Die Postbank, die Bankabteilung des südafrikanischen Pat Office, meldete vor kurzem, dass ein betrügerischer Mitarbeiter die 36-stelligen Hauptschlüssel gestohlen hat, die zum Schutz der Banksysteme verwendet werden. Das Ergebnis: 25.000 betrügerische Abbuchungen im Wert von 56 Millionen Rand (3,2 Millionen US-Dollar) und eine satte 1 Milliarde Rand (58 Millionen US-Dollar) zum Ersatz aller cund Geldautomatenkarten, die von der Bank ausgegeben wurden, zu ersetzen.
Dieses Ereignis dient als eine großartige Erinnerung an die katastrophalen Folgen selbst ein einziger kompromittierter Schlüssel verursachen kann für eine Organisation haben.
Jede Taste ist wichtig
In einem kürzlich erschienenen Ponemon-Berichtgaben die Befragten an, dass Unternehmen durchschnittlich 88.750 Schlüssel und Zertifikate besitzen, wobei 74 % der Befragten zugaben, dass sie die genaue Anzahl der in ihrem Unternehmen verwendeten Schlüssel nicht kennen.
Die schockierende Tatsache: Den meisten Unternehmen fehlen die Werkzeuge, der Fokus, die Fähigkeiten und das Budget, um kryptografische Schlüssel effektiv zu verwalten.. However, jede Organisation muss nach jedem Schlüssel suchen, damit er verwaltet und geprüft werden kann.
Hier ist zu betonen, dass jeder Schlüssel verwaltet werden muss. Selten passieren Verstöße und Kompromittierungen bei Assets, die ständig überwacht und beobachtet werden; it'sind die Vermögenswerte, die nicht verwaltet werden die am häufigsten zu Verstößen führen.
Jeden Schlüssel finden, jeden Schlüssel verwalten, jeden Schlüssel überwachen, Prüfung jeden Schlüssel.
Lebenszyklus-Management ist wichtig
Sobald Sie identifizieren können alle Ihre Schlüssel, können Sie dann können Sie sich ansehen, wie der Lebenszyklus der einzelnen Schlüssel verbessert werden kann um das Risiko weiter zu mindern.
In den meisten Fällen laufen die Schlüssel ab und müssen rotiert werden. Wenn der Schlüssel nicht abläuft, sollte er sollte er trotzdem rotiert werden. Dies dient mehreren Zweckens, der wichtigste zwei sind:
- Sie minimiert Risiko der Verwendung von eines kompromittierten Schlüssels
- Sie pflegt aktuelle kryptografische Standards und bewährte Verfahren
Unter vielen Fällen, allerdings, Schlüsseldrehung vermieden wird, da dies eine mühsame Aufgabe sein kann.
Automatisierung einführen.
Der Lebenszyklus von Schlüsseln sollte automatisiert werden, um sicherzustellen, dass sie regelmäßig ausgetauscht werden, um menschliche Interaktion mit den Schlüsseln zu vermeiden und um eine Fehlkonfiguration der Geräte, die die Schlüssel verwenden, zu verhindern.
Eigentumsangelegenheiten
Der Besitz von Schlüsseln und Zertifikaten ist allzu oft über das über eine Organisation verteilt, wobei das Management Annahmens über die auf kryptografische Schlüssel angewandten Richtlinien. Die neue Realität ist, dass ein fragmentierter Ansatz für die Schlüsselverwaltung einfach nicht nicht mehr akzeptabel ist.
Einige Organisationen nehmen dieses Problem in die Hand, indem sie eine "cryptographischen cEintrag von excellence." Diese Kerngruppe, die in der Regel einer Führungskraft unterstellt ist, ist für die Entwicklung und Anwendung von Richtlinien und Verfahren innerhalb der Organisation verantwortlich. A cryptografische ceintrag von exzellenz arbeitet auch um schnell zu etablieren:
- Welche Schlüssel es in der Organisation gibt und wo sie sich befinden
- Wie Schlüssel von Systemen und Anwendungen verwendet werden
- Welche Schlüssel den aktuellen Normen nicht entsprechen
- Wie man bewährte Praktiken auf alle Schlüssel im Unternehmen anwendet
Da die Gesetzgebung die Verwendung von Verschlüsselung weiter vorantreibt, wird die Anzahl der Schlüssel die für die Sicherheit von Produkten und Anwendungen erforderlich sind weiterhin rapide ansteigen. AUnd mit diesem Wachstum kommt die Notwendigkeit zu verstehen Aufenthaltsort und den Besitz jedes einzelnen Schlüssel zu kennen, um zu gewährleisten, dass die kritischen Informationen und Daten, die mit diesen Anwendungen und Produkten sicher bleiben.
Richtig key Verwaltung hat sich über die Ebene der einfach dienenals ein Ankreuzfeld auf einem Sicherheitsfragebogen. Sie ist und bleibt eine geschäftskritische Initiative, strategische Initiative. Einfach ausgedrückt: tie Investition in das Key Management ist ein Tropfen auf den Eimer im Vergleich dem Geschäft, Marke und finanziellen Kosten einer Sicherheitsverletzung oder Kompromittierung.