¿Qué haces con el personal y las computadoras personales?

38

Hoy, a uno de nuestros desarrolladores le robaron su computadora portátil de su casa. Aparentemente, tenía una verificación completa del código fuente de la compañía, así como una copia completa de la base de datos SQL.

Esta es una razón enorme por la que personalmente estoy en contra de permitir que la empresa trabaje en computadoras portátiles personales.
Sin embargo, incluso si esta hubiera sido una computadora portátil propiedad de la compañía, aún tendríamos el mismo problema, aunque estaríamos en una posición ligeramente más fuerte para aplicar el cifrado (WDE) en todo el disco.

Las preguntas son estas:

  1. ¿Qué hace su empresa con respecto a los datos de la empresa sobre hardware que no es de su propiedad?
  2. ¿Es WDE una solución sensata? ¿Produce muchos gastos generales en lecturas / escrituras?
  3. Además de cambiar las contraseñas de las cosas que se almacenaron / accedieron desde allí, ¿hay algo más que pueda sugerir?
security laptop disk-encryption Tom O'Connor
fuente
77
¿Fue robado o fue "robado"? Una vez tuve un caso en el que una computadora portátil de un empleado desapareció misteriosamente y, por casualidad, fue lo único que fue "robado" de su casa. Y, por supuesto, había $ 1000 de otro hardware y objetos de valor que se dejaron intactos. Por supuesto, nunca llamaron a la policía para investigar. ¿Has llamado a la policía para investigar?
bakoyaro
No veo a la policía investigando el robo de la computadora portátil personal de alguien a pedido de un funcionario de la compañía. Sí, lo sé, podría argumentar que el código fuente era propiedad de la compañía pero, según la experiencia, los policías simplemente se encogerían de hombros y no harían nada al respecto.
Belmin Fernández el
3
@bakoyaro sí, la policía ha sido informada. Solo le robaron la billetera y la computadora portátil. Un poco raro.
Tom O'Connor el
1
Lo que hago es preocuparme mucho ya que no puedo convencer a mi supervisor y compañeros de trabajo de que deberían estar preocupados.
Zoredache
8
@ Tom: ¿estás preocupado ahora? ¿Qué sucede si esos datos personales incluyen los detalles de su cuenta bancaria? Sí. Eso siempre llama la atención, ¿eh? El hecho es que, no importa en qué industria se encuentre o en qué país se encuentre, las empresas no siempre toman la seguridad de los datos tan en serio como debería, e incluso cuando las intenciones son buenas, hacer las cosas con demasiada frecuencia puede obstaculizar el hacer bien las cosas . La verdadera sabiduría está en saber cuándo dividir esa diferencia y cuándo cavar los talones.
Rob Moir

Respuestas:

30

  1. El problema es que permitir que las personas hagan horas extras no pagadas en su propio kit es muy barato, por lo que los gerentes no están tan dispuestos a detenerlo; pero, por supuesto, nos complacerá culpar a TI cuando haya una fuga ... Solo una política fuertemente aplicada va a evitar esto. Todo depende de la administración donde desean lograr el equilibrio, pero es un problema de personas.

  2. He probado WDE (Truecrypt) en computadoras portátiles con cargas de trabajo de nivel de administrador y realmente no es tan malo, en cuanto al rendimiento, el impacto de E / S es insignificante. También tengo varios desarrolladores con ~ 20 GB de copias de trabajo. No es una 'solución' en sí misma; (No evitará que los datos se extraigan de una máquina no segura mientras se inicia, por ejemplo), pero ciertamente cierra muchas puertas.

  3. ¿Qué hay de la prohibición general de todos los datos externos? seguido de alguna inversión en servicios de escritorio remoto, una VPN decente y el ancho de banda para soportarlo. De esa manera, todo el código permanece dentro de la oficina; los usuarios obtienen una sesión con acceso de red local a los recursos; y las máquinas domésticas se convierten en terminales tontas. No se adaptará a todos los entornos (el acceso intermitente o la alta latencia pueden ser un factor decisivo en su caso), pero vale la pena considerar si el trabajo a domicilio es importante para la empresa.

