Que faites-vous du personnel et des ordinateurs portables personnels?

Aujourd'hui, l'un de nos développeurs s'est fait voler son ordinateur portable chez lui. Apparemment, il avait un contrôle complet du code source de la société, ainsi qu'une copie complète de la base de données SQL.

C'est l'une des principales raisons pour lesquelles je suis personnellement contre le fait de permettre à l'entreprise de travailler sur des ordinateurs portables personnels.
Cependant, même s'il s'agissait d'un ordinateur portable appartenant à une entreprise, nous aurions toujours le même problème, même si nous serions dans une position légèrement plus forte pour appliquer le cryptage (WDE) sur l'ensemble du disque.

Les questions sont les suivantes:

1. Que fait votre entreprise à propos des données de l'entreprise sur du matériel n'appartenant pas à l'entreprise?
2. Le WDE est-il une solution judicieuse? Est-ce que cela génère beaucoup de frais généraux en lecture / écriture?
3. Autre que changer les mots de passe pour des choses qui ont été stockées / accédées à partir de là, y a-t-il autre chose que vous pouvez suggérer?

1. Le problème est que permettre aux gens de faire des heures supplémentaires non rémunérées avec leur propre kit est très bon marché, de sorte que les gestionnaires ne sont pas si disposés à l'arrêter; mais nous serons évidemment ravis de blâmer le service informatique en cas de fuite… Seule une règle rigoureusement appliquée permettra d'éviter cela. La direction doit trouver le juste équilibre, mais il s’agit essentiellement d’un problème de personnel.

2. J'ai testé WDE (Truecrypt) sur des ordinateurs portables avec des charges de travail de niveau administrateur et ce n'est vraiment pas si grave, en termes de performances, le taux d'entrées / sorties est négligeable. Plusieurs développeurs ont également conservé des copies de travail d'environ 20 Go. Ce n'est pas une "solution" en soi; (Cela n'empêchera pas les données d'être extraites d'une machine non sécurisée au démarrage, par exemple), mais cela fermera certainement beaucoup de portes.

3. Qu'en est-il de l'interdiction générale de toutes les données détenues à l'extérieur? suivi d'un investissement dans les services de bureau à distance, d'un VPN décent et de la bande passante nécessaire à sa prise en charge. Ainsi, tout le code reste à l’intérieur du bureau; les utilisateurs obtiennent une session avec un accès réseau local aux ressources; et les machines à domicile ne deviennent que des terminaux stupides. Cela ne conviendra pas à tous les environnements (un accès intermittent ou une forte capacité d'abonnement peut être un facteur décisif dans votre cas), mais il est utile d'examiner si le travail à domicile est important pour l'entreprise.

Notre société exige le chiffrement intégral du disque sur tous les ordinateurs portables de l'entreprise. Bien sûr, il y a des frais généraux, mais pour la plupart de nos utilisateurs, ce n'est pas un problème - ils exécutent des navigateurs Web et des suites bureautiques. Mon MacBook est crypté et il n’a pas vraiment eu d’impact important sur les choses que j’ai remarquées, même lors de l’exécution de machines virtuelles sous VirtualBox. Pour quelqu'un qui passe une grande partie de sa journée à compiler de grands arbres de code, le problème pourrait être plus grave.

Vous avez évidemment besoin d'un cadre de politique pour ce genre de chose: vous devez exiger que tous les ordinateurs portables appartenant à l'entreprise soient cryptés et vous devez exiger que les données de l'entreprise ne puissent pas être stockées sur du matériel n'appartenant pas à l'entreprise. Votre politique doit également être appliquée pour le personnel technique et le personnel de direction, même s’ils se plaignent, sinon vous rencontrerez le même problème.

Je me concentrerais moins sur l'équipement lui-même, mais davantage sur les données impliquées. Cela aidera à éviter les problèmes que vous rencontrez maintenant. Vous n’avez peut-être pas l’impact nécessaire pour imposer une politique sur les équipements personnels. Cependant, vous feriez mieux d’avoir le pouvoir d’exiger que les données appartenant à la société soient traitées. En tant qu’université, nous avons des problèmes comme celui-ci à se poser tout le temps. Les professeurs ne peuvent pas être financés de manière à ce que leur département puisse acheter un ordinateur, ou acheter un serveur de traitement de données avec une subvention. En général, la solution à ces problèmes consiste à protéger les données et non le matériel.

Votre organisation a-t-elle une politique de classification des données? Si oui, que dit-il? Comment le référentiel de code serait-il classé? Quelles exigences seraient placées sur cette catégorie? Si la réponse à l'une de ces questions est "Non" ou "Je ne sais pas", je vous recommanderais alors de contacter votre bureau de la sécurité de l'information ou toute autre personne de votre organisation responsable de l'élaboration des stratégies.

