Der stratosphärische Anstieg der Zahl globaler Cybersicherheitsangriffe wirft ein Schlaglicht auf die dringende Notwendigkeit, Best Practices bei Verschlüsselung und Sicherheit im Allgemeinen zu befolgen. Adoptieren eine Inside-Out-Denkweise ist eine Sache; es in die Praxis umzusetzen ist eine andere.
Zur Unterstützung hat das Team von Cryptomathic eine Liste mit fünf wichtigen Hinweisen für eine bessere Verwaltung kryptografischer Schlüssel zusammengestellt, um Unternehmen den Startschuss zu geben.
Tipps für eine bessere kryptografische Schlüsselverwaltung
1. Beginnen Sie mit wirklich guten Schlüsseln – und einem Inventarscan. Zweifellos ist das Wichtigste, was Sie tun können, sicherzustellen, dass Ihr Unternehmen hochwertige Schlüssel verwendet. Was nützt es, wenn Sie keine guten Schlüssel verwenden? Du baust ein Kartenhaus.
Um gute Schlüssel zu erstellen, muss man wissen, woher die Schlüssel kommen und wie sie generiert wurden. Haben Sie sie auf Ihrem Laptop oder mit einem Taschenrechner erstellt oder haben Sie ein speziell für diese Aufgabe entwickeltes Tool verwendet? Haben sie genug Entropie? Von der Generierung über die Nutzung bis hin zur Speicherung sollten die Schlüssel niemals die sicheren Grenzen eines Hardware-Sicherheitsmoduls (HSM) oder eines ähnlichen Geräts verlassen.
Die Chancen stehen gut, dass Ihr Unternehmen bereits Schlüssel und Zertifikate verwendet. Wissen Sie, wo sie sich befinden? Wer hat Zugriff darauf und warum? Wo werden sie gespeichert? Wie werden sie verwaltet? Erstellen Sie eine Bestandsaufnahme dessen, was Sie haben, und beginnen Sie dann mit der Priorisierung der Bereinigung und Zentralisierung des Lebenszyklusmanagements für diese Schlüssel, Zertifikate und Geheimnisse.
2. Analysieren Sie Ihr gesamtes Risikoprofil in Ihrer gesamten Umgebung. Sie können die brillanteste, gründlichste und umfassendste Cybersicherheitsstrategie entwickeln, aber letztendlich wird sie nur dann erfolgreich sein, wenn jeder in Ihrem Unternehmen mitmacht und sich daran hält. Deshalb ist es wichtig, eine Risikomanagementstrategie unter Einbeziehung von Vertretern aus dem gesamten Unternehmen zu entwickeln. Beziehen Sie Compliance- und Risikobeauftragte von Anfang an ein, um den Prozess ehrlich zu halten. Damit die Sicherheitsprozesse und -protokolle sinnvoll sind, müssen sie alle einbeziehen, vom IT-Personal bis hin zu den Geschäftseinheiten, die Anwendungsfälle einbringen und ihren Kollegen erklären können, warum die Sicherheitsmaßnahmen notwendig sind.
3. Machen Sie Compliance zu einem Ergebnis und nicht zum ultimativen Ziel. Das klingt vielleicht kontraintuitiv, aber hören Sie mir zu. Auch wenn Compliance unglaublich wichtig ist, besteht ein gewisses Risiko darin, die Einhaltung gesetzlicher Vorschriften als alleinigen Treiber Ihrer Strategie zu nutzen. Wenn Systeme so konzipiert sind, dass sie lediglich die Kästchen auf einer regulatorischen Checkliste ankreuzen, übersehen Unternehmen den umfassenderen, wichtigeren Punkt: für mehr Sicherheit zu entwerfen und zu bauen.
Nutzen Sie stattdessen Vorschriften und Sicherheitsstandards als Richtlinie für die Mindestanforderungen und stellen Sie dann sicher, dass Ihre Bemühungen tatsächlich umgesetzt werden Gehen Sie künftig auf Ihre Sicherheits- und Geschäftsanforderungen ein. Lassen Sie nicht zu, dass Compliance vom eigentlichen Ziel ablenkt.
4. Bringen Sie Sicherheit und Benutzerfreundlichkeit in Einklang. Wie wirkt sich Sicherheit auf die Benutzerfreundlichkeit aus? Haben Sie ein System geschaffen, das so sicher ist, dass es für die meisten Benutzer unpraktisch ist? Es ist unerlässlich, ein Gleichgewicht zwischen Sicherheit und Benutzererfahrung zu finden und sicherzustellen, dass die Sicherheitsprozesse die Menschen nicht daran hindern, ihre Arbeit tatsächlich zu erledigen. Beispielsweise kann die Multifaktor-Authentifizierung eine gute Möglichkeit sein, den Zugriff sicherer zu machen. Wenn sie jedoch nicht richtig implementiert wird, kann sie dazu führen, dass Arbeitsabläufe zusammenbrechen und die Effizienz sinkt.
5. Seien Sie ein Spezialist … der weiß, wann er einen Experten rufen muss. Schlüsselverwaltung ist eine ernste Angelegenheit und sollte auch so behandelt werden. Jemand in Ihrer Organisation sollte sich wirklich mit den Tools und der Technologie auskennen, um gute Schlüsselmanagementpraktiken als Kernstück aller Aktivitäten Ihrer Organisation zu etablieren.
Gleichzeitig ist es ebenso wichtig zu erkennen, wann Sie fachkundige Unterstützung benötigen, beispielsweise wenn Ihr Unternehmen zu viele Schlüssel verwalten muss. Das National Institute for Standards and Technology (NIST) veröffentlicht eine riesiges Dokument Darin werden Empfehlungen für alles dargelegt, was getan werden sollte und was nicht, um gute Schlüsselmanagementpraktiken zu etablieren. Kryptographie-Experten befassen sich eingehend mit diesen Empfehlungen, um sicherzustellen, dass die angebotenen kryptografischen Tools und Schlüsselverwaltungslösungen diesen Standards entsprechen. Wenn Ihre Organisation zusätzliche Unterstützung für den Schlüsselverwaltungsprozess benötigt, verfügen Sie auf diese Weise über den Rahmen, um die Optionen zu bewerten und das Fachwissen zu finden, das Sie zur effektiven Sicherung Ihrer Vermögenswerte benötigen.
