Что вы делаете с персоналом и персональными ноутбуками?

38

Сегодня у одного из наших разработчиков украли ноутбук у него дома. По-видимому, у него была полная svn проверка исходного кода компании, а также полная копия базы данных SQL.

Это одна из весомых причин, почему я лично не разрешаю компании работать на личных ноутбуках.
Однако, даже если бы это был ноутбук, принадлежащий компании, у нас все равно была бы та же проблема, хотя мы были бы в несколько более сильной позиции для обеспечения шифрования (WDE) на всем диске.

Вопросы такие:

  1. Что ваша компания делает с данными компании об оборудовании, не принадлежащем компании?
  2. Является ли WDE разумным решением? Это приводит к большим накладным расходам при чтении / записи?
  3. Кроме изменения паролей для вещей, которые были сохранены / доступны оттуда, есть что-нибудь еще, что вы можете предложить?
security laptop disk-encryption Том О'Коннор
источник
7
Это было украдено, или это было «украдено»? У меня был случай, когда ноутбук сотрудника загадочным образом исчез, и по странной случайности это было единственное, что было «украдено» из их дома. И, конечно же, оставались нетронутыми тысячи долларов другого оборудования и ценностей. Они, конечно, никогда не вызывали полицию для расследования. Вы вызвали полицию для расследования?
Bakoyaro
Я не вижу, чтобы полиция расследовала кражу чьего-то личного ноутбука по требованию должностного лица компании. Да, я знаю, вы могли бы утверждать, что исходный код был собственностью компании, но, основываясь на опыте, полицейские просто пожали бы плечами и ничего с этим не делали.
Бельмин Фернандес
3
@bakoyaro да, полиция была проинформирована. Только его кошелек и ноутбук были порезаны. Немного странно
Том О'Коннор
1
Что я делаю, так это волнуюсь, так как не могу убедить своего руководителя и коллег, что они должны волноваться.
Зоредаче
8
@ Том - ты сейчас волнуешься? Что, если эти личные данные включают данные вашего банковского счета? Да. Это всегда привлекает внимание, а? Дело в том, что независимо от того, в какой отрасли вы находитесь или в какой стране, бизнес не всегда относится к безопасности данных так серьезно, как следовало бы, и даже когда намерения хорошие, выполнение дела может слишком часто мешать делать вещи правильно . Настоящая мудрость заключается в том, чтобы знать, когда разделить эту разницу, а когда копать.
Роб Мойр

Ответы:

30

  1. Проблема в том, что позволить людям оплачивать сверхурочно на своем собственном наборе очень дешево, поэтому менеджеры не очень хотят это останавливать; но, конечно, будем счастливы обвинять ИТ-специалистов в случае утечки ... Только жесткая политика предотвратит это. Это зависит от руководства, где они хотят соблюсти баланс, но это очень большая проблема для людей.

  2. Я тестировал WDE (Truecrypt) на ноутбуках с рабочими нагрузками уровня администратора, и это действительно не так уж плохо, с точки зрения производительности, количество операций ввода-вывода незначительно. У меня есть несколько разработчиков, которые хранят около 20 ГБ рабочих копий. Это не «решение» само по себе; (Это не остановит, например, передачу данных с незащищенной машины во время загрузки), но, безусловно, закрывает много дверей.

  3. Как насчет общего запрета на все внешние данные; Затем следуют инвестиции в услуги удаленного рабочего стола, достойный VPN и пропускную способность для его поддержки. Таким образом, весь код остается внутри офиса; пользователи получают сеанс с доступом к ресурсам локальной сети; и домашние машины просто становятся тупыми терминалами. Это не подходит для любой среды (прерывистый доступ или высокая длительность могут быть препятствием в вашем случае), но стоит подумать, важен ли домашний труд для компании.

