Frage Was machst du mit Personal und persönlichen Laptops?


Heute hat einer unserer Entwickler seinen Laptop aus seinem Haus gestohlen. Anscheinend hatte er eine vollständige Überprüfung des Quellcodes des Unternehmens sowie eine vollständige Kopie der SQL-Datenbank.

Dies ist einer der Hauptgründe, warum ich persönlich dagegen bin, Unternehmen die Arbeit an persönlichen Laptops zu erlauben.
Selbst wenn es sich um einen unternehmenseigenen Laptop gehandelt hätte, hätten wir immer noch das gleiche Problem, obwohl wir in einer etwas stärkeren Position wären, um die Verschlüsselung (WDE) auf der gesamten Festplatte durchzusetzen.

Fragen sind diese:

  1. Was macht Ihr Unternehmen mit Unternehmensdaten auf nicht unternehmenseigener Hardware?
  2. Ist WDE eine sinnvolle Lösung? Führt es bei Lese- / Schreibvorgängen zu einem hohen Aufwand?
  3. Anders als das Ändern von Kennwörtern für Dinge, die von dort gespeichert / aufgerufen wurden, gibt es noch etwas, was Sie vorschlagen können?

38
2017-11-25 15:16


Ursprung


Wurde es gestohlen oder wurde es "gestohlen"? Ich hatte einmal einen Fall, in dem ein Angestellt-Laptop auf mysteriöse Weise verschwand, und durch einen seltsamen Zufall wurde es das einzige Ding, das von ihrem Haus "gestohlen" wurde. Und natürlich gab es 1000 $ an anderer Hardware und Wertsachen, die unberührt blieben. Sie haben natürlich nie die Polizei gerufen, um nachzuforschen. Haben Sie die Polizei gerufen, um nachzuforschen? - bakoyaro
Ich sehe nicht, dass die Polizei den Diebstahl eines persönlichen Laptops auf Anfrage eines Unternehmensvertreters untersucht. Ja, ich weiß, Sie könnten argumentieren, dass der Quellcode Unternehmenseigentum ist, aber aufgrund der Erfahrung würde die Polizei nur zucken und nichts unternehmen. - Belmin Fernandez
@bakoyaro ja, die Polizei wurde informiert. Nur sein Geldbeutel und sein Laptop wurden gestohlen. Ein wenig merkwürdig. - Tom O'Connor
Was ich mache, ist sehr beunruhigend, da ich meinen Vorgesetzten und meine Kollegen nicht davon überzeugen kann, dass sie sich Sorgen machen sollten. - Zoredache
@ Tom - du bist jetzt besorgt? Was ist, wenn diese persönlichen Daten Ihre Bankdaten enthalten? Ja. Das erregt immer Aufmerksamkeit, oder? Tatsache ist, dass es egal ist, in welcher Branche Sie sich befinden oder in welchem ​​Land Sie tätig sind. Die Datensicherheit wird von Unternehmen nicht immer so ernst genommen, wie es sollte, und selbst wenn die Absichten gut sind, Sachen erledigt kriegen kann allzu oft in die Quere kommen Dinge richtig erledigen. Die wahre Weisheit besteht darin zu wissen, wann man diesen Unterschied aufteilen sollte und wann man seine Fersen eingraben sollte. - Rob Moir


Antworten:


  1. Das Problem ist, dass Menschen, die unbezahlte Überstunden machen, sehr billig sind, weshalb die Manager nicht bereit sind, dies zu stoppen. aber wird natürlich gerne die IT beschuldigen, wenn es ein Leck gibt ... Nur eine stark erzwungene Politik wird dies verhindern. Es liegt am Management, wo sie das Gleichgewicht finden wollen, aber es ist ein Problem für die Menschen.

  2. Ich habe WDE (Truecrypt) auf Laptops mit Workloads auf Administratorebene getestet und es ist wirklich nicht so schlecht, der E / A-Treffer ist leistungsmäßig vernachlässigbar. Ich habe mehrere Entwickler, die ~ 20GB Arbeitskopien dabei haben. Es ist keine "Lösung" an sich; (Es wird nicht verhindern, dass die Daten zum Beispiel während des Bootens von einer ungesicherten Maschine geschlürft werden), aber es schließt sicher viele Türen.

