Hari ini, salah satu pengembang kami membuat laptopnya dicuri dari rumahnya. Rupanya, dia telah melakukan checkout penuh dari kode sumber perusahaan, serta salinan penuh dari database SQL.
Ini adalah salah satu alasan besar mengapa saya secara pribadi menentang mengizinkan perusahaan bekerja pada laptop pribadi.
Namun, bahkan jika ini adalah laptop milik perusahaan, kami masih memiliki masalah yang sama, meskipun kami akan berada pada posisi yang sedikit lebih kuat untuk menegakkan enkripsi (WDE) pada seluruh disk.
Pertanyaannya adalah ini:
- Apa yang dilakukan perusahaan Anda tentang data perusahaan pada perangkat keras yang bukan milik perusahaan?
- Apakah WDE solusi yang masuk akal? Apakah ini menghasilkan banyak overhead saat membaca / menulis?
- Selain mengubah kata sandi untuk hal-hal yang disimpan / diakses dari sana, adakah yang bisa Anda sarankan?
security
laptop
disk-encryption
Tom O'Connor
sumber
sumber
Jawaban:
Masalahnya adalah membiarkan orang melakukan lembur tanpa dibayar dengan kit mereka sendiri sangat murah, sehingga manajer tidak mau menghentikannya; tapi tentu saja akan dengan senang hati menyalahkan IT ketika ada kebocoran ... Hanya kebijakan yang ditegakkan dengan kuat akan mencegah hal ini. Ini tergantung pada manajemen di mana mereka ingin mencapai keseimbangan, tetapi itu sangat banyak masalah orang.
Saya telah menguji WDE (Truecrypt) pada laptop dengan beban kerja level admin dan itu benar-benar tidak buruk, dari sisi kinerja, hit I / O dapat diabaikan. Saya sudah beberapa pengembang menyimpan ~ 20GB copy pekerjaan di dalamnya juga. Itu bukan 'solusi' dalam dirinya sendiri; (Ini tidak akan menghentikan data yang dikeluarkan dari mesin yang tidak aman saat sedang di-boot, misalnya), tetapi tentu saja menutup banyak pintu.
Bagaimana dengan larangan menyeluruh terhadap semua data yang dimiliki secara eksternal; diikuti oleh beberapa investasi dalam layanan desktop jarak jauh, VPN yang layak dan bandwidth untuk mendukungnya. Dengan begitu semua kode tetap berada di dalam kantor; pengguna mendapatkan sesi dengan akses jaringan lokal ke sumber daya; dan mesin rumahan menjadi terminal bisu. Ini tidak cocok untuk semua lingkungan (akses yang terputus-putus atau tingkat kelesuan yang tinggi mungkin menjadi pemecah kesepakatan dalam kasus Anda) tetapi perlu dipertimbangkan jika bekerja di rumah penting bagi perusahaan.
sumber
Perusahaan kami memerlukan enkripsi seluruh disk pada semua laptop milik perusahaan. Tentu, ada overhead, tetapi bagi sebagian besar pengguna kami ini bukan masalah - mereka menjalankan browser web dan suite kantor. MacBook saya dienkripsi, dan itu tidak benar-benar memengaruhi hal-hal yang saya perhatikan, bahkan ketika menjalankan VM di bawah VirtualBox. Untuk seseorang yang menghabiskan sebagian besar hari mereka dengan mengkompilasi pohon kode yang besar, itu mungkin lebih menjadi masalah.
