スタッフと個人のラップトップについてどうしますか？

今日、開発者の1人が自宅からラップトップを盗まれました。どうやら、彼は会社のソースコードの完全なsvnチェックアウトと、SQLデータベースの完全なコピーを持っていたようです。

これは、私が個人的にラップトップで会社の仕事をすることを個人的に拒否する大きな理由の1つです。
ただし、これが会社所有のラップトップであったとしても、ディスク全体に暗号化（WDE）を適用するためにわずかに強い立場にあるにもかかわらず、同じ問題を抱えています。

質問は次のとおりです。

1. あなたの会社は、会社所有でないハードウェア上の会社データについて何をしていますか？
2. WDEは賢明な解決策ですか？読み取り/書き込みで多くのオーバーヘッドが発生しますか？
3. そこから保存/アクセスされたもののパスワードを変更する以外に、何か提案できることはありますか？

1. 問題は、人々が自分のキットで無給の時間外労働をすることを許可することは非常に安価であるということです。もちろん、リークが発生した場合にITを非難することは喜ばしいことです。これを防ぐには、強力なポリシーが必要です。彼らがバランスを取りたいのは経営陣次第ですが、それは非常に人の問題です。

2. 管理者レベルのワークロードを備えたラップトップでWDE（Truecrypt）をテストしましたが、パフォーマンスに関してはそれほど悪くはありませんが、I / Oヒットは無視できます。私も数人の開発者が約20GBの作業コピーを保管しています。それ自体は「解決策」ではありません。（たとえば、起動中にデータがセキュリティで保護されていないマシンから丸lurみされるのを止めることはありません）が、確かに多くのドアを閉じます。

3. 外部で保持されているすべてのデータの全面禁止についてはどうですか。その後、リモートデスクトップサービス、適切なVPN、およびそれをサポートする帯域幅への投資が行われました。そのようにして、すべてのコードはオフィス内にとどまります。ユーザーは、リソースへのローカルネットワークアクセスでセッションを取得します。そして、家庭用機械は単なるダム端末になります。すべての環境に適しているわけではありません（断続的なアクセスや高い許容度が問題になる場合があります）が、在宅勤務が会社にとって重要かどうかを検討する価値があります。

当社では、会社所有のすべてのラップトップでディスク全体の暗号化が必要です。確かにオーバーヘッドがありますが、ほとんどのユーザーにとってこれは問題ではなく、Webブラウザーとオフィススイートを実行しています。私のMacBookは暗号化されており、VirtualBoxでVMを実行しているときでも、気づいたほど物事に影響を与えていません。1日の大半を大きなコードツリーのコンパイルに費やす人にとって、それはより大きな問題かもしれません。

当然、この種のポリシーフレームワークが必要です。会社が所有するすべてのラップトップを暗号化する必要があり、会社のデータを会社が所有していない機器に保存できないようにする必要があります。技術スタッフやエグゼクティブスタッフにも文句を言う必要がある場合でも、ポリシーを適用する必要があります。そうしないと、同じ問題に再び直面することになります。

機器自体に焦点を当てるのではなく、関連するデータに焦点を当てます。これにより、今直面している問題を回避できます。個人所有の機器に関するポリシーを義務付けるためのレバレッジがない場合があります。ただし、企業が所有するデータの処理方法を指示するためのレバレッジが必要です。大学であるため、このような問題が常に発生します。学部は、部門がコンピューターを購入できるような方法で資金提供されていないか、助成金でデータ処理サーバーを購入できる可能性があります。一般に、これらの問題の解決策は、ハードウェアではなくデータを保護することです。

組織にはデータ分類ポリシーがありますか？もしそうなら、それは何と言いますか？コードリポジトリはどのように分類されますか？そのカテゴリにはどのような要件が課されますか？これらのいずれかの答えが「いいえ」または「わからない」の場合、情報セキュリティオフィス、またはポリシーの作成を担当する組織の担当者に相談することをお勧めします。

あなたが発表したことに基づいて、私がデータ所有者であれば、おそらくそれを高、またはコードレッド、またはあなたの最高レベルに分類します。通常、これには、保管中、転送中の暗号化が必要であり、データの格納が許可される場所に関する制限が記載されている場合もあります。

