De stratosferische stijging van het aantal wereldwijde cyberveiligheidsaanvallen werpt een licht op de cruciale noodzaak om best practices te volgen op het gebied van encryptie en beveiliging in het algemeen. Goedkeuren een inside-out-mentaliteit is รฉรฉn ding; het in de praktijk brengen is iets anders.
Om te helpen heeft het team van Cryptomathic een lijst samengesteld met vijf belangrijke tips voor een beter beheer van cryptografische sleutels, zodat organisaties de reis een vliegende start kunnen geven.
Tips voor beter beheer van cryptografische sleutels
1. Begin met echt goede sleutels โ en een inventarisscan. Het belangrijkste dat u kunt doen, is er ongetwijfeld voor zorgen dat uw organisatie sleutels van hoge kwaliteit gebruikt. Wat heeft het voor zin als je geen goede sleutels gebruikt? Je bouwt een kaartenhuis.
Voor het maken van goede sleutels is het nodig dat u weet waar de sleutels vandaan komen en hoe ze zijn gegenereerd. Heb je ze op je laptop of met een zakrekenmachine gemaakt, of heb je een speciaal gebouwd hulpmiddel gebruikt dat speciaal voor de taak is ontworpen? Hebben ze voldoende entropie? Vanaf het genereren, het gebruik en de opslag mogen de sleutels nooit de veilige grenzen van een hardwarebeveiligingsmodule (HSM) of een vergelijkbaar apparaat verlaten.
De kans is groot dat uw organisatie al sleutels en certificaten gebruikt. Weet u waar deze zich bevinden? Wie heeft er toegang toe en waarom? Waar worden ze opgeslagen? Hoe worden ze beheerd? Maak een inventaris van wat u heeft en begin vervolgens prioriteit te geven aan het opschonen en centraliseren van het levenscyclusbeheer voor die sleutels, certificaten en geheimen.
2. Analyseer uw volledige risicoprofiel in uw hele omgeving. U kunt de meest briljante, grondige en veelomvattende cyberbeveiligingsstrategie creรซren, maar uiteindelijk zal deze alleen succesvol zijn als iedereen in uw organisatie ermee instemt en zich eraan houdt. Daarom is het belangrijk om een โโstrategie voor risicobeheer te ontwikkelen met inbreng van vertegenwoordigers uit het hele bedrijf. Betrek compliance en riskeer mensen vanaf het begin om het proces eerlijk te houden. Om de beveiligingsprocessen en -protocollen betekenisvol te laten zijn, moeten ze iedereen omvatten, van IT-mensen tot de bedrijfseenheden die gebruiksscenario's aandragen en terug kunnen gaan en aan hun collega's kunnen uitleggen waarom de beveiligingsstappen nodig zijn.
3. Maak compliance tot een uitkomst en niet tot het uiteindelijke doel. Dit klinkt misschien contra-intuรฏtief, maar luister naar mij. Ook al is compliance ongelooflijk belangrijk, er is een inherent risico verbonden aan het gebruik van compliance als enige drijfveer voor uw strategie. Wanneer systemen zijn ontworpen om eenvoudigweg de vakjes op een checklist voor regelgeving aan te vinken, missen organisaties het bredere, belangrijker punt: ontwerpen en bouwen voor betere beveiliging.
Gebruik in plaats daarvan regelgeving en beveiligingsstandaarden als leidraad voor de minimale set eisen en zorg er vervolgens voor dat uw inspanningen ook daadwerkelijk worden uitgevoerd tegemoet te komen aan uw toekomstige beveiligings- en zakelijke behoeften. Laat compliance geen afleiding zijn van het werkelijke doel.
4. Breng beveiliging in evenwicht met bruikbaarheid. Hoe beรฏnvloedt beveiliging de bruikbaarheid? Heeft u een systeem gemaakt dat zo veilig is dat het voor de meeste gebruikers onpraktisch is? Het is absoluut noodzakelijk om een โโbalans te vinden tussen beveiliging en de gebruikerservaring, en om ervoor te zorgen dat de beveiligingsprocessen mensen niet hinderen bij het daadwerkelijk doen van hun werk. Multifactor-authenticatie kan bijvoorbeeld een goede manier zijn om de toegang veiliger te maken, maar als het niet correct wordt geรฏmplementeerd, kan dit ertoe leiden dat workflows mislukken en de efficiรซntie een duikvlucht neemt.
5. Wees een specialist โฆ die weet wanneer hij een expert moet inschakelen. Sleutelbeheer is een serieuze zaak en moet ook als zodanig worden behandeld. Iemand in uw organisatie moet echt bedreven worden in het begrijpen van de tools en technologie om goede sleutelbeheerpraktijken in te voeren die de kern vormen van alles wat uw organisatie doet.
Tegelijkertijd is het net zo belangrijk om te onderkennen wanneer u deskundige ondersteuning nodig heeft, bijvoorbeeld wanneer uw organisatie te veel sleutels heeft om te beheren. Het National Institute for Standards and Technology (NIST) publiceert een enorm document waarin aanbevelingen worden gedaan voor alles wat wel en niet moet worden gedaan om goede sleutelbeheerpraktijken tot stand te brengen. Cryptografieprofessionals verdiepen zich diep in deze aanbevelingen om ervoor te zorgen dat de aangeboden cryptografische tools en sleutelbeheeroplossingen aan deze normen voldoen. Op die manier beschikt u, wanneer uw organisatie extra ondersteuning nodig heeft voor het sleutelbeheerproces, over het raamwerk om de opties te evalueren en de expertise te vinden die u nodig heeft om uw activa effectief te beveiligen.
