직원 및 개인용 랩톱에 대해 어떻게합니까?

오늘날 우리 개발자 중 한 명이 자신의 집에서 노트북을 도난당했습니다. 분명히 그는 회사의 소스 코드에 대한 전체 svn 체크 아웃과 SQL 데이터베이스의 전체 사본을 가지고있었습니다.

이것이 개인적으로 회사가 개인 랩톱에서 작업하는 것을 반대하는 이유 중 하나입니다.
그러나 이것이 회사 소유의 랩톱이더라도 전체 디스크에 암호화 (WDE)를 적용 할 수있는 약간 더 강력한 위치에 있더라도 여전히 동일한 문제가 있습니다.

질문은 다음과 같습니다.

1. 회사는 회사 소유가 아닌 하드웨어의 회사 데이터에 대해 무엇을합니까?
2. WDE는 합리적인 솔루션입니까? 읽기 / 쓰기에 많은 오버 헤드가 발생합니까?
3. 거기에서 저장 / 액세스 된 암호를 변경하는 것 외에 다른 제안이 있습니까?

1. 문제는 사람들이 자신의 키트로 초과 근무를하지 않는 것을 허용하는 것이 매우 싸기 때문에 관리자는 그것을 기꺼이 멈추지 않는다는 것입니다. 하지만 누출이 발생했을 때 IT를 비난하게되어 기쁠 것입니다 ... 강력하게 시행되는 정책 만이이를 방지 할 수 있습니다. 그들이 균형을 맞추고 자하는 곳은 경영진에게 달려 있지만, 그것은 사람들의 문제입니다.

2. 관리자 수준의 워크로드가있는 랩톱에서 WDE (Truecrypt)를 테스트했으며 성능 측면에서 나쁘지 않은 I / O 적중은 무시할 수 없습니다. 나는 ~ 20GB의 작업 복사본을 유지하는 여러 개발자들도 있습니다. 그 자체로는 '솔루션'이 아닙니다. (예를 들어 부팅하는 동안 보안되지 않은 컴퓨터에서 데이터가 제거되는 것을 막지는 않지만) 확실히 많은 문을 닫습니다.

3. 모든 외부 보유 데이터에 대한 블랭킷 금지는 어떻습니까? 원격 데스크톱 서비스, 적절한 VPN 및이를 지원하는 대역폭에 대한 투자가 이어졌습니다. 그렇게하면 모든 코드가 사무실 내부에 유지됩니다. 사용자는 리소스에 대한 로컬 네트워크 액세스 세션을 얻습니다. 가정용 기계는 멍청한 터미널이되었습니다. 모든 환경에 적합하지는 않지만 (간헐적 인 액세스 또는 높은 대기 시간은 귀하의 경우 거래를 중단시킬 수 있습니다) 재택 근무가 회사에 중요한지 고려할 가치가 있습니다.

우리 회사는 회사 소유의 모든 랩톱에서 전체 디스크 암호화를 요구합니다. 물론 오버 헤드가 있지만 대부분의 사용자에게는 이것이 문제가되지 않습니다. 웹 브라우저와 오피스 스위트를 실행하고 있습니다. 내 MacBook은 암호화되어 있기 때문에 VirtualBox에서 VM을 실행할 때도 눈에 띄는 영향을 미치지 않았습니다. 하루 종일 많은 코드를 컴파일하는 사람에게는 문제가 될 수 있습니다.

분명히 이런 종류의 정책 프레임 워크가 필요 합니다. 회사 소유의 모든 랩톱을 암호화해야하며 회사 데이터를 회사 소유가 아닌 장비에 저장할 수 없도록해야합니다. 기술 및 경영진도 불만을 제기하더라도 정책을 시행해야합니다. 그렇지 않으면 동일한 문제가 다시 발생합니다.

장비 자체에 집중하는 것이 아니라 관련된 데이터에 더 집중합니다. 이렇게하면 현재 실행중인 문제를 피할 수 있습니다. 개인 소유 장비에 대한 정책을 의무화 할 수있는 권한이 없을 수 있습니다. 그러나 회사 소유 데이터를 처리하는 방법을보다 잘 활용할 수있는 방법이 있습니다. 대학이기 때문에 항상 이런 문제가 발생합니다. 교직원이 부서에서 컴퓨터를 구매할 수있는 방식으로 자금을 지원하지 않거나 보조금으로 데이터 처리 서버를 구입할 수 있습니다. 일반적으로 이러한 문제에 대한 해결책은 하드웨어가 아닌 데이터를 보호하는 것입니다.

조직에 데이터 분류 정책이 있습니까? 그렇다면 무엇을 말합니까? 코드 리포지토리는 어떻게 분류됩니까? 해당 카테고리에 어떤 요구 사항이 적용됩니까? 이 중 하나에 대한 답변이 "아니오"또는 "모르는 경우"인 경우 정보 보안 사무소 나 조직 내 정책 개발 담당자에게 문의하는 것이 좋습니다.

