Personel ve kişisel dizüstü bilgisayarlar hakkında ne yapıyorsunuz?

Bugün, geliştiricilerimizden biri dizüstü bilgisayarını evinden çaldırdı. Görünüşe göre, şirketin kaynak kodunun tam svn ödemesinin yanı sıra, SQL veritabanının tam bir kopyası vardı.

Bu, kişisel olarak şirketin kişisel dizüstü bilgisayarlarda çalışmasına izin vermeme karşı büyük bir neden.
Ancak, bu bir dizüstü bilgisayar sahibi bir şirket olsaydı bile, hala aynı sorunu yaşardık, ancak tüm diskte şifrelemeyi (WDE) uygulamak için biraz daha güçlü bir konumda olsak da.

Sorular bunlar:

1. Şirketiniz, şirket dışı donanım hakkındaki şirket verileri hakkında ne yapıyor?
2. WDE mantıklı bir çözüm mü? Okuma / yazma üzerine çok fazla yük üretiyor mu?
3. Oradan depolanan / erişilen nesnelerin şifrelerini değiştirmek dışında, önerebileceğin başka bir şey var mı?

1. Sorun, insanların kendi setlerinde ücretsiz fazla mesai yapmalarına izin vermenin çok ucuz olmasıdır, bu nedenle yöneticiler bunu durdurmak için istekli değildir; ama elbette, bir sızıntı olduğunda BT'yi suçlamaktan mutluluk duyacağız ... Sadece kuvvetle uygulanan bir politika bunu önleyecektir. Dengeyi vurmak istedikleri yönetim altında, ama bu bir insan sorunu.

2. Yönetici düzeyinde iş yükü olan dizüstü bilgisayarlarda WDE'yi (Truecrypt) test ettim ve performans açısından bu kadar kötü değil, G / Ç isabetinin ihmal edilebilir olması. Ben de üzerinde ~ 20GB çalışan kopyaları tutan birkaç geliştirici var. Bu başlı başına bir 'çözüm' değil; (Örneğin, önyüklenirken verilerin güvenli olmayan bir makineden atılmasını durdurmaz), ancak kesinlikle çok fazla kapıyı kapatır.

3. Dışarıdan tutulan tüm verilerdeki battaniye yasağı nasıl olur; ardından uzak masaüstü servislerine yapılan bir yatırım, iyi bir VPN ve bunu destekleyen bant genişliği. Bu şekilde tüm kodlar ofis içinde kalır; kullanıcılar kaynaklara yerel ağ erişimi olan bir oturum alır; ve ev makineleri sadece aptal terminal haline geldi. Tüm ortamlara uymuyor (aralıklı erişim veya yüksek izin durumu sizin için bir sorun yaratabilir) ancak evde çalışmanın şirket için önemli olup olmadığını düşünmeye değer.

Şirketimizin sahip olduğu tüm dizüstü bilgisayarlarda tam disk şifrelemesi gerekir. Elbette, bir ek yükü var, ancak kullanıcılarımızın çoğu için bu bir sorun değil - web tarayıcıları ve ofis takımları kullanıyorlar. MacBook'um şifreli ve VirtualBox altında VM'leri çalıştırırken bile fark ettiğim şeyleri gerçekten etkilemedi. Günlerinin çoğunu büyük kod ağaçlarını derlemekle geçiren biri için daha fazla sorun olabilir.

Açıkçası bu tür bir şey için bir politika çerçevesine ihtiyacınız var: şirkete ait tüm dizüstü bilgisayarların şifrelenmesini ve şirket verilerinin şirkete ait olmayan ekipmanlarda depolanmamasını istemeniz gerekiyor. Politikanız, teknik ve yönetici personel için de, şikâyet etse bile, zorunlu olarak uygulanmalıdır, aksi takdirde yine aynı soruna başlayabilirsiniz.

