Você terá que avaliar isso por si mesmo, mas, em geral, respondo Sim a essa pergunta. O nível de medidas de segurança que você implementa é, em grande parte, quanto ao risco que você está disposto a assumir. Você tem o risco financeiro de perder ativos, como você mencionou, e também o risco de perder dados. Se você não está disposto a aceitar esse risco, então sim, eles devem ser trancados.
Em relação aos seus pontos específicos:
- "nenhum dado do cliente armazenado localmente" - Você tem controle ABSOLUTE disso e pode garantir isso 100%?
- "Os dados do cliente são ocasionalmente copiados para laptops para uso no campo" - parece que isso contradiz o primeiro ponto
- "a franquia está próxima do custo de um laptop" - e quanto ao custo de muitos laptops? Quanto seus prêmios sobem toda vez que você tem um incidente e quanto você vai economizar com o tempo, bloqueando-os?
- A violação de privacidade é quase sempre mais cara do que o custo de um ativo físico. Sua reputação está além do ouro.
- "A sala do servidor é considerada suficientemente segura" - e quanto ao roubo dentro da empresa? Uma alta porcentagem de comportamento malicioso vem de dentro.
- "Criptografia total de disco" - como você tem dados de clientes em dispositivos móveis, isso deve ser obrigatório e nem mesmo no campo da consideração