¿Qué haces con el personal y las computadoras personales?

Hoy, a uno de nuestros desarrolladores le robaron su computadora portátil de su casa. Aparentemente, tenía una verificación completa del código fuente de la compañía, así como una copia completa de la base de datos SQL.

Esta es una razón enorme por la que personalmente estoy en contra de permitir que la empresa trabaje en computadoras portátiles personales.
Sin embargo, incluso si esta hubiera sido una computadora portátil propiedad de la compañía, aún tendríamos el mismo problema, aunque estaríamos en una posición ligeramente más fuerte para aplicar el cifrado (WDE) en todo el disco.

Las preguntas son estas:

1. ¿Qué hace su empresa con respecto a los datos de la empresa sobre hardware que no es de su propiedad?
2. ¿Es WDE una solución sensata? ¿Produce muchos gastos generales en lecturas / escrituras?
3. Además de cambiar las contraseñas de las cosas que se almacenaron / accedieron desde allí, ¿hay algo más que pueda sugerir?

1. El problema es que permitir que las personas hagan horas extras no pagadas en su propio kit es muy barato, por lo que los gerentes no están tan dispuestos a detenerlo; pero, por supuesto, nos complacerá culpar a TI cuando haya una fuga ... Solo una política fuertemente aplicada va a evitar esto. Todo depende de la administración donde desean lograr el equilibrio, pero es un problema de personas.

2. He probado WDE (Truecrypt) en computadoras portátiles con cargas de trabajo de nivel de administrador y realmente no es tan malo, en cuanto al rendimiento, el impacto de E / S es insignificante. También tengo varios desarrolladores con ~ 20 GB de copias de trabajo. No es una 'solución' en sí misma; (No evitará que los datos se extraigan de una máquina no segura mientras se inicia, por ejemplo), pero ciertamente cierra muchas puertas.

3. ¿Qué hay de la prohibición general de todos los datos externos? seguido de alguna inversión en servicios de escritorio remoto, una VPN decente y el ancho de banda para soportarlo. De esa manera, todo el código permanece dentro de la oficina; los usuarios obtienen una sesión con acceso de red local a los recursos; y las máquinas domésticas se convierten en terminales tontas. No se adaptará a todos los entornos (el acceso intermitente o la alta latencia pueden ser un factor decisivo en su caso), pero vale la pena considerar si el trabajo a domicilio es importante para la empresa.

Nuestra empresa requiere el cifrado de disco completo en todas las computadoras portátiles propiedad de la empresa. Claro, hay una sobrecarga, pero para la mayoría de nuestros usuarios esto no es un problema: están ejecutando navegadores web y suites de oficina. Mi MacBook está encriptada y realmente no ha afectado las cosas lo suficiente como he notado, incluso cuando ejecuto máquinas virtuales en VirtualBox. Para alguien que pasa gran parte de su día compilando grandes árboles de código, podría ser más problemático.

Obviamente, necesita un marco de políticas para este tipo de cosas: debe exigir que todas las computadoras portátiles de la compañía estén encriptadas, y debe exigir que los datos de la compañía no se puedan almacenar en equipos que no sean de la compañía. Su política también debe aplicarse para el personal técnico y ejecutivo, incluso si se quejan, de lo contrario, simplemente se encontrará con el mismo problema nuevamente.

Me centraría menos en el equipo en sí y más en los datos involucrados. Esto ayudará a evitar los problemas con los que se encuentra ahora. Es posible que no tenga el apalancamiento para exigir una política sobre equipos de propiedad personal. Sin embargo, es mejor que tenga la influencia para ordenar cómo se manejan los datos de propiedad de la empresa. Al ser una universidad, tenemos problemas como este que surgen todo el tiempo. La facultad no puede ser financiada de tal manera que su departamento pueda comprar una computadora, o podrían comprar un servidor de procesamiento de datos con una subvención. En general, la solución a estos problemas es proteger los datos y no el hardware.

¿Tiene su organización una política de clasificación de datos? Si es así, ¿qué dice? ¿Cómo se clasificaría el repositorio de código? ¿Qué requisitos se colocarían en esa categoría? Si la respuesta a cualquiera de estas preguntas es "No" o "No sé", entonces recomendaría hablar con su oficina de Seguridad de la Información, o con cualquiera de su organización responsable de desarrollar políticas.

