How do you handle mobile security?
by Volker Weber
Whether you are a Notes or Outlook user, you may have a mobile device that contains data which belongs to your company. How do you protect it? What are you worried about? What kind of policies does your company have regarding its data on mobile devices?
I am putting together a presentation on these things and I would like some real world input. I talk to security people, and each and everyone of them has their own ideas. USB devices are something that can go from completely forbidden to well supported. Some people rely heavily on encryption while others deploy management tools that let you trace or remote wipe devices.
What's your take? Please comment in English or German as you see fit. You can also send me stuff by mail. Please indicate whether that information is confidential, whether you would want to be quoted or not.
Comments
After a recently stolen laptop, I have started using TrueCrypt. My PST files and other potentially sensitive data are now on an encrypted virtual drive protected by a strong password. This is my own initiative, as our IT department does not support any encryption solutions at this time.
Ich muss mich zum Glück nur mit einem Minimum an Daten auf meiner lokalen HD rumschlagen, nämlich die, die ich selbst erstelle (Briefe, Präsentationen, usw.) - das macht die Sache ungemein einfach.
Das Notebook ist per TrueCrypt verschlüsselt.
USB Sticks verwende ich in meiner Firma nicht - genau so wenig meine Mitarbeiter. Wir haben funktionierende Mailserver.
Mein Terminplaner ist analog... :)
Die Groupware für Terminplanungen ist anständig gesichert und ohne Kundenspezifische Daten. Nur ein "Beratung / Service / ...." und Ort + Dauer, so dass z.B. ein Mitarbeiter weiß, wann ich für Ihn Zeit hätte ohne warten zu müssen bis er mich ans Telefon bekommt. Das ganze synchronisiert mit meinem iPhone und meinem Handy.
IMHO am wichtigsten: ich lasse die Sachen nicht aus den Augen. Handy im Sacko, Terminplaner und Notebook in meiner Aktentasche, beides an mir, egal wann.
Die IT Abteilung setzt die Richtlinien der internene Sicherheitsgruppe um. Dafür werden den US Behörden Standards Rechnung getragen (wg. US Mutterkonzern).
Das heisst: alle mobilen Geräte sind grundverschlüsselt, bestimmte Dokuente und Informationen dürfen dort dennoch nicht gespeichert werden (Kundennetzdokumentation z.B.).
Ich persönlich habe den .pst File auf dem Fileserver liegen und binde diesen bei bestehender VPN Verbindung ein.
I don't really do anything special when it comes to mobile computing. I always lock the screens when away from my computers and leave my computers not unattended when in a public environment, but I don't go as far as using encryption on devices.
I'm a bit paranoid with regards to theft or loss of my mobile devices. Windows laptop was fully encrypted and secured with SafeBoot while I still had that. For my Mac I use PGP Whole Disk Encryption (WDE), with pre-boot authentication. (Unfortunately, when the Mac is in sleep mode, that doesn't work -- upon wakeup the normal Mac login appears.)
I have a "corporate" BlackBerry (BES), so that is pretty safe, and it can be destroyed remotely. Other phones carry almost no data, except for contacts and calendar; bad enough, but there is pretty little I can do to fix that.
Ich war auf der cebit etwas überrascht, dass die Businessuser durchgängig den Code-Lock am iPhone aktiviert hatten, die meisten sogar instant-on und teilweise war auch die SMS-Anzeige ausgeschaltet.
Security und Usability schließen sich nicht aus.
