉ nên lưu trữ dữ liệu công ty trên các thiết bị của công ty, trừ khi nó được Bộ phận CNTT của bạn mã hóa

WDE là một giải pháp hợp lý? Nó có tạo ra nhiều chi phí cho việc đọc / ghi không?

Bất kỳ phần mềm mã hóa đĩa nào cũng sẽ có một số chi phí nhưng nó đáng giá và tất cả máy tính xách tay và ổ đĩa USB bên ngoài phải được mã hóa.

Ngoài việc thay đổi mật khẩu cho những thứ được lưu trữ / truy cập từ đó, bạn còn có thể đề xuất điều gì khác không?

Bạn cũng có thể có được phần mềm xóa từ xa như bạn có trong môi trường BES cho dâu đen.

Trong tình huống có mã nguồn liên quan và đặc biệt là bộ phận sử dụng máy không thể được kiểm soát bởi bộ phận CNTT của công ty, tôi chỉ cho phép người đó phát triển trong một phiên từ xa được lưu trữ trên máy trong khuôn viên công ty, thông qua một VPN.

Làm thế nào về phần mềm lau từ xa. Điều này tất nhiên sẽ chỉ hoạt động nếu tên trộm đủ câm để cấp nguồn cho máy tính lên internet. Nhưng có rất nhiều câu chuyện về những người thậm chí đã tìm thấy máy tính xách tay bị đánh cắp của họ theo cách này để bạn có thể gặp may mắn.

Xóa thời gian cũng có thể là một tùy chọn, nếu bạn không nhập mật khẩu trong X giờ thì mọi thứ sẽ bị xóa và bạn phải kiểm tra lại. Trước đây tôi chưa từng nghe về điều này, có lẽ vì nó thực sự khá ngu ngốc vì nó đòi hỏi nhiều công việc hơn từ người dùng mã hóa đó. Có lẽ sẽ tốt khi kết hợp với mã hóa cho những người lo lắng về hiệu suất. Tất nhiên bạn cũng có vấn đề tăng sức mạnh ở đây nhưng ở đây không cần internet.

Tôi nghĩ rằng vấn đề lớn nhất của bạn là điều này dường như ngụ ý rằng máy tính xách tay đã truy cập vào mạng công ty. Tôi giả sử rằng bạn hiện đã ngăn máy tính xách tay này kết nối VPN vào mạng văn phòng.

Cho phép các máy tính không phải của công ty vào mạng văn phòng là một ý tưởng thực sự tồi tệ. Nếu nó không phải là máy tính xách tay của công ty, làm thế nào bạn có thể thực thi chống vi-rút đầy đủ trên nó. Cho phép nó trên mạng có nghĩa là bạn không có quyền kiểm soát các chương trình đang chạy trên nó - ví dụ như wireshark đang xem các gói mạng, v.v ...

Một số câu trả lời khác cho thấy rằng việc phát triển ngoài giờ nên được thực hiện trong một phiên RDP và tương tự. Trên thực tế, điều này có nghĩa là họ chỉ có thể làm việc ở nơi có kết nối internet - không phải lúc nào cũng có thể trên tàu, v.v. nhưng nó cũng yêu cầu máy tính xách tay có quyền truy cập vào máy chủ cho phiên RDP. Bạn đã xem xét cách bạn bảo mật quyền truy cập RDP đối với người có quyền truy cập vào máy tính xách tay bị đánh cắp (và có thể một số mật khẩu được lưu trữ trên máy tính xách tay)

Cuối cùng, kết quả rất có thể là máy tính xách tay được bán cho một người không quan tâm đến nội dung và sẽ chỉ sử dụng nó cho email và web. Tuy nhiên .... đó là một rủi ro khá lớn đối với một công ty.

Một khóa máy tính xách tay sẽ ngăn chặn vấn đề trong trường hợp này. (Tôi chưa nghe về khóa máy tính để bàn, nhưng một lần nữa, tôi cũng chưa nghe thấy một tên trộm nào đánh cắp máy tính để bàn.)

Giống như cách bạn không để đồ trang sức của mình nằm xung quanh khi bạn rời khỏi nhà, bạn không nên để máy tính xách tay của mình không bảo đảm.