افزایش استراتوسفری در تعداد حملات جهانی به امنیت سایبری، نیاز حیاتی به دنبال کردن بهترین شیوههای رمزگذاری و امنیت را به طور کلی روشن میکند. پذیرفتن یک طرز فکر درون به بیرون یک چیز است؛ عملی کردن آن چیز دیگری است.
برای کمک، تیم Cryptomathic فهرستی از پنج نشانگر کلیدی برای مدیریت بهتر کلید رمزنگاری برای کمک به سازمانها در شروع سفر جمعآوری کرده است.
نکاتی برای مدیریت بهتر کلید رمزنگاری
1. با کلیدهای بسیار خوب و اسکن موجودی شروع کنید. بدون شک، مهمترین کاری که می توانید انجام دهید این است که مطمئن شوید سازمان شما از کلیدهای باکیفیت استفاده می کند. اگر از کلیدهای خوب استفاده نمی کنید، چه فایده ای دارد؟ شما در حال ساختن خانه ای از کارت هستید.
ایجاد کلیدهای خوب مستلزم دانستن اینکه کلیدها از کجا آمده اند و چگونه تولید شده اند. آیا آنها را روی لپ تاپ خود یا با ماشین حساب جیبی ایجاد کرده اید یا از ابزاری که به طور خاص برای این کار طراحی شده است استفاده کرده اید؟ آیا آنتروپی کافی دارند؟ از تولید، تا استفاده، تا ذخیره سازی، کلیدها هرگز نباید از مرزهای امن یک ماژول امنیتی سخت افزاری (HSM) یا یک دستگاه مشابه خارج شوند.
به احتمال زیاد، سازمان شما در حال حاضر از کلیدها و گواهیها استفاده میکند - آیا میدانید محل اقامت آنها چیست؟ چه کسی و چرا به آنها دسترسی دارد؟ کجا ذخیره می شوند؟ چگونه مدیریت می شوند؟ فهرستی از آنچه دارید ایجاد کنید و سپس شروع به اولویت بندی مدیریت چرخه عمر پاکسازی و متمرکزسازی برای آن کلیدها، گواهی ها و اسرار کنید.
2. کل مشخصات ریسک خود را در کل محیط خود تجزیه و تحلیل کنید. شما میتوانید درخشانترین، کاملترین و جامعترین استراتژی امنیت سایبری را ایجاد کنید، اما در نهایت، تنها زمانی موفقیتآمیز خواهد بود که همه افراد سازمان شما آن را خریداری کرده و از آن پیروی کنند. به همین دلیل مهم است که یک استراتژی مدیریت ریسک با نظرات نمایندگانی از سراسر کسب و کار ایجاد کنید. برای صادقانه نگه داشتن فرآیند، از همان ابتدا افراد پیروی و ریسک را در نظر بگیرید. برای اینکه فرآیندها و پروتکلهای امنیتی معنیدار باشند، باید همه از افراد فناوری اطلاعات گرفته تا واحدهای تجاری که موارد استفاده را ارائه میکنند را شامل شود و میتوانند به عقب برگردند و به همتایان خود توضیح دهند که چرا مراحل امنیتی ضروری است.
3. انطباق را به یک نتیجه تبدیل کنید، نه هدف نهایی. این ممکن است غیر منطقی به نظر برسد، اما صدای من را بشنوید. حتی اگر انطباق فوق العاده مهم است، استفاده از انطباق با مقررات به عنوان تنها محرک استراتژی شما یک خطر ذاتی دارد. هنگامی که سیستمها به گونهای طراحی میشوند که به سادگی کادرهای یک چک لیست نظارتی را علامت بزنند، سازمانها نکته مهمتر و گستردهتر را از دست میدهند: طراحی و ساخت برای امنیت بهتر.
در عوض، از مقررات و استانداردهای امنیتی به عنوان دستورالعملی برای حداقل مجموعه الزامات استفاده کنید و سپس مطمئن شوید که تلاش های شما واقعاً نیازهای امنیتی و کسب و کار خود را در آینده برطرف کنید. اجازه ندهید پیروی از هدف واقعی منحرف شود.
4. تعادل امنیت با قابلیت استفاده. امنیت چگونه بر قابلیت استفاده تأثیر می گذارد؟ آیا سیستمی ایجاد کرده اید که آنقدر ایمن باشد که برای اکثر کاربران غیرعملی باشد؟ یافتن تعادل بین امنیت و تجربه کاربر ضروری است، و مطمئن شوید که فرآیندهای امنیتی مانع از انجام کار واقعی افراد نمی شود. به عنوان مثال، احراز هویت چند عاملی میتواند یک راه عالی برای امنتر کردن دسترسی باشد، اما اگر به درستی پیادهسازی نشود، میتواند باعث از بین رفتن جریان کار و کاهش کارایی شود.
5. متخصص باشید ... که می داند چه زمانی باید با یک متخصص تماس بگیرد. مدیریت کلید یک تجارت جدی است و باید با آن رفتار شود. شخصی در سازمان شما باید در درک ابزارها و فناوری برای ایجاد شیوه های مدیریت کلیدی خوب در هسته اصلی هر کاری که سازمان شما انجام می دهد، واقعاً ماهر شود.
در عین حال، تشخیص اینکه چه زمانی به پشتیبانی متخصص نیاز دارید، به همان اندازه مهم است، مانند زمانی که سازمان شما کلیدهای زیادی برای مدیریت دارد. مؤسسه ملی استاندارد و فناوری (NIST) الف سند بزرگ که توصیه هایی را برای هر کاری که باید و نباید برای ایجاد شیوه های مدیریت کلیدی خوب انجام داد، ارائه می دهد. متخصصان رمزنگاری عمیقاً به این توصیهها میپردازند تا مطمئن شوند که ابزارهای رمزنگاری و راهحلهای مدیریت کلید ارائه شده با این استانداردها مطابقت دارند. به این ترتیب، زمانی که سازمان شما به پشتیبانی اضافی برای فرآیند مدیریت کلید نیاز دارد، چارچوبی برای ارزیابی گزینهها و یافتن تخصص لازم برای ایمن سازی موثر داراییهای خود خواهید داشت.