Den stratosfäriska ökningen av antalet globala cybersäkerhetsattacker kastar en strålkastare på det kritiska behovet av att följa bästa praxis med kryptering och säkerhet i allmänhet. Adopterar ett inifrån-ut-tänkesätt är en sak; att omsätta det i praktiken är en annan.
Som hjälp har teamet på Cryptomathic sammanställt en lista med fem viktiga tips för bättre kryptografisk nyckelhantering för att hjälpa organisationer att komma igång med resan.
Tips för bättre kryptografisk nyckelhantering
1. Börja med riktigt bra nycklar – och en inventeringsskanning. Utan tvekan är det viktigaste du kan göra att se till att din organisation använder nycklar av hög kvalitet. Om du inte använder bra nycklar, vad är poängen? Du bygger ett korthus.
Att skapa bra nycklar kräver att man vet var nycklarna kommer ifrån och hur de skapades. Har du skapat dem på din bärbara dator eller med en fickkalkylator, eller använde du ett specialbyggt verktyg designat speciellt för jobbet? Har de tillräckligt med entropi? Från generation till användning, till lagring, nycklarna bör aldrig lämna de säkra gränserna för en hårdvarusäkerhetsmodul (HSM) eller en liknande enhet.
Chansen är stor att din organisation redan använder nycklar och certifikat – vet du var de finns? Vem har tillgång till dem och varför? Var förvaras de? Hur hanteras de? Skapa en inventering av vad du har och börja sedan prioritera rensningen och centraliseringens livscykelhantering för dessa nycklar, certifikat och hemligheter.
2. Analysera hela din riskprofil över hela din miljö. Du kan skapa den mest briljanta, noggranna och heltäckande cybersäkerhetsstrategin, men i slutändan kommer den bara att bli framgångsrik om alla i din organisation köper in och följer den. Det är därför det är viktigt att utveckla en riskhanteringsstrategi med input från representanter från hela verksamheten. Inkludera efterlevnad och riskera människor från början för att hålla processen ärlig. För att säkerhetsprocesserna och protokollen ska vara meningsfulla måste de inkludera alla från IT-personal till affärsenheterna som kommer med användningsfall och kan gå tillbaka och förklara för sina kamrater varför säkerhetsstegen är nödvändiga.
3. Gör efterlevnad till ett resultat, inte det slutliga målet. Det här kanske låter kontraintuitivt, men hör av mig. Även om efterlevnad är otroligt viktigt, finns det en inneboende risk med att använda regelefterlevnad som den enda drivkraften för din strategi. När system är utformade för att helt enkelt kryssa i rutorna på en kontrolllista, missar organisationer den bredare, viktigare punkten: att designa och bygga för bättre säkerhet.
Använd istället föreskrifter och säkerhetsstandarder som riktlinjer för minimikraven och se sedan till att dina ansträngningar faktiskt hantera dina säkerhets- och affärsbehov framöver. Låt inte efterlevnad vara en distraktion från det verkliga målet.
4. Balansera säkerhet med användbarhet. Hur påverkar säkerheten användbarheten? Har du skapat ett system som är så säkert att det är opraktiskt för de flesta användare? Det är absolut nödvändigt att hitta en balans mellan säkerhet och användarupplevelsen, och att se till att säkerhetsprocesserna inte hindrar människor från att faktiskt utföra sitt arbete. Till exempel kan multifaktorautentisering vara ett bra sätt att göra åtkomsten säkrare, men om den inte implementeras korrekt kan det leda till att arbetsflöden går sönder och effektiviteten tar ett dyk.
5. Var en specialist ... som vet när du ska ringa en expert. Nyckelhantering är seriös verksamhet och bör behandlas som sådan. Någon i din organisation bör bli riktigt skicklig på att förstå verktygen och tekniken för att etablera bra nyckelhanteringsmetoder i kärnan i allt din organisation gör.
Samtidigt är det lika viktigt att känna igen när du behöver expertstöd, som när din organisation har för många nycklar att hantera. National Institute for Standards and Technology (NIST) publicerar en stort dokument som ger rekommendationer för allt som bör och inte bör göras för att etablera goda nyckelhanteringsmetoder. Proffs inom kryptografi fördjupar sig i dessa rekommendationer för att se till att de kryptografiska verktygen och nyckelhanteringslösningarna som erbjuds uppfyller dessa standarder. På så sätt, när din organisation behöver ytterligare stöd för nyckelhanteringsprocessen, har du ramverket för att utvärdera alternativen och hitta den expertis du behöver för att säkra dina tillgångar effektivt.
