Was machen Sie mit Personal und persönlichen Laptops?

38

Heute hat einer unserer Entwickler seinen Laptop aus seinem Haus stehlen lassen. Anscheinend hatte er eine vollständige SVN-Prüfung des Quellcodes des Unternehmens sowie eine vollständige Kopie der SQL-Datenbank.

Dies ist ein massiver Grund, warum ich persönlich dagegen bin, dass Unternehmen Arbeiten an persönlichen Laptops zulassen.
Selbst wenn dies ein firmeneigener Laptop gewesen wäre, hätten wir immer noch das gleiche Problem, obwohl wir in einer etwas stärkeren Position wären, um die Verschlüsselung (WDE) auf der gesamten Festplatte durchzusetzen.

Fragen sind diese:

  1. Was unternimmt Ihr Unternehmen mit Unternehmensdaten auf Hardware, die sich nicht im Eigentum des Unternehmens befindet?
  2. Ist WDE eine vernünftige Lösung? Ist der Aufwand für Lese- / Schreibvorgänge sehr hoch?
  3. Gibt es außer dem Ändern von Passwörtern für Dinge, die von dort gespeichert / abgerufen wurden, noch etwas, das Sie vorschlagen können?
Tom O'Connor
quelle
7
Wurde es gestohlen oder wurde es "gestohlen"? Ich hatte einmal einen Fall, in dem ein Mitarbeiter-Laptop auf mysteriöse Weise verschwunden war, und zufällig war es das einzige, was aus ihrem Haus "gestohlen" wurde. Und natürlich gab es 1000 Dollar an anderer Hardware und Wertsachen, die unberührt blieben. Sie haben natürlich nie die Polizei gerufen, um Nachforschungen anzustellen. Haben Sie die Polizei gerufen, um Nachforschungen anzustellen?
Bakoyaro
Ich sehe nicht, dass die Polizei den Diebstahl eines persönlichen Laptops auf Ersuchen eines Firmenbeamten untersucht. Ja, ich weiß, man könnte argumentieren, dass der Quellcode Eigentum des Unternehmens war, aber erfahrungsgemäß würden Polizisten nur mit den Schultern zucken und nichts dagegen unternehmen.
Belmin Fernandez
3
@ Bakoyaro ja, die Polizei wurde informiert. Nur seine Brieftasche und sein Laptop wurden geklaut. Ein wenig merkwürdig.
Tom O'Connor
1
Ich mache mir große Sorgen, da ich meinen Vorgesetzten und meine Kollegen nicht davon überzeugen kann, dass sie besorgt sein sollten.
Zoredache
8
@Tom - machst du dir jetzt Sorgen? Was ist, wenn diese persönlichen Daten Ihre Bankkontodaten enthalten? Ja. Das zieht immer die Aufmerksamkeit auf sich, oder? Tatsache ist, egal in welcher Branche oder in welchem ​​Land Sie tätig sind, die Unternehmen nehmen die Datensicherheit nicht immer so ernst, wie es sein sollte, und selbst wenn die Absichten gut sind , erledigen Sie die Dinge kann nur allzu oft in die Quere kommen , Dinge richtig zu machen . Die wahre Weisheit besteht darin, zu wissen, wann man diesen Unterschied aufteilt und wann man die Fersen einräumt.
Rob Moir

Antworten:

30
  1. Das Problem ist, dass es sehr billig ist, unbezahlte Überstunden auf eigene Faust zu machen, sodass Manager nicht bereit sind, dies zu verhindern. Aber wir werden natürlich gerne die IT beschuldigen, wenn es ein Leck gibt ... Nur eine strikt durchgesetzte Richtlinie wird dies verhindern. Es ist Sache des Managements, wo sie das Gleichgewicht finden wollen, aber es ist sehr viel ein Problem der Menschen.

  2. Ich habe WDE (Truecrypt) auf Laptops mit Workloads auf Administratorebene getestet und es ist wirklich nicht so schlimm, was die Leistung betrifft. Der E / A-Treffer ist vernachlässigbar. Ich habe mehrere Entwickler, die auch ~ 20 GB Arbeitskopien darauf haben. Es ist keine "Lösung" für sich; (Es wird nicht verhindern, dass die Daten von einem ungesicherten Computer verschluckt werden, während dieser beispielsweise gestartet wird), aber es werden auf jeden Fall viele Türen geschlossen.

