私の会社のinfosecポリシーには、自分のラップトップを持ち帰ることを勧められており、私の所有物/管理を離れることはないという旨の声明が含まれています。
これはセキュリティの観点からは役に立たないようです(私とラップトップの間の平均距離が短くなると言うことができることを除いて、私はどんなプロも考えることができません...)、そして明確な短所があります:
これに欠けているものはありますか、またはこれは単に悪いセキュリティ慣行ですか?
これがTL; DRです。
これは基本的に、ノートパソコンを公共の場所に置いておくのと同じ理由です。
誰がラップトップにアクセスできるかわかりません。
家に持ち帰ることで、誰がラップトップにアクセスしたかを確実に知ることができます。それは妥協されたときに大きな改善です。行われるであろう会話について考えてみてください。
「あなたのラップトップが危険にさらされている間に何が起こりましたか?」
「一晩無人で机の上に置いたので、数千人がそれに触れる可能性がありました。」
または
「あなたのラップトップが危険にさらされている間に何が起こりましたか?」
「それを使ってYouTubeでビデオを見て、おかしな動きをし始めました」
上の状況は「私はそれを放置しました」であり、下は「感染時に使用されていたため、最初に調査するための直接的なベクトルがあります」です。私があなたのIT部門である場合、私は常に最初の状況よりも2番目の状況に対処したいと思っています。特に次の理由により:
これらの3つの理由だけでも、無人のラップトップの盗難抑止と、多くの企業が同様の慣行を採用することを決定する理由以外に大きな考慮事項です。
それは責任の問題としてしか理解できません。あなたの会社があなたのラップトップをあなたのオフィスに残すことを勧めるならば、彼らは夜の間に起こり得ることの責任を支持します。一般的な緩和アクションは物理ロックを使用します。オフィスには通常、機密性の高い/高価な商品やデータが多数含まれており、とにかくセキュリティで保護する必要があるため、これはまだ一般的な慣行です。
ノートパソコンを自宅に持って行くときは、いつでも責任があります。それが盗まれたり壊れたりした場合、あなたは、あなたの小さな男の子がどのようにそれで遊ぶことができるか、またはなぜあなたがそれをバスに置いてきたかを説明しなければなりません。さらに、レポートを完成させる必要がある場合は、夕食後1時間以上作業できます...
しかし、あなたの組織やあなたのオフィスによっては、盗難や侵害のリスクがどこにあるのか、またどこにあるのかはわかりません。これがそのポリシーの理由だとは私は思いません。
コンピュータへの物理的なアクセスは、通常、大きなセキュリティリスクです。システムがFDE、セキュアブートの有効化、BIOSで設定された管理者パスワードなどの防御策でロックダウンされていない限り、物理アクセスが可能な場合、MacまたはWindowsを実行しているコンピューターでシステムレベルのシェルを取得するのは通常、迅速なプロセスですKonbootなどのブートロードプロセスに自分自身を仕掛けるマルウェアを利用することで得られます。夜間にコンピュータを家に持ち帰ると、コンピュータへの潜在的なアクセスを防ぐことができるため、オフィスビルがこれまでに侵入された場合の機密データです。
これは別の見方をすると、デバイスの所有を維持することが推奨されている場合、組織は物理的なセキュリティの責任をあなたに委ねます。
ユーザーは、組織の責任に加えて、デバイスの物理的なセキュリティを確保する責任があります(そのため、この慣行について心配し、セキュリティを確保する方法の調査を開始します)。
さらに、誰がデバイスに物理的にアクセスできるかわからない場所にデバイスを保管せず、誰がデバイスにアクセスできるかを知っている環境(自宅)にデバイスを移動すること(そしておそらく人々のサイバースキル)は理にかなっています自宅でのアクセスは、オフィスに比べて低い場合があります)。