Según lo que usted dice que se lanzó, si fuera el propietario de los datos, probablemente lo clasificaría como Alto, o Código rojo, o cualquiera que sea su nivel más alto. Por lo general, eso requeriría cifrado en reposo, en tránsito, e incluso puede enumerar algunas restricciones sobre dónde se puede alojar la información.

Más allá de eso, es posible que esté buscando implementar algunas prácticas de programación seguras. Algo que podría codificar un ciclo de vida de desarrollo y expresamente no permitir que los desarrolladores entren en contacto con una base de datos de producción, excepto en circunstancias extrañas y raras.

1.) Trabajando de forma remota

Para los desarrolladores, el escritorio remoto es una muy buena solución a menos que se requiera 3D. El rendimiento generalmente es lo suficientemente bueno.

En mi opinión, el escritorio remoto es incluso más seguro que la VPN, porque una computadora portátil desbloqueada con VPN activa permite bastante más de lo que lo haría una vista a un servidor de terminal.

La VPN solo se debe dar a las personas que pueden demostrar que necesitan más.

Mover datos confidenciales fuera de casa es imposible y debe evitarse si es posible. Trabajar como desarrollador sin acceso a Internet puede estar prohibido porque la falta de acceso al control de fuente, el seguimiento de problemas, los sistemas de documentación y las comunicaciones hacen que la eficiencia sea dudosa en el mejor de los casos.

2.) Uso de hardware no perteneciente a la empresa en una red

Una empresa debe tener un estándar de lo que se requiere del hardware conectado a la LAN:

• Antivirus
• Cortafuegos
• estar en el dominio, inventarizarse
• si es móvil, se cifrará
• los usuarios no tienen administrador local (difícil si es desarrollador, pero factible)
• etc.

El hardware externo debe seguir estas pautas o no estar en la red. Podrías configurar NAC para controlar eso.

3.) Poco se puede hacer sobre la leche derramada, pero se pueden tomar medidas para evitar la reoccurencia.

Si se toman los pasos anteriores y las computadoras portátiles son poco más que clientes ligeros móviles, no se necesita mucho más. Oye, incluso puedes comprar portátiles baratos (o usar viejos).

Las computadoras que no están bajo el control de su empresa no deben permitirse en la red. Siempre. Es una buena idea usar algo como VMPS para colocar equipos no autorizados en una VLAN en cuarentena. Del mismo modo, los datos de la compañía no tienen negocios fuera del equipo de la compañía.

El cifrado del disco duro es bastante fácil en estos días, así que cifre todo lo que salga de las instalaciones. He visto un manejo excepcionalmente descuidado de computadoras portátiles que sería un desastre sin cifrado de disco completo. El rendimiento no es tan malo, y el beneficio lo supera con creces. Si necesita un rendimiento increíble, VPN / RAS en el hardware apropiado.

Para ir en otra dirección de algunas de las otras respuestas aquí:

Si bien proteger y proteger los datos es importante, la probabilidad de que la persona que robó la computadora portátil:

1. Sabía lo que estaban robando
2. Sabía dónde buscar los datos y el código fuente
3. Sabía qué hacer con los datos y el código fuente

Es bastante improbable. El escenario más probable es que la persona que robó la computadora portátil es un viejo ladrón habitual y no un espía corporativo empeñado en robar el código de fuente de su empresa para construir un producto de la competencia y llevarlo al mercado antes de que su empresa, expulse a su empresa de negocios.

Dicho esto, probablemente le correspondería a su empresa poner en práctica algunas políticas y mecanismos para evitar esto en el futuro, pero no permitiría que este incidente lo mantenga despierto por la noche. Ha perdido los datos en la computadora portátil, pero presumiblemente fue solo una copia y el desarrollo continuará sin interrupción.

Las computadoras portátiles de propiedad corporativa deben usar discos cifrados, etc., por supuesto, pero usted pregunta sobre las computadoras personales.

No veo esto como un problema técnico, sino más bien de comportamiento. Desde el punto de vista de la tecnología, es muy poco lo que puede hacer para que sea imposible que alguien se lleve el código a casa y lo piratee, incluso si puede evitar que comprueben toda la fuente de un proyecto de manera formal, todavía pueden tomar fragmentos a casa si están decididos a hacerlo y si un "fragmento" de código de 10 líneas (o cualquier dato) resulta ser el bit que contiene su salsa secreta / información valiosa y confidencial del cliente / ubicación del santo grial, entonces usted ' todavía puede estar tan deshuesado al perder esas 10 líneas como lo estaría al perder 10 páginas.

