Einblicke von Chief Security Officer, Chris Hickman, in den Keyfactor-Ponemon Institute Report 2019: Die Auswirkungen von ungesicherten digitalen Identitäten
Tausende von digitalen Zertifikaten sichern jeden Tag Ihr Unternehmen, doch viele Unternehmen haben bestenfalls Einblick in ein paar hundert. Da immer mehr Benutzer, Geräte und Anwendungen dem Netzwerk beitreten, steigt die Anzahl der Schlüssel und Zertifikate weiter an - aber die Budgets und Mitarbeiter scheinen damit nicht Schritt zu halten.
Und die Vorschriften zur Einhaltung von Richtlinien scheinen sich ebenso schnell zu entwickeln, so dass IT- und Sicherheitsteams Schwierigkeiten haben, die gesetzlichen Vorgaben zu erfüllen, geschweige denn ihnen zuvorzukommen.
Für diejenigen, die an der vordersten Front der Public-Key-Infrastruktur (PKI) stehen, kann sich die Überwachung von Schlüsseln und Zertifikaten leicht wie im Wilden Westen anfühlen, wo abtrünnige Administratoren und Cyberkriminelle eine ständige Bedrohung für das Unternehmen darstellen, das sie zu schützen versuchen. Für Cybersicherheits- und IT-Führungskräfte, die nicht in das Tagesgeschäft involviert sind, ist es jedoch ein normales Geschäft.
Das heißt, bis der Wirtschaftsprüfer anklopft...
Das unvermeidliche Key Management Audit: Sind Sie darauf vorbereitet?
Es ist schon schwer genug, mit abgelaufenen Zertifikaten zurechtzukommen, aber das allein reicht nicht aus. Unternehmen werden zunehmend von den Aufsichtsbehörden der Branche geprüft. Die Prüfer wollen wissen, dass die Schlüssel und Zertifikate Ihres Unternehmens verwaltet und geschützt werden und den Branchenstandards entsprechen.
Die Nichteinhaltung von Vorschriften bedeutet oft, dass Fristen für die Behebung von Mängeln gesetzt werden, dass hochqualifiziertes IT-Personal von strategischen Projekten abgezogen wird und dass man sich abmüht, nicht konforme Anlagen zu finden und zu reparieren.
Es geht auch nicht nur um gelegentliche Prüfungen.
Da Unternehmen zu Sicherheits-Scorecards und KPI-gesteuerten Cybersicherheitsprogrammen tendieren (die manchmal an eine Vergütung gekoppelt sind), müssen IT-Sicherheits- und Compliance-Teams sicherstellen, dass jedes einzelne Zertifikat mit den Unternehmensstandards übereinstimmt und dies auch nachweisen können.
Um auf diese Prüfungsszenarien zu reagieren, müssen Ihre Teams einen Bericht erstellen, um nachzuweisen, dass jedes Zertifikat mit den Unternehmensrichtlinien und Industriestandards übereinstimmt.
Klingt einfach, oder? Nicht ganz.
Mit der Einhaltung der Vorschriften Schritt halten
Eine aktuelle Studie des Ponemon Institute über Die Auswirkungen von ungesicherten digitalen Identitäten zeigt, dass die meisten Unternehmen immer noch Schwierigkeiten haben, mit der Einhaltung von Vorschriften Schritt zu halten. Aus den Antworten von fast 600 Befragten lassen sich einige der wichtigsten Ergebnisse ablesen:
- Die Befragten erlebten in den letzten zwei Jahren durchschnittlich mehr als fünf fehlgeschlagene Prüfungen oder Compliance-Vorfälle
- Der durchschnittliche wirtschaftliche Schaden durch diese Vorfälle wird auf 14,4 Millionen Dollar geschätzt.
- Die Produktivität von Anwendern und IT-Sicherheitsteams leidet am meisten unter fehlgeschlagenen Audits
- Es besteht eine 42%ige Wahrscheinlichkeit, dass Unternehmen in den nächsten zwei Jahren die gleichen Erfahrungen machen werden
Aber warum scheitern Unternehmen so oft an der Einhaltung der Vorschriften?