SmallClanger
источник
3
+1 за 3-е предложение. Получите больше смысла для меня.
Бельмин Фернандес
1
№ 3 - это направление, в котором мы идем. Зачем компилировать на ноутбуке, если вы можете использовать VPN и RDP для виртуальной машины, работающей на серверном оборудовании? Вы не проверяете и не вводите код через VPN, потому что он остается в локальной сети офиса.
Август
2
Для людей с Ubuntu они могут использовать встроенное шифрование LUKS, которое является частью alt-installer. Он отлично работает и тривиально настроить во время установки.
Зоредаче
7
Вариант 3 (RDP / VNC) имеет тенденцию отстой в моем опыте. Проблема заключается в том, что любая задержка может серьезно повлиять на функции автозаполнения большинства популярных IDE. Если у ваших пользователей нет надежного интернет-соединения с очень низкой задержкой, они почти наверняка будут ненавидеть решение для удаленного рабочего стола.
Зоредаче
7
Кто-нибудь, кто выступает за № 3, на самом деле пробовал это? Я провел, наверное, сотни или тысячи часов, работая таким образом, и я ненавижу это. Даже через локальную сеть это не весело, а через VPN это напоминает мне, когда я был на модемном соединении.
Гейб
13

Нашей компании требуется шифрование всего диска на всех принадлежащих компании ноутбуках. Конечно, есть накладные расходы, но для большинства наших пользователей это не проблема - они используют веб-браузеры и офисные пакеты. Мой MacBook зашифрован, и он не оказал такого существенного влияния, что я заметил, даже при работе виртуальных машин под VirtualBox. Для кого-то, кто проводит большую часть своего дня, составляя большие деревья кода, это может быть более серьезной проблемой.

Очевидно, вам нужна основа политики для такого рода вещей: вам нужно требовать, чтобы все ноутбуки, принадлежащие компании, были зашифрованы, и вам нужно, чтобы данные компании не могли храниться на оборудовании, не принадлежащем компании. Ваша политика должна быть обязательной для технического и исполнительного персонала, даже если они жалуются, иначе вы просто столкнетесь с той же проблемой снова.

larsks
источник
5
Это возможно только в том случае, если время компиляции достаточно быстрое на дисках с шифрованием. Программисты сделают все возможное, чтобы получить систему, которая быстро компилируется. С или без вашего согласия.
Ян Рингроз
4
Да, но если они после этих времен компиляции, они обычно принимают настольную рабочую станцию ​​в офисе, непереносимую, но с потрясающей сырой мощностью ^^
Оскар Дювеборн
3
Слишком верно. Я определенно рекомендую запустить некоторые тесты и опубликовать их вашим разработчикам, если вы планируете реализовать это. Если вы показываете <5% накладных расходов на WDE в реальных условиях, то вы можете получить их на борту. Морковь: Предложите разработчикам твердотельные накопители, чтобы подсластить сделку. Придерживайтесь: снимайте их, если они вызывают нарушение, подрывая ваш механизм. : D
SmallClanger
3
По крайней мере из того, что я видел, компиляция обычно связана с процессором больше, чем с I / O. Я не говорю, что шифрование не будет иметь значения, но не похоже, чтобы оно имело большое значение. Это, вероятно, зависит от проекта, конечно.
Зоредаче
1
Верно, поскольку компиляция в основном связана с процессором, но для компоновки обычно требуется много дискового ввода-вывода (хотя она все еще слишком загружена процессором). Я не могу сказать, что даже заметил разницу на ноутбуке i5 с твердотельным накопителем Intel G2 и включением битлокера на всех томах. Это сработало настолько хорошо, что я теперь полностью продан на битлокере To Go и на моей личной экипировке ^^
Оскар Дювеборн
9

Я бы сосредоточился не столько на самом оборудовании, сколько на данных. Это поможет избежать проблем, с которыми вы сейчас сталкиваетесь. У вас может не быть рычагов, чтобы предписывать политику в отношении принадлежащего лично оборудования. Тем не менее, вам лучше иметь рычаг, чтобы поручить, как обрабатываются данные, принадлежащие компании. Будучи университетом, у нас постоянно возникают такие проблемы. Преподаватели не могут финансироваться таким образом, чтобы их кафедра могла купить компьютер, или они могли бы купить сервер обработки данных на грант. В общем, решение этих проблем заключается в защите данных, а не оборудования.