SmallClanger
fuente
3
+1 en la tercera sugerencia. Tiene más sentido para mí.
Belmin Fernández el
1
# 3 es la dirección en la que vamos también. ¿Por qué compilar en una computadora portátil cuando puede VPN y RDP en una VM que se ejecuta en el hardware del servidor? No está ingresando y retirando el código a través de la VPN, ya que todo permanece en la LAN de la oficina.
Agosto
2
Para las personas con Ubuntu, pueden usar el cifrado LUKS incorporado que forma parte del instalador alternativo. Funciona muy bien y es trivial de configurar en el momento de la instalación.
Zoredache el
77
La opción 3 (RDP / VNC) tiende a absorber mi experiencia. El problema es que cualquier latencia tiende a aturdirse seriamente con las características de autocompletado de los IDE más populares. A menos que sus usuarios tengan una conexión a Internet sólida como una roca con muy baja latencia, seguramente odiarán una solución de Escritorio remoto.
Zoredache el
77
¿Alguien que está abogando por el # 3 realmente lo intentó? He pasado probablemente cientos o miles de horas trabajando de esa manera y lo odio. Incluso a través de una LAN no es divertido, y a través de una VPN me recuerda cuando estaba en acceso telefónico.
Gabe
13

Nuestra empresa requiere el cifrado de disco completo en todas las computadoras portátiles propiedad de la empresa. Claro, hay una sobrecarga, pero para la mayoría de nuestros usuarios esto no es un problema: están ejecutando navegadores web y suites de oficina. Mi MacBook está encriptada y realmente no ha afectado las cosas lo suficiente como he notado, incluso cuando ejecuto máquinas virtuales en VirtualBox. Para alguien que pasa gran parte de su día compilando grandes árboles de código, podría ser más problemático.

Obviamente, necesita un marco de políticas para este tipo de cosas: debe exigir que todas las computadoras portátiles de la compañía estén encriptadas, y debe exigir que los datos de la compañía no se puedan almacenar en equipos que no sean de la compañía. Su política también debe aplicarse para el personal técnico y ejecutivo, incluso si se quejan, de lo contrario, simplemente se encontrará con el mismo problema nuevamente.

larsks
fuente
55
Esto solo es posible si los tiempos de compilación son lo suficientemente rápidos en discos de cifrado. Los programadores harán lo que sea ​​necesario para obtener un sistema que se compile rápidamente. Con o sin su acuerdo.
Ian Ringrose el
44
Sí, pero si están después de esos tiempos de compilación, normalmente aceptarían una estación de trabajo de escritorio en la oficina, no portátil pero con una increíble potencia bruta ^^
Oskar Duveborn
3
Demasiado cierto. Definitivamente recomendaría ejecutar algunos puntos de referencia y publicarlos a sus desarrolladores si planea implementar esto. Si muestra una sobrecarga <5% para WDE en condiciones del mundo real, entonces podría tenerlos a bordo. Zanahoria: Ofrezca SSD a los desarrolladores para endulzar el trato. Stick: despídelos si causan una violación al subvertir tu mecanismo. : D
SmallClanger
3
Al menos por lo que he visto, la compilación generalmente está vinculada a la CPU más que a la E / S. No estoy diciendo que el cifrado no haga una diferencia, pero no parece que deba hacer mucha diferencia. Probablemente varía según el proyecto, por supuesto.
Zoredache
1
Es cierto para que la compilación esté principalmente vinculada a la CPU, pero la vinculación generalmente también requiere una gran cantidad de E / S de disco (aunque también es pesada para la CPU). No puedo decir que haya notado alguna diferencia en una computadora portátil i5 con un SSD G2 Intel y habilitando bitlocker en todos los volúmenes. Funcionó tan bien que ahora estoy completamente vendido en Bitlocker To Go en mi equipo privado también ^^
Oskar Duveborn
9

Me centraría menos en el equipo en sí y más en los datos involucrados. Esto ayudará a evitar los problemas con los que se encuentra ahora. Es posible que no tenga el apalancamiento para exigir una política sobre equipos de propiedad personal. Sin embargo, es mejor que tenga la influencia para ordenar cómo se manejan los datos de propiedad de la empresa. Al ser una universidad, tenemos problemas como este que surgen todo el tiempo. La facultad no puede ser financiada de tal manera que su departamento pueda comprar una computadora, o podrían comprar un servidor de procesamiento de datos con una subvención. En general, la solución a estos problemas es proteger los datos y no el hardware.

