5 ključev do boljšega upravljanja ključev

Stratosferski porast števila globalnih napadov na kibernetsko varnost je osvetlil kritično potrebo po upoštevanju najboljših praks pri šifriranju in varnosti na splošno. Posvojitev miselnost od znotraj navzven je ena stvar; udejanjanje tega je drugo.

V pomoč je ekipa pri Cryptomathic sestavila seznam petih ključnih napotkov za boljše upravljanje kriptografskih ključev, da bi organizacijam pomagali hitro začeti pot.

Nasveti za boljše upravljanje kriptografskih ključev

1. Začnite z res dobrimi ključi — in pregledom inventarja. Brez dvoma je najpomembnejša stvar, ki jo lahko naredite, zagotoviti, da vaša organizacija uporablja visokokakovostne ključe. Če ne uporabljate dobrih ključev, kaj je smisel? Gradiš hišo iz kart.

Za ustvarjanje dobrih ključev morate vedeti, od kod prihajajo ključi in kako so bili ustvarjeni. Ste jih ustvarili na prenosnem računalniku ali z žepnim kalkulatorjem ali pa ste uporabili namensko orodje, zasnovano posebej za to delo? Imajo dovolj entropije? Od generiranja do uporabe in shranjevanja ključi nikoli ne smejo zapustiti varnih meja strojnega varnostnega modula (HSM) ali podobne naprave.

Vaša organizacija verjetno že uporablja ključe in potrdila – ali veste, kje se nahajajo? Kdo ima dostop do njih in zakaj? Kje so shranjeni? Kako se upravljajo? Ustvarite popis tega, kar imate, in nato začnite dajati prednost čiščenju in upravljanju življenjskega cikla centralizacije za te ključe, potrdila in skrivnosti.

2. Analizirajte svoj celoten profil tveganja v celotnem okolju. Ustvarite lahko najbolj briljantno, temeljito in celovito strategijo kibernetske varnosti, vendar bo na koncu uspešna le, če jo bodo vsi v vaši organizaciji sprejeli in jo spoštovali. Zato je pomembno razviti strategijo obvladovanja tveganja s prispevki predstavnikov celotnega podjetja. Že od začetka vključite ljudi za skladnost in tveganje, da bo postopek pošten. Da bi bili varnostni procesi in protokoli smiselni, morajo vključevati vse, od IT-jevcev do poslovnih enot, ki prinašajo primere uporabe in se lahko vrnejo nazaj ter razložijo svojim kolegom, zakaj so potrebni varnostni koraki.

3. Naj bo skladnost rezultat in ne končni cilj. To morda zveni protislovno, vendar me poslušajte. Čeprav je skladnost izjemno pomembna, obstaja neločljivo tveganje, če uporabljate skladnost s predpisi kot edino gonilo vaše strategije. Ko so sistemi zasnovani tako, da preprosto označijo polja na regulativnem kontrolnem seznamu, organizacije spregledajo širšo in pomembnejšo točko: načrtovati in zgraditi za boljšo varnost.

Namesto tega uporabite predpise in varnostne standarde kot vodilo za minimalni nabor zahtev in se nato prepričajte, da vaša prizadevanja dejansko obravnavati vaše varnostne in poslovne potrebe v prihodnje. Naj vas skladnost ne odvrne od pravega cilja.

4. Ravnovesje med varnostjo in uporabnostjo. Kako varnost vpliva na uporabnost? Ali ste ustvarili sistem, ki je tako varen, da je za večino uporabnikov nepraktičen? Nujno je treba najti ravnovesje med varnostjo in uporabniško izkušnjo ter zagotoviti, da varnostni procesi ljudi ne ovirajo pri dejanskem opravljanju njihovega dela. Na primer, večfaktorsko preverjanje pristnosti je lahko odličen način za bolj varen dostop, a če ni pravilno implementirano, lahko povzroči okvaro delovnih tokov in padec učinkovitosti.

5. Bodite strokovnjak … ki ve, kdaj poklicati strokovnjaka. Upravljanje ključev je resen posel in ga je treba tako tudi obravnavati. Nekdo v vaši organizaciji bi moral postati resnično vešč razumevanja orodij in tehnologije za vzpostavitev dobrih ključnih praks upravljanja v središču vsega, kar počne vaša organizacija.

Hkrati je enako pomembno prepoznati, kdaj potrebujete strokovno podporo, na primer, ko ima vaša organizacija preveč ključev za upravljanje. Nacionalni inštitut za standarde in tehnologijo (NIST) objavlja a ogromen dokument ki navaja priporočila za vse, kar bi bilo treba in česa ne bi smeli narediti za vzpostavitev dobrih praks upravljanja ključev. Strokovnjaki za kriptografijo se poglobljeno poglobijo v ta priporočila, da zagotovijo, da ponujena kriptografska orodja in rešitve za upravljanje ključev izpolnjujejo te standarde. Tako boste imeli, ko vaša organizacija potrebuje dodatno podporo za proces upravljanja ključev, okvir za oceno možnosti in iskanje strokovnega znanja, ki ga potrebujete za učinkovito zavarovanje svojih sredstev.