In den letzten Wochen haben wir erhalten. eine Reihe von Anfragen von Führungskräften und Praktikern aüber wie man am besten auf die die Herausforderungen von Geschäftskontinuität, die mit der COVID-19 Pandemieund die Notwendigkeit, schnell und in großem Umfang eine entfernte Belegschaft zu sichern. Um unsere Sicherheitsgemeinschaft zu unterstützen, haben wir eine Ressourcendrehscheibe mit Erkenntnissen und Empfehlungen für PKI- und Sicherheitsexperten.
Wir haben uns für ein Q&A mit unserem leitenden Sicherheitsbeauftragten, Chris Hickman, um gain mehr Einblicke in wie man angehene diese remote-Arbeitskräfte Herausforderungen der Sicherheit.
Vollständige Abschrift unten.
Wie hat sich COVID-19 auf das Tagesgeschäft einer Organisation und die allgemeine Sicherheitslage des Unternehmens ausgewirkt?
Bür viele, Die meisten Unternehmen sind sehr effektiv dazu übergegangen, ihren Mitarbeitern die Möglichkeit zu geben, aus der Ferne zu arbeiten, um die Ausbreitung des Ausbreitung des Virus indem sie die Menschen vom Arbeitsplatz fernhalten. Es ist großartig, diese globale Reaktion zu sehen - obwohl sie erstellend Herausforderungen für Unternehmen, insbesondere in den Bereichen Sicherheit.
Größere Organisationen, die es gewohnt sind, eine sehr unterschiedlichese mobile Mitarbeiter zu haben, fanden den Übergang wahrscheinlich relativ einfach. Dennoch, Dies ist jedoch das erste Mal, dass wir diese Art von Arbeitsvereinbarungen wirklich in großem Maßstab getestet haben, und es wird zwangsläufig Schluckauf und Probleme auf diesem Weg geben.
In In Gesprächen mit Leuten, die ich in der Branche kenne, die versuchen, Pläne für die Geschäftskontinuität zu erstellen, haben sie aus offensichtlichen Gründen ein großes Augenmerk auf die Sicherheit gelegt. Der Versuch, die Geschäftsdaten zu sichern, während die Leute an entfernte Orte zu verlagern, ist eine gewaltige und entmutigende Aufgabe. Die Ausmaß der Sicherheit wird wirklich auf eine Weise getestet, wie es noch nie zuvor der Fall war.
Welche Art von Gesprächen führen Sie heute mit Ihren Kunden über diese neue Realität?
Wir erleben eine unglaublicheviele Gespräche darüber wie sie jetzt oder in Zukunft nutzen können die Cloud um diese Herausforderungen zu mildern.
DieSie stellen Fragen wie, "Hwie werden wirwie wir sicherstellen, dass die Daten dort sicher sind, wo sie sich befinden heute aus der Ferne im Vergleich zu dem, wo sie has traditionell waren?" und "Wie können wir den Menschen trotzdem den Zugang zu ihre data während sie außerhalb der vier Wände der Organisation?"
Und dann zu guter Letzt, "Wie können wir skalieren?" Zum Beispiel, wenn man nur haben 10% auf 20% der Ihrer Belegschaft arbeiten arbeiten, ist das ein ganz anderes Modell als wenn plötzlich mehr als 95% bis 100 % unserer Belegschaft jetzt aus der Ferne arbeiten.
A Eine ganze Reihe neuer Risikofaktoren wurden eingeführt wo die Unternehmen im Handumdrehen abmildern müssen, und das stellt sie mit eine herausfordernde Zeit in unserem Raum, in unserer Branche. Allerdings gibt es eine große Chance für uns, die SicherheitSicherheit in großem Maßstab zu betrachten und sicher sein, dass wir haben die richtige Strategie und Praktiken um unsere Mitarbeiter und und data zu schützen.
Was sind die Herausforderungen, wenn man quasi über Nacht auf ein Modell der Heimarbeit umsteigt?
