Hele disk encrypten! Truecrypt is zo eenvoudig in gebruik tegenwoordig, dat een bedrijf eigenlijk best wel dom bezig is als ze het niet toepassen. Het moet door de beheerder geforceerd worden. Bij het opstarten direct al een passphrase invoeren, en anders niet booten.

encryptie kan tegenwoordig zeer gebruikersvriendelijk zijn. wat mij betreft is EncFS een uitkomst, en TrueCrypt uiteraard

Voor informatiebeveiliging is er geen “silver bullet” die alle problemen oplost. De beste aanpak is altijd nog het aanbrengen van meerder beveiligingslagen. Het versleutelen van informatie zorgt er voor dat indien een van je andere lagen van beveiliging faalt je informatie niet zomaar toegankelijk is voor derden. Echter, nu het Internet steeds meer een 'cloud' aan het worden is en je dus niet altijd (nooit?) zicht heb waar jouw informatie staat is het aan te raden om voor de beveiliging van je informatie zelf verantwoordelijk te zijn en dus je informatie te versleutelen. Het versleutelen van informatie is niet zo zeer de oplossing maar wel een noodzakelijke voorwaarde.

Ik reis elke dag met de trein naar mijn werk en ben in het gelukkige bezit van een 1e klas abonnement. Hierdoor kom ik heel veel zakenreizigers tegen die vaak met een laptop zitten te werken. Het is maar hoogst zelden dat ik iemand er op kan betrappen dat ie beveiligingssoftware op zijn laptop heeft. De meesten klappen de laptop open en zetten hem aan zonder enige vorm van pre-boot authenticatie of wat dan ook; ze loggen direct aan bij hun OS. Dit houdt tegelijkertijd in dat ze niet beschikken over een harddisk encryptie programma en dat, indien de laptop wordt gestolen of verloren, iedere beetje computergebruiker zo bij de (bedrijfs)gegevens kan.
Hier ligt een duidelijke verantwoordelijkheid voor de betreffende werkgevers. Kennelijk achten zij de waarde van hun bedrijfsinformatie minder waard dan een licentie voor een goed beveiligingsprogramma. TrueCrypt is weliswaar helemaal gratis, maar ik kan me voorstellen dat de beheerder(s) ook nog toegang tot de PC willen hebben indien er iets mis is gegaan en de gebruiker is/wordt gelockt.
Oh ja, zelf laptop ik ook regelmatig in de trein en die is adequaat beveiligd met een goed programma en voorzien van een usertoken voor authenticatie. Als mijn laptop wordt gestolen heeft de dader alleen de waarde van de computer in handen en geen bedrijfsinformatie.

De beheerder kan na installatie gewoon de oorspronkelijke key dumpen; als later het paswoord wordt veranderd, kan men door het terugplaatsen van de originele key het systeem ontsleutelen.

Beter is het geregeld in MacOSX waar je 'home' kunt versleutelen; daarbij moet een master password opgegeven worden; deze kan alle homes unlocken. Ideaal voor systeem beheer.

Het beveiligen van laptops met encryptie is één, maar het awareness is ook een onderdeel ervan! Maak je mensen attent op de gevaren die kunnen ontstaat bij het verliezen van een laptop of het rond slingeren van papieren gegevens (clean desktop, niet omdat het schoon staat, maar omdat een passant niet kan meekijken).

Encryptie is tegenwoordig zeker niet onbelangrijk, maar je kunt je ook afvragen of die gegevens wel op een laptop thuis hoort? Waarom niet werken via Citrix? Met de snelle internetverbindingen van tegenwoordig in Nederland kan dat geen struikelblok vormen, eerder leren mee omgaan of een cultuur omslag hoe met de informatie om te gaan. Niet meer op papier, maar elektronisch. Het is wennen, het kan wat omslachtiger zijn, maar dat als iemand mij verteld dat het moet, dan moet dat persoon nodig worden bij geschoold.

Classificeer je informatie, geef aan je documentatie, je informatie begrijpelijke informatie mee zoals: geheim / intern / algemeen. Verbind daaraan vast hoe ermee om te gaan. Allemaal een onderdeel van het awareness. Mensen zullen eerst om lachen, denken of dat voor hun bestemd is en later wel serieus mee omgaan (als de management erachter staat).

Maar natuurlijk in een onverwacht moment gebeurt het toch, wij zijn tenminste mensen en soms gebeuren de dingen die wij niet willen. Wie is er dan verantwoordelijk, de werkgever en werknemer zijn beide verantwoordelijk voor het verlies. De werkgever heeft een doel en de werknemer probeert dat doel te halen.

