Den stratosfæriske økningen i antall globale cybersikkerhetsangrep kaster et flomlys på det kritiske behovet for å følge beste praksis med kryptering og sikkerhet generelt. Adopterer en innsiden-ut-tankegang er én ting; å sette det i praksis er en annen.
For å hjelpe har teamet hos Cryptomathic satt sammen en liste med fem viktige tips til bedre kryptografisk nøkkelhåndtering for å hjelpe organisasjoner med å starte reisen.
Tips for bedre kryptografisk nøkkelhåndtering
1. Start med virkelig gode nøkler – og en inventarskanning. Uten tvil er det viktigste du kan gjøre å sørge for at organisasjonen din bruker nøkler av høy kvalitet. Hvis du ikke bruker gode nøkler, hva er vitsen? Du bygger et korthus.
Å lage gode nøkler krever å vite hvor nøklene kommer fra og hvordan de ble generert. Laget du dem på den bærbare datamaskinen din eller med en lommekalkulator, eller brukte du et spesialbygget verktøy designet spesielt for jobben? Har de nok entropi? Fra generering, til bruk, til lagring, skal nøklene aldri forlate de sikre grensene til en maskinvaresikkerhetsmodul (HSM) eller en lignende enhet.
Sjansen er stor for at organisasjonen din allerede bruker nøkler og sertifikater – vet du hvor de befinner seg? Hvem har tilgang til dem og hvorfor? Hvor er de lagret? Hvordan administreres de? Lag en oversikt over hva du har, og begynn deretter å prioritere opprydding og sentralisering av livssyklusadministrasjonen for disse nøklene, sertifikatene og hemmelighetene.
2. Analyser hele risikoprofilen din på tvers av hele miljøet. Du kan lage den mest briljante, grundige og omfattende nettsikkerhetsstrategien, men til syvende og sist vil den bare lykkes hvis alle i organisasjonen din kjøper inn og overholder den. Derfor er det viktig å utvikle en risikostyringsstrategi med innspill fra representanter fra hele virksomheten. Inkluder compliance og risiker folk fra begynnelsen for å holde prosessen ærlig. For at sikkerhetsprosessene og protokollene skal være meningsfulle, må de inkludere alle fra IT-folk til forretningsenhetene som kommer med brukssaker og kan gå tilbake og forklare sine kolleger hvorfor sikkerhetstrinnene er nødvendige.
3. Gjør samsvar til et resultat, ikke det endelige målet. Dette høres kanskje motintuitivt ut, men hør meg. Selv om overholdelse er utrolig viktig, er det en iboende risiko ved å bruke regeloverholdelse som den eneste driveren for strategien din. Når systemer er designet for å bare krysse av i boksene på en reguleringssjekkliste, går organisasjoner glipp av det bredere, viktigere poenget: å designe og bygge for bedre sikkerhet.
Bruk i stedet forskrifter og sikkerhetsstandarder som retningslinjer for minimumskravene, og sørg deretter for at innsatsen din faktisk møte dine sikkerhet og forretningsbehov fremover. Ikke la overholdelse være en distraksjon fra det virkelige målet.
4. Balanser sikkerhet med brukervennlighet. Hvordan påvirker sikkerhet brukervennligheten? Har du laget et system som er så sikkert at det er upraktisk for de fleste brukere? Det er viktig å finne en balanse mellom sikkerhet og brukeropplevelse, og sørge for at sikkerhetsprosessene ikke hindrer folk i å faktisk gjøre jobben sin. For eksempel kan multifaktorautentisering være en fin måte å gjøre tilgangen sikrere på, men hvis den ikke implementeres på riktig måte, kan det føre til at arbeidsflyter bryter sammen og effektiviteten tar et dykk.
5. Vær en spesialist ... som vet når du skal ringe en ekspert. Nøkkelledelse er seriøs virksomhet og bør behandles som det. Noen i organisasjonen din bør bli virkelig dyktige til å forstå verktøyene og teknologien for å etablere god nøkkelledelsespraksis i kjernen av alt organisasjonen din gjør.
Samtidig er det like viktig å gjenkjenne når du trenger ekspertstøtte, som når organisasjonen din har for mange nøkler å administrere. National Institute for Standards and Technology (NIST) publiserer en stort dokument som gir anbefalinger for alt som bør og ikke bør gjøres for å etablere god nøkkelledelsespraksis. Krypteringsfagfolk går dypt inn i disse anbefalingene for å sikre at de kryptografiske verktøyene og nøkkeladministrasjonsløsningene som tilbys oppfyller disse standardene. På den måten, når organisasjonen din trenger ekstra støtte for nøkkeladministrasjonsprosessen, vil du ha rammeverket for å evaluere alternativene og finne ekspertisen du trenger for å sikre eiendelene dine effektivt.