  3. Wie wäre es mit einem generellen Verbot aller extern gespeicherten Daten? gefolgt von einigen Investitionen in Remotedesktopdienste, ein anständiges VPN und die Bandbreite, die dafür erforderlich ist. Auf diese Weise bleibt der gesamte Code im Büro. Die Benutzer erhalten eine Sitzung mit lokalem Netzwerkzugriff auf Ressourcen. und Heimmaschinen werden einfach zu dummen Terminals. Es ist nicht für alle Umgebungen geeignet (ein zeitweiliger Zugriff oder eine hohe Letency können in Ihrem Fall einen Deal-Breaker darstellen), aber es lohnt sich zu überlegen, ob Heimarbeit für das Unternehmen wichtig ist.

SmallClanger
quelle
3
+1 auf den 3. Vorschlag. Mach das sinnvollste für mich.
Belmin Fernandez
1
# 3 ist die Richtung, in die wir auch gehen. Warum auf einem Laptop kompilieren, wenn Sie auf einer VM, die auf Serverhardware ausgeführt wird, VPN- und RDP-Verbindungen herstellen können? Sie checken keinen Code über das VPN ein und aus, da alles im LAN des Büros bleibt.
August
2
Für Leute mit Ubuntu können sie die integrierte LUKS-Verschlüsselung verwenden, die Teil des Alt-Installers ist. Es funktioniert hervorragend und ist zum Zeitpunkt der Installation nur trivial einzurichten.
Zoredache
7
Option 3 (RDP / VNC) ist meiner Erfahrung nach eher schlecht. Das Problem ist, dass jede Latenzzeit dazu neigt, die Auto-Vervollständigungsfunktionen der meisten gängigen IDEs ernsthaft zu beeinträchtigen. Sofern Ihre Benutzer keine solide Internetverbindung mit sehr geringer Latenz haben, werden sie mit ziemlicher Sicherheit eine Remotedesktoplösung hassen.
Zoredache
7
Hat jemand, der # 3 befürwortet, es tatsächlich versucht? Ich habe wahrscheinlich Hunderte oder Tausende von Stunden damit verbracht und ich hasse es. Selbst über ein LAN macht es keinen Spaß, und über ein VPN erinnert es mich daran, als ich mich einwählte.
Gabe
13

Unser Unternehmen erfordert die Verschlüsselung der gesamten Festplatte auf allen firmeneigenen Laptops. Sicher, es gibt einen Mehraufwand, aber für die meisten unserer Benutzer ist dies kein Problem - sie verwenden Webbrowser und Office-Suiten. Mein MacBook ist verschlüsselt und es hat sich nicht wirklich auf die Dinge ausgewirkt, die mir aufgefallen sind, selbst wenn VMs unter VirtualBox ausgeführt werden. Für jemanden, der einen Großteil seines Tages damit verbringt, große Codebäume zu kompilieren, ist dies möglicherweise ein größeres Problem.

Sie benötigen offensichtlich einen Richtlinienrahmen für diese Art von Dingen: Sie müssen verlangen, dass alle firmeneigenen Laptops verschlüsselt sind, und Sie müssen verlangen, dass Unternehmensdaten nicht auf nicht firmeneigenen Geräten gespeichert werden können. Ihre Richtlinie muss auch für technische und leitende Angestellte durchgesetzt werden, selbst wenn diese sich beschweren. Andernfalls stoßen Sie erneut auf dasselbe Problem.

