38 votos

¿Qué hace con los portátiles personales y del personal?

Hoy le han robado el portátil de casa a uno de nuestros desarrolladores. Al parecer, tenía un checkout svn completo del código fuente de la empresa, así como una copia completa de la base de datos SQL.

Esta es una razón de peso por la que personalmente estoy en contra de permitir el trabajo de la empresa en los portátiles personales.
Sin embargo, incluso si se hubiera tratado de un portátil propiedad de la empresa, seguiríamos teniendo el mismo problema, aunque estaríamos en una posición ligeramente más fuerte para imponer el cifrado (WDE) en todo el disco.

Las preguntas son éstas:

  1. ¿Qué hace su empresa con los datos de la empresa en hardware que no es de su propiedad?
  2. ¿Es WDE una solución sensata? ¿Produce mucha sobrecarga en las lecturas/escrituras?
  3. Aparte de cambiar las contraseñas de las cosas que se almacenaron/accedieron desde allí, ¿hay algo más que puedas sugerir?

7 votos

¿Fue robado o fue "robado"? Una vez tuve un caso en el que el portátil de un empleado desapareció misteriosamente y, por extraña casualidad, fue lo único que "robaron" de su casa. Y, por supuesto, había miles de dólares en otro hardware y objetos de valor que quedaron intactos. Por supuesto, nunca llamaron a la policía para que investigara. ¿Has llamado a la policía para que investigue?

0 votos

No veo a la policía investigando el robo del portátil personal de alguien a petición de un funcionario de la empresa. Sí, lo sé, se podría argumentar que el código fuente era propiedad de la empresa pero, por experiencia, los policías se encogerían de hombros y no harían nada al respecto.

3 votos

@bakoyaro sí, se ha informado a la policía. Sólo le robaron la cartera y el portátil. Un poco raro.

30voto

SmallClanger Puntos 6536
  1. El problema es que permitir que la gente haga horas extra no remuneradas en su propio equipo es muy barato, así que los jefes no están tan dispuestos a impedirlo; pero, por supuesto, estarán encantados de culpar a TI cuando haya una fuga... Sólo una política que se aplique con firmeza podrá evitarlo. El equilibrio depende de la dirección, pero es un problema de personas.

  2. He probado WDE (Truecrypt) en portátiles con cargas de trabajo a nivel de administrador y realmente no es tan malo, en cuanto a rendimiento, el golpe de E/S es insignificante. Tengo varios desarrolladores manteniendo ~20GB copias de trabajo en él, también. No es una "solución" en sí misma (por ejemplo, no evitará que los datos sean robados de una máquina no segura mientras se inicia), pero ciertamente cierra muchas puertas.

  3. ¿Qué tal una prohibición general de todos los datos externos, seguida de una inversión en servicios de escritorio remoto, una VPN decente y el ancho de banda necesario? De este modo, todo el código se quedaría en la oficina, los usuarios tendrían una sesión con acceso a los recursos de la red local y los equipos domésticos se convertirían en terminales tontos. No se adaptará a todos los entornos (el acceso intermitente o la alta frecuencia podrían ser un impedimento en su caso), pero merece la pena considerarlo si el trabajo desde casa es importante para la empresa.

3 votos

+1 a la 3ª sugerencia. Para mí es la que tiene más sentido.

1 votos

3 es la dirección en la que nosotros también vamos. ¿Por qué compilar en un portátil cuando puedes conectarte por VPN y RDP a una máquina virtual que se ejecuta en el hardware de un servidor? No estás comprobando el código de entrada y salida a través de la VPN tampoco porque todo se queda en la LAN de la oficina.

0 votos

Me gusta bastante la solución #3. Aunque creo que sería bastante impopular. Significa que no puedes trabajar si estás de viaje, a menos que tengas 3G o Wifi.

13voto

Eric Noob Puntos 531

Nuestra empresa exige el cifrado de todo el disco en todos los portátiles propiedad de la empresa. Claro que hay un coste adicional, pero para la mayoría de nuestros usuarios no es un problema, ya que ejecutan navegadores web y suites ofimáticas. Mi MacBook está encriptado y no he notado ningún impacto, ni siquiera cuando ejecuto máquinas virtuales con VirtualBox. Para alguien que pasa gran parte de su día compilando grandes árboles de código podría ser un problema mayor.

Obviamente, se necesita un marco político para este tipo de cosas: hay que exigir que todos los portátiles propiedad de la empresa estén cifrados, y debe exigir que los datos de la empresa no puedan almacenarse en equipos que no sean propiedad de la empresa. La política debe aplicarse también al personal técnico y ejecutivo, aunque se quejen, porque de lo contrario volverás a encontrarte con el mismo problema.

5 votos

Esto sólo es posible si los tiempos de compilación son lo suficientemente rápidos en un disco de cifrado. Los programadores harán lo que sea para conseguir un sistema que compile rápido. Con o sin tu consentimiento.

