O que você faz com laptops pessoais e pessoais?

1. O problema é que permitir que as pessoas façam horas extras não remuneradas em seu próprio kit é muito barato, então os gerentes não estão dispostos a pará-lo; mas, claro, ficar feliz em culpá-lo quando há um vazamento ... Apenas uma política strongmente aplicada vai impedir isso. É para a gerência que eles querem encontrar o equilíbrio, mas é um problema muito grande para as pessoas.

2. Testei o WDE (Truecrypt) em laptops com cargas de trabalho no nível de administração e não é tão ruim assim, em termos de desempenho, o impacto de E / S é insignificante. Eu tenho vários desenvolvedores mantendo ~ 20GB trabalhando cópias também. Não é uma 'solução' em si; (Isso não impedirá que os dados sejam retirados de uma máquina desprotegida enquanto são inicializados, por exemplo), mas certamente fecha muitas portas.

3. Que tal a proibição geral de todos os dados mantidos externamente; seguido por algum investimento em serviços de desktop remotos, uma VPN decente e a largura de banda para suportá-lo. Dessa forma, todo o código fica dentro do escritório; os usuários obtêm uma sessão com acesso de rede local aos recursos; e as máquinas domésticas acabam se tornando terminais burros. Ele não se adequará a todos os ambientes (acesso intermitente ou alta letalidade podem ser um fator decisivo no seu caso), mas vale a pena considerar se o trabalho em casa é importante para a empresa.

Nossa empresa exige criptografia de todo o disco em todos os laptops da empresa. Claro, há uma sobrecarga, mas para a maioria dos nossos usuários isso não é um problema - eles estão executando navegadores da web e suítes de escritório. Meu MacBook é criptografado e não afetou muito as coisas que notei, mesmo quando estou executando VMs no VirtualBox. Para alguém que passa grande parte do dia compilando grandes árvores de código, pode ser mais um problema.

Você obviamente precisa de uma estrutura de políticas para esse tipo de coisa: é necessário exigir que os todos laptops de propriedade da empresa sejam criptografados, e é necessário exigir que os dados da empresa não sejam armazenados em laptops não pertencentes à empresa. equipamento. Sua política também precisa ser aplicada para a equipe técnica e executiva, mesmo que ela reclame, caso contrário, você só encontrará o mesmo problema novamente.

Eu me concentro menos no equipamento em si e mais nos dados envolvidos. Isso ajudará a evitar os problemas que você está enfrentando agora. Você pode não ter a vantagem para exigir políticas sobre equipamentos de propriedade pessoal. No entanto, é melhor você ter a vantagem de determinar como os dados pertencentes à empresa são gerenciados. Sendo uma universidade, temos problemas como este surgindo o tempo todo. O corpo docente não pode ser financiado de tal forma que seu departamento seja capaz de comprar um computador, ou pode comprar um servidor de processamento de dados em uma concessão. Em geral, a solução para esses problemas é proteger os dados, e não o hardware.

Sua organização tem uma política de classificação de dados? se sim, o que isso diz? Como o repositório de código seria classificado? Quais requisitos seriam colocados nessa categoria? Se a resposta a qualquer uma dessas perguntas for "Não" ou "Não sei", recomendamos que você converse com seu escritório de Segurança da Informação ou com quem na sua organização seja responsável pelo desenvolvimento de políticas.

Com base no que você disse que foi lançado, se eu fosse o proprietário dos dados, provavelmente eu o classificaria como Alto ou Vermelho Código ou qualquer que seja seu nível mais alto. Normalmente, isso exigiria criptografia em repouso, em trânsito, e pode até listar algumas restrições sobre onde os dados podem ser armazenados.

Além disso, você pode estar procurando implementar algumas práticas de programação seguras. Algo que possa codificar um ciclo de vida de desenvolvimento e impedir expressamente que os desenvolvedores entrem em contato com um banco de dados de produção, exceto em circunstâncias estranhas e raras.

