Den stratosfæriske stigning i antallet af globale cybersikkerhedsangreb kaster et projektørlys på det kritiske behov for at følge bedste praksis med kryptering og sikkerhed generelt. Adopterer en indefra-ud-tankegang er én ting; at omsætte det i praksis er en anden.
For at hjælpe har teamet hos Cryptomathic udarbejdet en liste med fem nøglepunkter til bedre kryptografisk nøglestyring for at hjælpe organisationer med at starte rejsen.
Tips til bedre kryptografisk nøglestyring
1. Start med rigtig gode nøgler - og en inventarscanning. Uden tvivl er det vigtigste, du kan gøre, at sikre dig, at din organisation bruger nøgler af høj kvalitet. Hvis du ikke bruger gode nøgler, hvad er så meningen? Du bygger et korthus.
At skabe gode nøgler kræver at vide, hvor nøglerne kommer fra, og hvordan de blev genereret. Oprettede du dem på din bærbare computer eller med en lommeregner, eller brugte du et specialbygget værktøj designet specielt til jobbet? Har de nok entropi? Fra generation, til brug, til opbevaring, bør nøglerne aldrig forlade de sikre grænser for et hardwaresikkerhedsmodul (HSM) eller en lignende enhed.
Chancerne er, at din organisation allerede bruger nøgler og certifikater - ved du, hvor de befinder sig? Hvem har adgang til dem og hvorfor? Hvor opbevares de? Hvordan styres de? Opret en fortegnelse over, hvad du har, og begynd derefter at prioritere oprydning og centralisering af livscyklusstyringen for disse nøgler, certifikater og hemmeligheder.
2. Analyser hele din risikoprofil på tværs af hele dit miljø. Du kan skabe den mest geniale, grundige og omfattende cybersikkerhedsstrategi, men i sidste ende vil den kun blive en succes, hvis alle i din organisation køber ind og overholder den. Derfor er det vigtigt at udvikle en risikostyringsstrategi med input fra repræsentanter fra hele virksomheden. Inkluder compliance og risiker folk fra begyndelsen for at holde processen ærlig. For at sikkerhedsprocesserne og protokollerne skal være meningsfulde, skal de omfatte alle fra it-folk til forretningsenhederne, der bringer use cases og kan vende tilbage og forklare deres kolleger, hvorfor sikkerhedstrinene er nødvendige.
3. Gør overholdelse til et resultat, ikke det endelige mål. Det lyder måske selvmodsigende, men hør mig. Selvom compliance er utroligt vigtigt, er der en iboende risiko ved at bruge lovoverholdelse som den eneste drivkraft for din strategi. Når systemer er designet til blot at sætte kryds i boksene på en reguleringstjekliste, går organisationer glip af det bredere, vigtigere punkt: at designe og bygge for bedre sikkerhed.
Brug i stedet regler og sikkerhedsstandarder som rettesnor for minimumskravene og sørg så for, at din indsats faktisk adressere dine sikkerheds- og forretningsbehov fremover. Lad ikke overholdelse være en distraktion fra det virkelige mål.
4. Balancer sikkerhed med brugervenlighed. Hvordan påvirker sikkerhed brugervenlighed? Har du lavet et system, der er så sikkert, at det er upraktisk for de fleste brugere? Det er bydende nødvendigt at finde en balance mellem sikkerhed og brugeroplevelsen, og at sikre, at sikkerhedsprocesserne ikke hindrer folk i rent faktisk at udføre deres arbejde. For eksempel kan multifaktorgodkendelse være en fantastisk måde at gøre adgangen mere sikker på, men hvis den ikke er implementeret korrekt, kan det få arbejdsgange til at bryde sammen og effektiviteten til at tage et dyk.
5. Vær en specialist ... der ved hvornår du skal ringe til en ekspert. Nøgleledelse er seriøs forretning og bør behandles som sådan. Nogen i din organisation bør blive virkelig dygtige til at forstå værktøjerne og teknologien til at etablere god nøgleledelsespraksis i kernen af alt, hvad din organisation gør.
Samtidig er det lige så vigtigt at erkende, når du har brug for ekspertsupport, som når din organisation har for mange nøgler til at administrere. National Institute for Standards and Technology (NIST) udgiver en kæmpe dokument der opstiller anbefalinger til alt, hvad der bør og ikke bør gøres for at etablere god nøgleledelsespraksis. Professionelle i kryptografi dykker dybt ned i disse anbefalinger for at sikre, at de tilbudte kryptografiske værktøjer og nøglehåndteringsløsninger opfylder disse standarder. På den måde, når din organisation har brug for yderligere support til nøglestyringsprocessen, har du rammerne til at evaluere mulighederne og finde den ekspertise, du har brug for for at sikre dine aktiver effektivt.