Voor dit alles bestaan er middelen, een verzekering om je zelf te beschermen, dat is goed.
Hoe zo'n een verzekering eruit komt te zien, hangt totaal af van de situatie, bedrijfs mentaliteit (wij hebben geen geheimen), type klanten waar het bedrijf mee werkt. Als je dat in een technische vorm om giet, dan krijg je Remote werken, SSL-VPN, Media Encryptie. De budget bepaald met welke leverancier je aan de slag gaat , Truecrype of Pointsec van CheckPoint.

gr,
S.

ik gebruik bijna alles van www.abylonsoft.com
Dan hebben jullie een beeld! Surf de site en lees naar DriveCrypt, en de andere software.
Groetjes
Sectrust

Natuurlijk bepaald niet het budget dat maar de eisen. Er is trouwens wel meer diskencryptiesoftware, pgp maakt ook zoiets. Maar een betaalversie nemen alleen omdat je het geld hebt? Het is crisis, je kunt op overbodige uitgaven beter bezuinigen en waarom betalen als het ook gratis kan.

Ik gebruik de Data Locker, ook wel werelds veiligste harde schijf genoemd, aangekocht via Origin storage.
Ik moet ze gelijk geven veiliger kan naar mijn mening ook niet.
Dit hele apparaat is erop gebaseerd dat er niemand aan je data kan komen. Liever alles kwijt dan alles op straat toch?

Gr. John

Het ging mij om de twee uitersten en alles wat daar tussen zit (dat staat niet duidelijk in mijn verhaal). Ook het stellen van je eisen kan niet oneindig door gaan, of het techniek is niet zover en als de techniek bestaat, valt dat binnen je budget?

Natuurlijk werkt die twee heel nauw samen, eisen en budget. Een niet te vergeten belangrijk onderdeel zijn de belangen in het project. Iedereen heeft zijn eigen belangen (Management Team, CEO, Leverancier, Adviseur, Implementator), wat vaak resulteert in een bepaald product. Maar er is veel meer wat om de hoek komt kijken....

Waarom betalen omdat het gratis kan, dat is allemaal afhankelijk in wat voor een omgeving je software installeert. Voor een top 500 kan Gartner een leidraad zijn en voor de MKB kan dat dat de buurman zijn. Wat je hier stelt is namelijk ingewikkelder dan je denkt. Een top 500 heeft eerder te maken met compliance en risk management en dus weer met ISO, PCI, SOX, CobiT, COSO, HIPAA (ik ken ze ook niet allemaal) wat op zijn beurt allemaal weer zijn eigen stelt voor wat je aanschaft.


De simpelste oplossing is niet altijd de juiste oplossing.
Met de vraagstuk of encryptie alleen voldoende is, nee, encryptie alleen is niet de oplossing.

Ik ben het oneens met de stelling.
Niet encryptie maar beveiligingsbewustzijn is de sleutel tot de oplossing.

Encryptie op zich is nooit een oplossing. het is niet meer dan maatregel die onderdeel van een oplossing kan zijn. Zo ook hier.

Een beveiligingsoplossing bestaat uit een samenhangend geheel van technische maar ook van niet technische maatregelen. Encryptie werkt technisch gezien alleen maar als het goed is toegepast, qua techniek moet je bijvoorbeeld onderstaande in orde hebben:
-een veilig algoritme
-voldoende key lengte
-voldoende wachtwoord complexiteit
-bescherming van geheugen in laptops(denk aan aanvallen met bevriezen van geheugen),

Maar dat is nog steeds vrij zinloos zolang je niet de volgende organisatorische zaken op orde hebt:
-veilig omgaan met wachtwoorden
-veiligheid van afgedrukte informatie (rondsligerend papier, afval bakken etc.)
-veiligheid rond het (digitaal) kopiëren van informatie (mee naar huis nemen, mailen etc.)
-lekken van informatie door eigen mensen is niet te voorkomen maar tref maatregelen om het te voorkomen!

In mijn ogen het belangrijkste is beveiligingsbewustzijn, begin met de zwakste schakel in het geheel: de mensen.
Pas dan kun je techniek effectief inzetten.

Dus wat stel je voor? Wachten tot de evolutie ons zo ver brengt dat we nooit meer fouten maken? Dus pak en beet over 100 miljoen jaar? Ook maar gelijk de autogordel, brandblussers etc. afschaffen met als argument dat de mens de zwakke schakel is? Juist omdat mensen fouten maken verzin je technische oplossingen om de impact van deze fouten te verkleinen. Het versleutelen van data helpt als iemand per ongeluk een laptop laat liggen in de taxi.

Encryptie is een noodzakelijk deel van de oplossing. Een ander noodzakelijk deel is strong authentication. Dus niet een wachtwoord van 8 tekens...