Anda jelas membutuhkan kerangka kerja kebijakan untuk hal semacam ini: Anda perlu mengharuskan semua laptop milik perusahaan dienkripsi, dan Anda perlu meminta agar data perusahaan tidak dapat disimpan pada peralatan yang bukan milik perusahaan. Kebijakan Anda perlu ditegakkan untuk staf teknis dan eksekutif, bahkan jika mereka mengeluh, jika tidak, Anda hanya akan mengalami masalah yang sama lagi.
sumber
Saya akan kurang fokus pada peralatan itu sendiri, dan lebih banyak pada data yang terlibat. Ini akan membantu menghindari masalah yang Anda hadapi sekarang. Anda mungkin tidak memiliki leverage untuk mengamanatkan kebijakan peralatan yang dimiliki secara pribadi. Namun, Anda sebaiknya memiliki leverage untuk mengamanatkan bagaimana data yang dimiliki perusahaan ditangani. Menjadi universitas, kami memiliki masalah seperti ini yang muncul setiap saat. Fakultas mungkin tidak didanai sedemikian rupa sehingga departemen mereka dapat membeli komputer, atau mereka dapat membeli server pemrosesan data dengan hibah. Secara umum, solusi untuk masalah ini adalah untuk melindungi data, dan bukan perangkat keras.
Apakah organisasi Anda memiliki kebijakan Klasifikasi Data? Jika demikian, apa isinya? Bagaimana repositori kode diklasifikasikan? Persyaratan apa yang akan ditempatkan pada kategori itu? Jika jawaban untuk semua itu adalah "Tidak" atau "Saya tidak tahu", maka saya akan merekomendasikan berbicara dengan kantor Keamanan Informasi Anda, atau siapa pun di organisasi Anda yang bertanggung jawab untuk mengembangkan kebijakan.
Berdasarkan apa yang Anda katakan dirilis, apakah saya pemilik data yang kemungkinan besar akan mengklasifikasikannya sebagai Tinggi, atau Kode Merah, atau apa pun tingkat tertinggi Anda. Biasanya yang memerlukan enkripsi saat istirahat, dalam perjalanan, dan bahkan mungkin mencantumkan beberapa batasan di mana data diizinkan untuk disimpan.
Selain itu, Anda mungkin melihat penerapan beberapa praktik pemrograman yang aman. Sesuatu yang mungkin mengodifikasi siklus hidup pengembangan dan secara tegas melarang pengembang melakukan kontak dengan database produksi kecuali dalam keadaan yang aneh dan jarang terjadi.
sumber
1.) Bekerja dari jarak jauh
Untuk pengembang, desktop jauh adalah solusi yang sangat baik kecuali diperlukan 3D. Kinerja biasanya cukup baik.
Di mata saya, desktop jauh bahkan lebih aman daripada VPN, karena notebook yang tidak dikunci dengan VPN aktif memungkinkan sedikit lebih banyak daripada yang dilihat oleh server terminal.
VPN seharusnya hanya diberikan kepada orang-orang yang dapat membuktikan bahwa mereka membutuhkan lebih banyak.
Memindahkan data sensitif ke luar rumah adalah tindakan yang tidak perlu dan harus dicegah jika memungkinkan. Bekerja sebagai pengembang tanpa akses internet dapat dilarang karena kurangnya akses ke kontrol sumber, pelacakan masalah, sistem dokumentasi, dan komunikasi membuat efisiensi menjadi rapuh.
2.) Penggunaan perangkat keras non-perusahaan dalam suatu jaringan
Perusahaan harus memiliki standar apa yang diperlukan dari perangkat keras yang terpasang pada LAN:
Perangkat keras asing harus mengikuti pedoman ini atau tidak berada di internet. Anda dapat mengatur NAC untuk mengendalikannya.
3.) Sedikit yang dapat dilakukan tentang susu yang tumpah, tetapi langkah-langkah dapat diambil untuk menghindari terulangnya kembali.
Jika langkah-langkah di atas diambil, dan notebook sedikit lebih dari sekadar mobile thin client, tidak banyak lagi yang diperlukan. Hei, Anda bahkan dapat membeli notebook murah (atau menggunakan yang lama).
sumber
Komputer yang tidak berada di bawah kendali perusahaan Anda tidak boleh diizinkan di jaringan. Pernah. Sebaiknya gunakan sesuatu seperti VMPS untuk meletakkan peralatan jahat di VLAN yang dikarantina. Demikian juga, data perusahaan tidak memiliki bisnis di luar peralatan perusahaan.
