TL; TR
Realmente depende de la organización. Cosas a considerar:
- ¿Qué tan seriamente toman la seguridad?
- ¿Hay muchos viajes que conducirían a un mayor riesgo de compromiso?
- ¿Es un riesgo el robo de una computadora o la extracción física de una unidad?
La sobrecarga para poner esto en su lugar es baja. Para una empresa grande con muchos viajes de empresa, vale la pena mantener los datos seguros. En esta época, sinceramente, no creo que puedas ser demasiado cuidadoso. Para guiarlos, describa los riesgos que conllevan los datos inseguros en un día a día, y explique que las soluciones son relativamente no invasivas y fáciles de implementar. Ese es mi $ 0.02.
Detalles
¿Contra qué protege exactamente la protección con contraseña? ¿A qué escenarios específicos es vulnerable con FDE, pero sin contraseñas en archivos críticos? ¿Está protegido si también utiliza contraseñas en esos archivos críticos? ¿Son estos escenarios realistas?
FDE protege un volumen completo. Si ese volumen es independiente del volumen de inicio, puede cuidar de que sus archivos estén protegidos mientras se encuentre en ese volumen y el volumen no esté montado . Suponiendo que se utilicen las buenas configuraciones de seguridad recomendadas. Generalmente una vez que se monta el volumen es accesible. Si los archivos dejan ese volumen, entonces están desprotegidos, y si son confidenciales, deben estar encriptados con contraseña.
Si el volumen es de inicio, una vez que se inicia el BIOS y se ingresa la contraseña correcta, se descifra y se puede acceder al volumen completo *. Esto significa que los ataques activos contra su máquina pueden acceder a sus archivos sin ningún problema. En este caso, es absolutamente necesario proteger cualquier archivo que considere sensible.
¿Qué detalles de configuración de la computadora portátil afectan esta decisión? Por ejemplo, ¿cifrado basado en contraseña vs basado en TPM? ¿Qué tan relevantes son las defensas como los bloqueos automáticos de pantalla?
Hay muchos detalles de configuración que pueden afectar a FDE. Todo esto depende de lo que estés usando.
cifrado basado en TPM es bueno si te preocupa que tu unidad de disco duro se retire físicamente de tu computadora. Un TPM vincula el volumen FDE a un dispositivo específico. Las claves de cifrado se almacenan en el TPM y solo en el TPM. Sin embargo, esto solo no es completamente seguro. Con esta configuración, la computadora tendrá FDE, pero arranque sin ninguna autenticación de contraseña. Algunas soluciones ofrecen configurar una contraseña o una llave USB física junto con el TPM. Esto proporciona la autenticación manteniendo las claves de cifrado reales en hardware. Esta es la mejor solución ya que las llaves que se encuentran dentro del TPM son seguras y ninguna pieza de software las tiene en la memoria. Bitlocker proporciona para esta configuración. Esta respuesta contiene un documento interesante sobre los ataques de arranque en frío contra soluciones FDE.
Los bloqueos de pantalla automáticos siempre son una buena idea. Si alguien intenta omitirlo reiniciando, se ejecutará en el FDE. Si alguien tiene su contraseña ... bueno, algo salió terriblemente mal.
¿Qué procesos de administración de contraseñas deben seguir los usuarios? ¿Puede el usuario usar la misma contraseña para el cifrado completo del disco que para los archivos críticos? Si no, ¿cómo los detienes?
La administración de contraseñas es probablemente la parte más importante de todo esto. Es una mala práctica usar la misma contraseña para más de un propósito. No creo que esto se haga cumplir en las soluciones de software. No hay una forma segura de hacer cumplir esto. Si el software está haciendo las cosas correctamente con contraseñas con sal, no hay forma de que el software pueda saber si una contraseña se usa en más de una instancia. Esto es realmente depende del usuario. No usaría la misma contraseña para los archivos confidenciales que usé para el FDE.