Que faites-vous du personnel et des ordinateurs portables personnels?

38

Aujourd'hui, l'un de nos développeurs s'est fait voler son ordinateur portable chez lui. Apparemment, il avait un contrôle complet du code source de la société, ainsi qu'une copie complète de la base de données SQL.

C'est l'une des principales raisons pour lesquelles je suis personnellement contre le fait de permettre à l'entreprise de travailler sur des ordinateurs portables personnels.
Cependant, même s'il s'agissait d'un ordinateur portable appartenant à une entreprise, nous aurions toujours le même problème, même si nous serions dans une position légèrement plus forte pour appliquer le cryptage (WDE) sur l'ensemble du disque.

Les questions sont les suivantes:

  1. Que fait votre entreprise à propos des données de l'entreprise sur du matériel n'appartenant pas à l'entreprise?
  2. Le WDE est-il une solution judicieuse? Est-ce que cela génère beaucoup de frais généraux en lecture / écriture?
  3. Autre que changer les mots de passe pour des choses qui ont été stockées / accédées à partir de là, y a-t-il autre chose que vous pouvez suggérer?
Tom O'Connor
la source
7
At-il été volé ou "volé"? Un jour, j’ai eu un cas où un ordinateur portable d’un employé avait mystérieusement disparu et, par hasard, c’était la seule chose qui avait été "volée" de leur maison. Et bien sûr, il y avait des milliers de dollars d’autres matériels et objets de valeur laissés intacts. Bien sûr, ils n'ont jamais appelé la police pour enquêter. Avez-vous appelé la police pour enquêter?
bakoyaro
Je ne vois pas la police enquêter sur le vol d'un ordinateur portable personnel à la demande d'un responsable de l'entreprise. Oui, je sais, vous pourriez prétendre que le code source appartenait à la société, mais, fort de son expérience, les flics haussaient les épaules et ne faisaient rien.
Belmin Fernandez
3
@bakoyaro oui, la police a été informée. Seuls son portefeuille et son ordinateur portable ont été piqués. Un peu étrange.
Tom O'Connor
1
Ce qui me préoccupe beaucoup, c'est que je ne peux pas convaincre mon superviseur et mes collègues qu'ils devraient être inquiets.
Zoredache
8
@ Tom - vous êtes inquiet maintenant? Que se passe-t-il si ces données personnelles incluent les détails de votre compte bancaire? Ouais. Cela attire toujours l'attention, hein? En réalité, peu importe votre secteur d'activité ou votre pays, les entreprises ne prennent pas toujours la sécurité des données aussi sérieusement qu'elle le devrait, et même lorsque les intentions sont bonnes, il faut faire avancer les choses peut trop souvent nous empêcher de bien faire les choses . La vraie sagesse est de savoir quand séparer cette différence et quand se
Rob Moir

Réponses:

30
  1. Le problème est que permettre aux gens de faire des heures supplémentaires non rémunérées avec leur propre kit est très bon marché, de sorte que les gestionnaires ne sont pas si disposés à l'arrêter; mais nous serons évidemment ravis de blâmer le service informatique en cas de fuite… Seule une règle rigoureusement appliquée permettra d'éviter cela. La direction doit trouver le juste équilibre, mais il s’agit essentiellement d’un problème de personnel.

  2. J'ai testé WDE (Truecrypt) sur des ordinateurs portables avec des charges de travail de niveau administrateur et ce n'est vraiment pas si grave, en termes de performances, le taux d'entrées / sorties est négligeable. Plusieurs développeurs ont également conservé des copies de travail d'environ 20 Go. Ce n'est pas une "solution" en soi; (Cela n'empêchera pas les données d'être extraites d'une machine non sécurisée au démarrage, par exemple), mais cela fermera certainement beaucoup de portes.

  3. Qu'en est-il de l'interdiction générale de toutes les données détenues à l'extérieur? suivi d'un investissement dans les services de bureau à distance, d'un VPN décent et de la bande passante nécessaire à sa prise en charge. Ainsi, tout le code reste à l’intérieur du bureau; les utilisateurs obtiennent une session avec un accès réseau local aux ressources; et les machines à domicile ne deviennent que des terminaux stupides. Cela ne conviendra pas à tous les environnements (un accès intermittent ou une forte capacité d'abonnement peut être un facteur décisif dans votre cas), mais il est utile d'examiner si le travail à domicile est important pour l'entreprise.

