Was machen Sie mit Personal und persönlichen Laptops?

Heute hat einer unserer Entwickler seinen Laptop aus seinem Haus stehlen lassen. Anscheinend hatte er eine vollständige SVN-Prüfung des Quellcodes des Unternehmens sowie eine vollständige Kopie der SQL-Datenbank.

Dies ist ein massiver Grund, warum ich persönlich dagegen bin, dass Unternehmen Arbeiten an persönlichen Laptops zulassen.
Selbst wenn dies ein firmeneigener Laptop gewesen wäre, hätten wir immer noch das gleiche Problem, obwohl wir in einer etwas stärkeren Position wären, um die Verschlüsselung (WDE) auf der gesamten Festplatte durchzusetzen.

Fragen sind diese:

1. Was unternimmt Ihr Unternehmen mit Unternehmensdaten auf Hardware, die sich nicht im Eigentum des Unternehmens befindet?
2. Ist WDE eine vernünftige Lösung? Ist der Aufwand für Lese- / Schreibvorgänge sehr hoch?
3. Gibt es außer dem Ändern von Passwörtern für Dinge, die von dort gespeichert / abgerufen wurden, noch etwas, das Sie vorschlagen können?

1. Das Problem ist, dass es sehr billig ist, unbezahlte Überstunden auf eigene Faust zu machen, sodass Manager nicht bereit sind, dies zu verhindern. Aber wir werden natürlich gerne die IT beschuldigen, wenn es ein Leck gibt ... Nur eine strikt durchgesetzte Richtlinie wird dies verhindern. Es ist Sache des Managements, wo sie das Gleichgewicht finden wollen, aber es ist sehr viel ein Problem der Menschen.

2. Ich habe WDE (Truecrypt) auf Laptops mit Workloads auf Administratorebene getestet und es ist wirklich nicht so schlimm, was die Leistung betrifft. Der E / A-Treffer ist vernachlässigbar. Ich habe mehrere Entwickler, die auch ~ 20 GB Arbeitskopien darauf haben. Es ist keine "Lösung" für sich; (Es wird nicht verhindern, dass die Daten von einem ungesicherten Computer verschluckt werden, während dieser beispielsweise gestartet wird), aber es werden auf jeden Fall viele Türen geschlossen.

3. Wie wäre es mit einem generellen Verbot aller extern gespeicherten Daten? gefolgt von einigen Investitionen in Remotedesktopdienste, ein anständiges VPN und die Bandbreite, die dafür erforderlich ist. Auf diese Weise bleibt der gesamte Code im Büro. Die Benutzer erhalten eine Sitzung mit lokalem Netzwerkzugriff auf Ressourcen. und Heimmaschinen werden einfach zu dummen Terminals. Es ist nicht für alle Umgebungen geeignet (ein zeitweiliger Zugriff oder eine hohe Letency können in Ihrem Fall einen Deal-Breaker darstellen), aber es lohnt sich zu überlegen, ob Heimarbeit für das Unternehmen wichtig ist.

Unser Unternehmen erfordert die Verschlüsselung der gesamten Festplatte auf allen firmeneigenen Laptops. Sicher, es gibt einen Mehraufwand, aber für die meisten unserer Benutzer ist dies kein Problem - sie verwenden Webbrowser und Office-Suiten. Mein MacBook ist verschlüsselt und es hat sich nicht wirklich auf die Dinge ausgewirkt, die mir aufgefallen sind, selbst wenn VMs unter VirtualBox ausgeführt werden. Für jemanden, der einen Großteil seines Tages damit verbringt, große Codebäume zu kompilieren, ist dies möglicherweise ein größeres Problem.

Sie benötigen offensichtlich einen Richtlinienrahmen für diese Art von Dingen: Sie müssen verlangen, dass alle firmeneigenen Laptops verschlüsselt sind, und Sie müssen verlangen, dass Unternehmensdaten nicht auf nicht firmeneigenen Geräten gespeichert werden können. Ihre Richtlinie muss auch für technische und leitende Angestellte durchgesetzt werden, selbst wenn diese sich beschweren. Andernfalls stoßen Sie erneut auf dasselbe Problem.