Ekipmanın kendisine daha az, ilgili verilere daha çok odaklanacağım. Bu, şimdi karşılaştığınız sorunların önlenmesine yardımcı olacaktır. Şahsen sahip olunan teçhizata ilişkin politikayı uygulamak için kaldıraç oranına sahip olamazsınız. Ancak, şirketin sahip olduğu verilerin nasıl işlendiğini belirlemek için kaldıraç oranına sahip olmanız daha iyi oldu. Bir üniversite olmak, her zaman bunun gibi sorunlar var. Fakülte, bölümlerinin bilgisayar alabileceği şekilde finanse edilemez veya hibeden veri işleme sunucusu alabilirler. Genel olarak, bu sorunların çözümü donanımı değil verileri korumaktır.

Kuruluşunuzun Veri Sınıflandırma politikası var mı? Eğer öyleyse, ne diyor? Kod deposu nasıl sınıflandırılır? Bu kategoride hangi gereksinimler yer alır? Bunlardan herhangi birinin cevabı "Hayır" veya "Bilmiyorum" ise, Bilgi Güvenliği ofisinizle konuşmanızı veya kuruluşunuzdaki kişilerin politika geliştirmekten sorumlu olduğunu öneriyorum.

Söylediklerinize bağlı olarak, veri sahibiydim, muhtemelen Yüksek veya Kırmızı Kod olarak sınıflandırırdım ya da en yüksek seviyeniz ne olursa olsun. Tipik olarak, bu, istirahat halindeyken, transit olarak şifrelemeyi gerektirebilir ve hatta verilerin yerleştirilmesine izin verilen yerle ilgili bazı kısıtlamaları listeleyebilir.

Bunun ötesinde, bazı güvenli programlama uygulamalarını uygulamaya bakıyor olabilirsiniz. Bir gelişim yaşam döngüsünü düzenleyebilecek ve geliştiricilerin tuhaf ve nadir durumlar dışında bir üretim veritabanına temas etmelerine açıkça izin vermeyecek bir şey.

1.) Uzaktan çalışmak

Geliştiriciler için, 3D gerektirmediği sürece uzak masaüstü çok iyi bir çözümdür. Performans genellikle yeterince iyidir.

Benim gözümde, uzak masaüstü VPN'den bile daha güvenli, çünkü VPN etkin olan kilidi açılmış bir dizüstü bilgisayar, terminal sunucusuna bakıştan biraz daha fazlasını sağlıyor.

VPN yalnızca daha fazla ihtiyaç duyduklarını ispatlayabilecek kişilere verilmelidir.

Hassas verilerin evden taşınması sorunsuzdur ve mümkünse önlenmesi gerekir. İnternet erişimi olmayan bir geliştirici olarak çalışmak yasaktır, çünkü kaynak kontrolüne erişim, sorun izleme, dokümantasyon sistemleri ve iletişimlere erişim eksikliği verimliliği en iyi şekilde sağlar.

2.) Ağda şirket dışı donanım kullanımı

Bir şirket, LAN'a bağlı donanım için neyin gerekli olduğuna dair bir standarda sahip olmalıdır:

• antivirüs
• Firewall
• etki alanında olmak, envantere geçmek
• mobilse şifrelenmiş olmak
• kullanıcıların yerel yöneticileri yok (geliştiriciyse zor, ancak uygulanabilir)
• vb.

Yabancı donanım bu yönergeleri izlemeli veya ağda olmamalıdır. Bunu kontrol etmek için NAC'yi ayarlayabilirsiniz.

3.) Dökülen süt ile ilgili çok az şey yapılabilir, ancak tekrar oluşmaması için adımlar atılabilir.

Yukarıdaki adımlar atılıyorsa ve notebooklar mobil ince istemcilerden biraz daha fazla ise, pek bir şey gerekli değildir. Hey, hatta ucuz notebooklar satın alabilir (veya eskilerini kullanabilirsiniz).

Şirketinizin kontrolünde olmayan bilgisayarlara ağda izin verilmemelidir. Hiç. Sahte ekipmanı karantinaya alınmış bir VLAN'a koymak için VMPS gibi bir şey kullanmak iyi bir fikirdir. Aynı şekilde, şirket verilerinin şirket ekipmanı dışında bir işi yoktur.