  3. Wie wäre es mit einem generellen Verbot aller extern gespeicherten Daten? gefolgt von etwas Investition in Remote-Desktop-Dienste, ein anständiges VPN und die Bandbreite, um es zu unterstützen. Auf diese Weise bleibt der gesamte Code im Büro; die Benutzer erhalten eine Sitzung mit lokalem Netzwerkzugriff auf Ressourcen; und Heimmaschinen werden einfach zu dummen Endgeräten. Es wird nicht für alle Umgebungen geeignet sein (intermittierender Zugriff oder hohe Latenz könnte in Ihrem Fall ein Deal-Breaker sein), aber es lohnt sich, darüber nachzudenken, ob Heimarbeit für das Unternehmen wichtig ist.


30
2017-11-25 15:45



+1 auf dem 3. Vorschlag. Mache das sinnvollste für mich. - Belmin Fernandez
# 3 ist die Richtung, in die wir auch gehen. Warum auf einem Laptop kompilieren, wenn Sie VPN und RDP auf einer VM ausführen können, die auf Serverhardware ausgeführt wird? Sie prüfen den Code nicht über das VPN, da alle im Office-LAN verbleiben. - August
Für Benutzer mit Ubuntu können sie die integrierte LUKS-Verschlüsselung verwenden, die Teil des Alt-Installers ist. Es funktioniert gut und ist bei der Installation trivial. - Zoredache
Option 3 (RDP / VNC) neigt dazu, meine Erfahrung zu saugen. Das Problem ist, dass jede Latenz mit den Auto-Completion-Features der meisten gängigen IDEs ernsthaft in Konflikt gerät. Wenn Ihre Benutzer nicht über eine solide Internetverbindung mit sehr geringer Latenz verfügen, werden sie mit ziemlicher Sicherheit eine Remotedesktop-Lösung hassen. - Zoredache
Hat jemand, der # 3 befürwortet, es tatsächlich versucht? Ich habe wahrscheinlich Hunderte oder Tausende von Stunden damit verbracht, und ich hasse es. Sogar über ein LAN macht es keinen Spaß, und über ein VPN erinnert es mich daran, wann ich mich einwählte. - Gabe


Unser Unternehmen benötigt für alle unternehmenseigenen Laptops eine Verschlüsselung mit ganzen Festplatten. Sicher, es gibt einen Overhead, aber für die meisten unserer Benutzer ist das kein Problem - sie betreiben Webbrowser und Office-Suites. Mein MacBook ist verschlüsselt, und es hat nicht wirklich genug Einfluss auf die Dinge ausgeübt, die ich bemerkt habe, selbst wenn ich VMs unter VirtualBox laufen lasse. Für jemanden, der viel Zeit damit verbringt, große Code-Bäume zu kompilieren, könnte das eher ein Problem sein.

Sie brauchen offensichtlich einen politischen Rahmen für diese Art von Dingen: Sie müssen das verlangen alles unternehmenseigene Laptops sind verschlüsselt, und Sie müssen verlangen, dass Unternehmensdaten nicht auf unternehmenseigenem Gerät gespeichert werden können. Ihre Richtlinie muss auch für technische und leitende Angestellte durchgesetzt werden, selbst wenn sie sich beschweren, sonst werden Sie das gleiche Problem erneut antreffen.


