افزایش استراتوسفری در تعداد حملات جهانی به امنیت سایبری، نیاز حیاتی به دنبال کردن بهترین شیوههای رمزگذاری و امنیت را به طور کلی روشن میکند. پذیرفتن یک طرز فکر درون به بیرون یک چیز است؛ عملی کردن آن چیز دیگری است.
برای کمک، تیم Cryptomathic فهرستی از پنج نشانگر کلیدی برای مدیریت بهتر کلید رمزنگاری برای کمک به سازمانها در شروع سفر جمعآوری کرده است.
نکاتی برای مدیریت بهتر کلید رمزنگاری
1. با کلیدهای بسیار خوب و اسکن موجودی شروع کنید. Without a doubt, the most important thing you can do is make sure that your organization is using high-quality keys. If you don’t use good keys, what’s the point? You’re building a house of cards.
ایجاد کلیدهای خوب مستلزم دانستن اینکه کلیدها از کجا آمده اند و چگونه تولید شده اند. آیا آنها را روی لپ تاپ خود یا با ماشین حساب جیبی ایجاد کرده اید یا از ابزاری که به طور خاص برای این کار طراحی شده است استفاده کرده اید؟ آیا آنتروپی کافی دارند؟ از تولید، تا استفاده، تا ذخیره سازی، کلیدها هرگز نباید از مرزهای امن یک ماژول امنیتی سخت افزاری (HSM) یا یک دستگاه مشابه خارج شوند.
به احتمال زیاد، سازمان شما در حال حاضر از کلیدها و گواهیها استفاده میکند - آیا میدانید محل اقامت آنها چیست؟ چه کسی و چرا به آنها دسترسی دارد؟ کجا ذخیره می شوند؟ چگونه مدیریت می شوند؟ فهرستی از آنچه دارید ایجاد کنید و سپس شروع به اولویت بندی مدیریت چرخه عمر پاکسازی و متمرکزسازی برای آن کلیدها، گواهی ها و اسرار کنید.
2. کل مشخصات ریسک خود را در کل محیط خود تجزیه و تحلیل کنید. You can create the most brilliant, thorough, and comprehensive cybersecurity strategy, but ultimately, it will only be successful if everyone in your organization buys in and complies with it. That’s why it’s important to develop a risk management strategy with input from representatives from across the business. Include compliance and risk people from the beginning to keep the process honest. For the security processes and protocols to be meaningful, they must include everyone from IT people to the business units who bring use cases and can go back and explain to their peers why the security steps are necessary.
3. انطباق را به یک نتیجه تبدیل کنید، نه هدف نهایی. This might sound counterintuitive, but hear me out. Even though compliance is incredibly important, there’s an inherent risk to using regulatory compliance as the sole driver of your strategy. When systems are designed to simply tick the boxes on a regulatory checklist, organizations miss the broader, more important point: to design and build for better security.
در عوض، از مقررات و استانداردهای امنیتی به عنوان دستورالعملی برای حداقل مجموعه الزامات استفاده کنید و سپس مطمئن شوید که تلاش های شما واقعاً نیازهای امنیتی و کسب و کار خود را در آینده برطرف کنید. Don’t let compliance be a distraction from the real objective.
4. تعادل امنیت با قابلیت استفاده. How does security affect usability? Have you created a system that’s so secure that it’s impractical for most users? It’s imperative to find a balance between security and the user experience, and to make sure that the security processes don’t hinder people from actually doing their work. For example, multifactor authentication can be a great way to make access more secure, but if it’s not implemented correctly, it can cause workflows to break down and efficiency to take a nosedive.
5. متخصص باشید ... که می داند چه زمانی باید با یک متخصص تماس بگیرد. مدیریت کلید یک تجارت جدی است و باید با آن رفتار شود. شخصی در سازمان شما باید در درک ابزارها و فناوری برای ایجاد شیوه های مدیریت کلیدی خوب در هسته اصلی هر کاری که سازمان شما انجام می دهد، واقعاً ماهر شود.
At the same time, it’s equally important to recognize when you need expert support, like when your organization has too many keys to manage. The National Institute for Standards and Technology (NIST) publishes a سند بزرگ that lays out recommendations for everything that should and shouldn’t be done to establish good key management practices. Cryptography professionals deep-dive into these recommendations to make sure that the cryptographic tools and key management solutions offered meet these standards. That way, when your organization needs additional support for the key management process, you’ll have the framework to evaluate the options and find the expertise you need to secure your assets effectively.
