5 ключей к лучшему управлению ключами

Стремительный рост числа глобальных атак на кибербезопасность пролил свет на острую необходимость следовать передовым практикам шифрования и безопасности в целом. принятие мышление наизнанку это одно; применить это на практике – другое.

Чтобы помочь, команда Cryptomathic составила список из пяти ключевых указаний по улучшению управления криптографическими ключами, чтобы помочь организациям начать этот путь.

Советы по улучшению управления криптографическими ключами

1. Начните с действительно хороших ключей и инвентарного сканирования. Без сомнения, самое важное, что вы можете сделать, — это убедиться, что ваша организация использует качественные ключи. Если вы не используете хорошие ключи, какой в ​​этом смысл? Вы строите карточный домик.

Для создания хороших ключей необходимо знать, откуда они берутся и как они были созданы. Создавали ли вы их на своем ноутбуке, с помощью карманного калькулятора или использовали специальный инструмент, разработанный специально для этой работы? Достаточно ли у них энтропии? От создания до использования и хранения ключи никогда не должны покидать безопасные границы аппаратного модуля безопасности (HSM) или аналогичного устройства.

Скорее всего, ваша организация уже использует ключи и сертификаты — знаете ли вы, где они находятся? Кто имеет к ним доступ и почему? Где они хранятся? Как ими управляют? Создайте инвентаризацию того, что у вас есть, а затем начните расставлять приоритеты в управлении жизненным циклом очистки и централизации этих ключей, сертификатов и секретов.

2. Проанализируйте весь профиль рисков во всей вашей среде. Вы можете создать самую блестящую, тщательную и всеобъемлющую стратегию кибербезопасности, но в конечном итоге она будет успешной только в том случае, если все в вашей организации поддержат ее и будут соблюдать ее. Вот почему так важно разработать стратегию управления рисками с участием представителей всего бизнеса. С самого начала привлекайте людей, отвечающих за соблюдение требований и риск, чтобы процесс был честным. Чтобы процессы и протоколы безопасности были значимыми, они должны включать в себя всех, от ИТ-специалистов до бизнес-подразделений, которые приносят варианты использования и могут вернуться и объяснить своим коллегам, почему необходимы меры безопасности.

3. Сделайте соблюдение требований результатом, а не конечной целью. Это может показаться нелогичным, но выслушайте меня. Несмотря на то, что соблюдение нормативных требований невероятно важно, существует неизбежный риск использования соблюдения нормативных требований в качестве единственного движущего фактора вашей стратегии. Когда системы проектируются так, чтобы просто поставить галочку в контрольном списке нормативных требований, организации упускают из виду более широкий и важный момент: проектировать и создавать для повышения безопасности.

Вместо этого используйте правила и стандарты безопасности в качестве ориентира для минимального набора требований, а затем убедитесь, что ваши усилия действительно решить ваши потребности в области безопасности и бизнеса в будущем. Не позволяйте соблюдению требований отвлекать вас от реальной цели.

4. Балансируйте безопасность и удобство использования. Как безопасность влияет на удобство использования? Вы создали настолько безопасную систему, что она непрактична для большинства пользователей? Крайне важно найти баланс между безопасностью и удобством пользователя, а также убедиться, что процессы безопасности не мешают людям фактически выполнять свою работу. Например, многофакторная аутентификация может быть отличным способом сделать доступ более безопасным, но если она реализована неправильно, это может привести к сбою рабочих процессов и снижению эффективности.

5. Будьте специалистом… который знает, когда следует вызвать эксперта. Управление ключами — это серьезный бизнес, и к нему следует относиться соответственно. Кто-то в вашей организации должен стать действительно опытным в понимании инструментов и технологий, чтобы внедрить хорошие методы управления ключами, лежащие в основе всей деятельности вашей организации.

В то же время не менее важно понимать, когда вам нужна экспертная поддержка, например, когда в вашей организации слишком много ключей, которыми нужно управлять. Национальный институт стандартов и технологий (NIST) публикует огромный документ в нем излагаются рекомендации по всему, что следует и не следует делать для внедрения хороших методов управления ключами. Специалисты по криптографии внимательно изучают эти рекомендации, чтобы убедиться, что предлагаемые криптографические инструменты и решения для управления ключами соответствуют этим стандартам. Таким образом, когда вашей организации потребуется дополнительная поддержка процесса управления ключами, у вас будет основа для оценки вариантов и поиска специалистов, необходимых для эффективной защиты ваших активов.