13
2017-11-25 15:25



Dies ist nur möglich, wenn die Kompilierzeiten auf einer Verschlüsselungsdiskette schnell genug sind. Programmierer werden es tun was auch immer Es braucht ein System, das schnell kompiliert. Mit oder ohne Ihre Zustimmung. - Ian Ringrose
Ja, aber wenn sie nach diesen Kompilierzeiten sind, würden sie normalerweise eine Desktop-Workstation im Büro akzeptieren, nicht portabel, aber mit einer unglaublichen rohen Leistung ^^ - Oskar Duveborn
Zu wahr. Ich würde definitiv empfehlen, einige Benchmarks zu laufen und Veröffentlichung sie an Ihre Entwickler, wenn Sie dies implementieren möchten. Wenn Sie unter realen Bedingungen einen <5% Overhead für WDE anzeigen, können Sie sie an Bord holen. Karotte: Stellen Sie den Entwicklern SSDs zur Verfügung, um den Deal zu versüßen. Halten Sie sie fest, wenn sie einen Bruch verursachen, indem Sie Ihren Mechanismus untergraben. : D - SmallClanger
Zumindest von dem, was ich gesehen habe Compilation ist in der Regel CPU gebunden mehr als I / O gebunden. Ich sage nicht, dass die Verschlüsselung keinen Unterschied macht, aber es scheint nicht, dass es einen großen Unterschied macht. Es variiert natürlich je nach Projekt. - Zoredache
True für das Kompilieren, das hauptsächlich cpu-gebunden ist, aber das Verbinden im Allgemeinen auch eine Menge Festplatten-I / O benötigt (obwohl es immer noch cpu-lastig ist). Ich kann nicht sagen, dass ich überhaupt einen Unterschied auf einem i5 Laptop mit einem G2 Intel SSD bemerkt habe und Bitlocker auf allen Volumes aktiviert habe. Es hat so gut funktioniert, dass ich jetzt komplett auf Bitlocker verkauft werde - Oskar Duveborn


Ich würde mich weniger auf die Ausrüstung selbst konzentrieren, als auf die Daten, die damit verbunden sind. Dies wird helfen, die Probleme zu vermeiden, denen Sie jetzt begegnen. Sie verfügen möglicherweise nicht über die Hebelwirkung, um Richtlinien für persönliche Geräte zu erlassen. Sie sollten jedoch die Hebelwirkung haben, um festzulegen, wie mit unternehmenseigenen Daten umgegangen wird. Als Universität haben wir solche Probleme immer wieder. Fakultät kann nicht so finanziert werden, dass ihre Abteilung in der Lage ist, einen Computer zu kaufen, oder sie könnten einen Datenverarbeitungsserver mit einem Zuschuss kaufen. Im Allgemeinen besteht die Lösung für diese Probleme darin, die Daten und nicht die Hardware zu schützen.

Hat Ihre Organisation eine Datenklassifizierungsrichtlinie? Wenn ja, was sagt es? Wie würde das Code-Repository klassifiziert? Welche Anforderungen würden an diese Kategorie gestellt? Wenn die Antwort auf diese Frage entweder "Nein" oder "Ich weiß nicht" lautet, würde ich Ihnen empfehlen, mit Ihrem Information Security Office zu sprechen, oder mit dem, der in Ihrer Organisation für die Entwicklung von Richtlinien verantwortlich ist.

Basierend auf dem, was Sie sagen, wurde veröffentlicht, wäre ich der Dateneigentümer würde ich wahrscheinlich klassifizieren es als High oder Code Red, oder was auch immer Ihre höchste Stufe ist. Normalerweise würde dies eine Verschlüsselung im Ruhezustand erfordern, während des Transports, und könnte sogar einige Einschränkungen aufzeigen, wo die Daten untergebracht werden dürfen.

Darüber hinaus möchten Sie vielleicht einige sichere Programmierpraktiken implementieren. Etwas, das einen Entwicklungszyklus kodifizieren könnte und es ausdrücklich den Entwicklern verbieten würde, mit einer Produktionsdatenbank in Kontakt zu kommen, außer in seltsamen und seltenen Fällen.


9
2017-11-25 15:47





1.) Remote arbeiten

Für Entwickler ist Remote Desktop eine sehr gute Lösung, es sei denn, 3D ist erforderlich. Die Leistung ist normalerweise gut genug.

In meinen Augen ist Remote Desktop noch sicherer als VPN, denn ein entsperrtes Notebook mit aktivem VPN erlaubt einiges mehr als eine Sicht auf einen Terminalserver.

VPN sollte nur an Personen vergeben werden, die nachweisen können, dass sie mehr benötigen.

Das Verschieben sensibler Daten aus dem Haus ist nicht möglich und sollte nach Möglichkeit verhindert werden. Die Arbeit als Entwickler ohne Internetzugang kann verboten werden, da der fehlende Zugang zu Quellcodeverwaltung, Problemverfolgung, Dokumentationssystemen und Kommunikation die Effizienz im besten Fall beeinträchtigt.

2.) Nutzung von Fremdhardware in einem Netzwerk

Ein Unternehmen sollte einen Standard haben, was von einer Hardware verlangt wird, die an das LAN angeschlossen ist:

  • Antivirus
  • Firewall
  • in der Domäne sein, inventarisiert sein
  • wenn mobil, verschlüsselt sein
  • Benutzer haben keinen lokalen Administrator (schwierig, wenn Entwickler, aber machbar)
  • usw.