Ich würde mich weniger auf die Ausrüstung selbst als auf die Daten konzentrieren. Dies hilft, die Probleme zu vermeiden, auf die Sie jetzt stoßen. Möglicherweise haben Sie nicht die Hebelwirkung, Richtlinien für Geräte in Privatbesitz zu erlassen. Sie sollten jedoch die Möglichkeit haben, den Umgang mit unternehmenseigenen Daten zu bestimmen. Da wir eine Universität sind, tauchen ständig solche Probleme auf. Die Fakultät kann möglicherweise nicht so finanziert werden, dass ihre Abteilung einen Computer kaufen kann, oder sie kann einen Datenverarbeitungsserver mit einem Stipendium kaufen. Im Allgemeinen besteht die Lösung für diese Probleme darin, die Daten und nicht die Hardware zu schützen.

Verfügt Ihre Organisation über eine Datenklassifizierungsrichtlinie? Wenn ja, was steht da? Wie würde das Code-Repository klassifiziert? Welche Anforderungen würden an diese Kategorie gestellt? Wenn die Antwort auf eine dieser Fragen entweder "Nein" oder "Ich weiß nicht" lautet, würde ich empfehlen, mit Ihrem Büro für Informationssicherheit oder mit demjenigen in Ihrer Organisation zu sprechen, der für die Entwicklung von Richtlinien verantwortlich ist.

Wäre ich der Dateneigentümer, würde ich es wahrscheinlich als Hoch oder Code-Rot klassifizieren, oder was auch immer Ihre höchste Ebene ist. In der Regel erfordert dies eine Verschlüsselung im Ruhezustand während der Übertragung und kann sogar einige Einschränkungen hinsichtlich des Speicherorts der Daten aufführen.

Darüber hinaus möchten Sie möglicherweise einige sichere Programmiermethoden implementieren. Etwas, das einen Entwicklungslebenszyklus kodifizieren und Entwicklern ausdrücklich untersagen könnte, mit einer Produktionsdatenbank in Kontakt zu kommen, außer unter seltsamen und seltenen Umständen.

1.) Remote arbeiten

Für Entwickler ist Remote Desktop eine sehr gute Lösung, es sei denn, 3D ist erforderlich. Die Leistung ist in der Regel gut genug.

In meinen Augen ist Remotedesktop sogar noch sicherer als VPN, da ein entsperrtes Notebook mit aktivem VPN wesentlich mehr bietet als ein Terminalserver.

VPN sollte nur an Personen vergeben werden, die nachweisen können, dass sie mehr benötigen.

Das Verschieben sensibler Daten aus dem Haus ist ein Kinderspiel und sollte nach Möglichkeit verhindert werden. Die Arbeit als Entwickler ohne Internetzugang kann verboten werden, da der fehlende Zugriff auf Quellcodeverwaltung, Fehlerverfolgung, Dokumentationssysteme und Kommunikation die Effizienz im besten Fall beeinträchtigt.

2.) Verwendung von Fremdhardware in einem Netzwerk

Ein Unternehmen sollte einen Standard für die Hardware haben, die an das LAN angeschlossen ist:

• Antivirus
• Firewall
• in der Domäne sein, inventarisiert werden
• Wenn mobil, verschlüsselt werden
• Benutzer haben keinen lokalen Administrator (schwierig, wenn Entwickler, aber machbar)
• etc.

Fremde Hardware sollte entweder diesen Richtlinien folgen oder nicht im Netz sein. Sie könnten NAC einrichten, um dies zu kontrollieren.

3.) Gegen verschüttete Milch kann wenig getan werden, es können jedoch Maßnahmen ergriffen werden, um ein erneutes Auftreten zu vermeiden.

Wenn die oben genannten Schritte ausgeführt werden und Notebooks kaum mehr sind als mobile Thin Clients, ist nicht viel mehr erforderlich. Hey, du kannst sogar billige Notebooks kaufen (oder alte benutzen).

Computer, die nicht unter der Kontrolle Ihres Unternehmens stehen, sollten nicht im Netzwerk zugelassen werden. Je. Es ist eine gute Idee, so etwas wie VMPS zu verwenden, um nicht autorisierte Geräte in ein VLAN in Quarantäne zu verschieben. Ebenso haben Unternehmensdaten kein Geschäft außerhalb der Unternehmensausstattung.