larsks
quelle
5
Dies ist nur möglich, wenn die Kompilierzeiten auf einer Verschlüsselungsdiskette schnell genug sind. Programmierer werden tun , was immer es braucht , um ein System zu erhalten , die schnell kompiliert. Mit oder ohne Ihre Zustimmung.
Ian Ringrose
4
Ja, aber wenn sie nach diesen Kompilierungszeiten sind, akzeptieren sie normalerweise eine Desktop-Workstation im Büro, nicht tragbar, aber mit
unglaublicher
3
Zu wahr. Ich würde auf jeden Fall empfehlen , einige Benchmarks und die Veröffentlichung auf Ihre Entwickler sie , wenn Sie dies implementieren möchten. Wenn Sie unter realen Bedingungen einen Mehraufwand von <5% für WDE anzeigen, können Sie ihn möglicherweise mit an Bord nehmen. Karotte: Bieten Sie den Entwicklern SSDs an, um den Deal zu versüßen. Stick: Sack 'em, wenn sie einen Verstoß verursachen, indem Sie Ihren Mechanismus untergraben. : D
SmallClanger
3
Zumindest nach dem, was ich gesehen habe, ist die Kompilierung normalerweise mehr CPU-gebunden als E / A-gebunden. Ich sage nicht, dass Verschlüsselung keinen Unterschied machen wird, aber es scheint nicht, dass es einen großen Unterschied machen sollte. Das variiert natürlich wahrscheinlich je nach Projekt.
Zoredache
1
Das Kompilieren ist zwar meistens cpu-gebunden, aber das Verknüpfen erfordert im Allgemeinen auch viel Festplatten-E / A (obwohl es auch noch cpu-lastig ist). Ich kann nicht sagen, dass ich bei einem i5-Laptop mit einer G2-Intel-SSD und aktivierter Bitlocker-Funktion auf allen Volumes überhaupt einen Unterschied festgestellt habe. Es hat so gut geklappt, dass ich jetzt komplett mit Bitlocker To Go auf meiner privaten Ausrüstung verkauft bin ^^
Oskar Duveborn
9

Ich würde mich weniger auf die Ausrüstung selbst als auf die Daten konzentrieren. Dies hilft, die Probleme zu vermeiden, auf die Sie jetzt stoßen. Möglicherweise haben Sie nicht die Hebelwirkung, Richtlinien für Geräte in Privatbesitz zu erlassen. Sie sollten jedoch die Möglichkeit haben, den Umgang mit unternehmenseigenen Daten zu bestimmen. Da wir eine Universität sind, tauchen ständig solche Probleme auf. Die Fakultät kann möglicherweise nicht so finanziert werden, dass ihre Abteilung einen Computer kaufen kann, oder sie kann einen Datenverarbeitungsserver mit einem Stipendium kaufen. Im Allgemeinen besteht die Lösung für diese Probleme darin, die Daten und nicht die Hardware zu schützen.

Verfügt Ihre Organisation über eine Datenklassifizierungsrichtlinie? Wenn ja, was steht da? Wie würde das Code-Repository klassifiziert? Welche Anforderungen würden an diese Kategorie gestellt? Wenn die Antwort auf eine dieser Fragen entweder "Nein" oder "Ich weiß nicht" lautet, würde ich empfehlen, mit Ihrem Büro für Informationssicherheit oder mit demjenigen in Ihrer Organisation zu sprechen, der für die Entwicklung von Richtlinien verantwortlich ist.

Wäre ich der Dateneigentümer, würde ich es wahrscheinlich als Hoch oder Code-Rot klassifizieren, oder was auch immer Ihre höchste Ebene ist. In der Regel erfordert dies eine Verschlüsselung im Ruhezustand während der Übertragung und kann sogar einige Einschränkungen hinsichtlich des Speicherorts der Daten aufführen.

Darüber hinaus möchten Sie möglicherweise einige sichere Programmiermethoden implementieren. Etwas, das einen Entwicklungslebenszyklus kodifizieren und Entwicklern ausdrücklich untersagen könnte, mit einer Produktionsdatenbank in Kontakt zu kommen, außer unter seltsamen und seltenen Umständen.

Scott Pack
quelle
6

1.) Remote arbeiten

Für Entwickler ist Remote Desktop eine sehr gute Lösung, es sei denn, 3D ist erforderlich. Die Leistung ist in der Regel gut genug.

In meinen Augen ist Remotedesktop sogar noch sicherer als VPN, da ein entsperrtes Notebook mit aktivem VPN wesentlich mehr bietet als ein Terminalserver.

VPN sollte nur an Personen vergeben werden, die nachweisen können, dass sie mehr benötigen.

Das Verschieben sensibler Daten aus dem Haus ist ein Kinderspiel und sollte nach Möglichkeit verhindert werden. Die Arbeit als Entwickler ohne Internetzugang kann verboten werden, da der fehlende Zugriff auf Quellcodeverwaltung, Fehlerverfolgung, Dokumentationssysteme und Kommunikation die Effizienz im besten Fall beeinträchtigt.