Ausländische Hardware sollte entweder diesen Richtlinien folgen oder nicht im Netz sein. Sie könnten NAC einrichten, um das zu kontrollieren.

3.) Es kann wenig über die verschüttete Milch getan werden, aber es können Schritte unternommen werden, um ein erneutes Auftreten zu vermeiden.

Wenn die obigen Schritte unternommen werden und Notebooks wenig mehr als mobile Thin Clients sind, ist nicht viel mehr nötig. Hey, du kannst sogar billige Notebooks kaufen (oder alte benutzen).


6
2017-11-25 16:40





Computer, die nicht der Kontrolle Ihres Unternehmens unterliegen, sollten nicht im Netzwerk zugelassen sein. Je. Es empfiehlt sich, VMPS zu verwenden, um Rogue-Geräte in ein Quarantäne-VLAN zu integrieren. Ebenso haben Unternehmensdaten keine Geschäfte außerhalb der Betriebsausstattung.

Festplattenverschlüsselung ist heutzutage ziemlich einfach, also verschlüsseln Sie alles, was die Räumlichkeiten verlässt. Ich habe einige außergewöhnlich unvorsichtige Handhabung von Laptops gesehen, die ohne vollständige Festplattenverschlüsselung ein Desaster wäre. Der Leistungseinbruch ist nicht so schlimm, und der Nutzen überwiegt bei weitem. Wenn Sie hervorragende Leistung benötigen, VPN / RAS in die entsprechende Hardware.


3
2017-11-25 15:49





Um in eine andere Richtung von einigen der anderen Antworten hier zu gehen:

Während der Schutz und die Sicherung der Daten wichtig ist, ist die Wahrscheinlichkeit, dass die Person, die den Laptop gestohlen hat:

  1. Wusste, was sie gestohlen haben
  2. Ich wusste, wo ich nach den Daten und dem Quellcode suchen sollte
  3. Wusste, was mit dem Daten- und Quellcode zu tun ist

Ist ziemlich unwahrscheinlich. Das wahrscheinlichste Szenario ist, dass die Person, die den Laptop gestohlen hat, ein gewöhnlicher Dieb ist und kein Spion, der darauf aus ist, den Quellcode Ihres Unternehmens zu stehlen, um ein Konkurrenzprodukt zu bauen und es vor Ihrem Unternehmen auf den Markt zu bringen des Geschäfts.

Davon abgesehen wäre es wahrscheinlich, dass Ihre Firma einige Richtlinien und Mechanismen einführt, um dies in Zukunft zu verhindern, aber ich würde nicht zulassen, dass dieser Vorfall Sie nachts aufhält. Sie haben die Daten auf dem Laptop verloren, aber vermutlich war es nur eine Kopie und die Entwicklung wird ohne Unterbrechung fortgesetzt.


3
2017-11-25 16:24



Es gibt keine Sorgen über Datenverlust im ganzen Sinne. Wir haben Backups und Kopien, die aus unseren Ohren kommen. Dennoch ist es ein gewisses Risiko, dass unsere Geschäftsgeheimnisse im SVN Repo sind. - Tom O'Connor


Firmeneigene Laptops sollten natürlich verschlüsselte Festplatten verwenden, aber Sie fragen nach PCs.

Ich sehe das nicht als technisches, sondern als verhaltensbedingtes Problem an. Es gibt sehr wenig, was Sie aus technologischer Sicht tun können, um es jemandem unmöglich zu machen, Code nach Hause zu nehmen und ihn zu hacken - selbst wenn Sie verhindern können, dass er alle Quellen zu einem Projekt auf einer formellen Basis ausschreibt, die er noch annehmen kann Schnipsel nach Hause, wenn sie dazu bestimmt sind und wenn ein 10-zeiliges "Schnipsel" Code (oder irgendwelche Daten) zufällig das Bit ist, das deine geheime Soße enthält / wertvolle und vertrauliche Kundeninformation / Ort des Heiligen Grals dann Sie sind immer noch potenziell genauso entbeint, wenn Sie diese 10 Zeilen verlieren, als würden Sie 10 Seiten verlieren.