Eine große Herausforderung ist die Skalierungder Sicherheitenn alle die Planungder Welt wahrscheinlich nie an diese Art von Art von Verschiebung. Buchstäblich über Nacht Tausende von Menschen in jedem Unternehmen movund von jeden Tag ins Büro zu gehen und arbeiten jetzt zu Hause bei ihren Familien.
Meine Rolle bei Keyfactor verlangt von mir, dass ich ständig unterwegs zu sein und zu reisen, also bin ich sehr zufrieden mit mit all diesen Veränderungen. Ich fühle mich auch wohl mit unserer Firmany in der Lage ist, die Daten, auf die ich Zugriff habe, sicher zu halten. Ich bin mir auch sehr bewusst, wie ich diese Sicherheit anwende, wenn ich mich an Orten wie Hotelzimmern oder mich in einem Café einklinke Wi-Fi.
Eine weitere große Herausforderung für die Sicherheit im Moment sind die Menschen. Mitarbeiter die nicht gewöhnt sind diese Fernarbeit Datenschutz und Umsetzung von Richtlinien zum Schutz ihrer Daten werden anfällig für Sicherheitsrisiken. Arbeitnehmer und Arbeitgeber müssen schnell anpassen auf diese Realität einstellen und schauen über hinaus dieir Büro Wände und Kabinens auf anwenden. gute Sicherheitshygiene.
Unter Im Großen und Ganzen gibt es weiterhin Leute, die versuchen, die Situation auszunutzen.. Wir haben bereits bereits eine Zunahme von COVID-19-bezogenen Phishing-Angriffen. Unternehmen aller Größen müssen bewusst seindass es in einer solchen Situation leider auch diejenigen geben wird, die sie ausnutzen wollen.
Wie passen die Public Key Infrastructure (PKI) und die Verwaltung digitaler Zertifikate in dieses Bild? Wie können sie in einer Art Arbeitsumgebung von zu Hause aus in großem Umfang angewendet werden?
Es gibt unendlich viele Möglichkeiten, die PKI in dieser Situation zu nutzen Situation und eine gleiche Anzahl potenzieller Risiken, wenn sie nicht richtig berücksichtigt oder geplantgeplant. Digitale Zertifikate bleiben die beliebteste Methode zu identifizieren Ihr Unternehmensvermögen zu identifizieren, und machene sicherzustellen, dass sie über eine sichere Kommunikation mit diesen Anlagen verfügen, um sie aus der Ferne zu verwalten.
In vielen Fällen ist die PKI ist verwendet, um entfernte Mitarbeiter mit Anwendungen, die wir für die Fernunterstützung verwenden. Unternehmen verwenden digitale Zertifikate im Hintergrund, um die Helpdesk-Kommunikation zu sichern, die offensichtlich in hohem Maße genutzt wird, da sich die Menschen heute anpassen. Zertifikate werden verwendet wie zur IMitarbeiter zu identifizieren: wie man sie anmeldet dem Internet, wie man unterwie man sicherstellt, dass es sich um die Personen handelt, die die Unternehmensressourcen nutzen sollen.
Außerdem, können sieeinige dieser zugrundeliegenden digitalen Zertifikate verwenden, um zu entscheiden, ob Daten an diesen Endpunkt weitergeleitet werden sollen oder nicht. Ein Beispiel, wenn ich versuche, eine Datei auf einen Heimcomputer herunterzuladen, ohne ein Zertifikatificate Ich kann jede Art von Information herunterladen, die sicher oder beschädigt sein kann. Wenn ich hingegen auf einem Arbeitsrechner bin, habe ich ein Zertifikat von meinem Firma, das das mir erlaubt, die entsprechenden Informationen herunterzuladen.