Enkripsi hard disk cukup mudah akhir-akhir ini, jadi enkripsi semua yang meninggalkan tempat. Saya telah melihat beberapa penanganan laptop yang sangat ceroboh yang akan menjadi bencana tanpa enkripsi disk penuh. Performa hit tidak terlalu buruk, dan manfaatnya jauh melebihi itu. Jika Anda membutuhkan kinerja yang luar biasa, VPN / RAS menjadi perangkat keras yang sesuai.
sumber
Untuk menuju ke arah lain dari beberapa jawaban lain di sini:
Sementara melindungi dan mengamankan data adalah penting, probabilitas bahwa orang yang mencuri laptop:
Sangat tidak mungkin. Skenario yang paling mungkin adalah bahwa orang yang mencuri laptop itu adalah pencuri tua biasa dan bukan mata-mata perusahaan yang berusaha mencuri kode sumber daya perusahaan Anda untuk membangun produk yang bersaing dan membawanya ke pasar sebelum perusahaan Anda, sehingga mendorong perusahaan Anda keluar bisnis.
Yang sedang berkata, mungkin akan mendorong perusahaan Anda untuk menerapkan beberapa kebijakan dan mekanisme untuk mencegah hal ini di masa depan, tetapi saya tidak akan membiarkan insiden ini membuat Anda terjaga di malam hari. Anda telah kehilangan data di laptop, tetapi mungkin itu hanya salinan dan pengembangan akan berlanjut tanpa gangguan.
sumber
Laptop milik perusahaan, harus menggunakan disk terenkripsi, dll, tentu saja tetapi Anda bertanya tentang komputer pribadi.
Saya tidak melihat ini sebagai masalah teknis melainkan masalah perilaku. Ada sangat sedikit yang dapat Anda lakukan dari sudut pandang teknologi untuk membuat seseorang tidak mungkin untuk membawa pulang kode dan meretasnya - bahkan jika Anda dapat mencegah mereka memeriksa semua sumber ke suatu proyek secara formal mereka masih dapat mengambil cuplikan rumah jika mereka bertekad untuk melakukannya dan jika satu 10 baris "cuplikan" kode (atau data apa pun) kebetulan adalah bit yang berisi saus rahasia Anda / informasi pelanggan yang berharga dan rahasia / lokasi grail suci maka Anda ' kembali masih berpotensi sama dengan kehilangan 10 baris seperti Anda akan kehilangan 10 halaman.
Jadi apa yang ingin dilakukan bisnis? Sangat mungkin untuk mengatakan bahwa orang benar-benar tidak boleh bekerja pada bisnis perusahaan dari komputer non perusahaan dan menjadikannya pelanggaran pemberhentian "pelanggaran berat" bagi orang yang melanggar aturan itu. Apakah itu respons yang tepat untuk seseorang yang menjadi korban pencurian? Apakah itu bertentangan dengan budaya perusahaan Anda? Apakah perusahaan menyukainya ketika orang-orang bekerja dari rumah di waktu mereka sendiri dan oleh karena itu siap untuk menyeimbangkan risiko kehilangan properti dengan keuntungan yang dirasakan dalam produktivitas? Apakah kode yang hilang digunakan untuk mengendalikan senjata nuklir atau brankas bank atau peralatan penyelamat jiwa di rumah sakit dan dengan demikian pelanggaran keamanan tidak dapat diatasi dalam keadaan apa pun? Apakah Anda memiliki kewajiban hukum atau peraturan terkait keamanan kode "berisiko"
Itulah beberapa pertanyaan yang saya pikir perlu Anda pertimbangkan, tetapi tidak ada seorang pun di sini yang dapat menjawabnya untuk Anda.
sumber
Yang pasti Anda hanya perlu menyimpan data perusahaan di perangkat perusahaan di tempat lain kecuali jika data itu telah dienkripsi oleh Departemen TI Anda
Setiap perangkat lunak enkripsi disk akan memiliki beberapa overhead tetapi itu sepadan dan semua laptop dan drive USB eksternal harus dienkripsi.