Die Festplattenverschlüsselung ist heutzutage recht einfach. Verschlüsseln Sie also alles, was das Unternehmen verlässt. Ich habe einen außergewöhnlich nachlässigen Umgang mit Laptops gesehen, der ohne vollständige Festplattenverschlüsselung eine Katastrophe wäre. Der Leistungstreffer ist nicht so schlimm und der Nutzen überwiegt bei weitem. Wenn Sie herausragende Leistung benötigen, stecken Sie VPN / RAS in die entsprechende Hardware.

Um von einigen der anderen Antworten hier in eine andere Richtung zu gehen:

Während der Schutz und die Sicherung der Daten wichtig ist, ist die Wahrscheinlichkeit, dass die Person, die den Laptop gestohlen hat:

1. Wusste, was sie stahlen
2. Wusste, wo man nach den Daten und dem Quellcode suchen musste
3. Wusste, was mit den Daten und dem Quellcode zu tun war

Ist ziemlich unwahrscheinlich. Das wahrscheinlichste Szenario ist, dass die Person, die den Laptop gestohlen hat, ein gewöhnlicher alter Dieb und kein Unternehmensspion ist, der darauf aus ist, den Quellcode Ihres Unternehmens zu stehlen, um ein konkurrierendes Produkt zu erstellen und es vor Ihrem Unternehmen auf den Markt zu bringen, wodurch Ihr Unternehmen verdrängt wird des Geschäfts.

Abgesehen davon wäre es wahrscheinlich Ihre Aufgabe, Richtlinien und Mechanismen einzuführen, um dies in Zukunft zu verhindern, aber ich würde nicht zulassen, dass dieser Vorfall Sie nachts auf Trab hält. Sie haben die Daten auf dem Laptop verloren, aber vermutlich war es nur eine Kopie, und die Entwicklung wird ohne Unterbrechung fortgesetzt.

Unternehmenseigene Laptops sollten natürlich verschlüsselte Datenträger usw. verwenden, aber Sie fragen nach Personalcomputern.

Ich sehe dies nicht als ein technisches Problem, sondern eher als ein Verhaltensproblem. Unter technologischen Gesichtspunkten können Sie kaum etwas tun, um es für jemanden unmöglich zu machen, Code mit nach Hause zu nehmen und ihn zu hacken - selbst wenn Sie verhindern können, dass er formal alle Quellen eines Projekts auscheckt, die er noch nehmen kann Schnipsel nach Hause, wenn sie dazu entschlossen sind, und wenn ein 10-zeiliger "Code-Schnipsel" (oder irgendwelche Daten) das Bit ist, das Ihre geheime Soße / wertvolle und vertrauliche Kundeninformationen / den Ort des heiligen Grals enthält, dann Sie sind möglicherweise immer noch genauso entbeint, wenn Sie diese 10 Zeilen verlieren, wie wenn Sie 10 Seiten verlieren würden.

Was will das Unternehmen also tun? Es ist durchaus möglich zu sagen, dass Mitarbeiter auf keinen Fall von Computern außerhalb des Unternehmens aus im Unternehmensgeschäft arbeiten dürfen, und es für diejenigen, die gegen diese Regel verstoßen, zu einer Entlassungsstraftat "groben Fehlverhaltens" zu machen. Ist das eine angemessene Antwort für jemanden, der Opfer eines Einbruchs ist? Würde es Ihrer Unternehmenskultur zuwiderlaufen? Gefällt es dem Unternehmen, wenn Menschen in ihrer Freizeit von zu Hause aus arbeiten und daher bereit sind, das Risiko eines Eigentumsverlusts gegen die wahrgenommenen Produktivitätsgewinne abzuwägen? Wird der verlorene Code zur Kontrolle von Atomwaffen, Banktresoren oder Rettungsmitteln in Krankenhäusern verwendet und kann eine solche Sicherheitsverletzung unter keinen Umständen geahndet werden? Haben Sie eine rechtliche oder behördliche Verpflichtung in Bezug auf die Sicherheit des Kodex "gefährdet"?

Dies sind einige der Fragen, über die Sie nachdenken müssen, aber niemand hier kann sie tatsächlich für Sie beantworten.

Was unternimmt Ihr Unternehmen mit Unternehmensdaten auf Hardware, die sich nicht im Eigentum des Unternehmens befindet?