Есть ли в вашей организации политика классификации данных? Если так, что это говорит? Как будет классифицировано хранилище кода? Какие требования будут предъявляться к этой категории? Если ответом на любой из этих вопросов является «Нет» или «Я не знаю», то я бы порекомендовал поговорить с вашим отделом информационной безопасности или с тем, кто в вашей организации отвечает за разработку политик.

Исходя из того, что вы говорите, было выпущено, будь я владельцем данных, я бы, скорее всего, классифицировал его как «Высокий» или «Красный код», или каков ваш самый высокий уровень. Как правило, для этого требуется шифрование в состоянии покоя, при передаче и даже может быть указан ряд ограничений на то, где разрешено размещать данные.

Помимо этого, вы можете посмотреть на реализацию некоторых безопасных методов программирования. Что-то, что может кодифицировать жизненный цикл разработки и однозначно запретить разработчикам вступать в контакт с производственной базой данных, за исключением странных и редких обстоятельств.

Скотт Пак
источник
6

1.) Работа удаленно

Для разработчиков удаленный рабочий стол - очень хорошее решение, если не требуется 3D. Производительность обычно достаточно хорошая.

На мой взгляд, удаленный рабочий стол даже более безопасен, чем VPN, потому что разблокированный ноутбук с активным VPN позволяет намного больше, чем просмотр терминального сервера.

VPN следует давать только людям, которые могут доказать, что им нужно больше.

Перемещение конфиденциальных данных из дома - это запрет, и его следует по возможности предотвратить. Работа в качестве разработчика без доступа к Интернету может быть запрещена, поскольку отсутствие доступа к управлению исходным кодом, отслеживанию проблем, системам документации и коммуникациям в лучшем случае снижает эффективность.

2.) Использование оборудования сторонних компаний в сети

Компания должна иметь стандарт того, что требуется от оборудования, подключенного к локальной сети:

  • антивирус
  • Межсетевой экран
  • быть в области, быть изобретенным
  • если мобильный, быть зашифрованным
  • пользователи не имеют локального администратора (сложно, если разработчик, но выполнимо)
  • и т.п.

Иностранное оборудование должно либо следовать этим рекомендациям, либо не находиться в сети. Вы можете настроить NAC для управления этим.

3.) С пролитым молоком мало что можно сделать, но можно предпринять шаги, чтобы избежать повторения.

Если вышеуказанные шаги будут предприняты, а ноутбуки - это не больше, чем мобильные тонкие клиенты, то не нужно больше. Эй, вы даже можете купить дешевые ноутбуки (или использовать старые).

Posipiet
источник
3

Компьютеры, не контролируемые вашей компанией, не должны быть разрешены в сети. Когда-либо. Хорошая идея использовать что-то вроде VMPS для помещения мошеннического оборудования в изолированную VLAN. Аналогичным образом, данные компании не имеют никакого отношения к оборудованию компании.

Шифрование жесткого диска в наши дни довольно простое, поэтому шифруйте все, что покидает помещение. Я видел исключительно небрежное обращение с ноутбуками, которое без полного шифрования диска было бы катастрофой. Хит производительности не так уж и плох, и выгода намного превышает его. Если вам нужна невероятная производительность, подключите VPN / RAS к соответствующему оборудованию.

Cakemox
источник
3

Чтобы пойти в другом направлении от некоторых других ответов здесь:

Хотя защита и защита данных важна, вероятность того, что человек украл ноутбук:

  1. Знал, что они воруют
  2. Знал, где искать данные и исходный код
  3. Знал, что делать с данными и исходным кодом

Это довольно маловероятно. Наиболее вероятный сценарий - то, что человек, который украл ноутбук, является обычным старым вором, а не корпоративным шпионом, стремящимся украсть исходный код вашей компании, чтобы создать конкурирующий продукт и вывести его на рынок раньше вашей компании, тем самым вытеснив вашу компанию. бизнеса.

