5 chei pentru o mai bună gestionare a cheilor

Creșterea stratosferică a numărului de atacuri la nivel mondial de securitate cibernetică a scos în lumină nevoia critică de a urma cele mai bune practici de criptare și securitate în general. Adoptarea o mentalitate din interior spre exterior este un lucru; punerea în practică este alta.

Pentru a ajuta, echipa de la Cryptomathic a întocmit o listă cu cinci indicii cheie pentru o mai bună gestionare a cheilor criptografice pentru a ajuta organizațiile să înceapă călătoria.

Sfaturi pentru o mai bună gestionare a cheilor criptografice

1. Începeți cu chei foarte bune - și o scanare a inventarului. Fără îndoială, cel mai important lucru pe care îl poți face este să te asiguri că organizația ta folosește chei de înaltă calitate. Dacă nu folosiți chei bune, ce rost are? Construiești un castel de cărți.

Crearea de chei bune necesită să știi de unde provin cheile și cum au fost generate. Le-ați creat pe laptop sau cu un calculator de buzunar sau ați folosit un instrument special conceput special pentru această activitate? Au suficientă entropie? De la generare, până la utilizare, până la stocare, cheile nu ar trebui să părăsească niciodată limitele securizate ale unui modul de securitate hardware (HSM) sau unui dispozitiv similar.

Este posibil ca organizația dvs. să folosească deja chei și certificate - știți unde locuiesc? Cine are acces la ele și de ce? Unde sunt depozitate? Cum sunt ele gestionate? Creați un inventar cu ceea ce aveți și apoi începeți să prioritizați gestionarea ciclului de viață de curățare și centralizare pentru acele chei, certificate și secrete.

2. Analizează-ți întregul profil de risc în întregul tău mediu. Puteți crea cea mai strălucitoare, amănunțită și cuprinzătoare strategie de securitate cibernetică, dar, în cele din urmă, va avea succes numai dacă toată lumea din organizația dvs. acceptă și o respectă. De aceea, este important să se dezvolte o strategie de management al riscului cu contribuții din partea reprezentanților din întreaga afacere. Includeți oameni de conformitate și riscați încă de la început pentru a menține procesul onest. Pentru ca procesele și protocoalele de securitate să fie semnificative, acestea trebuie să includă pe toată lumea, de la oamenii IT până la unitățile de afaceri care aduc cazuri de utilizare și pot reveni și explica colegilor de ce sunt necesari pașii de securitate.

3. Faceți din conformitate un rezultat, nu obiectivul final. Ar putea suna contraintuitiv, dar ascultă-mă. Chiar dacă conformitatea este incredibil de importantă, există un risc inerent de a folosi conformitatea cu reglementările ca unic motor al strategiei tale. Atunci când sistemele sunt concepute pentru a bifa pur și simplu căsuțele dintr-o listă de verificare a reglementărilor, organizațiile scapă de punctul mai larg și mai important: să proiecteze și să construiască pentru o mai bună securitate.

În schimb, utilizați reglementările și standardele de securitate ca ghid pentru setul minim de cerințe și apoi asigurați-vă că eforturile dvs. pentru a răspunde nevoilor dvs. de securitate și de afaceri în viitor. Nu lăsați conformarea să fie o distragere a atenției de la obiectivul real.

4. Echilibrați securitatea cu gradul de utilizare. Cum afectează securitatea gradul de utilizare? Ați creat un sistem atât de sigur încât nu este practic pentru majoritatea utilizatorilor? Este imperativ să găsiți un echilibru între securitate și experiența utilizatorului și să vă asigurați că procesele de securitate nu împiedică oamenii să-și facă efectiv munca. De exemplu, autentificarea multifactorială poate fi o modalitate excelentă de a face accesul mai sigur, dar dacă nu este implementată corect, poate duce la întreruperea fluxurilor de lucru și la pierderea eficienței.

5. Fii un specialist... care știe când să cheme un expert. Managementul cheilor este o afacere serioasă și ar trebui tratată ca atare. Cineva din organizația dvs. ar trebui să devină cu adevărat competent în înțelegerea instrumentelor și a tehnologiei pentru a stabili bune practici de management cheie în centrul a tot ceea ce face organizația dvs.

În același timp, este la fel de important să recunoașteți când aveți nevoie de asistență de specialitate, cum ar fi atunci când organizația dvs. are prea multe chei de gestionat. Institutul Național pentru Standarde și Tehnologie (NIST) publică a document imens care prezintă recomandări pentru tot ceea ce ar trebui și nu ar trebui făcut pentru a stabili bune practici de management cheie. Profesioniștii în criptografie se aprofundează în aceste recomandări pentru a se asigura că instrumentele criptografice și soluțiile de gestionare a cheilor oferite îndeplinesc aceste standarde. În acest fel, atunci când organizația dvs. are nevoie de sprijin suplimentar pentru procesul de management al cheilor, veți avea cadrul pentru a evalua opțiunile și a găsi expertiza de care aveți nevoie pentru a vă securiza în mod eficient activele.