Sicherlich sollten Sie Unternehmensdaten nur dann auf Unternehmensgeräten speichern, wenn sie von Ihrer IT-Abteilung verschlüsselt wurden

Ist WDE eine vernünftige Lösung? Ist der Aufwand für Lese- / Schreibvorgänge sehr hoch?

Jede Festplattenverschlüsselungssoftware hat einen gewissen Aufwand, der sich jedoch lohnt. Alle Laptops und externen USB-Laufwerke sollten verschlüsselt werden.

Gibt es außer dem Ändern von Passwörtern für Dinge, die von dort gespeichert / abgerufen wurden, noch etwas, das Sie vorschlagen können?

Sie können auch Remote-Wipe-Software wie in einer BES-Umgebung für Brombeeren erhalten.

In einer Situation, in der es sich um Quellcode handelt und in der die verwendete Maschine nicht von der IT-Abteilung des Unternehmens gesteuert werden kann, würde ich der Person immer nur erlauben, sich in einer Remotesitzung zu entwickeln, die auf einer Maschine auf dem Firmengelände gehostet wird VPN.

Wie wäre es mit Remote-Wiping-Software? Dies würde natürlich nur funktionieren, wenn der Dieb dumm genug ist, um den Computer mit dem Internet zu verbinden. Aber es gibt Unmengen von Geschichten über Menschen, die auf diese Weise sogar ihre gestohlenen Laptops gefunden haben, sodass Sie vielleicht Glück haben.

Das zeitgesteuerte Löschen kann ebenfalls eine Option sein, wenn Sie Ihr Passwort nicht in X Stunden eingegeben haben, wird alles gelöscht und Sie müssen erneut auschecken. Davon habe ich noch nie gehört, vielleicht, weil es eigentlich ziemlich dumm ist, weil der Benutzer mehr Arbeit für die Verschlüsselung benötigt. Wäre vielleicht gut in Kombination mit Verschlüsselung für diejenigen, die sich Sorgen um die Leistung machen. Natürlich haben Sie auch hier das Einschaltproblem, aber hier ist kein Internet erforderlich.

Meiner Meinung nach besteht Ihr größtes Problem darin, dass dies impliziert, dass der Laptop Zugriff auf das Unternehmensnetzwerk hatte. Ich gehe davon aus, dass Sie diesen Laptop jetzt daran gehindert haben, VPN-Verbindungen in das Büronetzwerk herzustellen.

Es ist eine wirklich schlechte Idee, Computer von Drittanbietern in das Büronetzwerk zuzulassen. Wenn es sich nicht um einen Firmen-Laptop handelt, wie können Sie einen angemessenen Virenschutz durchsetzen? Wenn Sie es im Netzwerk zulassen, haben Sie keine Kontrolle über die Programme, die darauf ausgeführt werden - z. B. Wireshark, das Netzwerkpakete usw. ansieht.

Einige der anderen Antworten schlagen vor, dass die Entwicklung außerhalb der Geschäftszeiten innerhalb einer RDP-Sitzung und dergleichen erfolgen sollte. Tatsächlich bedeutet dies dann, dass sie nur dort arbeiten können, wo sie eine Internetverbindung haben - nicht immer in einem Zug usw. möglich. Der Laptop muss jedoch für die RDP-Sitzung Zugriff auf den Server haben. Sie müssen überlegen, wie Sie den RDP-Zugriff gegen jemanden sichern, der Zugriff auf einen gestohlenen Laptop hat (und wahrscheinlich einige der auf dem Laptop gespeicherten Passwörter).

Schließlich ist das wahrscheinlichste Ergebnis, dass der Laptop an jemanden verkauft wird, der kein Interesse an den Inhalten hat und ihn nur für E-Mail und Web verwendet. Das ist jedoch ein ziemlich großes Risiko für ein Unternehmen.

Ein Laptopschloss hätte das Problem in diesem Fall verhindert. (Ich habe noch nichts von einer Desktop-Sperre gehört, aber ich habe auch noch nichts von einem Einbrecher, der einen Desktop stiehlt.)

So wie Sie Ihren Schmuck nicht herumliegen lassen, wenn Sie Ihr Haus verlassen, sollten Sie Ihren Laptop nicht ungesichert lassen.