당신이 발표 한 것을 근거로, 나는 데이터 소유자 였을까요? 나는 그것을 High 또는 Code Red로 분류 할 것입니다. 일반적으로 전송시 유휴 상태의 암호화가 필요하며 데이터를 저장할 수있는 위치에 대한 일부 제한 사항이 나열 될 수도 있습니다.

그 외에도 안전한 프로그래밍 방법을 구현하려고 할 수도 있습니다. 개발 수명주기를 체계화하고 이상하고 드문 상황을 제외하고 개발자가 프로덕션 데이터베이스와 접촉하는 것을 명시 적으로 금지 할 수있는 것.

1.) 원격으로 작업

개발자에게는 3D가 필요하지 않은 경우 원격 데스크톱이 매우 적합한 솔루션입니다. 성능은 일반적으로 충분합니다.

내 눈에, 원격 데스크톱은 VPN보다 훨씬 안전합니다. VPN이 활성화 된 잠금 해제 노트북은 터미널 서버를 보는 것보다 훨씬 더 많은 것을 허용하기 때문입니다.

VPN은 더 많은 것을 필요로하는 사람들에게만 제공되어야합니다.

민감한 데이터를 집 밖으로 옮기는 것은 쉬운 일이 아니며 가능하면 방지해야합니다. 소스 제어, 문제 추적, 문서 시스템 및 통신에 대한 액세스가 부족하여 최상의 효율성을 제공하므로 인터넷에 액세스 할 수없는 개발자로 작업하는 것은 금지 될 수 있습니다.

네트워크에서 회사 이외의 하드웨어 사용

회사는 LAN에 연결된 하드웨어에 필요한 표준을 갖추어야합니다.

• 안티 바이러스
• 방화벽
• 도메인에 있고, 발명되다
• 모바일 인 경우 암호화
• 사용자에게 로컬 관리자가 없습니다 (개발자에게는 어려움이 있지만 가능합니다)
• 기타

외부 하드웨어는이 지침을 따르거나 인터넷에 있지 않아야합니다. 이를 제어하기 위해 NAC를 설정할 수 있습니다.

3) 유출 된 우유에 대해서는 거의 할 수 없지만 재발을 피하기위한 조치를 취할 수 있습니다.

위의 단계를 수행하고 노트북이 모바일 씬 클라이언트 이상인 경우에는 더 이상 필요하지 않습니다. 저렴한 노트북을 사거나 오래된 노트북을 사용할 수도 있습니다.

회사가 통제하지 않는 컴퓨터는 네트워크에서 허용되지 않아야합니다. 이제까지. VMPS와 같은 것을 사용하여 불량 장비를 격리 된 VLAN에 배치하는 것이 좋습니다. 마찬가지로 회사 데이터에는 회사 장비 외부의 비즈니스가 없습니다.

하드 디스크 암호화는 요즘 꽤 쉬우므로 구내를 떠나는 모든 것을 암호화하십시오. 전체 디스크 암호화가 없으면 재난이 될 수있는 랩탑을 매우 부주의하게 처리하는 것을 보았습니다. 성능 저하는 그렇게 나쁘지 않으며 이점은 그보다 훨씬 뛰어납니다. 뛰어난 성능이 필요한 경우 적절한 하드웨어에 VPN / RAS를 설치하십시오.

다른 답변 중 일부에서 다른 방향으로 이동하려면 다음을 수행하십시오.

데이터를 보호하고 보호하는 것이 중요하지만 랩톱을 훔친 사람은 :

1. 그들이 훔친 것을 알고
2. 데이터 및 소스 코드를 찾을 수있는 곳을 알았습니다.
3. 데이터와 소스 코드로 무엇을해야하는지 알고

거의 없을 것입니다. 가장 가능성이 높은 시나리오는 랩톱을 훔친 사람이 규칙적인 오래된 도둑이며 경쟁 제품을 구축하고 회사 앞에 출시하기 위해 회사 souce 코드를 훔치려는 회사 스파이가 아니라는 점입니다. 사업.

즉, 회사에서 향후이를 방지하기 위해 몇 가지 정책과 메커니즘을 마련하는 것이 좋을 것입니다. 랩톱에서 데이터를 잃어 버렸지 만 아마도 사본 일뿐이며 개발은 중단없이 계속 될 것입니다.

회사 소유의 랩톱은 암호화 된 디스크 등을 사용해야하지만 개인용 컴퓨터에 대해 묻습니다.

나는 이것을 기술적 인 문제가 아니라 행동적인 문제로 본다. 기술적 인 관점에서 누군가가 코드를 집으로 가져 가서 해킹하는 것을 불가능하게하기 위해 할 수있는 일은 거의 없습니다. 공식적으로 모든 소스를 프로젝트에서 체크 아웃하는 것을 막을 수는 있지만 여전히 코드 조각 (또는 데이터)의 10 줄 "스 니펫"중 하나가 비밀 소스 / 귀중한 기밀 고객 정보 / 성배의 위치를 ​​포함하는 비트 인 경우, 10 페이지를 잃어 버릴 때와 마찬가지로 10 줄을 잃어 버릴 수 있습니다.