1.) Trabalhando remotamente

Para os desenvolvedores, a área de trabalho remota é uma solução muito boa, a menos que seja necessário o 3D. O desempenho geralmente é bom o suficiente.

A meu ver, a área de trabalho remota é ainda mais segura que a VPN, porque um notebook desbloqueado com VPN ativa permite um pouco mais do que a visão de um servidor de terminal.

A VPN só deve ser dada a pessoas que possam provar que precisam de mais.

Mover os dados confidenciais para fora da casa é proibido e deve ser evitado, se possível. Trabalhar como desenvolvedor sem acesso à Internet pode ser proibido porque a falta de acesso ao controle de origem, rastreamento de problemas, sistemas de documentação e comunicações tornam a eficiência duvidosa na melhor das hipóteses.

2.) Uso de hardware não pertencente à empresa em uma rede

Uma empresa deve ter um padrão do que é necessário do hardware conectado à LAN:

• Antivírus
• Firewall
• estar no domínio, seja inventarizado
• se for móvel, seja criptografado
• os usuários não têm administrador local (difícil se desenvolvedor, mas factível)
• etc.

O hardware estrangeiro deve seguir estas diretrizes ou não estar na rede. Você poderia configurar o NAC para controlar isso.

3.) Pouco pode ser feito sobre o leite derramado, mas podem ser tomadas medidas para evitar a recorrência.

Se as etapas acima forem seguidas e os blocos de anotações forem pouco mais que thin clients móveis, não é necessário muito mais. Ei, você pode até comprar cadernos baratos (ou usar os antigos).

Computadores que não estão sob o controle da sua empresa não devem ser permitidos na rede. Sempre. É uma boa ideia usar algo como o VMPS para colocar equipamentos desonestos em uma VLAN em quarentena. Da mesma forma, os dados da empresa não têm negócios fora do equipamento da empresa.

A criptografia de disco rígido é bem fácil atualmente, então criptografe tudo o que sai das instalações. Eu vi um manuseio excepcionalmente descuidado de laptops que seria um desastre sem criptografia completa de disco. O impacto no desempenho não é tão ruim, e o benefício supera isso. Se você precisa de um desempenho incrível, VPN / RAS no hardware apropriado.

Para ir em outra direção de algumas das outras respostas aqui:

Embora proteger e proteger os dados seja importante, a probabilidade de a pessoa que roubou o laptop:

1. Sabia o que eles estavam roubando
2. Sabia onde procurar os dados e o código-fonte
3. Sabia o que fazer com os dados e o código-fonte

É bem improvável. O cenário mais provável é que a pessoa que roubou o laptop seja um ladrão antigo comum e não um espião corporativo empenhado em roubar o código de sua empresa para criar um produto concorrente e colocá-lo no mercado antes de sua empresa, expulsando sua empresa de negócios.

Assim sendo, provavelmente cabe a sua empresa implementar algumas políticas e mecanismos para evitar isso no futuro, mas eu não deixaria esse incidente mantê-lo acordado durante a noite. Você perdeu os dados no laptop, mas presumivelmente foi apenas uma cópia e o desenvolvimento continuará sem interrupção.

Laptops corporativos, devem estar usando discos criptografados, etc., é claro, mas você pergunta sobre computadores pessoais.

Eu não vejo isso como um problema técnico, mas sim comportamental. Há muito pouco que você pode fazer do ponto de vista da tecnologia para tornar impossível para alguém levar o código para casa e eliminá-lo - mesmo que você possa evitar que eles verifiquem toda a fonte em um projeto de forma formal, eles ainda podem snippets para casa se eles estão determinados a fazê-lo e se um "trecho" de código de 10 linhas (ou qualquer dado) for o bit que contém seu molho secreto / informações valiosas e confidenciais do cliente / localização do Santo Graal, então você ainda é potencialmente tão desossado, perdendo as 10 linhas como você estaria perdendo 10 páginas.