Entonces, ¿qué quiere hacer el negocio? Es perfectamente posible decir que las personas no deben trabajar en los negocios de la empresa desde computadoras que no sean de la compañía y convertirlo en un delito de despido de "mala conducta grave" para las personas que infringen esa regla. ¿Es esa una respuesta apropiada para alguien que es víctima de un robo? ¿Iría contra la corriente de su cultura corporativa? ¿Le gusta a la compañía cuando las personas trabajan desde casa en su propio tiempo y, por lo tanto, está preparada para equilibrar el riesgo de pérdida de propiedad con las ganancias percibidas en productividad? ¿El código que se perdió se utiliza para controlar armas nucleares o bóvedas bancarias o equipos que salvan vidas en hospitales y, como tal, una violación de seguridad no se puede evitar bajo ninguna circunstancia? ¿Tiene una obligación legal o reglamentaria con respecto a la seguridad del código "en riesgo"

Esas son algunas de las preguntas que creo que debe considerar, pero nadie aquí realmente puede responderlas por usted.

¿Qué hace su empresa con respecto a los datos de la empresa sobre hardware que no es de su propiedad?

Sin duda, solo debe tener los datos de la compañía almacenados en los dispositivos de la compañía en ningún otro lugar a menos que haya sido cifrado por su Departamento de TI

¿Es WDE una solución sensata? ¿Produce muchos gastos generales en lecturas / escrituras?

Cualquier software de cifrado de disco tendrá algunos gastos generales, pero vale la pena y todas las computadoras portátiles y unidades USB externas deben estar cifradas.

Además de cambiar las contraseñas de las cosas que se almacenaron / accedieron desde allí, ¿hay algo más que pueda sugerir?

También puede obtener un software de borrado remoto como lo haría en un entorno BES para moras.

En una situación donde hay un código fuente involucrado, y especialmente donde la máquina utilizada no puede ser controlada por el departamento de TI de la compañía, solo permitiría que la persona se desarrolle en una sesión remota alojada en una máquina en las instalaciones de la compañía, a través de un VPN

¿Qué hay del software de limpieza remota? Por supuesto, esto solo funcionaría si el ladrón es lo suficientemente tonto como para encender la computadora en Internet. Pero hay toneladas de historias de personas que incluso encontraron sus computadoras portátiles robadas de esta manera, por lo que podría tener suerte.

La limpieza programada también podría ser una opción, si no ha ingresado su contraseña en X horas, todo se elimina y debe volver a pagar. No había oído hablar de esto antes, tal vez porque en realidad es bastante estúpido, ya que requiere más trabajo del usuario que el cifrado. Quizás sería bueno en combinación con el cifrado para aquellos preocupados por el rendimiento. Por supuesto, aquí también tiene el problema de encendido, pero aquí no se requiere Internet.

Pensé que su mayor problema es que esto parece implicar que la computadora portátil tenía acceso a la red de la compañía. Supongo que ahora ha evitado que esta computadora portátil ingrese VPN a la red de la oficina.

Permitir que las computadoras que no son de la empresa entren en la red de la oficina es una muy mala idea. Si no es una computadora portátil de la compañía, ¿cómo puede aplicar un antivirus adecuado en ella? Permitirlo en la red significa que no tiene control sobre los programas que se ejecutan en él, por ejemplo, Wirehark mirando paquetes de red, etc.

Algunas de las otras respuestas sugieren que el desarrollo fuera de horario debe realizarse dentro de una sesión de RDP y similares. En realidad, esto significa que solo pueden trabajar donde tienen una conexión a Internet, no siempre es posible en un tren, etc., pero también requiere que la computadora portátil tenga acceso al servidor para la sesión RDP. Debe considerar cómo protege el acceso RDP contra alguien que tiene acceso a una computadora portátil robada (y probablemente algunas de las contraseñas almacenadas en la computadora portátil)

Finalmente, el resultado más probable es que la computadora portátil se vende a alguien que no tiene interés en el contenido y solo la usará para correo electrónico y web. Sin embargo ... eso es un riesgo bastante grande para una empresa.

Un bloqueo de computadora portátil habría evitado el problema en este caso. (Todavía no he oído hablar de un bloqueo de escritorio, pero, una vez más, todavía no he oído hablar de un ladrón robando un escritorio).

De la misma manera que no dejas tus joyas tiradas cuando sales de tu casa, no debes dejar tu computadora portátil sin seguridad.