Sự gia tăng chóng mặt về số lượng các cuộc tấn công an ninh mạng toàn cầu đã làm sáng tỏ nhu cầu cấp thiết phải tuân theo các phương pháp hay nhất về mã hóa và bảo mật nói chung. Áp dụng tư duy từ trong ra ngoài là một chuyện; đưa nó vào thực tế lại là chuyện khác.
Để hỗ trợ, nhóm tại Cryptomathic đã biên soạn danh sách năm gợi ý chính để quản lý khóa mật mã tốt hơn nhằm giúp các tổ chức bắt đầu hành trình.
Mẹo để quản lý khóa mật mã tốt hơn
1. Bắt đầu với các phím thực sự tốt — và quét kho. Không còn nghi ngờ gì nữa, điều quan trọng nhất bạn có thể làm là đảm bảo rằng tổ chức của bạn đang sử dụng khóa chất lượng cao. Nếu bạn không sử dụng phím tốt thì có ích gì? Bạn đang xây dựng một ngôi nhà bằng thẻ.
Tạo khóa tốt đòi hỏi phải biết khóa đến từ đâu và chúng được tạo như thế nào. Bạn tạo chúng trên máy tính xách tay hay bằng máy tính bỏ túi hay bạn sử dụng một công cụ chuyên dụng được thiết kế riêng cho công việc? Họ có đủ entropy không? Từ việc tạo, sử dụng đến lưu trữ, các khóa không bao giờ được rời khỏi ranh giới an toàn của mô-đun bảo mật phần cứng (HSM) hoặc một thiết bị tương tự.
Rất có thể tổ chức của bạn đã sử dụng khóa và chứng chỉ — bạn có biết chúng nằm ở đâu không? Ai có quyền truy cập vào chúng và tại sao? Chúng được lưu trữ ở đâu? Họ được quản lý như thế nào? Tạo một bản kiểm kê những gì bạn có và sau đó bắt đầu ưu tiên quản lý vòng đời dọn dẹp và tập trung cho các khóa, chứng chỉ và bí mật đó.
2. Phân tích toàn bộ hồ sơ rủi ro trên toàn bộ môi trường của bạn. Bạn có thể tạo ra chiến lược an ninh mạng toàn diện, kỹ lưỡng và xuất sắc nhất, nhưng cuối cùng, chiến lược đó sẽ chỉ thành công nếu mọi người trong tổ chức của bạn tham gia và tuân thủ chiến lược đó. Đó là lý do tại sao việc phát triển chiến lược quản lý rủi ro với ý kiến đóng góp của các đại diện trong toàn doanh nghiệp là điều quan trọng. Bao gồm sự tuân thủ và rủi ro của mọi người ngay từ đầu để giữ cho quá trình diễn ra trung thực. Để các quy trình và giao thức bảo mật có ý nghĩa, chúng phải bao gồm tất cả mọi người từ nhân viên CNTT đến các đơn vị kinh doanh đưa ra các trường hợp sử dụng và có thể quay lại và giải thích cho đồng nghiệp của mình tại sao các bước bảo mật lại cần thiết.
3. Biến việc tuân thủ thành kết quả chứ không phải mục tiêu cuối cùng. Điều này nghe có vẻ phản trực giác, nhưng hãy nghe tôi nói. Mặc dù việc tuân thủ là cực kỳ quan trọng nhưng vẫn có rủi ro cố hữu khi sử dụng việc tuân thủ quy định làm động lực duy nhất cho chiến lược của bạn. Khi các hệ thống được thiết kế chỉ để đánh dấu vào các ô trong danh sách kiểm tra theo quy định, các tổ chức đã bỏ lỡ điểm quan trọng hơn, rộng hơn: thiết kế và xây dựng để bảo mật tốt hơn.
Thay vào đó, hãy sử dụng các quy định và tiêu chuẩn bảo mật làm kim chỉ nam cho bộ yêu cầu tối thiểu và sau đó đảm bảo rằng những nỗ lực của bạn thực sự được thực hiện. giải quyết các nhu cầu kinh doanh và bảo mật của bạn trong tương lai. Đừng để việc tuân thủ làm xao lãng mục tiêu thực sự.
4. Cân bằng giữa bảo mật và khả năng sử dụng. Bảo mật ảnh hưởng đến khả năng sử dụng như thế nào? Bạn đã tạo ra một hệ thống an toàn đến mức không thể thực hiện được đối với hầu hết người dùng chưa? Điều bắt buộc là phải tìm được sự cân bằng giữa bảo mật và trải nghiệm người dùng, đồng thời đảm bảo rằng các quy trình bảo mật không cản trở mọi người thực sự thực hiện công việc của họ. Ví dụ: xác thực đa yếu tố có thể là một cách tuyệt vời để giúp quyền truy cập an toàn hơn, nhưng nếu nó không được triển khai đúng cách, nó có thể khiến quy trình làm việc bị gián đoạn và hiệu quả giảm sút.
5. Hãy là một chuyên gia… biết khi nào nên gọi chuyên gia. Quản lý chìa khóa là công việc nghiêm túc và cần được đối xử như vậy. Ai đó trong tổ chức của bạn phải thực sự thành thạo trong việc hiểu các công cụ và công nghệ để thiết lập các phương pháp quản lý khóa hiệu quả làm cốt lõi cho mọi việc mà tổ chức của bạn thực hiện.
Đồng thời, điều quan trọng không kém là nhận ra khi nào bạn cần sự hỗ trợ của chuyên gia, chẳng hạn như khi tổ chức của bạn có quá nhiều vấn đề cần quản lý. Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) xuất bản một tài liệu khổng lồ đưa ra các khuyến nghị về mọi việc nên và không nên làm để thiết lập các phương pháp quản lý khóa tốt. Các chuyên gia mật mã đi sâu vào các đề xuất này để đảm bảo rằng các công cụ mật mã và giải pháp quản lý khóa được cung cấp đáp ứng các tiêu chuẩn này. Bằng cách đó, khi tổ chức của bạn cần hỗ trợ bổ sung cho quy trình quản lý khóa, bạn sẽ có khuôn khổ để đánh giá các tùy chọn và tìm kiến thức chuyên môn cần thiết để bảo vệ tài sản của mình một cách hiệu quả.