При этом, вероятно, вашей компании следует внедрить некоторые политики и механизмы, чтобы предотвратить это в будущем, но я бы не позволил этому инциденту держать вас ночью. Вы потеряли данные на ноутбуке, но предположительно это была только копия, и разработка будет продолжаться без перерыва.

joeqwerty
источник
Во всем смысле не стоит беспокоиться о потере данных. У нас есть резервные копии и копии. Тем не менее, это небольшой риск, что наши бизнес-секреты находятся в репозитории SVN.
Том О'Коннор
3

Корпоративные ноутбуки должны использовать зашифрованные диски и т. Д., Конечно, но вы спрашиваете о персональных компьютерах.

Я не вижу в этом технической проблемы, а скорее поведенческой. С технологической точки зрения вы очень мало можете сделать, чтобы кто-то не смог взять код домой и взломать его - даже если вы можете помешать им проверять весь исходный код проекта на формальной основе, которую он все еще может принять. фрагменты домой, если они намерены это сделать, и если один 10-строчный «фрагмент» кода (или каких-либо данных) окажется битом, который содержит ваш секретный соус / ценную и конфиденциальную информацию о клиенте / местонахождение Святого Грааля, тогда вы ' Потерять эти 10 строк по-прежнему потенциально можно так же, как и потерять 10 страниц.

Так, что бизнес хочет сделать? Вполне можно сказать, что люди абсолютно не должны работать на бизнес компании с компьютеров, не принадлежащих компании, и считать это "грубым неправомерным" увольнением для людей, нарушающих это правило. Это правильный ответ кому-то, кто стал жертвой кражи со взломом? Будет ли это идти вразрез с вашей корпоративной культурой? Нравится ли компании, когда люди работают дома в свободное от работы время, и поэтому она готова сбалансировать риск потери имущества с предполагаемым увеличением производительности? Используется ли утерянный код для контроля над ядерным оружием, банковскими хранилищами или спасательным оборудованием в больницах, и в качестве такого нарушения безопасности не может быть допущено ни при каких обстоятельствах? Есть ли у вас юридические или нормативные обязательства в отношении безопасности кода «на риск»

Вот некоторые из вопросов, которые, я думаю, вам нужно рассмотреть, но никто здесь не может ответить на них за вас.

Роб Моир
источник
3

Что ваша компания делает с данными компании об оборудовании, не принадлежащем компании?

Конечно, вы должны хранить только данные компании на устройствах компании, где бы вы ни находились, если только они не были зашифрованы вашим ИТ-отделом

Является ли WDE разумным решением? Это приводит к большим накладным расходам при чтении / записи?

Любое программное обеспечение для шифрования диска будет иметь некоторые издержки, но оно того стоит, и все ноутбуки и внешние USB-накопители должны быть зашифрованы.

Кроме изменения паролей для вещей, которые были сохранены / доступны оттуда, есть что-нибудь еще, что вы можете предложить?

Вы также можете получить программное обеспечение для удаленной очистки, как в среде BES для ежевики.

cpgascho
источник
Пожалуйста, используйте цитаты, >а не блоки кода для цитат, см. serverfault.com/editing-help
Джефф Этвуд
1

В ситуации, когда задействован исходный код, и особенно, когда используемая машина не может контролироваться ИТ-отделом компании, я бы позволил человеку развиваться только в удаленном сеансе, размещенном на машине в офисе компании, через VPN.