Ik gebruik Linux met een LUKS encrypted home-partitie. Dit is via pam-mount modules geautomatiseerd. Een over m'n schouder meekijkende treinreiziger denkt misschien dat er geen encryptie bestaat, maar toch is mijn home partitie versleuteld. Zonder mijn onmogelijk te raden, 19283 karakters lange password :-) is de informatie niet te ontsleutelen. Ook niet als iemand de harddisk uit m'n laptop haalt, en hem extern mount.

Op de link https://www.wuala.com/freemovequantumexchange is de presentatie en uitleg te vinden van een operationeel data-security systeem wat we gebruiken voor de uitwisseling van vertrouwelijke gegevens. In dit systeem wordt end-to-end computational en unconditional security van de data ondersteund in gesloten groepen. Daarnaast wordt er optioneel mobility en privacy ondersteund. Het systeem draait op standaard hardware over een standaard cominicatie infrastructuur, heeft lage kosten en een laag energie gebruik.

Dat werkt goed als er bijv. een laptop verloren of gestolen wordt. Maar de data is wel beschikbaar wanneer die gebruiker is ingelogd. Wat weerhoud deze gebruiker om op dat moment de data te kopiëren naar niet-versleutelde media of te e-mailen?

Gebruik al een tijd geen Truecrypt meer, ben overgestapt naar DiskCryptor, wat toch heel wat sneller werkt en ook boot disk encryptie heeft voor niet-vista systemen. (in tegenstelling tot truecrypt)

info/download @ www.diskcryptor.net

Software die het mogelijk maakt een policy af te dwingen om ook dit te versleutelen. Zoals bijvoorbeeld SafeGuard Enterprise van Utimaco Safeware. En een versleutelingsgateway voor uitgaande e-mail. Of in het algemeen: Data Leakage Prevention software. Ook ftp, uploaden naar een website, Messenger etc. moet afgevangen kunnen worden.

En als ik een lijst uitprint?

Waarom lees ik alleen maar software based encryptie en geen hardware encryptie ?

Als op de link https://www.wuala.com/freemovequantumexchange gekeken wordt, dan is te zien dat dit systeem hardware en software encryptie ondersteund, evenals computational en unconditional secure encryptie.

Waarom gebruik maken van truecrypt of een andere third party tool wanneer je ook gebruikt kunt maken van EFS? Voor zover ik op de hoogte ben is EFS nog nooit gekraakt (op het bevriezen van geheugen en een geheugen dump initiëren).

Ik zie verder geen reden waarom een third party tool, zoals truecrypt dus, beter werkt.

Je kunt ze ook gewoon een typemachine geven - kunnen ze ook bijna niets mee. Ze mogen de gegevens ook niet vertellen (sensor op de tong?) of natekenen of opschrijven. Kijk eens bij dilbert's evil security consultant....

http://eightpence.com/blog/wp-content/uploads/2007/11/dilbert.gif

Ik gebruik Truecrypt met een sterk wachtwoord en een daarnaast een keyfile.
De keyfile staat op mijn netwerk-homedir op het werk, en tevens op m'n usb stick die aan m'n sleutelbos hangt.
Ik sync de gevoelige informatie tussen m'n netwerk-homedir en de encrypted volume. Mocht ik buiten het bedrijf toegang nodig hebben tot de gevoelige informatie, dan kan ik er toch op een veilige manier bij.

Ik gebruik Truecrypt met een sterk wachtwoord en een daarnaast een keyfile.
De keyfile staat op mijn netwerk-homedir op het werk, en tevens op m'n usb stick die aan m'n sleutelbos hangt.
Ik sync de gevoelige informatie tussen m'n netwerk-homedir en de encrypted volume. Mocht ik buiten het bedrijf toegang nodig hebben tot de gevoelige informatie, dan kan ik er toch op een veilige manier bij.

Open source

Valt wel mee hoor... Die anoniem heeft best wel een punt. De informatie is er om gebruikt te worden... Als je het voor de eindgebruiker heel moeilijk maakt om z'n werk uit te voeren, wordt die automatisch heel inventief om toch om de security policies heen te komen. Hij moet efficient en effectief kunnen werken. Lukt dat niet, dan kost dat het bedrijf gewoon te veel geld, en het levert de werknemers allerlei frustraties op. Uiteindelijk verliezen alle technische maatregelen het hiertegen... Of het bedrijf gaat failliet, of de security wordt gebroken...
Die Dilbert cartoon laat dat op een leuke manier zien.

Security is er om dingen mogelijk te maken (veilig zaken doen). Het moet dat niet (of zo min mogelijk) in de weg zitten...

Bedankt !