SmallClanger
la source
3
+1 sur la 3ème suggestion. Faites le plus de sens pour moi.
Belmin Fernandez
1
# 3 est la direction dans laquelle nous allons aussi. Pourquoi compiler sur un ordinateur portable lorsque vous pouvez intégrer un réseau privé virtuel (VPN) et un protocole RDP sur une machine virtuelle fonctionnant sur du matériel serveur? Vous ne contrôlez pas le code entrant et sortant sur le VPN car tout reste dans le réseau local du bureau.
août
2
Pour les personnes utilisant Ubuntu, elles peuvent utiliser le chiffrement LUKS intégré à l'installateur alternatif. Cela fonctionne très bien et est simple à installer au moment de l’installation.
Zoredache
7
L'option 3 (RDP / VNC) a tendance à absorber mon expérience. Le problème est que toute latence a tendance à être sérieusement gênée par les fonctionnalités d'auto-complétion des IDE les plus populaires. À moins que vos utilisateurs ne disposent d’une connexion Internet solide comme le roc avec une très faible latence, ils détesteront presque certainement une solution Remote Desktop.
Zoredache
7
Quelqu'un qui préconise le n ° 3 a-t-il réellement essayé? J'ai probablement passé des centaines ou des milliers d'heures à travailler de cette façon et je déteste ça. Même sur un réseau local, ce n'est pas amusant, et sur un réseau privé virtuel, cela me rappelle le moment où j'étais en numérotation.
Gabe
13

Notre société exige le chiffrement intégral du disque sur tous les ordinateurs portables de l'entreprise. Bien sûr, il y a des frais généraux, mais pour la plupart de nos utilisateurs, ce n'est pas un problème - ils exécutent des navigateurs Web et des suites bureautiques. Mon MacBook est crypté et il n’a pas vraiment eu d’impact important sur les choses que j’ai remarquées, même lors de l’exécution de machines virtuelles sous VirtualBox. Pour quelqu'un qui passe une grande partie de sa journée à compiler de grands arbres de code, le problème pourrait être plus grave.

Vous avez évidemment besoin d'un cadre de politique pour ce genre de chose: vous devez exiger que tous les ordinateurs portables appartenant à l'entreprise soient cryptés et vous devez exiger que les données de l'entreprise ne puissent pas être stockées sur du matériel n'appartenant pas à l'entreprise. Votre politique doit également être appliquée pour le personnel technique et le personnel de direction, même s’ils se plaignent, sinon vous rencontrerez le même problème.

alsacs
la source
5
Cela n'est possible que si les temps de compilation sont suffisamment rapides sur des disques de chiffrement. Les programmeurs feront tout ce qui est en leur pouvoir pour obtenir un système qui compile rapidement. Avec ou sans votre accord.
Ian Ringrose
4
Ouais, mais s'ils en ont marre après la compilation, ils accepteraient normalement une station de travail au bureau, non portable mais avec une incroyable puissance brute ^^
Oskar Duveborn
3
Trop vrai. Si vous envisagez de l'implémenter, je vous recommande vivement de lancer des tests de performance et de les publier pour vos développeurs. Si vous affichez un surcoût de moins de 5% pour WDE dans des conditions réelles, vous pourriez alors les intégrer. Carrot: Offrez des disques SSD aux développeurs pour adoucir la transaction. Stick: limitez-les s'ils causent une brèche en renversant votre mécanisme. : D
SmallClanger
3
Au moins, d'après ce que j'ai vu, la compilation est généralement liée au processeur plus qu'aux liens d'entrée / sortie. Je ne dis pas que le cryptage ne changera rien, mais il ne semble pas que cela devrait faire une grande différence. Cela varie probablement d'un projet à l'autre.
Zoredache
1
Il est vrai que la compilation est principalement liée à un processeur, mais la liaison nécessite généralement beaucoup d’E / S de disque (même si elle reste lourde en cpu). Je ne peux pas dire que j'ai même remarqué une différence sur un ordinateur portable i5 avec un SSD Intel G2 et l'activation de bitlocker sur tous les volumes. Cela a fonctionné si bien que je suis maintenant complètement vendu sur bitlocker To Go sur mon matériel privé aussi ^^
Oskar Duveborn
9

Je me concentrerais moins sur l'équipement lui-même, mais davantage sur les données impliquées. Cela aidera à éviter les problèmes que vous rencontrez maintenant. Vous n’avez peut-être pas l’impact nécessaire pour imposer une politique sur les équipements personnels. Cependant, vous feriez mieux d’avoir le pouvoir d’exiger que les données appartenant à la société soient traitées. En tant qu’université, nous avons des problèmes comme celui-ci à se poser tout le temps. Les professeurs ne peuvent pas être financés de manière à ce que leur département puisse acheter un ordinateur, ou acheter un serveur de traitement de données avec une subvention. En général, la solution à ces problèmes consiste à protéger les données et non le matériel.

