Globaalsete küberjulgeolekurünnakute arvu stratosfääriline kasv heidab tähelepanu kriitilisele vajadusele järgida krüpteerimise ja üldiselt turvalisuse parimaid tavasid. Lapsendamine seestpoolt väljapoole suunatud mõtteviis on üks asi; selle elluviimine on teine.
Selle abistamiseks on Cryptomathicu meeskond koostanud nimekirja viiest võtmenäitavast krüptovõtme paremaks haldamiseks, et aidata organisatsioonidel teekonda kiiresti alustada.
Näpunäiteid krüptograafiliste võtmete paremaks haldamiseks
1. Alustage tõeliselt heade klahvide ja laoseisu skannimisega. Kahtlemata on kõige olulisem, mida saate teha, veenduda, et teie organisatsioon kasutab kvaliteetseid võtmeid. Kui te ei kasuta häid võtmeid, siis mis mõte sellel on? Ehitate kaardimaja.
Heade võtmete loomiseks on vaja teada, kust võtmed pärinevad ja kuidas need genereeriti. Kas lõite need sülearvutis või taskukalkulaatoriga või kasutasite spetsiaalselt selle töö jaoks loodud tööriista? Kas neil on piisavalt entroopiat? Võtmed ei tohiks kunagi väljuda riistvaraturbemooduli (HSM) või sarnase seadme turvalistest piiridest alates genereerimisest kuni kasutamise ja salvestamiseni.
Tõenäoliselt kasutab teie organisatsioon juba võtmeid ja sertifikaate – kas teate nende asukohta? Kellel on neile juurdepääs ja miks? Kus neid hoitakse? Kuidas neid juhitakse? Looge loend sellest, mis teil on, ja seejärel seadke prioriteediks nende võtmete, sertifikaatide ja saladuste puhastamise ja tsentraliseerimise elutsükli haldamine.
2. Analüüsige kogu oma riskiprofiili kogu oma keskkonnas. Saate luua kõige säravama, põhjalikuma ja kõikehõlmavama küberturvalisuse strateegia, kuid lõppkokkuvõttes on see edukas ainult siis, kui kõik teie organisatsioonis osalevad ja järgivad seda. Seetõttu on oluline välja töötada riskijuhtimise strateegia, mille panusesse võtavad kogu ettevõtte esindajad. Protsessi aususe hoidmiseks kaasake algusest peale nõuetele vastavuse ja riskiga inimesi. Et turvaprotsessid ja -protokollid oleksid sisukad, peavad need hõlmama kõiki alates IT-inimestest kuni äriüksusteni, kes toovad kasutusjuhtumeid ja saavad tagasi pöörduda ja oma kaaslastele selgitada, miks turvameetmed on vajalikud.
3. Muutke järgimine tulemuseks, mitte lõppeesmärgiks. See võib tunduda vastuoluline, kuid kuulake mind. Kuigi nõuete järgimine on uskumatult oluline, kaasneb sellega oma strateegia ainsa tõukejõuna õigusnormide järgimise kasutamisele omane oht. Kui süsteemid on loodud regulatiivses kontroll-loendis lihtsalt linnukese märkimiseks, jätavad organisatsioonid tähelepanuta laiema ja olulisema punkti: projekteerida ja ehitada parema turvalisuse tagamiseks.
Selle asemel kasutage eeskirju ja turvastandardeid minimaalsete nõuete juhisena ning seejärel veenduge, et teie jõupingutused tegelikult tegeleda oma turvalisuse ja ärivajadustega edaspidi. Ärge laske järgimisel tegelikust eesmärgist kõrvale juhtida.
4. Tasakaalustage turvalisus kasutatavusega. Kuidas turvalisus kasutatavust mõjutab? Kas olete loonud süsteemi, mis on nii turvaline, et enamiku kasutajate jaoks pole see praktiline? Oluline on leida tasakaal turvalisuse ja kasutajakogemuse vahel ning tagada, et turbeprotsessid ei takistaks inimestel oma tööd tegelikult tegemast. Näiteks võib mitmefaktoriline autentimine olla suurepärane viis juurdepääsu turvalisemaks muutmiseks, kuid kui seda ei rakendata õigesti, võib see põhjustada töövoogude katkemist ja tõhususe vähenemist.
5. Olge spetsialist… kes teab, millal ekspert kutsuda. Võtmehaldus on tõsine äri ja seda tuleks sellisena käsitleda. Keegi teie organisatsioonist peaks olema tõeliselt vilunud mõistma tööriistu ja tehnoloogiat, et luua head võtmehaldustavad, mis on teie organisatsiooni tegevuse keskmes.
Samal ajal on sama oluline ära tunda, millal vajate ekspertide tuge, näiteks kui teie organisatsioonil on haldamiseks liiga palju võtmeid. National Institute for Standards and Technology (NIST) avaldab a tohutu dokument mis sisaldab soovitusi kõige kohta, mida tuleks ja mida mitte teha heade võtmehaldustavade loomiseks. Krüptograafiaspetsialistid süvenevad nendesse soovitustesse, et tagada pakutavate krüptotööriistade ja võtmehalduslahenduste vastavus nendele standarditele. Kui teie organisatsioon vajab võtmehaldusprotsessi jaoks täiendavat tuge, on teil sel viisil raamistik võimaluste hindamiseks ja oma varade tõhusaks kindlustamiseks vajalike teadmiste leidmiseks.
