Iniziare un nuovo lavoro dopo aver lavorato a casa per anni. Come proteggere al meglio dati, segreti e privacy sul posto di lavoro?

Naviga le tue risposte
0

Ho appena iniziato un colloquio per un nuovo lavoro con il computer dopo anni di lavoro da casa.

A casa mi sento molto sicuro di come mi proteggo dalla perdita di dati e di mantenere i miei segreti al sicuro. Eseguo il backup di entrambi i nostri computer con l'incredibile CrashPlan da quattro dollari al mese e, oltre ai miei progetti di programmazione, utilizzo Bitbucket per eseguire il backup individuale di ogni cosa sostanziale sul mio computer. Ciò include il backup FEBE di Firefox, le impostazioni XYplorer, le impostazioni di Testo sublime, il mio sito Web, alcuni documenti personali e le impostazioni di configurazione di dimensioni minori per un intero gruppo di altre applicazioni).

Soprattutto, dato l'orrore di malware come (il precedente) CryptoLocker e (corrente) CryptoWall , questi backup offline non sono collegati al mio computer, tranne durante il processo di backup effettivo. Non uso Dropbox per nulla tranne i trasferimenti di documenti a breve termine. (Sarei sorpreso se Dropbox non rilasciasse una versione disconnessa a un certo punto.)

Per quanto riguarda i segreti, utilizzo 1Password (che richiede una password principale) e AxCrypt (che utilizza sia una passphrase che un file-chiave) per crittografare qualsiasi cosa anche solo leggermente privata.

La cosa più importante di cui sono preoccupato sul posto di lavoro, è come proteggi la mia password principale, che devo inserire circa cento volte al giorno?

Sto pensando di rendere il timeout 1Password moderatamente più lungo, ma per renderlo un'abitudine (assolutamente infallibile), che ogni volta che mi alzo dal computer, lo blocco ... che blocca anche il vault 1Password. Uso sempre anche il loro "Accesso sicuro".

(Dovrei ottenere una stringa e un morsetto a coccodrillo come se fossero sul tapis roulant, che quando ti allontani si spegne automaticamente.)

Seriamente, comunque, quanto lo prendi? Metti un asciugamano sulle mani ogni volta che lo inserisci?

L'altra mia preoccupazione principale è, anche se voglio minimizzare la quantità di documenti crittografati che ho sulla mia macchina da lavoro, come posso facilmente decrittografare i documenti, quando il file chiave deve essere un file di testo semplice, ma (a) Non voglio semplicemente lasciare vulnerabile il file chiave, ma (b) anch'io non voglio dover creare-utilizzare-poi-distruggere questo documento ogni volta. (Sia la passphrase di AxCrypt che il testo del file di chiavi sono in 1Password.)

La mia ultima preoccupazione principale è che il mio computer viene mangiato vivo perché un collega della stessa rete è stato ingannato nell'installazione di CryptoWall. Penso che le mie abitudini di backup in generale lo coprano, anche se non sono sicuro che il mio datore di lavoro mi consentirebbe di usare CrashPlan, o se sarei costretto a usare qualcosa in casa, il che mi spaventa un po '.

E alcuni paranoici (?) riguardano: keylogger, telecamere spia e monitoraggio della mia attività online.

Due pensieri rimanenti: eviti semplicemente i gestori di Facebook e multi-clipboard (perché conosco nessuno che ha funzionalità di protezione / eliminazione della password incorporate) al lavoro?

Mi piacerebbe una lista di controllo delle cose più importanti da tenere d'occhio, e le cose più importanti da fare / non fare, per proteggere me stesso, i miei dati, i miei segreti e la mia privacy online quando lavoro.

Grazie.

    
posta aliteralmind 11.01.2015 - 04:34
fonte

1 risposta

4

In primo luogo, penso che sia necessario distinguere tra rischio personale e rischio aziendale. Probabilmente sei abituato a essere responsabile di tutti i rischi, ma in uno scenario aziendale probabilmente non sarai responsabile della gestione dei rischi per l'azienda (eccetto che applicando la politica aziendale).

Il rischio personale e aziendale deve essere gestito in modo diverso dal tuo punto di vista, quindi ne discuterò separatamente.

Rischio personale

Questi sono rischi per i tuoi dati personali e i tuoi account quando li accedi tramite risorse aziendali. Ad esempio: la tua password di Facebook viene compromessa da un collega onlooking, il tuo cloud storage personale viene compromesso da malware nella rete aziendale, ecc.

Il fatto è che non puoi essere certo dell'integrità di una macchina di proprietà dell'azienda . Non è possibile escludere che la società non stia eseguendo software di registrazione delle chiavi a fini di monitoraggio o che non abbia installato il proprio certificato CA in modo che possano monitorare il traffico HTTPS. Anche se non è la politica aziendale a fare queste cose, è probabile che qualcuno oltre a te abbia un accesso amministratore sulla tua macchina e quindi un dipendente canaglia potrebbe potenzialmente essere una minaccia. Qualcun altro con accesso root / amministratore significa che potrebbero cambiare praticamente qualsiasi aspetto del sistema e nascondere quasi ogni indicazione delle loro modifiche.

In tale scenario dovresti considerare la tua workstation come qualsiasi altro sistema che potrebbe costituire una minaccia per i tuoi account personali , quindi:

  • Utilizza diverse chiavi master e password per gli account di lavoro e di lavoro
  • Evita di accedere a account personali particolarmente sensibili al lavoro
  • Separa il tuo account personale e di lavoro, evita di registrare indirizzi email aziendali come indirizzi di recupero, ecc.
  • Se è necessario accedere a un account personale mentre si è al lavoro, utilizzare invece un dispositivo personale

Personalmente, mentre il mio posto di lavoro non ha problemi con l'accesso a account personali come Facebook o e-mail dal lavoro, generalmente lo evito. Invece uso solo il mio telefono (che non è di proprietà dell'azienda) su 3G. Se c'è qualcosa che voglio accedere dalla mia workstation che non presenta un rischio significativo (ad esempio un collegamento che ho salvato nella mia casella di posta personale), lo inoltrerò alla mia email di lavoro dal mio telefono.

Rischio aziendale

Rischi per le risorse aziendali, ad esempio cryptolocker, perdita di dati, account di lavoro, password di lavoro, ecc.

Generalmente questa non è la tua responsabilità. La tua azienda dovrebbe disporre di politiche che considerino tali minacce in relazione al costo di mitigazione e che dovresti applicare tali criteri come richiesto .

Andare oltre le politiche aziendali obbligatorie a tua discrezione è probabilmente ok, ma tieni presente che ci saranno alcuni scenari che questo non andrà bene, ad esempio:

  • Prendere i tuoi backup di dati aziendali importanti / preziosi potrebbe essere considerato sospetto
  • Alcune precauzioni potrebbero essere deliberatamente perdonate perché è stato determinato che il costo (ad es. per la produttività) supera il rischio che riduce
  • L'introduzione del tuo software (ad esempio 1Password) potrebbe creare rischi che non sono stati considerati dalla tua azienda anche se sono destinati ad aumentare la sicurezza

TLDR; Tieni separati i tuoi account / dati personali dal lavoro e segui le norme sulla sicurezza delle informazioni aziendali.

    
risposta data 11.01.2015 - 06:51
fonte

Leggi altre domande sui tag

Perché i keylogger sono un problema per i gestori di password? Quali sono gli exploit possibili su un APK debuggable?