In den meisten Fällen finden unseriöse und nicht konforme Zertifikate ihren Weg in Ihr Netzwerk, weil es an strengen Kontrollen für Zertifikatsanforderungen und an der Durchsetzung von Richtlinien mangelt.
Da digitale Zertifikate in praktisch allen Geschäftsbereichen eine wichtige Rolle spielen - vom Schutz Ihres Netzwerks und der angeschlossenen Geräte bis hin zur Sicherung Ihrer Website - sind viele Interessengruppen beteiligt. Herkömmlich langsame und manuelle Prozesse zur Beschaffung von Zertifikaten von der IT-Abteilung führen oft dazu, dass andere Geschäftsbereiche sich für schnellere, nicht konforme Alternativen entscheiden.
Wenn es keine Kontrolle darüber gibt, wie Administratoren Zertifikate beantragen, erneuern und installieren, ist es viel wahrscheinlicher, dass sie gegen IT-Richtlinien verstoßen, und es wird schnell unmöglich zu wissen, wo sich jedes Zertifikat befindet, wie es verwendet wird oder wem es gehört.
Der größte Fehler ist die Annahme, dass eine manuelle Erfassung in Excel oder einer Datenbank den Prüfungsanforderungen genügt. Die Prüfer werden diese Tabellen mit noch größerer Aufmerksamkeit betrachten und sicherstellen, dass die Daten nicht manipuliert oder falsch eingegeben wurden.
Wenn Sie mit diesem Prozess vertraut sind, wissen Sie, dass er in großen Umgebungen mehrere Tage oder sogar länger dauern kann. Einfach ausgedrückt: Eine unkontrollierte, undokumentierte und nicht durchgesetzte Schlüssel- und Zertifikatsverwaltung macht jedes Audit unweigerlich zu einem logistischen Albtraum.
3 Wege, um den Erfolg von Key Management Audits sicherzustellen
Was können Sie also tun, damit Ihr nächstes Audit ein Erfolg wird?
- Automatisieren Sie Zertifikatsanforderungen: Setzen Sie strenge Kontrollen durch und automatisieren Sie den Prozess für jede Geschäftseinheit, um Zertifikate anzufordern, zu erneuern und auszustellen. Auf diese Weise erhalten Sie einen vollständigen Bestand und einen Prüfpfad für Schlüssel und Zertifikate von einem einzigen Ort aus, und Ihre Teams tauschen zeitaufwändige manuelle Prozesse gegen sofortige Selbstbedienung.
- Investieren Sie in Krypto-Agilität: Zu wissen, wo sich jedes Zertifikat befindet, ist nur ein Teil der Herausforderung bei der Prüfung. Werden bei einer Prüfung Richtlinienverstöße aufgedeckt, müssen Sie in der Lage sein, Schlüssel und Zertifikate auf Assets schnell und ohne manuellen Eingriff zu ändern.
- Erwägen Sie eine in der Cloud gehostete PKI: Anbieter von verwalteten PKI-Diensten bieten in der Regel einen besseren Nachweis für Audit-Punkte als Lösungen vor Ort, da die in der Cloud gehosteten Sicherheitslösungen den Industriestandards entsprechen müssen.
Als Cybersicherheits- und IT-Führungskräfte wissen wir, dass ein einziges fehlgeschlagenes Audit die Produktivität unserer Teams, den Ruf unserer Marke und natürlich das Vertrauen in unsere eigene Fähigkeit, das Unternehmen sicher zu machen, ernsthaft beeinträchtigen kann.
Es ist unsere Aufgabe, die Cybersicherheit aus dem Keller in die Vorstandsetage zu bringen. Mit einem Sitz am Tisch können unsere Teams effektivere Wege planen, um mit neuen Bedrohungen und Compliance-Hürden umzugehen - und so das Risiko unvorhergesehener (und kostspieliger) Audit-Fehlschläge verringern.
Ich würde gerne mehr über die Erfahrungen in Ihrem Unternehmen erfahren und sie mit den Ergebnissen des Berichts vergleichen. Bitte nehmen Sie Kontakt mit mir auf und lassen Sie uns einen Termin für ein Gespräch finden.