Sur la base de ce que vous dites qui a été publié, si je devenais le propriétaire des données, je le classerais probablement comme étant élevé, ou code rouge, ou quel que soit votre niveau le plus élevé. Généralement, cela nécessiterait un cryptage au repos, en transit, et pourrait même indiquer certaines restrictions quant au lieu où les données peuvent être hébergées.

Au-delà de cela, vous pouvez envisager de mettre en œuvre certaines pratiques de programmation sécurisées. Un élément susceptible de codifier un cycle de développement et d'empêcher expressément les développeurs d'entrer en contact avec une base de données de production, sauf dans des circonstances étranges et rares.

1.) Travailler à distance

Pour les développeurs, le bureau à distance est une très bonne solution, sauf si la 3D est requise. La performance est généralement suffisante.

À mes yeux, le poste de travail distant est encore plus sûr que le VPN, car un ordinateur portable déverrouillé avec VPN actif permet bien plus qu'un affichage sur un serveur de terminal.

Un VPN ne devrait être attribué qu'à des personnes pouvant prouver qu'elles en ont besoin de plus.

Déplacer des données confidentielles à l'extérieur de la maison est interdit et devrait être évité si possible. Travailler en tant que développeur sans accès à Internet peut être interdit car le manque d'accès au contrôle de la source, au suivi des problèmes, aux systèmes de documentation et aux communications rend l'efficacité au mieux.

2.) Utilisation de matériel non-entreprise dans un réseau

Une entreprise doit avoir un standard de ce qui est requis du matériel connecté au LAN:

• Antivirus
• Pare-feu
• être dans le domaine, être inventarisé
• si mobile, soyez crypté
• les utilisateurs n'ont pas d'administrateur local (difficile si développeur, mais faisable)
• etc.

Le matériel étranger doit suivre ces instructions ou ne pas être dans le réseau. Vous pouvez configurer NAC pour contrôler cela.

3.) On peut faire peu de choses avec le lait renversé, mais des mesures peuvent être prises pour éviter les récidives.

Si les mesures ci-dessus sont prises et que les ordinateurs portables ne sont guère plus que des clients légers mobiles, il n'en faut pas beaucoup plus. Hé, vous pouvez même acheter des cahiers économiques (ou utiliser des vieux).

Les ordinateurs qui ne sont pas sous le contrôle de votre entreprise ne devraient pas être autorisés sur le réseau. Déjà. Il est judicieux d'utiliser quelque chose comme VMPS pour placer un équipement non autorisé dans un VLAN mis en quarantaine. De même, les données de l'entreprise n'ont aucune activité extérieure à l'équipement de l'entreprise.

Le chiffrement du disque dur est assez facile de nos jours, alors chiffrez tout ce qui reste dans les lieux. J'ai vu des ordinateurs portables manipuler de manière exceptionnellement imprudente, ce qui serait un désastre sans chiffrement intégral du disque. Les performances ne sont pas si mauvaises que cela, et les avantages l’emportent de loin. Si vous avez besoin de performances exceptionnelles, connectez VPN / RAS au matériel approprié.

Pour aller dans une autre direction à partir de certaines des autres réponses ici:

Bien qu'il soit important de protéger et de sécuriser les données, la probabilité que la personne qui a volé l'ordinateur portable:

1. Savaient ce qu'ils volaient
2. Savoir où chercher les données et le code source
3. Savoir quoi faire avec les données et le code source

Est assez improbable. Le scénario le plus probable est que la personne qui a volé l'ordinateur portable est un vieux voleur et non un espion des entreprises qui a l'intention de voler le code de votre entreprise afin de créer un produit concurrent et de le commercialiser avant votre entreprise, chassant ainsi votre entreprise. du travail.

Cela étant dit, il serait probablement de votre responsabilité de mettre en place des politiques et des mécanismes visant à empêcher cela à l'avenir, mais je ne laisserais pas cet incident vous empêcher de dormir la nuit. Vous avez perdu les données sur l'ordinateur portable, mais ce n'était probablement qu'une copie et le développement se poursuivrait sans interruption.

Les ordinateurs portables appartenant à l'entreprise, devraient utiliser des disques cryptés, etc., bien sûr, mais vous posez des questions sur les ordinateurs personnels.

Je ne vois pas cela comme un problème technique, mais plutôt comportemental. Du point de vue de la technologie, vous ne pouvez pratiquement rien faire pour empêcher quiconque de ramener du code à la maison et de le pirater - même si vous pouvez l’empêcher de vérifier formellement l’origine de tous les projets d’un projet. Extraits à la maison s'ils sont déterminés à le faire et si un extrait de code de 10 lignes (ou toute donnée) se trouve être le bit qui contient votre sauce secrète / des informations client précieuses et confidentielles / l'emplacement du Saint-Graal, alors vous ' Vous perdez peut-être aussi bien ces 10 lignes que vous perdriez 10 pages.