Sabit disk şifrelemesi bugünlerde oldukça kolaydır, bu nedenle binadan çıkan her şeyi şifreleyin. Tam disk şifreleme olmadan bir felaket olacak dizüstü bilgisayarlar bazı son derece dikkatsiz kullanımı gördüm. Performans vuruşu o kadar da kötü değil ve fayda çok ağır basıyor. Lehimleme performansına ihtiyacınız varsa, VPN / RAS'ı uygun donanıma ekleyin.

Buradaki diğer cevapların bazılarından başka yöne gitmek için:

Verilerin korunması ve güvence altına alınması önemlidir, dizüstü bilgisayarı çalan kişinin olasılığı:

1. Ne çaldıklarını biliyordum
2. Veri ve kaynak kodunu nerede arayacağınızı biliyordum
3. Veri ve kaynak koduyla ne yapılacağını biliyordu

Oldukça muhtemel değil. En muhtemel senaryo, dizüstü bilgisayarı çalan kişinin, rakip bir ürün oluşturmak ve şirketinizden önce piyasaya sürmek için şirketinizin arama kodunu çalmak için eğilmiş bir şirket casusu değil, normal bir eski hırsız olmasıdır. İş

Olduğu söyleniyor, gelecekte bunu önlemek için bazı politikalar ve mechansımlar uygulamaya koymak muhtemelen sizin şirketiniz olacaktı, ancak bu olayın sizi gece uyutmasına izin vermem. Dizüstü bilgisayardaki verileri kaybettiniz, ancak büyük olasılıkla bu yalnızca bir kopya oldu ve geliştirme kesintisiz devam edecek.

Kurumun sahip olduğu dizüstü bilgisayarlar, tabii ki şifreli diskler kullanıyor olmalı, fakat kişisel bilgisayarlar hakkında sorular sormalısınız.

Bunu teknik bir problem olarak görmüyorum, davranışsal bir problem olarak görüyorum. Birisinin eve kod almasını ve hacklemesini imkansız kılmak için bir teknoloji bakış açısıyla yapabileceğiniz çok az şey var - bir kaynağı tüm projelere resmi bir şekilde kontrol etmelerini engelleyebilseniz bile eğer yapmaları kararlaştırılmışsa ve kodun (veya herhangi bir verinin) 10 satırlık bir "snippet'i", gizli sosu / değerli kâsenin gizli bilgisini / yerini ya da kutsal kâsenin yerini içeren bit olur hala 10 sayfa kaybedeceğiniz gibi bu 10 çizgiyi kaybedeceğiniz kadar kemikli olabilirsiniz.

Peki iş ne yapmak istiyor? İnsanların kesinlikle şirket işleri için şirket dışı bilgisayarlardan çalışmaması ve bu kuralı ihlal eden insanlar için "büyük bir suiistimal" işten çıkarma suçu haline getirmemesi gerektiğini mükemmel bir şekilde söylemek mümkün. Bu bir hırsızlığın kurbanı olan birine uygun bir cevap mı? Kurum kültürünüzün tahıllarına aykırı mıdır? Şirket, insanlar kendi zamanlarında evden çalıştıklarında ve dolayısıyla mülk kaybı riskini verimlilikte algılanan kazanımlarla dengelemeye hazır olduklarından hoşlanıyor mu? Kaybedilen kod, hastanelerde nükleer silahları, banka kasalarını veya can kurtarma araçlarını kontrol etmek için kullanılıyor mu ve bu nedenle güvenlik ihlali hiçbir koşulda telafi edilemiyor mu? "Riskli" kodunun güvenliği ile ilgili yasal veya düzenleyici bir yükümlülüğünüz var mı?

Bunlar, göz önünde bulundurmanız gerektiğini düşündüğüm bazı sorular, ancak buradaki hiç kimse aslında sizin için cevaplayamıyor.

