Стратосферне зростання кількості глобальних атак на кібербезпеку проливає світло на критичну потребу дотримуватися найкращих практик щодо шифрування та безпеки в цілому. усиновлення мислення навиворіт це одне; застосувати це на практиці - це інше.
Щоб допомогти, команда Cryptomatich склала список із п’яти ключових вказівок щодо кращого керування криптографічними ключами, щоб допомогти організаціям швидко розпочати подорож.
Поради щодо кращого керування криптографічними ключами
1. Почніть із справді хороших ключів — і перевірте інвентар. Безсумнівно, найважливіше, що ви можете зробити, це переконатися, що ваша організація використовує високоякісні ключі. Якщо ви не використовуєте хороші ключі, який сенс? Ви будуєте картковий будиночок.
Для створення хороших ключів потрібно знати, звідки ключі беруться та як вони були згенеровані. Ви створювали їх на своєму ноутбуці чи за допомогою кишенькового калькулятора, чи використовували спеціальний інструмент, розроблений спеціально для роботи? Чи достатньо їм ентропії? Від генерації до використання та зберігання ключі ніколи не повинні залишати безпечні межі апаратного модуля безпеки (HSM) або подібного пристрою.
Швидше за все, ваша організація вже використовує ключі та сертифікати — ви знаєте, де вони знаходяться? Хто має до них доступ і чому? Де вони зберігаються? Як ними керують? Створіть інвентаризацію того, що у вас є, а потім почніть визначати пріоритети очищення та централізації керування життєвим циклом для цих ключів, сертифікатів і секретів.
2. Проаналізуйте свій профіль ризику в усьому середовищі. Ви можете створити найяскравішу, ґрунтовну та комплексну стратегію кібербезпеки, але в кінцевому підсумку вона буде успішною, лише якщо всі у вашій організації підтримають і будуть її дотримуватися. Ось чому важливо розробити стратегію управління ризиками за допомогою представників усього бізнесу. Щоб процес був чесним, залучіть людей, які відповідають вимогам законодавства, і ризикуйте з самого початку. Щоб процеси та протоколи безпеки були значущими, вони повинні включати всіх, від ІТ-спеціалістів до бізнес-підрозділів, які пропонують сценарії використання та можуть повернутися назад і пояснити своїм колегам, чому необхідні кроки безпеки.
3. Зробіть відповідність результатом, а не кінцевою метою. Це може здатися нелогічним, але вислухайте мене. Незважаючи на те, що дотримання нормативних вимог є надзвичайно важливим, існує невід’ємний ризик використання дотримання нормативних вимог як єдиного рушія вашої стратегії. Коли системи розроблені для того, щоб просто поставити галочки в нормативному контрольному списку, організації пропускають ширший і важливіший момент: проектувати та створювати для кращої безпеки.
Натомість використовуйте правила та стандарти безпеки як орієнтир для мінімального набору вимог, а потім переконайтеся, що ваші зусилля дійсно задовольнити потреби вашої безпеки та бізнесу надалі. Не дозволяйте дотриманню вимог відволікати від справжньої мети.
4. Збалансуйте безпеку та зручність використання. Як безпека впливає на зручність використання? Ви створили систему, яка є настільки безпечною, що це непрактично для більшості користувачів? Вкрай важливо знайти баланс між безпекою та досвідом користувача, а також переконатися, що процеси безпеки не заважають людям фактично виконувати свою роботу. Наприклад, багатофакторна автентифікація може бути чудовим способом зробити доступ більш безпечним, але якщо вона реалізована неправильно, це може призвести до збою робочих процесів і різкого зниження ефективності.
5. Будьте спеціалістом... який знає, коли викликати експерта. Управління ключами — серйозний бізнес, і до нього слід ставитися як до такого. Хтось у вашій організації повинен набути справжнього досвіду в розумінні інструментів і технологій, щоб запровадити ефективні ключові практики управління в основі всього, що робить ваша організація.
Водночас не менш важливо розпізнавати, коли вам потрібна експертна підтримка, наприклад, коли ваша організація має надто багато ключів, якими потрібно керувати. Національний інститут стандартів і технологій (NIST) публікує a величезний документ який містить рекомендації щодо всього, що слід і не слід робити для встановлення належної практики управління ключами. Фахівці з криптографії глибоко занурюються в ці рекомендації, щоб переконатися, що криптографічні інструменти та рішення для керування ключами відповідають цим стандартам. Таким чином, коли вашій організації знадобиться додаткова підтримка для процесу керування ключами, ви матимете структуру для оцінки варіантів і пошуку досвіду, необхідного для ефективного захисту ваших активів.