PKI ist ein zweischneidiges Schwert, wenn sie nicht richtig konzipiert und geplant wird. Die meisten PKI ist nicht darauf ausgelegt, über das traditionelle Netz der der vier Wände der Organisation hinauszugehen. Sie sind nicht für die Skalierung auf die Wolke und hat nicht haben diese Fähigkeiten eingebaut eingebaut, um zu erreichen. Daten zu erreichen, anstatt nur diedie Dinge zu schützen, die sich in meinen vier Wänden befinden. PKI kann genutzt werden, aber der Umfang muss eingebaut werden oder die PKI muss neu überdacht werden, um dem Umfang gerecht zu werden.
Nun, da Ihre IT- und Sicherheitsteams nur noch wenige bis hunderte von Kilometern von diesem Serverraum entfernt sind, wie können sie PKI in dieser neuen Umgebung effektiv verwalten?
In einem gut durchdachten PKI gibt es gibt es mehrere Facetten der Infrastruktur, die sich für die selbst für die Betriebszeit. Mit Technologien wie Fernverwaltung und Remote Desktop, ist es relativ nahtlos und transparent zu wissen wo man sich physisch befindet und wo sich der Vermögenswert befindet befindet. PKI bietet eine Reihe von interessantinHerausforderungen, da die Root-CA traditionell offline ist und die physische Anwesenheit mehrerer Personen erfordert.
Es Es gibt einige Organisationen, die leider noch nicht darüber nachgedacht haben: "Wie verwalte ich diese physischenWie verwalte ich die physischen Anlagen, die in dieser Realität völlig unverbunden sind?" Tie haben vielleicht aufgebaut. ihren Geschäftskontinuitätsplan auf Zertifikaten aufgebaut, aber nicht durchdacht: "Wie gehe iching bekommen drei von fünf Leuten in den den Serverraum, wenn wenn sie plötzlich Hunderte von Meilen voneinander entfernt sind?"
Außerdem gibt es einen Verstärkungseffekt da eine PKI gibt alle ihre ZertifikateZertifikaten ausstellt. Unternehmen kaufen ihre zertifikatificates von einer öffentlich verwurzelten PKI. Und wenn man nicht über eine gute Verwaltung dieser Bestände verfügt, ist es sehr schwierig, die Zertifikate zu priorisieren, die für das Unternehmen in dieser Zeit von Bedeutung sind. in dieser Zeit.
Wir erzählen gerne unseren Kunden an Bestandsaufnahme alle Zertifikate in ihrer Organisation und fherauszufinden, wo sie sich befinden und was sie schützen. Sobald sie dies getan, können sie können sie dann von vornhereindiese Vermögenswerte priorisieren. Und sie werden feststellen, dass sich diese Prioritäten nun verschoben haben.
Zum Beispiel, VPN war vielleicht ein Nice-to-have vor einer Woche. Jetzt ist es ein Muss man haben. Das Setzen von Prioritäten hilft dabei, einen guten Überblick auf die sich verschiebenden Prioritäten und was ich muss was ich als Unternehmen tun muss, um entweder meine PKI und/oder Plattformen für die Verwaltung des Lebenszyklus von Zertifikaten.
Gartner und andere Analysten bezeichnen Kryptographie als "kritische Infrastruktur". Haben Sie dazu eine Meinung?
Ich könnte nicht mehr zustimmen.. PKI ist traditionell ein Rücken-von-der-Servers-Raum - Technologie. Ich denke, dass diese Art von Veranstaltung dazu beiträgt, sie weiter voranzubringen. Aber die LeuteLeute, mit denen ich kommuniziere sind jetzt mit einem begrenzten Budget, einem begrenzten Instrumentarium und den Herausforderungen der Entfernung eine Menge zu tun.
Wenn die Dinge sich beruhigen und zur Normalität zurückkehrenWenn sich die Dinge wieder beruhigen und zur Normalität zurückkehren, werden die Menschen und Organisationen erkennen, dass wir nicht bis zu einem solchen Ereignis warten können, um in dieses Thema zu investieren. Es muss ein ständiger Kreislauf von Ausbildung und Investitionen um diese abhängigen Anwendungentionen sicher.