Şirketiniz, şirket dışı donanım hakkındaki şirket verileri hakkında ne yapıyor?

Elbette, BT departmanınız tarafından şifrelenmediği sürece, yalnızca şirket cihazlarında depolanan şirket verilerinin saklanması gerekir.

WDE mantıklı bir çözüm mü? Okuma / yazma üzerine çok fazla yük üretiyor mu?

Herhangi bir disk şifreleme yazılımı bir miktar ek yüke sahip olacaktır, ancak buna değer ve tüm dizüstü bilgisayarlar ve harici USB sürücüler şifrelenmelidir.

Oradan depolanan / erişilen nesnelerin şifrelerini değiştirmek dışında, önerebileceğin başka bir şey var mı?

Böğürtlen için BES ortamında olduğu gibi uzaktan silme yazılımı da alabilirsiniz.

Kaynak kodun dahil olduğu bir durumda ve özellikle kullanılan makinenin şirketin BT departmanı tarafından kontrol edilemediği bir durumda, bir kişinin yalnızca şirket tesisindeki bir makinede barındırılan uzaktaki bir oturumda gelişmesine izin verirdim. VPN.

Uzaktan silme yazılımı hakkında. Bu, elbette, yalnızca hırsız bilgisayarı internete açmaya yetecek kadar aptalsa işe yarar. Ancak çalınan dizüstü bilgisayarlarını bu şekilde bulan birçok insan hikayesi vardır, bu yüzden şanslı olabilirsiniz.

Zamanında silme de bir seçenek olabilir, eğer X saat içinde şifrenizi girmediyseniz her şey silinir ve tekrar ödeme yapmanız gerekir. Bunu daha önce duymamıştım, belki de kullanıcı şifrelemeden daha fazla çalışmayı gerektirdiğinden aptalca bir durumdu. Belki performans konusunda endişeli olanlar için şifreleme ile birlikte iyi olurdu. Elbette burada güçlendirme sorunu da var ama burada internet gerekmez.

Bu konudaki düşüncem, en büyük sorunun, bunun, dizüstü bilgisayarın şirket ağına erişimi olduğu anlamına geldiği. Şimdi bu dizüstü bilgisayarın VPN'i ofis ağına sokmasını engellediğinizi farz ediyorum.

Şirket dışı bilgisayarların ofis ağına izin verilmesi gerçekten kötü bir fikirdir. Şirket dizüstü bilgisayarı değilse, nasıl yeterli anti-virüs bulaştırırsınız? Ağa izin vermek, üzerinde çalışan programlar üzerinde hiçbir kontrolünüz olmadığı anlamına gelir - örneğin ağ paketlerine bakarak wireshark vb.

Diğer cevapların bazıları, çalışma saatleri dışında bir RDP oturumu ve benzeri bir süreç içinde yapılması gerektiğini gösteriyor. Aslında bu, sadece internet bağlantısı olan yerlerde çalışabilecekleri anlamına gelir - trende her zaman mümkün değildir .. ama aynı zamanda dizüstü bilgisayarın RDP oturumu için sunucuya erişimini gerektirir. RDP erişimini, çalınan bir dizüstü bilgisayara erişimi olan birine (ve muhtemelen dizüstü bilgisayarda depolanan şifrelerden bazılarına karşı) nasıl güvence altına aldığınızı düşünmeye çalıştınız.

Son olarak, en olası sonuç, dizüstü bilgisayarın içerikle ilgilenmeyen birine satılması ve yalnızca e-posta ve web için kullanmasıdır. Ancak .... bu bir şirketin alması için oldukça büyük bir risk.

Bir dizüstü bilgisayar kilidi bu durumda sorunu önlerdi. (Bir masaüstü kilidini henüz duymamıştım, ancak daha sonra yine bir masaüstü hırsızlığı da duydum.)

Evinizi terk ederken mücevherlerinizi etrafta yatmayacağınız gibi, dizüstü bilgisayarınızı da güvende bırakmamalısınız.