2.) Verwendung von Fremdhardware in einem Netzwerk

Ein Unternehmen sollte einen Standard für die Hardware haben, die an das LAN angeschlossen ist:

  • Antivirus
  • Firewall
  • in der Domäne sein, inventarisiert werden
  • Wenn mobil, verschlüsselt werden
  • Benutzer haben keinen lokalen Administrator (schwierig, wenn Entwickler, aber machbar)
  • etc.

Fremde Hardware sollte entweder diesen Richtlinien folgen oder nicht im Netz sein. Sie könnten NAC einrichten, um dies zu kontrollieren.

3.) Gegen verschüttete Milch kann wenig getan werden, es können jedoch Maßnahmen ergriffen werden, um ein erneutes Auftreten zu vermeiden.

Wenn die oben genannten Schritte ausgeführt werden und Notebooks kaum mehr sind als mobile Thin Clients, ist nicht viel mehr erforderlich. Hey, du kannst sogar billige Notebooks kaufen (oder alte benutzen).

Posipiet
quelle
3

Computer, die nicht unter der Kontrolle Ihres Unternehmens stehen, sollten nicht im Netzwerk zugelassen werden. Je. Es ist eine gute Idee, so etwas wie VMPS zu verwenden, um nicht autorisierte Geräte in ein VLAN in Quarantäne zu verschieben. Ebenso haben Unternehmensdaten kein Geschäft außerhalb der Unternehmensausstattung.

Die Festplattenverschlüsselung ist heutzutage recht einfach. Verschlüsseln Sie also alles, was das Unternehmen verlässt. Ich habe einen außergewöhnlich nachlässigen Umgang mit Laptops gesehen, der ohne vollständige Festplattenverschlüsselung eine Katastrophe wäre. Der Leistungstreffer ist nicht so schlimm und der Nutzen überwiegt bei weitem. Wenn Sie herausragende Leistung benötigen, stecken Sie VPN / RAS in die entsprechende Hardware.

Cakemox
quelle
3

Um von einigen der anderen Antworten hier in eine andere Richtung zu gehen:

Während der Schutz und die Sicherung der Daten wichtig ist, ist die Wahrscheinlichkeit, dass die Person, die den Laptop gestohlen hat:

  1. Wusste, was sie stahlen
  2. Wusste, wo man nach den Daten und dem Quellcode suchen musste
  3. Wusste, was mit den Daten und dem Quellcode zu tun war

Ist ziemlich unwahrscheinlich. Das wahrscheinlichste Szenario ist, dass die Person, die den Laptop gestohlen hat, ein gewöhnlicher alter Dieb und kein Unternehmensspion ist, der darauf aus ist, den Quellcode Ihres Unternehmens zu stehlen, um ein konkurrierendes Produkt zu erstellen und es vor Ihrem Unternehmen auf den Markt zu bringen, wodurch Ihr Unternehmen verdrängt wird des Geschäfts.

Abgesehen davon wäre es wahrscheinlich Ihre Aufgabe, Richtlinien und Mechanismen einzuführen, um dies in Zukunft zu verhindern, aber ich würde nicht zulassen, dass dieser Vorfall Sie nachts auf Trab hält. Sie haben die Daten auf dem Laptop verloren, aber vermutlich war es nur eine Kopie, und die Entwicklung wird ohne Unterbrechung fortgesetzt.

Joeqwerty
quelle
Es gibt keine Sorgen über Datenverlust im ganzen Sinne. Wir haben Backups und Kopien, die aus unseren Ohren kommen. Trotzdem besteht ein gewisses Risiko, dass sich unsere Geschäftsgeheimnisse im SVN-Repo befinden.
Tom O'Connor
3

Unternehmenseigene Laptops sollten natürlich verschlüsselte Datenträger usw. verwenden, aber Sie fragen nach Personalcomputern.