¿Tiene su organización una política de clasificación de datos? Si es así, ¿qué dice? ¿Cómo se clasificaría el repositorio de código? ¿Qué requisitos se colocarían en esa categoría? Si la respuesta a cualquiera de estas preguntas es "No" o "No sé", entonces recomendaría hablar con su oficina de Seguridad de la Información, o con cualquiera de su organización responsable de desarrollar políticas.

Según lo que usted dice que se lanzó, si fuera el propietario de los datos, probablemente lo clasificaría como Alto, o Código rojo, o cualquiera que sea su nivel más alto. Por lo general, eso requeriría cifrado en reposo, en tránsito, e incluso puede enumerar algunas restricciones sobre dónde se puede alojar la información.

Más allá de eso, es posible que esté buscando implementar algunas prácticas de programación seguras. Algo que podría codificar un ciclo de vida de desarrollo y expresamente no permitir que los desarrolladores entren en contacto con una base de datos de producción, excepto en circunstancias extrañas y raras.

Scott Pack
fuente
6

1.) Trabajando de forma remota

Para los desarrolladores, el escritorio remoto es una muy buena solución a menos que se requiera 3D. El rendimiento generalmente es lo suficientemente bueno.

En mi opinión, el escritorio remoto es incluso más seguro que la VPN, porque una computadora portátil desbloqueada con VPN activa permite bastante más de lo que lo haría una vista a un servidor de terminal.

La VPN solo se debe dar a las personas que pueden demostrar que necesitan más.

Mover datos confidenciales fuera de casa es imposible y debe evitarse si es posible. Trabajar como desarrollador sin acceso a Internet puede estar prohibido porque la falta de acceso al control de fuente, el seguimiento de problemas, los sistemas de documentación y las comunicaciones hacen que la eficiencia sea dudosa en el mejor de los casos.

2.) Uso de hardware no perteneciente a la empresa en una red

Una empresa debe tener un estándar de lo que se requiere del hardware conectado a la LAN:

  • Antivirus
  • Cortafuegos
  • estar en el dominio, inventarizarse
  • si es móvil, se cifrará
  • los usuarios no tienen administrador local (difícil si es desarrollador, pero factible)
  • etc.

El hardware externo debe seguir estas pautas o no estar en la red. Podrías configurar NAC para controlar eso.

3.) Poco se puede hacer sobre la leche derramada, pero se pueden tomar medidas para evitar la reoccurencia.

Si se toman los pasos anteriores y las computadoras portátiles son poco más que clientes ligeros móviles, no se necesita mucho más. Oye, incluso puedes comprar portátiles baratos (o usar viejos).

Posipiet
fuente
3

Las computadoras que no están bajo el control de su empresa no deben permitirse en la red. Siempre. Es una buena idea usar algo como VMPS para colocar equipos no autorizados en una VLAN en cuarentena. Del mismo modo, los datos de la compañía no tienen negocios fuera del equipo de la compañía.

El cifrado del disco duro es bastante fácil en estos días, así que cifre todo lo que salga de las instalaciones. He visto un manejo excepcionalmente descuidado de computadoras portátiles que sería un desastre sin cifrado de disco completo. El rendimiento no es tan malo, y el beneficio lo supera con creces. Si necesita un rendimiento increíble, VPN / RAS en el hardware apropiado.

Cakemox
fuente
3

Para ir en otra dirección de algunas de las otras respuestas aquí:

Si bien proteger y proteger los datos es importante, la probabilidad de que la persona que robó la computadora portátil:

  1. Sabía lo que estaban robando
  2. Sabía dónde buscar los datos y el código fuente
  3. Sabía qué hacer con los datos y el código fuente

Es bastante improbable. El escenario más probable es que la persona que robó la computadora portátil es un viejo ladrón habitual y no un espía corporativo empeñado en robar el código de fuente de su empresa para construir un producto de la competencia y llevarlo al mercado antes de que su empresa, expulse a su empresa de negocios.