Was will das Unternehmen machen? Es ist durchaus möglich zu sagen, dass die Leute absolut nicht von Firmencomputern am Firmengeschäft arbeiten und es zu einem "groben Fehlverhalten" machen müssen, wenn sie diese Regel brechen. Ist das eine angemessene Antwort auf jemanden, der Opfer eines Einbruchs ist? Würde es gegen Ihre Unternehmenskultur gehen? Gefällt es dem Unternehmen, wenn Menschen in ihrer eigenen Zeit von zu Hause aus arbeiten und ist daher bereit, das Risiko des Verlusts von Eigentum mit den wahrgenommenen Produktivitätsgewinnen in Einklang zu bringen? Wird der verloren gegangene Code zur Kontrolle von Atomwaffen oder Banktresoren oder lebensrettenden Geräten in Krankenhäusern verwendet und kann daher unter keinen Umständen ein Sicherheitsverstoß befürwortet werden? Haben Sie aufgrund dieses Verlustes eine gesetzliche oder behördliche Verpflichtung in Bezug auf die Sicherheit des "gefährdeten" Codes?

Das sind einige der Fragen, über die du nachdenken solltest, aber niemand kann sie dir beantworten.


3
2017-11-25 16:42





Was macht Ihr Unternehmen mit Unternehmensdaten auf nicht unternehmenseigener Hardware?

Sicher sollten Sie Unternehmensdaten nur dort auf Ihrem Gerät speichern, wo sie nicht verschlüsselt wurden, es sei denn, sie wurden von Ihrer IT-Abteilung verschlüsselt

Ist WDE eine sinnvolle Lösung? Führt es bei Lese- / Schreibvorgängen zu einem hohen Aufwand?

Jede Disk-Verschlüsselungssoftware wird einen gewissen Overhead haben, aber es lohnt sich und alle Laptops und externen USB-Laufwerke sollten verschlüsselt werden.

Anders als das Ändern von Kennwörtern für Dinge, die von dort gespeichert / aufgerufen wurden, gibt es noch etwas, was Sie vorschlagen können?

Sie können auch Remote-Wipe-Software wie in einer BES-Umgebung für Brombeeren erhalten.


3
2017-11-25 15:24



Bitte benutzen Sie das Angebot > und nicht Blöcke für Zitate, siehe serverfault.com/editing-help - Jeff Atwood


In einer Situation, in der Quellcode involviert ist, und insbesondere, wenn die verwendete Maschine nicht von der IT-Abteilung des Unternehmens gesteuert werden kann, würde ich der Person nur erlauben, in einer Remote-Sitzung auf einer Maschine auf dem Firmengelände zu entwickeln VPN.


1
2017-11-25 15:51



Sind Sie bereit, eine große Bestellung zu verlieren, wenn die Software aufgrund der fehlgeschlagenen VPN-Verbindung zu spät kommt? Die meiste Zeit funktioniert VPN jedoch gut für Softwareentwickler. - Ian Ringrose
Nun, ich schätze, Sie müssen das Risiko abwägen gegen das Risiko, dass sein Laptop mit einer ausgecheckten Kopie der Quelle auf ihm läuft. Zumindest sollten sie die Quelle in einem Truecrypt-Volume haben. - Alan B


Wie wäre es mit Remote-Wisch-Software. Dies würde natürlich nur funktionieren, wenn der Dieb dumm genug ist, den Computer mit dem Internet zu versorgen. Aber es gibt Unmengen von Geschichten von Menschen, die sogar ihre gestohlenen Laptops auf diese Weise gefunden haben, so dass Sie vielleicht Glück haben könnten.

Auch das zeitweilige Löschen kann eine Option sein. Wenn Sie Ihr Passwort nicht in X Stunden eingegeben haben, wird alles gelöscht und Sie müssen erneut auschecken. Davon habe ich noch nie gehört, vielleicht weil es eigentlich ziemlich blöd ist, da es vom Benutzer mehr Arbeit erfordert als Verschlüsselung. Vielleicht wäre es gut in Kombination mit Verschlüsselung für diejenigen, die um Leistung besorgt sind. Natürlich hast du hier auch das Power-Up-Problem, aber hier ist kein Internet erforderlich.


0
2017-11-25 22:14