Ich sehe dies nicht als ein technisches Problem, sondern eher als ein Verhaltensproblem. Unter technologischen Gesichtspunkten können Sie kaum etwas tun, um es für jemanden unmöglich zu machen, Code mit nach Hause zu nehmen und ihn zu hacken - selbst wenn Sie verhindern können, dass er formal alle Quellen eines Projekts auscheckt, die er noch nehmen kann Schnipsel nach Hause, wenn sie dazu entschlossen sind, und wenn ein 10-zeiliger "Code-Schnipsel" (oder irgendwelche Daten) das Bit ist, das Ihre geheime Soße / wertvolle und vertrauliche Kundeninformationen / den Ort des heiligen Grals enthält, dann Sie sind möglicherweise immer noch genauso entbeint, wenn Sie diese 10 Zeilen verlieren, wie wenn Sie 10 Seiten verlieren würden.

Was will das Unternehmen also tun? Es ist durchaus möglich zu sagen, dass Mitarbeiter auf keinen Fall von Computern außerhalb des Unternehmens aus im Unternehmensgeschäft arbeiten dürfen, und es für diejenigen, die gegen diese Regel verstoßen, zu einer Entlassungsstraftat "groben Fehlverhaltens" zu machen. Ist das eine angemessene Antwort für jemanden, der Opfer eines Einbruchs ist? Würde es Ihrer Unternehmenskultur zuwiderlaufen? Gefällt es dem Unternehmen, wenn Menschen in ihrer Freizeit von zu Hause aus arbeiten und daher bereit sind, das Risiko eines Eigentumsverlusts gegen die wahrgenommenen Produktivitätsgewinne abzuwägen? Wird der verlorene Code zur Kontrolle von Atomwaffen, Banktresoren oder Rettungsmitteln in Krankenhäusern verwendet und kann eine solche Sicherheitsverletzung unter keinen Umständen geahndet werden? Haben Sie eine rechtliche oder behördliche Verpflichtung in Bezug auf die Sicherheit des Kodex "gefährdet"?

Dies sind einige der Fragen, über die Sie nachdenken müssen, aber niemand hier kann sie tatsächlich für Sie beantworten.

Rob Moir
quelle
3

Was unternimmt Ihr Unternehmen mit Unternehmensdaten auf Hardware, die sich nicht im Eigentum des Unternehmens befindet?

Sicherlich sollten Sie Unternehmensdaten nur dann auf Unternehmensgeräten speichern, wenn sie von Ihrer IT-Abteilung verschlüsselt wurden

Ist WDE eine vernünftige Lösung? Ist der Aufwand für Lese- / Schreibvorgänge sehr hoch?

Jede Festplattenverschlüsselungssoftware hat einen gewissen Aufwand, der sich jedoch lohnt. Alle Laptops und externen USB-Laufwerke sollten verschlüsselt werden.

Gibt es außer dem Ändern von Passwörtern für Dinge, die von dort gespeichert / abgerufen wurden, noch etwas, das Sie vorschlagen können?

Sie können auch Remote-Wipe-Software wie in einer BES-Umgebung für Brombeeren erhalten.

cpgascho
quelle
benutzen Sie bitte Angebot >und nicht die Codeblöcke für Zitate finden serverfault.com/editing-help
Jeff Atwood
1

In einer Situation, in der es sich um Quellcode handelt und in der die verwendete Maschine nicht von der IT-Abteilung des Unternehmens gesteuert werden kann, würde ich der Person immer nur erlauben, sich in einer Remotesitzung zu entwickeln, die auf einer Maschine auf dem Firmengelände gehostet wird VPN.

Alan B
quelle
Sind Sie bereit, einen Großauftrag zu verlieren, wenn die Software aufgrund einer fehlgeschlagenen VPN-Verbindung verspätet ist? Die meiste Zeit funktioniert VPN jedoch gut für Softwareentwickler.
Ian Ringrose
Nun, ich denke, Sie müssen das Risiko abwägen, dass sein Laptop mit einer ausgecheckten Kopie der Quelle läuft. Zumindest sollten sie die Quelle in einem Truecrypt-Volume haben.
Alan B
0

Wie wäre es mit Remote-Wiping-Software? Dies würde natürlich nur funktionieren, wenn der Dieb dumm genug ist, um den Computer mit dem Internet zu verbinden. Aber es gibt Unmengen von Geschichten über Menschen, die auf diese Weise sogar ihre gestohlenen Laptops gefunden haben, sodass Sie vielleicht Glück haben.