Dicho esto, probablemente le correspondería a su empresa poner en práctica algunas políticas y mecanismos para evitar esto en el futuro, pero no permitiría que este incidente lo mantenga despierto por la noche. Ha perdido los datos en la computadora portátil, pero presumiblemente fue solo una copia y el desarrollo continuará sin interrupción.

joeqwerty
fuente
No hay que preocuparse por la pérdida de datos en todo el sentido. Tenemos copias de seguridad y copias saliendo de nuestros oídos. Aún así, es un poco arriesgado que nuestros secretos comerciales estén en el repositorio de SVN.
Tom O'Connor el
3

Las computadoras portátiles de propiedad corporativa deben usar discos cifrados, etc., por supuesto, pero usted pregunta sobre las computadoras personales.

No veo esto como un problema técnico, sino más bien de comportamiento. Desde el punto de vista de la tecnología, es muy poco lo que puede hacer para que sea imposible que alguien se lleve el código a casa y lo piratee, incluso si puede evitar que comprueben toda la fuente de un proyecto de manera formal, todavía pueden tomar fragmentos a casa si están decididos a hacerlo y si un "fragmento" de código de 10 líneas (o cualquier dato) resulta ser el bit que contiene su salsa secreta / información valiosa y confidencial del cliente / ubicación del santo grial, entonces usted ' todavía puede estar tan deshuesado al perder esas 10 líneas como lo estaría al perder 10 páginas.

Entonces, ¿qué quiere hacer el negocio? Es perfectamente posible decir que las personas no deben trabajar en los negocios de la empresa desde computadoras que no sean de la compañía y convertirlo en un delito de despido de "mala conducta grave" para las personas que infringen esa regla. ¿Es esa una respuesta apropiada para alguien que es víctima de un robo? ¿Iría contra la corriente de su cultura corporativa? ¿Le gusta a la compañía cuando las personas trabajan desde casa en su propio tiempo y, por lo tanto, está preparada para equilibrar el riesgo de pérdida de propiedad con las ganancias percibidas en productividad? ¿El código que se perdió se utiliza para controlar armas nucleares o bóvedas bancarias o equipos que salvan vidas en hospitales y, como tal, una violación de seguridad no se puede evitar bajo ninguna circunstancia? ¿Tiene una obligación legal o reglamentaria con respecto a la seguridad del código "en riesgo"

Esas son algunas de las preguntas que creo que debe considerar, pero nadie aquí realmente puede responderlas por usted.

Rob Moir
fuente
3

¿Qué hace su empresa con respecto a los datos de la empresa sobre hardware que no es de su propiedad?

Sin duda, solo debe tener los datos de la compañía almacenados en los dispositivos de la compañía en ningún otro lugar a menos que haya sido cifrado por su Departamento de TI

¿Es WDE una solución sensata? ¿Produce muchos gastos generales en lecturas / escrituras?

Cualquier software de cifrado de disco tendrá algunos gastos generales, pero vale la pena y todas las computadoras portátiles y unidades USB externas deben estar cifradas.

Además de cambiar las contraseñas de las cosas que se almacenaron / accedieron desde allí, ¿hay algo más que pueda sugerir?

También puede obtener un software de borrado remoto como lo haría en un entorno BES para moras.

cpgascho
fuente
utilice cotización >y no bloques de código para cotizaciones, consulte serverfault.com/editing-help
Jeff Atwood
1

En una situación donde hay un código fuente involucrado, y especialmente donde la máquina utilizada no puede ser controlada por el departamento de TI de la compañía, solo permitiría que la persona se desarrolle en una sesión remota alojada en una máquina en las instalaciones de la compañía, a través de un VPN

