5 kluczy do lepszego zarządzania kluczami

Gwałtowny wzrost liczby globalnych ataków na cyberbezpieczeństwo rzuca światło na krytyczną potrzebę stosowania najlepszych praktyk w zakresie szyfrowania i bezpieczeństwa w ogóle. Adopcja sposób myślenia od wewnątrz to jedna rzecz; wprowadzenie tego w życie to co innego.

Aby pomóc, zespół Cryptomathic przygotował listę pięciu kluczowych wskazówek umożliwiających lepsze zarządzanie kluczami kryptograficznymi, aby pomóc organizacjom szybko rozpocząć tę podróż.

Wskazówki dotyczące lepszego zarządzania kluczami kryptograficznymi

1. Zacznij od naprawdę dobrych kluczy i skanu inwentarza. Bez wątpienia najważniejszą rzeczą, jaką możesz zrobić, to upewnić się, że Twoja organizacja używa kluczy wysokiej jakości. Jeśli nie używasz dobrych kluczy, jaki jest w tym sens? Budujesz domek z kart.

Tworzenie dobrych kluczy wymaga wiedzy, skąd pochodzą klucze i jak zostały wygenerowane. Czy tworzyłeś je na laptopie, za pomocą kieszonkowego kalkulatora, czy też korzystałeś z narzędzia specjalnie zaprojektowanego do tego zadania? Czy mają wystarczającą entropię? Od generacji, przez użytkowanie, aż po przechowywanie, klucze nigdy nie powinny opuszczać bezpiecznych granic sprzętowego modułu bezpieczeństwa (HSM) lub podobnego urządzenia.

Możliwe, że Twoja organizacja już korzysta z kluczy i certyfikatów — czy wiesz, gdzie się one znajdują? Kto ma do nich dostęp i dlaczego? Gdzie są przechowywane? Jak się nimi zarządza? Utwórz spis tego, co posiadasz, a następnie zacznij ustalać priorytety czyszczenia i zarządzania cyklem życia centralizacji dla tych kluczy, certyfikatów i kluczy tajnych.

2. Przeanalizuj cały profil ryzyka w całym środowisku. Możesz stworzyć najbardziej genialną, dogłębną i wszechstronną strategię cyberbezpieczeństwa, ale ostatecznie odniesie ona sukces tylko wtedy, gdy wszyscy w Twojej organizacji ją kupią i będą jej przestrzegać. Dlatego ważne jest opracowanie strategii zarządzania ryzykiem przy udziale przedstawicieli całej firmy. Od początku uwzględnij osoby odpowiedzialne za przestrzeganie zasad zgodności i ryzyko, aby proces był uczciwy. Aby procesy i protokoły bezpieczeństwa miały sens, muszą obejmować wszystkich, od informatyków po jednostki biznesowe, które przedstawiają przypadki użycia i mogą wrócić i wyjaśnić swoim współpracownikom, dlaczego konieczne są kroki związane z bezpieczeństwem.

3. Niech zgodność stanie się wynikiem, a nie ostatecznym celem. Może to zabrzmieć sprzecznie z intuicją, ale wysłuchaj mnie. Mimo że zgodność z przepisami jest niezwykle ważna, stosowanie zgodności z przepisami jako jedynego czynnika wpływającego na strategię wiąże się z nieodłącznym ryzykiem. Kiedy systemy są projektowane tak, aby po prostu zaznaczać pola na regulacyjnej liście kontrolnej, organizacje pomijają szerszy, ważniejszy punkt: projektowanie i budowanie w celu zapewnienia większego bezpieczeństwa.

Zamiast tego użyj przepisów i standardów bezpieczeństwa jako wytycznych dotyczących minimalnego zestawu wymagań, a następnie upewnij się, że faktycznie dołożyłeś wszelkich starań zajmij się swoimi przyszłymi potrzebami w zakresie bezpieczeństwa i biznesu. Nie pozwól, aby przestrzeganie zasad odwracało uwagę od prawdziwego celu.

4. Zrównoważ bezpieczeństwo z użytecznością. Jak bezpieczeństwo wpływa na użyteczność? Czy stworzyłeś system, który jest tak bezpieczny, że jest niepraktyczny dla większości użytkowników? Konieczne jest znalezienie równowagi między bezpieczeństwem a doświadczeniem użytkownika oraz upewnienie się, że procesy bezpieczeństwa nie utrudniają ludziom faktycznego wykonywania pracy. Na przykład uwierzytelnianie wieloskładnikowe może być świetnym sposobem na zwiększenie bezpieczeństwa dostępu, ale jeśli nie zostanie poprawnie wdrożone, może spowodować załamanie przepływów pracy i spadek wydajności.

5. Bądź specjalistą… który wie, kiedy wezwać eksperta. Zarządzanie kluczami to poważna sprawa i tak należy ją traktować. Ktoś w Twojej organizacji powinien naprawdę biegle rozumieć narzędzia i technologię, aby ustanowić dobre kluczowe praktyki zarządzania leżące u podstaw wszystkiego, co robi Twoja organizacja.

Jednocześnie równie ważne jest rozpoznanie, kiedy potrzebujesz wsparcia ekspertów, na przykład gdy Twoja organizacja ma zbyt wiele kluczy do zarządzania. Narodowy Instytut Standardów i Technologii (NIST) publikuje: ogromny dokument zawiera zalecenia dotyczące wszystkiego, co należy, a czego nie należy robić, aby ustanowić dobre kluczowe praktyki zarządzania. Specjaliści od kryptografii szczegółowo zapoznają się z tymi zaleceniami, aby upewnić się, że oferowane narzędzia kryptograficzne i rozwiązania do zarządzania kluczami spełniają te standardy. Dzięki temu, gdy Twoja organizacja będzie potrzebować dodatkowego wsparcia w procesie zarządzania kluczami, będziesz mieć ramy do oceny opcji i znalezienia wiedzy specjalistycznej potrzebnej do skutecznego zabezpieczenia swoich zasobów.