העלייה הסטרטוספרית במספר מתקפות אבטחת סייבר גלובליות מטילה אור זרקורים על הצורך הקריטי לפעול לפי שיטות עבודה מומלצות עם הצפנה ואבטחה באופן כללי. מאמצת חשיבה מבפנים החוצה הוא דבר אחד; ליישם את זה בפועל זה משהו אחר.
כדי לסייע, הצוות ב-Cryptomathic הרכיב רשימה של חמישה נקודות מפתח לניהול טוב יותר של מפתחות קריפטוגרפיים כדי לעזור לארגונים להזניק את המסע.
טיפים לניהול מפתח קריפטוגרפי טוב יותר
1. התחל עם מפתחות טובים באמת - וסריקת מלאי. ללא ספק, הדבר החשוב ביותר שאתה יכול לעשות הוא לוודא שהארגון שלך משתמש במפתחות איכותיים. אם אתה לא משתמש במפתחות טובים, מה הטעם? אתה בונה בית קלפים.
יצירת מפתחות טובים דורשת לדעת מאיפה המפתחות מגיעים וכיצד הם נוצרו. האם יצרת אותם במחשב הנייד שלך או עם מחשבון כיס, או שהשתמשת בכלי ייעודי שתוכנן במיוחד עבור העבודה? האם יש להם מספיק אנטרופיה? מהדור, לשימוש ועד לאחסון, המפתחות לעולם לא יעזבו את הגבולות המאובטחים של מודול אבטחת חומרה (HSM) או התקן דומה.
רוב הסיכויים שהארגון שלך כבר משתמש במפתחות ובאישורים - האם אתה יודע היכן הם שוכנים? למי יש גישה אליהם ולמה? איפה הם מאוחסנים? איך הם מנוהלים? צור מלאי של מה שיש לך ואז התחל לתעדף את ניהול מחזור החיים של הניקיון והריכוזיות עבור אותם מפתחות, אישורים וסודות.
2. נתח את כל פרופיל הסיכון שלך על פני כל הסביבה שלך. אתה יכול ליצור את אסטרטגיית אבטחת הסייבר המבריקה, היסודית והמקיפה ביותר, אבל בסופו של דבר, היא תצליח רק אם כולם בארגון שלך ירכשו אותה ויעמדו בה. לכן חשוב לפתח אסטרטגיית ניהול סיכונים עם תשומות מנציגים מכל העסק. כלול ציות וסיכון אנשים מההתחלה כדי לשמור על כנות התהליך. כדי שתהליכי האבטחה והפרוטוקולים יהיו משמעותיים, הם חייבים לכלול את כולם מאנשי IT ועד ליחידות העסקיות שמביאים מקרי שימוש ויכולים לחזור ולהסביר לעמיתיהם מדוע שלבי האבטחה נחוצים.
3. הפוך את הציות לתוצאה, לא למטרה הסופית. זה אולי נשמע מנוגד לאינטואיציה, אבל שמע אותי. למרות שתאימות חשובה להפליא, קיים סיכון מובנה בשימוש בציות לרגולציה כמניע הבלעדי של האסטרטגיה שלך. כאשר מערכות מתוכננות פשוט לסמן את התיבות ברשימת רגולציה, ארגונים מפספסים את הנקודה הרחבה והחשובה יותר: לתכנן ולבנות לאבטחה טובה יותר.
במקום זאת, השתמש בתקנות ובתקני אבטחה כקו מנחה למערכת המינימלית של דרישות ולאחר מכן וודא שהמאמצים שלך אכן לתת מענה לצרכי האבטחה והעסקים שלך בעתיד. אל תתנו לציות להסיח את הדעת מהמטרה האמיתית.
4. איזון בין אבטחה לשימושיות. כיצד אבטחה משפיעה על השימושיות? האם יצרת מערכת כל כך מאובטחת שהיא לא מעשית עבור רוב המשתמשים? הכרחי למצוא איזון בין אבטחה לחוויית המשתמש, ולוודא שתהליכי האבטחה לא יפריעו לאנשים לבצע בפועל את עבודתם. לדוגמה, אימות רב-גורמי יכול להיות דרך מצוינת להפוך את הגישה לאבטחה יותר, אך אם היא לא מיושמת כהלכה, היא עלולה לגרום להתמוטטות זרימות העבודה וליעילות לצלול.
5. להיות מומחה ... שיודע מתי לקרוא למומחה. ניהול מפתח הוא עסק רציני ויש להתייחס אליו ככזה. מישהו בארגון שלך צריך להיות מיומן באמת בהבנת הכלים והטכנולוגיה כדי לבסס שיטות ניהול מפתח טובות בליבה של כל מה שהארגון שלך עושה.
יחד עם זאת, חשוב לא פחות לזהות מתי אתה זקוק לתמיכה של מומחים, כמו כאשר לארגון שלך יש יותר מדי מפתחות לניהול. המכון הלאומי לתקנים וטכנולוגיה (NIST) מפרסם א מסמך ענק שמפרטת המלצות לכל מה שצריך ואסור לעשות כדי לבסס שיטות ניהול מפתח טובות. מומחי קריפטוגרפיה צוללים לעומק בהמלצות אלו כדי לוודא שכלי ההצפנה ופתרונות ניהול המפתחות המוצעים עומדים בסטנדרטים אלו. בדרך זו, כאשר הארגון שלך זקוק לתמיכה נוספת בתהליך ניהול המפתח, תהיה לך המסגרת להעריך את האפשרויות ולמצוא את המומחיות הדרושה לך כדי לאבטח את הנכסים שלך ביעילות.
