Küresel siber güvenlik saldırılarının sayısındaki stratosferik artış, genel olarak şifreleme ve güvenlikle ilgili en iyi uygulamaları izlemenin kritik ihtiyacına ışık tutuyor. İçten dışa zihniyeti benimsemek bir şeydir; pratiğe dökmek başkadır.
Yardımcı olmak için Cryptomatics ekibi, kuruluşların yolculuğa hızlı bir şekilde başlamasına yardımcı olmak için daha iyi kriptografik anahtar yönetimine yönelik beş önemli işaretçiden oluşan bir liste hazırladı.
1. Gerçekten iyi anahtarlarla ve bir envanter taramasıyla başlayın. Şüphesiz yapabileceğiniz en önemli şey, kuruluşunuzun yüksek kaliteli anahtarlar kullandığından emin olmaktır. İyi anahtarlar kullanmıyorsanız, ne anlamı var? Kartondan bir ev inşa ediyorsun.
İyi anahtarlar oluşturmak, anahtarların nereden geldiğini ve nasıl oluşturulduğunu bilmeyi gerektirir. Bunları dizüstü bilgisayarınızda mı yoksa bir hesap makinesiyle mi oluşturdunuz yoksa bu iş için özel olarak tasarlanmış amaca yönelik bir araç mı kullandınız? Yeterli entropiye sahipler mi? Anahtarlar, üretimden kullanıma ve depolamaya kadar hiçbir zaman bir donanım güvenlik modülünün (HSM) veya benzer bir cihazın güvenli sınırlarını terk etmemelidir.
Büyük olasılıkla, kuruluşunuz zaten anahtarları ve sertifikaları kullanıyor – nerede bulunduklarını biliyor musunuz? Onlara kimin erişimi var ve neden? Nerede saklanırlar? Nasıl yönetilirler? Sahip olduklarınızın bir envanterini oluşturun ve ardından bu anahtarlar, sertifikalar ve sırlar için temizleme ve merkezileştirme yaşam döngüsü yönetimine öncelik vermeye başlayın.
2. Tüm risk profilinizi tüm ortamınızda analiz edin. En parlak, eksiksiz ve kapsamlı siber güvenlik stratejisini oluşturabilirsiniz, ancak nihayetinde, ancak kuruluşunuzdaki herkes buna katılır ve buna uyarsa başarılı olacaktır. Bu nedenle, işletme genelindeki temsilcilerden gelen girdilerle bir risk yönetimi stratejisi geliştirmek önemlidir. Süreci dürüst tutmak için en baştan uyum ve risk çalışanlarını dahil edin. Güvenlik süreçlerinin ve protokollerinin anlamlı olması için, BT çalışanlarından iş birimlerine kadar kullanım senaryolarını getiren ve geri dönüp meslektaşlarına güvenlik adımlarının neden gerekli olduğunu açıklayabilen herkesi içermeleri gerekir.
3. Uyumu nihai hedef değil, bir sonuç haline getirin. Bu kulağa mantıksız gelebilir, ama beni bir dinleyin. Uyumluluk inanılmaz derecede önemli olsa da, düzenleyici uyumluluğu stratejinizin tek itici gücü olarak kullanmanın doğal bir riski vardır. Sistemler bir düzenleyici kontrol listesindeki kutuları işaretlemek için tasarlandıklarında, kuruluşlar daha geniş, daha önemli noktayı gözden kaçırıyor: daha iyi güvenlik için tasarlamak ve inşa etmek.
Bunun yerine, minimum gereksinimler kümesi için bir kılavuz olarak düzenlemeleri ve güvenlik standartlarını kullanın ve ardından çabalarınızın gerçekten ileriye dönük güvenlik ve iş ihtiyaçlarınızı karşıladığından emin olun. Uyumun gerçek hedeften uzaklaşmasına izin vermeyin.
4. Güvenlik ile kullanılabilirliği dengeleyin. Güvenlik kullanılabilirliği nasıl etkiler? Çoğu kullanıcı için pratik olmayacak kadar güvenli bir sistem oluşturdunuz mu? Güvenlik ve kullanıcı deneyimi arasında bir denge bulmak ve güvenlik süreçlerinin insanların işlerini gerçekten yapmalarını engellemediğinden emin olmak zorunludur. Örneğin, çok faktörlü kimlik doğrulama, erişimi daha güvenli hale getirmenin harika bir yolu olabilir, ancak doğru şekilde uygulanmazsa, iş akışlarının bozulmasına ve verimliliğin düşmesine neden olabilir.
5. Ne zaman uzman arayacağını bilen bir uzman olun. Anahtar yönetimi ciddi bir iştir ve bu şekilde ele alınmalıdır. Kuruluşunuzdan biri, kuruluşunuzun yaptığı her şeyin temelinde iyi anahtar yönetim uygulamaları oluşturmak için araçları ve teknolojiyi anlama konusunda gerçekten yetkin hale gelmelidir.
Aynı zamanda, kuruluşunuzun yönetmesi gereken çok fazla anahtarı olduğunda olduğu gibi, uzman desteğine ne zaman ihtiyacınız olduğunu bilmek de aynı derecede önemlidir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bir yayınlıyor. büyük belge Bu, iyi anahtar yönetim uygulamaları oluşturmak için yapılması ve yapılmaması gereken her şey için tavsiyeleri ortaya koyar. Kriptografi uzmanları, sunulan şifreleme araçlarının ve anahtar yönetimi çözümlerinin bu standartları karşıladığından emin olmak için bu önerileri derinlemesine inceliyor. Bu şekilde, kuruluşunuzun kilit yönetim süreci için ek desteğe ihtiyacı olduğunda, seçenekleri değerlendirmek ve varlıklarınızı etkin bir şekilde güvenceye almak için ihtiyaç duyduğunuz uzmanlığı bulmak için gerekli çerçeveye sahip olursunuz.
siber-1