それ以上に、安全なプログラミング手法を実装することを検討しているかもしれません。開発ライフサイクルを成文化し、奇妙でまれな状況を除き、開発者が本番データベースにアクセスすることを明示的に禁止するもの。

1.）リモートで作業する

開発者にとって、3Dが必要でない限り、リモートデスクトップは非常に優れたソリューションです。通常、パフォーマンスは十分です。

私の目には、リモートデスクトップはVPNよりもさらに安全です。VPNがアクティブな状態でロック解除されたノートブックは、ターミナルサーバーからのビューよりもかなり多くのことができるからです。

VPNは、さらに必要であることを証明できる人にのみ提供する必要があります。

機密データを家の外に移動することは不要であり、可能であれば防止する必要があります。インターネットアクセスのない開発者として働くことは、ソース管理、問題追跡、文書化システム、およびコミュニケーションへのアクセスがないため、せいぜい効率が悪くなるため禁止される可能性があります。

2.）ネットワークでの会社外のハードウェアの使用

企業は、LANに接続されたハードウェアに必要なものの標準を持っている必要があります。

• アンチウイルス
• ファイアウォール
• ドメイン内にあり、発明される
• モバイルの場合、暗号化される
• ユーザーにはローカル管理者がいません（開発者の場合は困難ですが、実行可能）
• 等

外部ハードウェアは、これらのガイドラインに従うか、ネット上に存在しない必要があります。NACをセットアップしてそれを制御できます。

3.）こぼれた牛乳についてはほとんど何もできませんが、再発を避けるための措置を講じることができます。

上記の手順が実行され、ノートブックがモバイルシンクライアントとほとんど変わらない場合は、それほど多くは必要ありません。ねえ、あなたも安いノートブックを購入することができます（または古いものを使用します）。

会社の管理下にないコンピューターはネットワーク上で許可されません。今まで。VMPSなどを使用して、不正な機器を検疫VLANに配置することをお勧めします。同様に、会社のデータには会社の機器以外のビジネスはありません。

ハードディスクの暗号化は最近非常に簡単になったため、敷地外にあるものはすべて暗号化します。私は、ラップトップの例外的な不注意な取り扱いを見てきましたが、これは完全なディスク暗号化なしでは災害になります。パフォーマンスの低下はそれほど悪くはなく、利益はそれをはるかに上回ります。非常に優れたパフォーマンスが必要な場合は、VPN / RASを適切なハードウェアに組み込みます。

ここの他の回答のいくつかから別の方向に進むには：

データを保護および保護することは重要ですが、ラップトップを盗んだ人が次のことを行う可能性は次のとおりです。

1. 彼らが盗んだものを知っていた
2. データとソースコードを探す場所を知っていた
3. データとソースコードをどうするかを知っていた

ありそうもない。最も可能性の高いシナリオは、ラップトップを盗んだ人は、競合製品を構築して会社の前に市場に出すために会社のソースコードを盗むことを好む企業スパイではなく、通常の古い泥棒ですビジネスの。

そうは言っても、将来的にこれを防ぐためにいくつかのポリシーとメカニズムを導入することはおそらくあなたの会社の仕事となるでしょうが、私はこの事件をあなたが夜中に起こさないようにしません。あなたはラップトップ上のデータを失いましたが、おそらくそれは単なるコピーであり、開発は中断することなく継続するでしょう。

もちろん、企業所有のラップトップは暗号化されたディスクなどを使用する必要がありますが、パソコンについて尋ねます。

これは技術的な問題ではなく、行動上の問題だと思います。誰かがコードを持ち帰ってそれをハックすることを不可能にするために、テクノロジーの観点からできることはほとんどありません-たとえ彼らがまだとることができる形式でプロジェクトへのすべてのソースをチェックアウトすることを防ぐことができるとしてもスニペットは、そうすることに決めている場合、およびコードの10行の「スニペット」（または任意のデータ）がたまたまあなたの秘密のソース/貴重で機密の顧客情報/聖杯の場所を含んでいる場合これらの10行を失うことで、10ページを失うことと同じくらい骨が折れる可能性があります。