Alan B
fuente
¿Está dispuesto a perder un pedido grande si el software llega tarde debido a la falla de la conexión VPN? Sin embargo, la mayoría de las veces, VPN funciona bien para desarrolladores de software.
Ian Ringrose el
Bueno, supongo que tienes que sopesar el riesgo de eso con el riesgo de que su computadora portátil se vuelva loca con una copia extraída de la fuente. Como mínimo, deberían tener la fuente en un volumen Truecrypt.
Alan B
0

¿Qué hay del software de limpieza remota? Por supuesto, esto solo funcionaría si el ladrón es lo suficientemente tonto como para encender la computadora en Internet. Pero hay toneladas de historias de personas que incluso encontraron sus computadoras portátiles robadas de esta manera, por lo que podría tener suerte.

La limpieza programada también podría ser una opción, si no ha ingresado su contraseña en X horas, todo se elimina y debe volver a pagar. No había oído hablar de esto antes, tal vez porque en realidad es bastante estúpido, ya que requiere más trabajo del usuario que el cifrado. Quizás sería bueno en combinación con el cifrado para aquellos preocupados por el rendimiento. Por supuesto, aquí también tiene el problema de encendido, pero aquí no se requiere Internet.

lalalamp
fuente
0

Pensé que su mayor problema es que esto parece implicar que la computadora portátil tenía acceso a la red de la compañía. Supongo que ahora ha evitado que esta computadora portátil ingrese VPN a la red de la oficina.

Permitir que las computadoras que no son de la empresa entren en la red de la oficina es una muy mala idea. Si no es una computadora portátil de la compañía, ¿cómo puede aplicar un antivirus adecuado en ella? Permitirlo en la red significa que no tiene control sobre los programas que se ejecutan en él, por ejemplo, Wirehark mirando paquetes de red, etc.

Algunas de las otras respuestas sugieren que el desarrollo fuera de horario debe realizarse dentro de una sesión de RDP y similares. En realidad, esto significa que solo pueden trabajar donde tienen una conexión a Internet, no siempre es posible en un tren, etc., pero también requiere que la computadora portátil tenga acceso al servidor para la sesión RDP. Debe considerar cómo protege el acceso RDP contra alguien que tiene acceso a una computadora portátil robada (y probablemente algunas de las contraseñas almacenadas en la computadora portátil)

Finalmente, el resultado más probable es que la computadora portátil se vende a alguien que no tiene interés en el contenido y solo la usará para correo electrónico y web. Sin embargo ... eso es un riesgo bastante grande para una empresa.

Michael Shaw
fuente
No necesita acceso a la red de la empresa para obtener nuestro código fuente, todo lo que necesita es una contraseña SVN y nuestra URL del servidor de repositorio svn.
Tom O'Connor el
Estás asumiendo que tenemos una VPN. Agradable. Ojalá lo hiciéramos.
Tom O'Connor el
1
y le preocupa perder una computadora portátil con el código fuente cuando tiene el código fuente publicado en Internet.
Michael Shaw
-3

Un bloqueo de computadora portátil habría evitado el problema en este caso. (Todavía no he oído hablar de un bloqueo de escritorio, pero, una vez más, todavía no he oído hablar de un ladrón robando un escritorio).

De la misma manera que no dejas tus joyas tiradas cuando sales de tu casa, no debes dejar tu computadora portátil sin seguridad.

MCS
fuente
1
He oído hablar de ladrones que roban computadoras de escritorio todo el tiempo. En $ job-1, alguien tenía su viejo Mac G4 robado ... Esas cosas pesan una tonelada.
Tom O'Connor
Frunciría el ceño si mi compañía me dictara que mantuviera mi computadora portátil con correa dentro de mi propia casa. Unas cerraduras mejores podrían haber evitado el robo por completo, etc., etc. Las computadoras de escritorio se roban y existen cerraduras que se usan en muchas empresas. En general, no es una respuesta útil.
Martijn Heemels
Las cerraduras de estilo "Kensington" suelen ser suficientes para detener al ladrón casual. Un conjunto decente de cortadores de pernos atravesaría uno muy rápidamente. Por lo general, los he visto empleados en oficinas simplemente para evitar que los limpiadores roben computadoras portátiles.
Richard Everett