Zdaję sobie sprawę, że temat nijak związany z Ruby, ale przy okazji ostatniej dyskusji na temat pracy zdalnej zacząłem się zastanawiać czy może macie jakieś doświadczenie lub przemyślenia jak to wygląda od strony pracodawcy.
Pracuję w małej firmie (14 osób), w której wszyscy pracują zdalnie. Na takich zasadach działamy już prawie dwa lata i jak do tej pory nie było żadnych większych wtop. Firma nie jest technologiczna więc pozostałym trzynastu osobom musiałem przygotować i rozesłać komputery. Przetwarzamy wrażliwe (?) dane przez co musimy spełniać wymogi GIODO, zwiększyć bezpieczeństwo danych oraz zadbać o to żeby zminimalizować ‘głupotę’ (‘Nic się nie stanie jak obejrzę zdjęcia kotów.’, ‘Na Facebooku przecież nie ma hackerów.’) pracowników.
Moje pytanie jest następujące: Czy gdy pracujecie lub dajecie wrażliwy projekt zdalnemu pracownikami zobowiązujecie go do przestrzegania polskiego prawa? Sprawdzacie, dbacie o to żeby w razie wycieku danych być zabezpieczonym przed konsekwencjami? Dalibyście dostęp do bazy danych z niezweryfikowanych maszyn?
Ogólnie jeżeli pracują na sprzęcie firmowym a ty musisz zabezpieczyć się przed ich głupotą to proponowałbym do pracy:
Kodowanie partycji z danymi (np. TrueCrypt)
Zablokować możliwośc instalcji oprogramowania (windows na to nieźle pozwala)
Firefox z AdBlock i NoScript (drugi załatwia większość problemów z exploitami)
Wtyczka blokująca stronki “socjalne”
Antywirus
Do tego oczywiscie pełna edukacja.
Żeby zneutralizować próby objeścia blokad proponowałbym dodać w pełni odblokowaną wirtualkę wewnątrz maszyny. W ten sposób pracownicy dostaja odblokowane środowisko gdzie moą korzystać z neta bez ograniczeń jednoczęśnie jest mierna szansa że cokolwiek wydostanie się poza wirtualkę).
No ale to chyba nie oznacza, że wersja przed tym dziwnym zakończeniem działania przestała być bezpieczna, o ile oczywiście kiedykolwiek była, bo pomijam tu możliwości, że to soft specjalnie wypuszczony przez NSA czy innego trzyliterkowca albo że został złamany, bo tu chodzi raczej o zabezpieczenie przed zwykłymi przestępcami, konkurencją, szpiegami przemysłowymi, itp., którzy tak czy inaczej nie mieliby dostępu do tego, co ci nieco więksi przestępcy (potencjalnie) mają.
Czy też może inaczej, jaka alternatywa w takim razie?
Mimo wszystko bardziej ufam truecryptowi (pomimo, że padł akurat przed ważniejsza częścią audytu - http://istruecryptauditedyet.com/) niż zamkniętym rozwiązaniom typu bitlocker (nadal nie wiem, co proponujesz jako alternatywę), poza tym, jeśli ‘TC is dead’, to zawsze moga powstać forki - https://truecrypt.ch/
Szyfrowanie jako takie nie jest problemem. Korzystam w Ubuntu, więc dyski oraz pendrive’y zaszyfrowane są przy użyciu DM+Luks. Fajnie się to integruje - pyta o hasło przy włożeniu pendriva itp. TrueCrypt wydawał mi się zawsze zbyt skomplikowany przy codziennej obsłudze.
Dodatkowo do wymiany plików dawno temu porzuciliśmy Dropboksa i korzystamy w TeamDrive, który trzymamy na własnym serwerze. Podobnie z mailami które podpisujemy cyfrowo.
Co do edukacji to nie mamy żadnego konkretnego programu szkoleń czy tematów do omówienia, ale sugerujemy (i w miarę możliwości udostępniamy) kilka książek z tym związanych (‘We Are Anonymous’ P. Olson, ‘The Art of Deception’ K. Mitnick etc.). Są przystępne dla nietechnicznych i dają dość dobry obraz na co uważać w sieci.
Moim największym wyzwaniem na razie jest jednak zarządzanie tymi komputerami. Zestaw TeamViewer + ssh tunnel nie sprawdza się. Kolejną rzeczą, która należało by usprawnić to komunikacja audio-wideo. Skype rulez. Szukamy czegoś co będzie równie łatwe w obsłudze, zarówno dla nas, jak i dla zewnętrznych klienów. Testujemy WebRTC prawie co miesiąc, ale ciągle są z tym jakieś problemy.
Wracają do mojego oryginalego pytania. Żeby odciążyć koszty administracji zastanawiam się nad tym, żeby przynajmniej z części usług dało się korzystać nie z komputerów firmowych. Myślicie, że warto? Jak to wygląda z legalnego punktu widzenia? Kto jest odpowiedzialny wtedy za wyciek danych?
Generalnie trend BYOD jest dosyć rozpowszechniony. Od strony prawnej mozesz się zabezpieczyć. Wielokrotnie pracowałem nad projektami gdzie konsekwencje “wypłynięcia” danych były przerzucone na mnie i da się to zrobić.
Niestety nie jestem prawnikiem ™ więc po szczególy niestety będziesz musiał się do takowego zwrócić.
Zwracam tylko uwagę, że truecrypt nie jest taki fajny już jak pół roku temu…