Votre organisation a-t-elle une politique de classification des données? Si oui, que dit-il? Comment le référentiel de code serait-il classé? Quelles exigences seraient placées sur cette catégorie? Si la réponse à l'une de ces questions est "Non" ou "Je ne sais pas", je vous recommanderais alors de contacter votre bureau de la sécurité de l'information ou toute autre personne de votre organisation responsable de l'élaboration des stratégies.

Sur la base de ce que vous dites qui a été publié, si je devenais le propriétaire des données, je le classerais probablement comme étant élevé, ou code rouge, ou quel que soit votre niveau le plus élevé. Généralement, cela nécessiterait un cryptage au repos, en transit, et pourrait même indiquer certaines restrictions quant au lieu où les données peuvent être hébergées.

Au-delà de cela, vous pouvez envisager de mettre en œuvre certaines pratiques de programmation sécurisées. Un élément susceptible de codifier un cycle de développement et d'empêcher expressément les développeurs d'entrer en contact avec une base de données de production, sauf dans des circonstances étranges et rares.

Scott Pack
la source
6

1.) Travailler à distance

Pour les développeurs, le bureau à distance est une très bonne solution, sauf si la 3D est requise. La performance est généralement suffisante.

À mes yeux, le poste de travail distant est encore plus sûr que le VPN, car un ordinateur portable déverrouillé avec VPN actif permet bien plus qu'un affichage sur un serveur de terminal.

Un VPN ne devrait être attribué qu'à des personnes pouvant prouver qu'elles en ont besoin de plus.

Déplacer des données confidentielles à l'extérieur de la maison est interdit et devrait être évité si possible. Travailler en tant que développeur sans accès à Internet peut être interdit car le manque d'accès au contrôle de la source, au suivi des problèmes, aux systèmes de documentation et aux communications rend l'efficacité au mieux.

2.) Utilisation de matériel non-entreprise dans un réseau

Une entreprise doit avoir un standard de ce qui est requis du matériel connecté au LAN:

  • Antivirus
  • Pare-feu
  • être dans le domaine, être inventarisé
  • si mobile, soyez crypté
  • les utilisateurs n'ont pas d'administrateur local (difficile si développeur, mais faisable)
  • etc.

Le matériel étranger doit suivre ces instructions ou ne pas être dans le réseau. Vous pouvez configurer NAC pour contrôler cela.

3.) On peut faire peu de choses avec le lait renversé, mais des mesures peuvent être prises pour éviter les récidives.

Si les mesures ci-dessus sont prises et que les ordinateurs portables ne sont guère plus que des clients légers mobiles, il n'en faut pas beaucoup plus. Hé, vous pouvez même acheter des cahiers économiques (ou utiliser des vieux).

Posipiet
la source
3

Les ordinateurs qui ne sont pas sous le contrôle de votre entreprise ne devraient pas être autorisés sur le réseau. Déjà. Il est judicieux d'utiliser quelque chose comme VMPS pour placer un équipement non autorisé dans un VLAN mis en quarantaine. De même, les données de l'entreprise n'ont aucune activité extérieure à l'équipement de l'entreprise.

Le chiffrement du disque dur est assez facile de nos jours, alors chiffrez tout ce qui reste dans les lieux. J'ai vu des ordinateurs portables manipuler de manière exceptionnellement imprudente, ce qui serait un désastre sans chiffrement intégral du disque. Les performances ne sont pas si mauvaises que cela, et les avantages l’emportent de loin. Si vous avez besoin de performances exceptionnelles, connectez VPN / RAS au matériel approprié.

Cakemox
la source
3

Pour aller dans une autre direction à partir de certaines des autres réponses ici:

Bien qu'il soit important de protéger et de sécuriser les données, la probabilité que la personne qui a volé l'ordinateur portable:

  1. Savaient ce qu'ils volaient
  2. Savoir où chercher les données et le code source
  3. Savoir quoi faire avec les données et le code source

Est assez improbable. Le scénario le plus probable est que la personne qui a volé l'ordinateur portable est un vieux voleur et non un espion des entreprises qui a l'intention de voler le code de votre entreprise afin de créer un produit concurrent et de le commercialiser avant votre entreprise, chassant ainsi votre entreprise. du travail.

