يلقي الارتفاع الاستراتوسفيري في عدد هجمات الأمن السيبراني العالمية الضوء على الحاجة الماسة لاتباع أفضل الممارسات مع التشفير والأمان بشكل عام. تبني عقلية من الداخل إلى الخارج شيء واحد وضعها موضع التنفيذ هو شيء آخر.
للمساعدة ، قام الفريق في Cryptomathic بتجميع قائمة من خمسة مؤشرات رئيسية لتحسين إدارة مفاتيح التشفير لمساعدة المؤسسات على بدء الرحلة.
نصائح لتحسين إدارة مفاتيح التشفير
1. ابدأ بمفاتيح جيدة حقًا - ومسح جرد. لا شك أن أهم شيء يمكنك القيام به هو التأكد من أن مؤسستك تستخدم مفاتيح عالية الجودة. إذا كنت لا تستخدم مفاتيح جيدة ، فما هو الهدف؟ أنت تبني بيتًا من الورق.
يتطلب إنشاء مفاتيح جيدة معرفة مصدر المفاتيح وكيف تم إنشاؤها. هل قمت بإنشائها على الكمبيوتر المحمول الخاص بك أو باستخدام آلة حاسبة للجيب ، أم أنك استخدمت أداة مصممة خصيصًا لهذا الغرض؟ هل لديهم ما يكفي من الانتروبيا؟ من التوليد إلى الاستخدام وحتى التخزين ، يجب ألا تترك المفاتيح أبدًا الحدود الآمنة لوحدة أمان الأجهزة (HSM) أو جهاز مشابه.
هناك احتمالات ، أن مؤسستك تستخدم بالفعل المفاتيح والشهادات - هل تعرف أين يقيمون؟ من لديه حق الوصول إليها ولماذا؟ أين يتم تخزينها؟ كيف يتم إدارتها؟ قم بإنشاء مخزون لما لديك ثم ابدأ في تحديد أولويات إدارة دورة حياة التنظيف والمركزية لتلك المفاتيح والشهادات والأسرار.
2. قم بتحليل ملف تعريف المخاطر الخاص بك بالكامل عبر بيئتك بأكملها. يمكنك إنشاء إستراتيجية الأمن السيبراني الأكثر إشراقًا وشمولية وشمولية ، ولكن في النهاية ، لن تنجح إلا إذا قام كل فرد في مؤسستك بالشراء والامتثال لها. لهذا السبب من المهم وضع استراتيجية لإدارة المخاطر مع مدخلات من ممثلين من جميع أنحاء الشركة. قم بتضمين الأشخاص المعنيين بالامتثال والمخاطر من البداية للحفاظ على صدق العملية. لكي تكون عمليات وبروتوكولات الأمان ذات مغزى ، يجب أن تشمل الجميع من موظفي تكنولوجيا المعلومات إلى وحدات الأعمال الذين يجلبون حالات الاستخدام ويمكنهم الرجوع وشرح لزملائهم سبب أهمية خطوات الأمان.
3. جعل الامتثال نتيجة وليس الهدف النهائي. قد يبدو هذا غير منطقي ، لكن اسمعني. على الرغم من أهمية الامتثال بشكل لا يصدق ، إلا أن هناك مخاطر متأصلة في استخدام الامتثال التنظيمي باعتباره المحرك الوحيد لاستراتيجيتك. عندما يتم تصميم الأنظمة ببساطة لتحديد المربعات في قائمة المراجعة التنظيمية ، تفقد المؤسسات النقطة الأوسع والأكثر أهمية: التصميم والبناء من أجل أمان أفضل.
بدلاً من ذلك ، استخدم اللوائح والمعايير الأمنية كمبدأ توجيهي للحد الأدنى من مجموعة المتطلبات ثم تأكد من أن جهودك فعلاً تلبية احتياجاتك الأمنية وأعمالك في المستقبل. لا تدع الامتثال يصرف الانتباه عن الهدف الحقيقي.
4. التوازن بين الأمن وسهولة الاستخدام. كيف يؤثر الأمن على سهولة الاستخدام؟ هل أنشأت نظامًا آمنًا لدرجة أنه غير عملي لمعظم المستخدمين؟ من الضروري إيجاد توازن بين الأمان وتجربة المستخدم ، والتأكد من أن عمليات الأمان لا تعيق الأشخاص عن القيام بعملهم فعليًا. على سبيل المثال ، يمكن أن تكون المصادقة متعددة العوامل طريقة رائعة لجعل الوصول أكثر أمانًا ، ولكن إذا لم يتم تنفيذها بشكل صحيح ، فقد يتسبب ذلك في تعطل سير العمل وتقليل الكفاءة.
5. كن متخصصا ... يعرف متى تتصل بخبير. الإدارة الرئيسية هي عمل جاد ويجب معاملتها على هذا النحو. يجب أن يصبح شخص ما في مؤسستك ماهرًا حقًا في فهم الأدوات والتكنولوجيا لإنشاء ممارسات إدارة رئيسية جيدة في صميم كل ما تفعله مؤسستك.
في الوقت نفسه ، من المهم بنفس القدر أن تعرف متى تحتاج إلى دعم خبير ، على سبيل المثال عندما يكون لدى مؤسستك عدد كبير جدًا من المفاتيح لإدارتها. المعهد الوطني للمعايير والتكنولوجيا (NIST) ينشر أ وثيقة ضخمة التي تضع توصيات لكل ما ينبغي ولا ينبغي القيام به لإنشاء ممارسات الإدارة الرئيسية الجيدة. يتعمق محترفو التشفير في هذه التوصيات للتأكد من أن أدوات التشفير وحلول الإدارة الرئيسية المقدمة تفي بهذه المعايير. بهذه الطريقة ، عندما تحتاج مؤسستك إلى دعم إضافي لعملية الإدارة الرئيسية ، سيكون لديك إطار عمل لتقييم الخيارات والعثور على الخبرة التي تحتاجها لتأمين أصولك بشكل فعال.
