전 세계적으로 사이버 보안 공격이 급증하면서 암호화 및 보안 전반에 대한 모범 사례를 따라야 하는 필요성이 대두되었습니다. 채택 내부 사고방식 한 가지입니다. 그것을 실천에 옮기는 것은 또 다른 일이다.
이를 지원하기 위해 Cryptomathic 팀은 조직이 여정을 시작할 수 있도록 더 나은 암호화 키 관리에 대한 XNUMX가지 핵심 지침 목록을 작성했습니다.
더 나은 암호화 키 관리를 위한 팁
1. 정말 좋은 키와 인벤토리 검색으로 시작하세요. 의심할 여지 없이, 여러분이 할 수 있는 가장 중요한 일은 조직이 고품질 키를 사용하고 있는지 확인하는 것입니다. 좋은 키를 사용하지 않는다면 요점은 무엇입니까? 당신은 카드의 집을 짓고 있습니다.
좋은 키를 만들려면 키의 출처와 생성 방법을 알아야 합니다. 노트북이나 소형 계산기를 사용하여 생성하셨나요, 아니면 해당 작업을 위해 특별히 설계된 특수 도구를 사용하셨나요? 엔트로피가 충분합니까? 생성부터 사용, 저장까지 키는 HSM(하드웨어 보안 모듈) 또는 유사한 장치의 보안 경계를 벗어나서는 안 됩니다.
조직에서 이미 키와 인증서를 사용하고 있을 가능성이 높습니다. 해당 키와 인증서가 어디에 있는지 알고 계십니까? 누가 접근할 수 있으며 그 이유는 무엇입니까? 어디에 저장되어 있나요? 어떻게 관리되나요? 보유하고 있는 항목에 대한 인벤토리를 생성한 다음 해당 키, 인증서 및 비밀에 대한 정리 및 중앙 집중식 수명 주기 관리의 우선 순위를 지정하십시오.
2. 전체 환경에 걸쳐 전체 위험 프로필을 분석합니다. 가장 훌륭하고 철저하며 포괄적인 사이버 보안 전략을 만들 수 있지만 궁극적으로 조직의 모든 사람이 이를 받아들이고 준수하는 경우에만 성공할 수 있습니다. 그렇기 때문에 비즈니스 전반의 대표자들의 의견을 바탕으로 위험 관리 전략을 개발하는 것이 중요합니다. 프로세스를 정직하게 유지하려면 처음부터 규정 준수 및 위험 관리 담당자를 포함하세요. 보안 프로세스와 프로토콜이 의미를 가지려면 IT 담당자부터 사용 사례를 가져오고 동료에게 보안 단계가 필요한 이유를 설명할 수 있는 사업부까지 모든 사람이 포함되어야 합니다.
3. 규정 준수를 궁극적인 목표가 아닌 결과로 삼으십시오. 반직관적으로 들릴 수도 있지만 내 말을 들어보세요. 규정 준수가 매우 중요하더라도 규정 준수를 전략의 유일한 동인으로 사용하는 데에는 내재된 위험이 있습니다. 단순히 규제 체크리스트의 확인란을 선택하도록 시스템을 설계하면 조직은 보다 광범위하고 중요한 점, 즉 더 나은 보안을 위해 설계하고 구축해야 한다는 점을 놓치게 됩니다.
대신, 최소 요구 사항 집합에 대한 지침으로 규정 및 보안 표준을 사용한 다음 노력이 실제로 이루어지도록 하십시오. 앞으로의 보안 및 비즈니스 요구 사항을 해결하세요.. 규정 준수가 실제 목표를 방해하지 않도록 하십시오.
4. 보안과 유용성의 균형을 유지하세요. 보안은 유용성에 어떤 영향을 미치나요? 너무 안전해서 대부분의 사용자에게 실용적이지 않은 시스템을 만들었습니까? 보안과 사용자 경험 사이의 균형을 찾고, 보안 프로세스가 사람들이 실제로 업무를 수행하는 데 방해가 되지 않도록 하는 것이 중요합니다. 예를 들어, 다단계 인증은 액세스를 더욱 안전하게 만드는 좋은 방법이 될 수 있지만 올바르게 구현되지 않으면 워크플로가 중단되고 효율성이 급락할 수 있습니다.
5. 전문가를 불러야 할 때를 아는 전문가가 되십시오. 키 관리는 중요한 사업이므로 그렇게 취급해야 합니다. 조직의 누군가는 조직이 수행하는 모든 일의 핵심에서 좋은 핵심 관리 관행을 확립하기 위한 도구와 기술을 이해하는 데 능숙해야 합니다.
동시에 조직에 관리할 키가 너무 많은 경우와 같이 전문가 지원이 필요한 시기를 인식하는 것도 마찬가지로 중요합니다. 미국 국립표준기술연구소(NIST)가 발표한 거대한 문서 이는 좋은 키 관리 관행을 확립하기 위해 수행해야 할 것과 수행하지 말아야 할 모든 것에 대한 권장 사항을 제시합니다. 암호화 전문가는 제공되는 암호화 도구 및 키 관리 솔루션이 이러한 표준을 충족하는지 확인하기 위해 이러한 권장 사항을 자세히 살펴봅니다. 이렇게 하면 조직에서 주요 관리 프로세스에 대한 추가 지원이 필요할 때 옵션을 평가하고 자산을 효과적으로 보호하는 데 필요한 전문 지식을 찾을 수 있는 프레임워크를 갖게 됩니다.