Então, o que a empresa quer fazer? É perfeitamente possível dizer que as pessoas absolutamente não devem trabalhar nos negócios da empresa a partir de computadores que não pertencem à empresa e torná-lo um delito de demissão "grosseira" para pessoas que infringirem essa regra. Essa é uma resposta apropriada para alguém que é vítima de um assalto? Isso iria contra a corrente de sua cultura corporativa? A empresa gosta quando as pessoas trabalham em casa em seu próprio tempo e, portanto, está preparada para equilibrar o risco de perda de propriedade com os ganhos percebidos em produtividade? O código que foi perdido é usado para controlar armas nucleares ou cofres de bancos ou equipamento salva-vidas em hospitais e, como tal, uma violação de segurança não pode ser considerada sob nenhuma circunstância? Você tem uma obrigação legal ou regulatória com relação à segurança do código "em risco" devido a essa perda?

Essas são algumas das perguntas que eu acho que você precisa considerar, mas ninguém aqui pode realmente respondê-las por você.

What does your company do about company data on non company owned hardware?

Com certeza, você só deve ter dados da empresa armazenados nos dispositivos da empresa, em nenhum outro lugar, a menos que eles tenham sido criptografados pelo seu departamento de TI

Is WDE a sensible solution? Does it produce a lot of overhead on reads/writes?

Qualquer software de criptografia de disco terá alguma sobrecarga, mas vale a pena e todos os laptops e unidades USB externas devem ser criptografados.

Other than changing passwords for things that were stored/accessed from there, is there anything else you can suggest?

Você também pode obter um software de limpeza remota como faria em um ambiente BES para amoras.

Em uma situação onde não há código fonte envolvida e, especialmente, onde a máquina usada não pode ser controlado pelo departamento de TI da empresa, eu apenas iria permitir que a pessoa a desenvolver em uma sessão remota hospedado em uma máquina nas instalações da empresa através de uma VPN.

Como sobre o software de limpeza remota. Isso, é claro, só funcionaria se o ladrão fosse burro o suficiente para ligar o computador à Internet. Mas há toneladas de histórias de pessoas que até encontraram seus laptops roubados dessa forma, então você pode ter sorte.

Limpeza temporizada pode ser uma opção também, se você não tiver digitado sua senha em X horas, tudo será excluído e você precisará fazer o checkout novamente. Não ouvi falar disso antes, talvez porque é realmente muito estúpido, pois requer mais trabalho do usuário que a criptografia. Talvez seja bom em combinação com criptografia para aqueles preocupados com o desempenho. É claro que você também tem o problema de power-up, mas aqui não é necessária internet.

Meu pensamento sobre isso é que seu maior problema é que isso parece implicar que o laptop tinha acesso à rede da empresa. Suponho que você tenha evitado que esse laptop fosse conectado à rede do escritório.

Permitir que computadores não pertencentes à empresa na rede do escritório seja uma péssima ideia. Se não for um laptop da empresa, como você pode aplicar um antivírus adequado? Permitir isso na rede significa que você não tem controle sobre os programas que estão sendo executados - por exemplo, wireshark olhando para pacotes de rede etc ...

Algumas das outras respostas sugerem que o desenvolvimento fora de horas deve ser feito dentro de uma sessão RDP e similares. Na verdade, isso significa que eles só podem trabalhar onde eles têm uma conexão com a Internet - nem sempre é possível em um trem, etc., mas também requer que o laptop tenha acesso ao servidor para a sessão RDP. Você precisou considerar como proteger o acesso RDP contra alguém que tenha acesso a um laptop roubado (e provavelmente algumas das senhas armazenadas no laptop)

Por fim, o resultado mais provável é que o laptop seja vendido para alguém que não tenha interesse no conteúdo e apenas o use para e-mail e web. No entanto ... isso é um grande risco para uma empresa tomar.

Um bloqueio de laptop teria evitado o problema nesse caso. (Eu ainda não ouvi falar de um bloqueio de desktop, mas, novamente, eu ainda não ouvi falar de um ladrão roubando um desktop.)

Da mesma forma que você não deixa suas jóias por aí quando sai de casa, não deve deixar seu laptop sem segurança.