では、ビジネスは何をしたいのでしょうか？人々が企業外のコンピューターから企業のビジネスに絶対に従事してはならず、そのルールを破った人々にとっては「重大な不正行為」解雇犯罪とすべきではないと言うことは完全に可能です。それは、強盗の犠牲者への適切な対応ですか？それはあなたの企業文化の穀物に反するでしょうか？人々が自分の時間に自宅で仕事をするので、会社はそれを好むので、財産損失のリスクと生産性の認識された利益とのバランスを取る準備ができていますか？失われたコードは、核兵器や銀行の金庫、または病院の救命設備を制御するために使用されますか？そのようなセキュリティ違反は、どのような状況でも見られませんか？「危険にさらされている」コードのセキュリティに関して法的または規制上の義務はありますか

これらはあなたが検討する必要があると思う質問の一部ですが、ここの誰も実際にあなたに答えることはできません。

あなたの会社は、会社所有でないハードウェア上の会社データについて何をしていますか？

IT部門によって暗号化されている場合を除き、会社のデータは会社のデバイスにのみ保存し、他の場所には保存しないでください。

WDEは賢明な解決策ですか？読み取り/書き込みで多くのオーバーヘッドが発生しますか？

ディスク暗号化ソフトウェアにはオーバーヘッドがありますが、それだけの価値があり、すべてのラップトップと外部USBドライブを暗号化する必要があります。

そこから保存/アクセスされたもののパスワードを変更する以外に、何か提案できることはありますか？

ブラックベリー用のBES環境と同じように、リモートワイプソフトウェアを入手することもできます。

ソースコードが関係する状況で、特に使用するマシンを会社のIT部門が制御できない場合、会社の敷地内のマシンでホストされるリモートセッションでのみ開発を許可します。 VPN。

リモートワイピングソフトウェアはどうですか。これはもちろん、泥棒がコンピ​​ューターをインターネットに接続するのに十分な能力がない場合にのみ機能します。しかし、盗まれたラップトップをこのように見つけた人々の話がたくさんあるので、あなたは幸運かもしれません。

X時間以内にパスワードを入力しなかった場合は、すべてのデータが削除され、再度チェックアウトする必要があるため、時限ワイプもオプションになります。Havnはこれを聞いたことがありません。おそらく、ユーザーからの暗号化の作業がさらに必要になるため、実際には非常に愚かだからです。パフォーマンスが心配な人には、暗号化と組み合わせて使用​​するのがよいでしょう。もちろん、ここでもパワーアップの問題がありますが、ここではインターネットは必要ありません。

これについての私の考えは、あなたの最大の問題は、ラップトップが会社のネットワークにアクセスできたことを暗示しているように見えることです。このラップトップがVPNからオフィスネットワークに侵入するのを防いでいると思います。

企業ネットワーク以外のコンピューターをオフィスネットワークに許可することは、非常に悪い考えです。会社のラップトップではない場合、どうすれば適切なウイルス対策を実施できますか。ネットワーク上で許可すると、その上で実行されているプログラムを制御できなくなります。たとえば、ネットワークパケットなどを見ているWireshark

他の回答のいくつかは、時間外の開発はRDPセッションなどの内部で行われるべきであることを示唆しています。実際には、これは彼らがインターネットに接続している場合にのみ働くことができることを意味します-電車などでは常に可能ではありませんが、ラップトップがRDPセッションのためにサーバーにアクセスできることも必要です。盗まれたラップトップ（およびおそらくラップトップに保存されているパスワードの一部）にアクセスできる人に対してRDPアクセスを保護する方法を検討する必要があります。

最後に、最も可能性の高い結果は、ラップトップがコンテンツに興味のない人に販売され、電子メールとWebに使用することです。しかし....これは、会社が取る大きなリスクです。

この場合、ラップトップのロックが問題を防ぎます。（デスクトップロックについてはまだ聞いていませんが、デスクトップを盗む強盗についてはまだ聞いていません。）

あなたが家を出るとき、あなたの宝石類を置き去りにしないのと同じ方法で、あなたはあなたのラップトップを安全でないままにすべきではありません。