4 votos

Sí, pero si buscan esos tiempos de compilación, lo normal es que acepten una estación de trabajo de sobremesa en la oficina, no portátil pero con una potencia bruta impresionante ^^

3 votos

Muy cierto. Definitivamente recomendaría correr algunos benchmarks y publicación a sus desarrolladores si piensa ponerlo en práctica. Si demuestra que la sobrecarga de WDE es inferior al 5% en condiciones reales, quizá consiga convencerles. Zanahoria: Ofrezca SSD a los desarrolladores para endulzar el trato. Palo: despídelos si causan una brecha subvirtiendo tu mecanismo. :D

9voto

Scott Pack Puntos 11452

Yo me centraría menos en el equipo en sí y más en los datos implicados. Así evitarás los problemas que tienes ahora. Puede que no tengas influencia para imponer una política sobre los equipos de propiedad personal. Sin embargo, es mejor que tengas la capacidad de imponer cómo se gestionan los datos propiedad de la empresa. En una universidad, este tipo de problemas surgen a menudo. Los profesores pueden no estar financiados de tal manera que su departamento pueda comprar un ordenador, o pueden comprar un servidor de procesamiento de datos con una subvención. En general, la solución a estos problemas es proteger los datos, y no el hardware.

¿Dispone su organización de una política de clasificación de datos? En caso afirmativo, ¿qué dice? ¿Cómo se clasificaría el repositorio de código? ¿Qué requisitos se impondrían a esa categoría? Si la respuesta a cualquiera de estas preguntas es "no" o "no lo sé", le recomiendo que hable con su oficina de seguridad de la información o con quien sea responsable de la elaboración de políticas en su organización.

Basándome en lo que dices que se ha publicado, si yo fuera el propietario de los datos probablemente lo clasificaría como Alto, o Código Rojo, o cualquiera que sea tu nivel más alto. Por lo general, eso requeriría cifrado en reposo, en tránsito, e incluso puede enumerar algunas restricciones sobre dónde se permite alojar los datos.

Más allá de eso, es posible que desee aplicar algunas prácticas de programación seguras. Algo que podría codificar un ciclo de vida de desarrollo y desautorizar expresamente a los desarrolladores a entrar en contacto con una base de datos de producción excepto en extrañas y raras circunstancias.

6voto

Snaky Love Puntos 111

1.) Trabajo a distancia

Para los desarrolladores, el escritorio remoto es una solución muy buena a menos que se requiera 3D. El rendimiento suele ser suficientemente bueno.

A mis ojos, el escritorio remoto es incluso más seguro que la VPN, porque un portátil desbloqueado con la VPN activa permite bastante más de lo que permitiría una vista a un servidor de terminal.

La VPN sólo debe concederse a las personas que puedan demostrar que necesitan más.

Trasladar datos confidenciales fuera de casa es un error y debe evitarse en la medida de lo posible. Trabajar como desarrollador sin acceso a Internet puede estar prohibido porque la falta de acceso al control de código fuente, al seguimiento de incidencias, a los sistemas de documentación y a las comunicaciones hace que la eficiencia sea dudosa en el mejor de los casos.

2.) Utilización de hardware ajeno a la empresa en una red

Una empresa debe tener un estándar de lo que se requiere del hardware conectado a la LAN:

  • Antivirus
  • Cortafuegos
  • estar en el dominio, ser inventariado
  • si es móvil, estar encriptado
  • los usuarios no tienen administración local (difícil si el desarrollador, pero factible)
  • etc.

El hardware extranjero debe seguir estas directrices o no estar en la red. Podrías configurar NAC para controlar eso.

3.) Poco se puede hacer con la leche derramada, pero sí se pueden tomar medidas para evitar que vuelva a ocurrir.

Si se siguen los pasos anteriores, y los portátiles son poco más que clientes ligeros móviles, no hace falta mucho más. Incluso puedes comprar portátiles baratos (o utilizar los viejos).

3voto

cpgascho Puntos 625

¿Qué hace su empresa con los datos de la empresa en hardware que no es de su propiedad?

Por supuesto, los datos de la empresa sólo deben almacenarse en los dispositivos de la empresa y en ningún otro lugar, a menos que hayan sido cifrados por el departamento informático.

¿Es WDE una solución sensata? ¿Produce mucha sobrecarga en las lecturas/escrituras?

Cualquier software de cifrado de discos tendrá algunos gastos generales, pero merece la pena y todos los portátiles y unidades USB externas deberían estar cifrados.

Aparte de cambiar las contraseñas de las cosas que se almacenaron/accedieron desde allí, ¿hay algo más que puedas sugerir?

También puedes conseguir un software de borrado remoto como el que tendrías en un entorno BES para blackberries.

0 votos

Utilice el presupuesto > y no bloques de código para las comillas, véase serverfault.com/editing-help

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X