그렇다면 비즈니스는 무엇을하고 싶어 하는가? 사람들이 회사 컴퓨터가 아닌 컴퓨터에서 회사 업무를 수행해서는 안된다고 말하는 것이 완벽하게 가능합니다. 그리고 그 규칙을 어기는 사람들에게 "중도 위법 행위"해고 행위를해서는 안됩니다. 강도의 피해자 인 사람에게 적절한 대응입니까? 그것은 당신의 기업 문화의 곡물에 위배됩니까? 사람들이 자신의 시간에 집에서 일할 때 회사가 그것을 좋아합니까? 따라서 재산 손실의 위험과 생산성의 인식 된 이익의 균형을 맞출 준비가되어 있습니까? 잃어버린 코드는 병원에서 핵무기 또는 은행 금고 또는 생명을 구하는 장비를 제어하는 ​​데 사용되며 어떤 상황에서도 보안 위반을 세울 수 없습니까? "위험한"코드의 보안과 관련하여 법적 또는 규제 적 의무가 있습니까?

이것들은 당신이 고려해야 할 몇 가지 질문이지만, 아무도 당신을 위해 실제로 대답 할 수는 없습니다.

회사는 회사 소유가 아닌 하드웨어의 회사 데이터에 대해 무엇을합니까?

반드시 IT 부서에서 암호화하지 않는 한 회사 데이터는 회사 장치에만 저장해야합니다.

WDE는 합리적인 솔루션입니까? 읽기 / 쓰기에 많은 오버 헤드가 발생합니까?

모든 디스크 암호화 소프트웨어에는 약간의 오버 헤드가 있지만 그만한 가치가 있으며 모든 랩톱 및 외부 USB 드라이브는 암호화해야합니다.

거기에서 저장 / 액세스 된 암호를 변경하는 것 외에 다른 제안이 있습니까?

또한 블랙 베리 용 BES 환경에서와 같이 원격 와이프 소프트웨어를 얻을 수 있습니다.

소스 코드가 관련되어 있고 특히 사용 된 머신을 회사 IT 부서에서 제어 할 수없는 상황에서는 회사 구내의 머신에서 호스팅되는 원격 세션에서 개인이 VPN.

원격 와이 핑 소프트웨어는 어떻습니까? 이것은 물론 도둑이 컴퓨터 전원을 인터넷에 연결하기에 멍청한 경우에만 작동합니다. 그러나 도난당한 랩톱을 이런 식으로 발견 한 사람들에 대한 이야기가 너무 많아서 운이 좋을 수도 있습니다.

X 시간 내에 암호를 입력하지 않으면 모든 것이 삭제되므로 다시 체크 아웃해야합니다. 어쩌면이 사실을 들어 보지 못했을 것입니다. 아마도 사용자가 암호화하는 데 더 많은 작업이 필요하기 때문에 실제로 어리석기 때문일 수 있습니다. 성능이 걱정되는 사람들에게는 암호화와 함께 사용하는 것이 좋습니다. 물론 여기에도 전원 문제가 있지만 여기에는 인터넷이 필요하지 않습니다.

이것에 대한 내 생각은 가장 큰 문제는 랩톱이 회사 네트워크에 액세스 할 수 있음을 암시하는 것입니다. 나는 당신이 이제이 랩탑이 사무실 네트워크에 VPN을 접속하는 것을 막았다 고 가정합니다.

회사 컴퓨터가 아닌 컴퓨터를 사무실 네트워크에 허용하는 것은 정말 나쁜 생각입니다. 회사 랩톱이 아닌 경우 적절한 안티 바이러스를 어떻게 적용 할 수 있습니까? 네트워크에서 허용하면 네트워크 패킷을보고있는 wireshark와 같이 실행중인 프로그램을 제어 할 수 없습니다.

다른 답변 중 일부는 시간 외 개발이 RDP 세션 등에서 수행되어야한다고 제안합니다. 실제로 이것은 기차 등에서 항상 가능하지는 않지만 인터넷 연결이 가능한 곳에서만 작동 할 수 있음을 의미하며 랩탑이 RDP 세션을 위해 서버에 액세스 할 수 있어야합니다. 도난당한 랩톱에 액세스 할 수있는 사람 (및 랩톱에 저장된 일부 암호)에 대해 RDP 액세스를 보호하는 방법을 고려해야합니다.

마지막으로, 랩톱은 내용에 관심이없고 전자 메일 및 웹용으로 만 사용하는 사람에게 판매됩니다. 그러나 .. 그것은 회사가 감수해야 할 큰 위험입니다.

이 경우 랩톱 잠금 장치가 문제를 방지했을 수 있습니다. (나는 아직 데스크톱 잠금에 대해 들어 본 적이 없지만 다시 도둑이 데스크톱을 훔치는 강도에 대해 들어 본 적이 없다.)

집을 떠날 때 보석류를 두지 않는 것과 같은 방법으로 랩톱을 보안되지 않은 상태로두면 안됩니다.