A globális kiberbiztonsági támadások számának sztratoszférikus növekedése rávilágít a titkosítás és általában a biztonság terén bevált gyakorlatok követésének kritikus fontosságára. Örökbefogadás belülről kifelé irányuló gondolkodásmód az egy dolog; gyakorlatba ültetése egy másik.
Segítségül a Cryptomathic csapata összeállított egy listát, amely öt kulcsfontosságú mutatót tartalmaz a kriptográfiai kulcsok jobb kezeléséhez, hogy segítse a szervezeteket az utazás gyors megkezdésében.
Tippek a jobb kriptográfiai kulcskezeléshez
1. Kezdje igazán jó billentyűkkel – és egy készletvizsgálattal. Kétségtelenül a legfontosabb, amit tehet, hogy megbizonyosodjon arról, hogy szervezete jó minőségű kulcsokat használ. Ha nem jó kulcsokat használsz, mi értelme van? Kártyavárat építesz.
A jó kulcsok létrehozásához tudnia kell, hogy a kulcsok honnan származnak és hogyan jöttek létre. Laptopodon vagy zsebszámológéppel készítetted őket, vagy egy erre a célra kialakított, kifejezetten a feladatra tervezett eszközt használtál? Van elég entrópiájuk? Generációtól a használaton át a tárolásig a kulcsok soha nem hagyhatják el a hardver biztonsági modul (HSM) vagy hasonló eszköz biztonságos határait.
Valószínű, hogy az Ön szervezete már használ kulcsokat és tanúsítványokat – tudja, hol találhatók? Ki férhet hozzájuk és miért? Hol tárolják? Hogyan kezelik őket? Készítsen leltárt a birtokában lévőkről, majd kezdje el prioritásként kezelni a kulcsok, tanúsítványok és titkok tisztítását és központosítását.
2. Elemezze teljes kockázati profilját a teljes környezetében. Létrehozhatja a legbriliánsabb, legalaposabb és legátfogóbb kiberbiztonsági stratégiát, de végső soron csak akkor lesz sikeres, ha a szervezetében mindenki bevállalja és betartja azt. Ezért fontos egy kockázatkezelési stratégia kidolgozása az üzletág képviselőinek hozzájárulásával. A folyamat őszinte tartása érdekében a kezdetektől fogva vonja be a megfelelőségi és kockázati személyeket. Ahhoz, hogy a biztonsági folyamatok és protokollok értelmesek legyenek, az informatikusoktól a használati eseteket hozó üzleti egységekig mindenkit tartalmazniuk kell, akik vissza tudnak menni és elmagyarázzák társaiknak, hogy miért van szükség a biztonsági lépésekre.
3. Legyen a megfelelés eredmény, ne pedig végső cél. Lehet, hogy ez ellentmondásosan hangzik, de hallgass meg. Annak ellenére, hogy a megfelelés hihetetlenül fontos, fennáll annak a kockázata, hogy a szabályozási megfelelést használja stratégiája egyetlen mozgatórugójaként. Amikor a rendszereket úgy tervezték meg, hogy egyszerűen kipipálják a jelölőnégyzeteket a szabályozási ellenőrzőlistán, a szervezetek figyelmen kívül hagyják a tágabb, fontosabb pontot: a jobb biztonság érdekében tervezni és építeni.
Ehelyett használja a szabályokat és a biztonsági szabványokat iránymutatásként a minimális követelményrendszerhez, majd győződjön meg arról, hogy erőfeszítései valóban foglalkozik biztonsági és üzleti igényeivel a jövőben. Ne hagyja, hogy a megfelelés elvonja a figyelmet a valódi célról.
4. A biztonság és a használhatóság egyensúlya. Hogyan befolyásolja a biztonság a használhatóságot? Létrehozott olyan rendszert, amely annyira biztonságos, hogy a legtöbb felhasználó számára kivitelezhetetlen? Feltétlenül meg kell találni az egyensúlyt a biztonság és a felhasználói élmény között, és meg kell győződni arról, hogy a biztonsági folyamatok nem akadályozzák az embereket abban, hogy ténylegesen elvégezzék a munkájukat. Például a többtényezős hitelesítés nagyszerű módja lehet a hozzáférés biztonságosabbá tételének, de ha nincs megfelelően implementálva, a munkafolyamatok megszakadhatnak, és a hatékonyság csökkenhet.
5. Legyen szakember… aki tudja, mikor kell szakértőt hívnia. A kulcskezelés komoly üzlet, és ekként kell kezelni. Valakinek a szervezetében igazán jártasnak kell lennie abban, hogy megértse azokat az eszközöket és technológiát, amelyekkel jó kulcsfontosságú irányítási gyakorlatokat alakíthat ki a szervezet minden tevékenységének középpontjában.
Ugyanakkor ugyanilyen fontos felismerni, mikor van szüksége szakértői támogatásra, például amikor szervezetének túl sok kulcsa van a kezeléséhez. A National Institute for Standards and Technology (NIST) közzéteszi a hatalmas dokumentum amely ajánlásokat fogalmaz meg mindarra vonatkozóan, hogy mit kell és mit nem szabad megtenni a kulcsfontosságú helyes irányítási gyakorlat kialakítása érdekében. A kriptográfiai szakemberek mélyen belemerülnek ezekbe az ajánlásokba, hogy megbizonyosodjanak arról, hogy a kínált kriptográfiai eszközök és kulcskezelési megoldások megfelelnek ezeknek a szabványoknak. Ily módon, amikor szervezetének további támogatásra van szüksége a kulcskezelési folyamathoz, akkor rendelkezésére áll a keretrendszer a lehetőségek értékeléséhez, és megtalálhatja az eszközeinek hatékony biztosításához szükséges szakértelmet.
