Meningkatnya jumlah serangan keamanan siber global menyoroti pentingnya mengikuti praktik terbaik dalam enkripsi dan keamanan secara umum. Mengadopsi pola pikir dari dalam ke luar adalah satu hal; mempraktikkannya adalah hal lain.
Untuk membantu, tim di Cryptomatic telah menyusun daftar lima petunjuk utama untuk manajemen kunci kriptografi yang lebih baik guna membantu organisasi memulai perjalanannya.
Tip untuk Manajemen Kunci Kriptografis yang Lebih Baik
1. Mulailah dengan kunci yang sangat bagus โ dan pemindaian inventaris. Tidak diragukan lagi, hal terpenting yang dapat Anda lakukan adalah memastikan organisasi Anda menggunakan kunci berkualitas tinggi. Jika Anda tidak menggunakan kunci yang bagus, apa gunanya? Anda sedang membangun rumah kartu.
Membuat kunci yang baik memerlukan pengetahuan dari mana kunci tersebut berasal dan bagaimana kunci tersebut dihasilkan. Apakah Anda membuatnya di laptop atau dengan kalkulator saku, atau apakah Anda menggunakan alat yang dirancang khusus untuk pekerjaan itu? Apakah mereka memiliki entropi yang cukup? Mulai dari pembuatan, penggunaan, hingga penyimpanan, kunci tidak boleh meninggalkan batas aman modul keamanan perangkat keras (HSM) atau perangkat serupa.
Kemungkinannya adalah, organisasi Anda sudah menggunakan kunci dan sertifikat โ tahukah Anda di mana lokasinya? Siapa yang mempunyai akses terhadapnya dan mengapa? Di mana mereka disimpan? Bagaimana cara pengelolaannya? Buat inventarisasi apa yang Anda miliki dan kemudian mulai memprioritaskan pembersihan dan sentralisasi manajemen siklus hidup untuk kunci, sertifikat, dan rahasia tersebut.
2. Analisis seluruh profil risiko Anda di seluruh lingkungan Anda. Anda dapat membuat strategi keamanan siber yang paling cemerlang, menyeluruh, dan komprehensif, namun pada akhirnya, strategi tersebut hanya akan berhasil jika semua orang di organisasi Anda menyetujui dan mematuhinya. Itulah mengapa penting untuk mengembangkan strategi manajemen risiko dengan masukan dari perwakilan seluruh bisnis. Sertakan orang-orang yang patuh dan mengambil risiko sejak awal untuk menjaga proses tetap jujur. Agar proses dan protokol keamanan menjadi bermakna, mereka harus mencakup semua orang mulai dari staf TI hingga unit bisnis yang membawa kasus penggunaan dan dapat kembali serta menjelaskan kepada rekan-rekan mereka mengapa langkah-langkah keamanan diperlukan.
3. Menjadikan kepatuhan sebagai suatu hasil, bukan tujuan akhir. Ini mungkin terdengar berlawanan dengan intuisi, tapi dengarkan saya. Meskipun kepatuhan sangatlah penting, terdapat risiko yang melekat dalam menggunakan kepatuhan terhadap peraturan sebagai satu-satunya pendorong strategi Anda. Ketika sistem dirancang untuk sekedar mencentang kotak pada daftar peraturan, organisasi kehilangan poin yang lebih luas dan lebih penting: merancang dan membangun demi keamanan yang lebih baik.
Sebaliknya, gunakan peraturan dan standar keamanan sebagai pedoman untuk serangkaian persyaratan minimum dan kemudian pastikan bahwa upaya Anda benar-benar dilakukan mengatasi kebutuhan keamanan dan bisnis Anda di masa mendatang. Jangan biarkan kepatuhan menjadi gangguan dari tujuan sebenarnya.
4. Seimbangkan keamanan dengan kegunaan. Bagaimana keamanan mempengaruhi kegunaan? Sudahkah Anda membuat sistem yang sangat aman sehingga tidak praktis bagi sebagian besar pengguna? Penting untuk menemukan keseimbangan antara keamanan dan pengalaman pengguna, dan untuk memastikan bahwa proses keamanan tidak menghalangi orang untuk benar-benar melakukan pekerjaan mereka. Misalnya, autentikasi multifaktor bisa menjadi cara terbaik untuk membuat akses menjadi lebih aman, namun jika tidak diterapkan dengan benar, hal ini dapat menyebabkan alur kerja terganggu dan efisiensi menurun.
5. Jadilah seorang spesialisโฆ yang tahu kapan harus memanggil seorang ahli. Manajemen kunci adalah urusan yang serius dan harus diperlakukan seperti itu. Seseorang di organisasi Anda harus benar-benar mahir dalam memahami alat dan teknologi untuk menetapkan praktik manajemen kunci yang baik sebagai inti dari segala hal yang dilakukan organisasi Anda.
Pada saat yang sama, penting juga untuk mengetahui kapan Anda memerlukan dukungan ahli, seperti ketika organisasi Anda memiliki terlalu banyak kunci untuk dikelola. Institut Nasional untuk Standar dan Teknologi (NIST) menerbitkan a dokumen besar yang memberikan rekomendasi mengenai segala sesuatu yang harus dan tidak boleh dilakukan untuk membangun praktik manajemen kunci yang baik. Para profesional kriptografi mendalami rekomendasi ini untuk memastikan bahwa alat kriptografi dan solusi manajemen kunci yang ditawarkan memenuhi standar ini. Dengan begitu, ketika organisasi Anda memerlukan dukungan tambahan untuk proses manajemen kunci, Anda akan memiliki kerangka kerja untuk mengevaluasi pilihan dan menemukan keahlian yang Anda perlukan untuk mengamankan aset Anda secara efektif.