Алан Б
источник
Готовы ли вы потерять крупный заказ, если программное обеспечение задерживается из-за сбоя VPN-подключения? Однако большую часть времени VPN работает хорошо для разработчиков программного обеспечения.
Ян Рингроз
Ну, я полагаю, вы должны взвесить этот риск и риск того, что его ноутбук будет ходить с проверенной копией источника на нем. По крайней мере, они должны иметь источник в томе Truecrypt.
Алан Б
0

Как насчет программного обеспечения для удаленной очистки? Это, конечно, сработает только в том случае, если вор достаточно глуп, чтобы включить компьютер в Интернет. Но есть множество историй о людях, которые даже нашли украденные ноутбуки таким образом, так что вам может повезти.

Временная очистка также может быть вариантом, если вы не ввели пароль в X часов, все будет удалено, и вам придется снова оформить заказ. Раньше не слышал об этом, может быть, потому что это на самом деле довольно глупо, так как требует больше работы от пользователя, чем шифрование. Может быть, будет хорошо в сочетании с шифрованием для тех, кто беспокоится о производительности. Конечно, у вас есть проблемы с питанием здесь, но здесь не требуется Интернет.

lalalamp
источник
0

Я подумала, что ваша самая большая проблема заключается в том, что это означает, что ноутбук имел доступ к сети компании. Я предполагаю, что вы теперь предотвратили вход этого ноутбука в офисную сеть.

Допуск компьютеров сторонних компаний в офисную сеть - действительно плохая идея. Если это не ноутбук компании, как вы можете установить на него адекватный антивирус. Разрешение этого в сети означает, что у вас нет контроля над программами, которые на нем работают - например, wireshark, просматривающий сетевые пакеты и т. Д ...

Некоторые другие ответы предполагают, что разработка вне часов должна быть сделана в сеансе RDP и т.п. На самом деле это означает, что они могут работать только там, где у них есть подключение к Интернету - это не всегда возможно в поезде и т. Д., Но также требуется, чтобы ноутбук имел доступ к серверу для сеанса RDP. Вам нужно подумать, как вы защищаете доступ RDP от кого-то, кто имеет доступ к украденному ноутбуку (и, возможно, к некоторым паролям, хранящимся на ноутбуке)

Наконец, наиболее вероятным результатом является то, что ноутбук продается кому-то, кто не интересуется содержимым и будет использовать его только для электронной почты и Интернета. Однако .... это довольно большой риск для компании.

Майкл Шоу
источник
Вам не нужен доступ к сети компании, чтобы получить наш исходный код, все, что вам нужно, это пароль SVN и наш URL-адрес сервера svn repo.
Том О'Коннор
Вы предполагаете, что у нас есть VPN. Ницца. Я хотел бы, чтобы мы сделали.
Том О'Коннор
1
и вы беспокоитесь о том, что можете потерять ноутбук с исходным кодом, когда у вас есть исходный код, опубликованный в Интернете.
Майкл Шоу
-3

Блокировка ноутбука предотвратила бы проблему в этом случае. (Я до сих пор не слышал о блокировке рабочего стола, но опять же, мне еще предстоит услышать о краже со стороны грабителя).

Точно так же, как вы не оставляете свои украшения, когда выходите из дома, вы не должны оставлять свой ноутбук без присмотра.

MCS
источник
1
Я слышал, как грабители воруют настольные компьютеры все время. На $ job-1 у кого-то прозвали старый Mac G4. Эти вещи весят тонну.
Том О'Коннор
Я бы нахмурился, если бы моя компания диктовала мне, чтобы я держал свой личный ноутбук на привязи в моем собственном доме. Более надежные замки могли полностью предотвратить кражу со взломом и т. Д. И т. Д. Настольные компьютеры действительно украдены, а замки существуют и используются во многих компаниях. В общем, не полезный ответ.
Мартейн Химельс
Замки в стиле «Кенсингтон» обычно достаточно, чтобы остановить случайного вора. Приличный набор болторезов очень быстро пройдет через него. Обычно я видел, как они работали в офисах, просто чтобы помешать уборщикам украсть ноутбуки.
Ричард Эверетт