Das zeitgesteuerte Löschen kann ebenfalls eine Option sein, wenn Sie Ihr Passwort nicht in X Stunden eingegeben haben, wird alles gelöscht und Sie müssen erneut auschecken. Davon habe ich noch nie gehört, vielleicht, weil es eigentlich ziemlich dumm ist, weil der Benutzer mehr Arbeit für die Verschlüsselung benötigt. Wäre vielleicht gut in Kombination mit Verschlüsselung für diejenigen, die sich Sorgen um die Leistung machen. Natürlich haben Sie auch hier das Einschaltproblem, aber hier ist kein Internet erforderlich.

lalalamp
quelle
0

Meiner Meinung nach besteht Ihr größtes Problem darin, dass dies impliziert, dass der Laptop Zugriff auf das Unternehmensnetzwerk hatte. Ich gehe davon aus, dass Sie diesen Laptop jetzt daran gehindert haben, VPN-Verbindungen in das Büronetzwerk herzustellen.

Es ist eine wirklich schlechte Idee, Computer von Drittanbietern in das Büronetzwerk zuzulassen. Wenn es sich nicht um einen Firmen-Laptop handelt, wie können Sie einen angemessenen Virenschutz durchsetzen? Wenn Sie es im Netzwerk zulassen, haben Sie keine Kontrolle über die Programme, die darauf ausgeführt werden - z. B. Wireshark, das Netzwerkpakete usw. ansieht.

Einige der anderen Antworten schlagen vor, dass die Entwicklung außerhalb der Geschäftszeiten innerhalb einer RDP-Sitzung und dergleichen erfolgen sollte. Tatsächlich bedeutet dies dann, dass sie nur dort arbeiten können, wo sie eine Internetverbindung haben - nicht immer in einem Zug usw. möglich. Der Laptop muss jedoch für die RDP-Sitzung Zugriff auf den Server haben. Sie müssen überlegen, wie Sie den RDP-Zugriff gegen jemanden sichern, der Zugriff auf einen gestohlenen Laptop hat (und wahrscheinlich einige der auf dem Laptop gespeicherten Passwörter).

Schließlich ist das wahrscheinlichste Ergebnis, dass der Laptop an jemanden verkauft wird, der kein Interesse an den Inhalten hat und ihn nur für E-Mail und Web verwendet. Das ist jedoch ein ziemlich großes Risiko für ein Unternehmen.

Michael Shaw
quelle
Sie benötigen keinen Zugriff auf das Firmennetzwerk, um unseren Quellcode zu erhalten. Sie benötigen lediglich ein SVN-Passwort und unsere SVN-Repo-Server-URL.
Tom O'Connor
Sie nehmen an, wir haben ein VPN. Nett. Ich wünschte, wir hätten es getan.
Tom O'Connor
1
und Sie befürchten, einen Laptop mit dem Quellcode zu verlieren, wenn Sie den Quellcode im Internet veröffentlicht haben.
Michael Shaw
-3

Ein Laptopschloss hätte das Problem in diesem Fall verhindert. (Ich habe noch nichts von einer Desktop-Sperre gehört, aber ich habe auch noch nichts von einem Einbrecher, der einen Desktop stiehlt.)

So wie Sie Ihren Schmuck nicht herumliegen lassen, wenn Sie Ihr Haus verlassen, sollten Sie Ihren Laptop nicht ungesichert lassen.

MCS
quelle
1
Ich habe die ganze Zeit von Einbrechern gehört, die Desktops gestohlen haben. Bei $ job-1 hatte jemand seinen alten Mac G4 geklaut. Diese Dinger wiegen eine Tonne.
Tom O'Connor
Ich würde die Stirn runzeln, wenn meine Firma mir vorschreibt, meinen persönlichen Laptop in meinem eigenen Haus an der Leine zu halten. Bessere Schlösser könnten den Einbruch insgesamt verhindert haben, usw. usw. Desktops werden gestohlen, und es gibt Schlösser, die in vielen Unternehmen verwendet werden. Alles in allem keine sinnvolle Antwort.
Martijn Heemels
Schlösser im "Kensington" -Stil reichen normalerweise nur aus, um den Gelegenheitsdieb aufzuhalten. Ein anständiger Satz Bolzenschneider würde sehr schnell durchkommen. Normalerweise habe ich gesehen, wie sie in Büros eingesetzt wurden, um die Reinigungskräfte davon abzuhalten, Laptops zu stehlen.
Richard Everett