Cela étant dit, il serait probablement de votre responsabilité de mettre en place des politiques et des mécanismes visant à empêcher cela à l'avenir, mais je ne laisserais pas cet incident vous empêcher de dormir la nuit. Vous avez perdu les données sur l'ordinateur portable, mais ce n'était probablement qu'une copie et le développement se poursuivrait sans interruption.

joeqwerty
la source
La perte de données n’entraîne aucune inquiétude. Nous avons des sauvegardes et des copies qui sortent de nos oreilles. Reste que nos secrets d’entreprise font partie du référentiel SVN.
Tom O'Connor
3

Les ordinateurs portables appartenant à l'entreprise, devraient utiliser des disques cryptés, etc., bien sûr, mais vous posez des questions sur les ordinateurs personnels.

Je ne vois pas cela comme un problème technique, mais plutôt comportemental. Du point de vue de la technologie, vous ne pouvez pratiquement rien faire pour empêcher quiconque de ramener du code à la maison et de le pirater - même si vous pouvez l’empêcher de vérifier formellement l’origine de tous les projets d’un projet. Extraits à la maison s'ils sont déterminés à le faire et si un extrait de code de 10 lignes (ou toute donnée) se trouve être le bit qui contient votre sauce secrète / des informations client précieuses et confidentielles / l'emplacement du Saint-Graal, alors vous ' Vous perdez peut-être aussi bien ces 10 lignes que vous perdriez 10 pages.

Alors, que veut faire l'entreprise? Il est parfaitement possible de dire que les personnes ne doivent absolument pas travailler pour l'entreprise à partir d'ordinateurs autres que ceux de l'entreprise et en faire une infraction de licenciement pour «faute flagrante» pour les personnes qui enfreignent cette règle. Est-ce une réponse appropriée à une personne victime d'un cambriolage? Cela irait-il à l'encontre de la culture de votre entreprise? L’entreprise apprécie-t-elle le fait que des personnes travaillent à domicile pendant leur temps libre et est donc prête à équilibrer le risque de perte de biens par rapport aux gains de productivité perçus? Le code perdu a-t-il été utilisé pour contrôler des armes nucléaires, des chambres fortes de banque ou des équipements de sauvetage dans des hôpitaux? En tant que telle, une atteinte à la sécurité ne peut-elle être encouragée en aucune circonstance? Avez-vous une obligation légale ou réglementaire en matière de sécurité du code "à risque"

Ce sont certaines des questions que je pense que vous devez prendre en compte, mais personne ici ne peut réellement y répondre pour vous.

Rob Moir
la source
3

Que fait votre entreprise à propos des données de l'entreprise sur du matériel n'appartenant pas à l'entreprise?

Bien entendu, les données de votre entreprise ne doivent être stockées sur des périphériques de l'entreprise que si elles ont été cryptées par votre service informatique.

Le WDE est-il une solution judicieuse? Est-ce que cela génère beaucoup de frais généraux en lecture / écriture?

Tout logiciel de chiffrement de disque aura une charge supplémentaire, mais cela en vaut la peine et tous les ordinateurs portables et les lecteurs USB externes doivent être chiffrés.

Autre que changer les mots de passe pour des choses qui ont été stockées / accédées à partir de là, y a-t-il autre chose que vous pouvez suggérer?

Vous pouvez également obtenir un logiciel d’effacement à distance comme dans un environnement BES pour les mûres.

cpgascho
la source
veuillez utiliser guillemets >et non pas des blocs de code, voir serverfault.com/editing-help
Jeff Atwood
1

Dans une situation où du code source est impliqué, et en particulier lorsque la machine utilisée ne peut pas être contrôlée par le service informatique de l'entreprise, je ne permettrais jamais à la personne de développer dans une session distante hébergée sur une machine dans les locaux de l'entreprise, via un VPN.