Alors, que veut faire l'entreprise? Il est parfaitement possible de dire que les personnes ne doivent absolument pas travailler pour l'entreprise à partir d'ordinateurs autres que ceux de l'entreprise et en faire une infraction de licenciement pour «faute flagrante» pour les personnes qui enfreignent cette règle. Est-ce une réponse appropriée à une personne victime d'un cambriolage? Cela irait-il à l'encontre de la culture de votre entreprise? L’entreprise apprécie-t-elle le fait que des personnes travaillent à domicile pendant leur temps libre et est donc prête à équilibrer le risque de perte de biens par rapport aux gains de productivité perçus? Le code perdu a-t-il été utilisé pour contrôler des armes nucléaires, des chambres fortes de banque ou des équipements de sauvetage dans des hôpitaux? En tant que telle, une atteinte à la sécurité ne peut-elle être encouragée en aucune circonstance? Avez-vous une obligation légale ou réglementaire en matière de sécurité du code "à risque"

Ce sont certaines des questions que je pense que vous devez prendre en compte, mais personne ici ne peut réellement y répondre pour vous.

Que fait votre entreprise à propos des données de l'entreprise sur du matériel n'appartenant pas à l'entreprise?

Bien entendu, les données de votre entreprise ne doivent être stockées sur des périphériques de l'entreprise que si elles ont été cryptées par votre service informatique.

Le WDE est-il une solution judicieuse? Est-ce que cela génère beaucoup de frais généraux en lecture / écriture?

Tout logiciel de chiffrement de disque aura une charge supplémentaire, mais cela en vaut la peine et tous les ordinateurs portables et les lecteurs USB externes doivent être chiffrés.

Autre que changer les mots de passe pour des choses qui ont été stockées / accédées à partir de là, y a-t-il autre chose que vous pouvez suggérer?

Vous pouvez également obtenir un logiciel d’effacement à distance comme dans un environnement BES pour les mûres.

Dans une situation où du code source est impliqué, et en particulier lorsque la machine utilisée ne peut pas être contrôlée par le service informatique de l'entreprise, je ne permettrais jamais à la personne de développer dans une session distante hébergée sur une machine dans les locaux de l'entreprise, via un VPN.

Que diriez-vous d'un logiciel d'essuyage à distance. Bien entendu, cela ne fonctionnerait que si le voleur est assez bête pour mettre l'ordinateur sous tension. Mais il y a des tonnes d'histoires de personnes qui ont même trouvé leurs ordinateurs portables volés de cette façon, alors vous pourriez avoir de la chance.

Si vous n’avez pas entré votre mot de passe pendant X heures, tout est supprimé et vous devez à nouveau passer à la caisse. Je n’avais jamais entendu parler de cela auparavant, peut-être parce que c’est en fait assez stupide, car cela demande plus de travail à l’utilisateur que le cryptage. Ce serait peut-être bien en combinaison avec le cryptage pour ceux qui s'inquiètent de la performance. Bien sûr, vous avez le problème de mise sous tension ici aussi, mais ici aucun accès Internet n'est requis.

Mon plus gros problème, à mon avis, est que cela semble impliquer que l'ordinateur portable a accès au réseau de l'entreprise. Je suppose que vous avez maintenant empêché cet ordinateur portable de passer du VPN au réseau du bureau.

Autoriser des ordinateurs non professionnels sur le réseau du bureau est une très mauvaise idée. Si ce n'est pas un ordinateur portable d'entreprise, comment pouvez-vous appliquer un antivirus adéquat? L'autoriser sur le réseau signifie que vous n'avez aucun contrôle sur les programmes qui y sont exécutés - par exemple, Warshark examine les paquets réseau, etc.

Certaines des autres réponses suggèrent que le développement en dehors des heures normales devrait être effectué dans une session RDP, etc. En réalité, cela signifie qu'ils ne peuvent travailler que s'ils disposent d'une connexion Internet - pas toujours possible dans un train, etc., mais cela nécessite également que l'ordinateur portable ait accès au serveur pour la session RDP. Vous devez examiner comment sécuriser l'accès RDP contre une personne ayant accès à un ordinateur portable volé (et probablement à certains des mots de passe stockés sur l'ordinateur portable).

Enfin, le résultat le plus probable est que l’ordinateur portable est vendu à une personne qui n’a aucun intérêt pour le contenu et qui l’utilisera simplement pour le courrier électronique et le Web. Cependant ... cela représente un gros risque pour une entreprise.

Un verrou d'ordinateur portable aurait évité le problème dans ce cas. (Je n'ai pas encore entendu parler d'un verrou de bureau, mais encore une fois, je n'ai pas encore entendu parler d'un cambrioleur volant un bureau.)

De la même manière que vous ne laissez pas vos bijoux traîner lorsque vous quittez votre maison, vous ne devriez pas laisser votre ordinateur portable non sécurisé.