Anda juga bisa mendapatkan perangkat lunak penghapus jarak jauh seperti yang Anda miliki di lingkungan BES untuk blackberry.
sumber
>
dan bukan blok kode untuk kutipan, lihat serverfault.com/editing-helpDalam situasi di mana ada kode sumber yang terlibat, dan terutama di mana mesin yang digunakan tidak dapat dikontrol oleh departemen TI perusahaan, saya hanya akan membiarkan orang itu berkembang dalam sesi jarak jauh yang di-host pada mesin di lokasi perusahaan, melalui VPN.
sumber
Bagaimana dengan perangkat lunak penyeka jarak jauh. Ini tentu saja hanya akan berhasil jika pencuri cukup bodoh untuk menyalakan komputer ke internet. Tetapi ada banyak kisah orang yang bahkan menemukan laptop curian mereka dengan cara ini sehingga Anda mungkin beruntung.
Menghapus waktu juga bisa menjadi pilihan, jika Anda belum memasukkan kata sandi dalam waktu X jam, semuanya dihapus dan Anda harus checkout lagi. Belum pernah mendengar ini sebelumnya, mungkin karena itu sebenarnya cukup bodoh karena memerlukan lebih banyak pekerjaan dari pengguna yang enkripsi. Mungkin akan bagus dalam kombinasi dengan enkripsi untuk mereka yang khawatir tentang kinerja. Tentu saja Anda memiliki masalah peningkatan daya di sini juga, tetapi di sini tidak diperlukan internet.
sumber
Pikir saya tentang ini bahwa masalah terbesar Anda adalah bahwa ini sepertinya menyiratkan bahwa laptop memiliki akses ke jaringan perusahaan. Saya berasumsi bahwa Anda sekarang telah mencegah laptop ini dari VPN ke jaringan kantor.
Membiarkan komputer non perusahaan ke jaringan kantor adalah ide yang sangat buruk. Jika ini bukan laptop perusahaan, bagaimana Anda bisa memberlakukan anti-virus yang memadai di atasnya. Membiarkannya di jaringan berarti Anda tidak memiliki kendali atas program-program yang sedang berjalan di atasnya - misalnya wireshark melihat paket jaringan dll ...
Beberapa jawaban lain menunjukkan bahwa pengembangan di luar jam harus dilakukan di dalam sesi RDP dan sejenisnya. Sebenarnya ini kemudian berarti bahwa mereka hanya dapat bekerja di mana mereka memiliki koneksi internet - tidak selalu mungkin di kereta dll. Tetapi juga mensyaratkan bahwa laptop memiliki akses ke server untuk sesi RDP. Anda perlu mempertimbangkan bagaimana Anda mengamankan akses RDP terhadap seseorang yang memiliki akses ke laptop curian (dan mungkin beberapa kata sandi yang disimpan di laptop)
Akhirnya, hasil yang paling mungkin adalah laptop dijual kepada seseorang yang tidak tertarik pada konten dan hanya akan menggunakannya untuk email dan web. Namun .... itu risiko yang cukup besar untuk diambil perusahaan.
sumber
Kunci laptop akan mencegah masalah dalam kasus ini. (Saya belum pernah mendengar tentang kunci desktop, tetapi sekali lagi, saya juga belum mendengar tentang seorang pencuri mencuri desktop.)
Dengan cara yang sama Anda tidak meninggalkan perhiasan Anda ketika Anda meninggalkan rumah, Anda tidak harus meninggalkan laptop Anda tanpa jaminan.
sumber