Alan B
la source
Souhaitez-vous perdre une grosse commande si le logiciel est en retard à cause de l'échec de la connexion VPN? Cependant, la plupart du temps, les réseaux privés virtuels fonctionnent bien pour les développeurs de logiciels.
Ian Ringrose
Eh bien, je suppose que vous devez peser le risque que cela représente par rapport au risque que son ordinateur portable devienne un ordinateur portable avec une copie extraite de la source. À tout le moins, ils devraient avoir la source dans un volume Truecrypt.
Alan B
0

Que diriez-vous d'un logiciel d'essuyage à distance. Bien entendu, cela ne fonctionnerait que si le voleur est assez bête pour mettre l'ordinateur sous tension. Mais il y a des tonnes d'histoires de personnes qui ont même trouvé leurs ordinateurs portables volés de cette façon, alors vous pourriez avoir de la chance.

Si vous n’avez pas entré votre mot de passe pendant X heures, tout est supprimé et vous devez à nouveau passer à la caisse. Je n’avais jamais entendu parler de cela auparavant, peut-être parce que c’est en fait assez stupide, car cela demande plus de travail à l’utilisateur que le cryptage. Ce serait peut-être bien en combinaison avec le cryptage pour ceux qui s'inquiètent de la performance. Bien sûr, vous avez le problème de mise sous tension ici aussi, mais ici aucun accès Internet n'est requis.

lalalamp
la source
0

Mon plus gros problème, à mon avis, est que cela semble impliquer que l'ordinateur portable a accès au réseau de l'entreprise. Je suppose que vous avez maintenant empêché cet ordinateur portable de passer du VPN au réseau du bureau.

Autoriser des ordinateurs non professionnels sur le réseau du bureau est une très mauvaise idée. Si ce n'est pas un ordinateur portable d'entreprise, comment pouvez-vous appliquer un antivirus adéquat? L'autoriser sur le réseau signifie que vous n'avez aucun contrôle sur les programmes qui y sont exécutés - par exemple, Warshark examine les paquets réseau, etc.

Certaines des autres réponses suggèrent que le développement en dehors des heures normales devrait être effectué dans une session RDP, etc. En réalité, cela signifie qu'ils ne peuvent travailler que s'ils disposent d'une connexion Internet - pas toujours possible dans un train, etc., mais cela nécessite également que l'ordinateur portable ait accès au serveur pour la session RDP. Vous devez examiner comment sécuriser l'accès RDP contre une personne ayant accès à un ordinateur portable volé (et probablement à certains des mots de passe stockés sur l'ordinateur portable).

Enfin, le résultat le plus probable est que l’ordinateur portable est vendu à une personne qui n’a aucun intérêt pour le contenu et qui l’utilisera simplement pour le courrier électronique et le Web. Cependant ... cela représente un gros risque pour une entreprise.

Michael Shaw
la source
Vous n'avez pas besoin d'accéder au réseau de la société pour obtenir notre code source, il vous suffit d'un mot de passe SVN et de l'URL de notre serveur svn repo.
Tom O'Connor
Vous supposez que nous avons un VPN. Agréable. Je souhaite que nous avons fait.
Tom O'Connor
1
et vous craignez de perdre un ordinateur portable avec le code source dessus lorsque le code source est publié sur Internet.
Michael Shaw
-3

Un verrou d'ordinateur portable aurait évité le problème dans ce cas. (Je n'ai pas encore entendu parler d'un verrou de bureau, mais encore une fois, je n'ai pas encore entendu parler d'un cambrioleur volant un bureau.)

De la même manière que vous ne laissez pas vos bijoux traîner lorsque vous quittez votre maison, vous ne devriez pas laisser votre ordinateur portable non sécurisé.

MCS
la source
1
J'ai entendu parler de cambrioleurs volant des ordinateurs de bureau tout le temps. À $ job-1, leur ancien Mac G4 a été piqué. Ces choses pèsent une tonne.
Tom O'Connor
Je voudrais froncer les sourcils si ma société me dictait de garder mon ordinateur portable personnel en laisse à l'intérieur de ma propre maison. De meilleures serrures auraient peut-être empêché le cambriolage, etc., etc. Les ordinateurs de bureau sont volés et des serrures existent et sont utilisées dans de nombreuses entreprises. Dans l'ensemble, pas une réponse utile.
Martijn Heemels
Les serrures de style "Kensington" sont généralement suffisantes pour arrêter le voleur occasionnel. Un bon ensemble de coupe-boulons passerait très rapidement à travers un. En général, je les ai vus employés dans des bureaux simplement pour empêcher les préposés au nettoyage de voler des ordinateurs portables.
Richard Everett