Postbank, la división bancaria del Pat Office sudafricano, informó recientemente de que un empleado deshonesto había robado el 36-utilizadas para proteger los sistemas del banco. El resultado: 25.000 cargos fraudulentos por valor de 56 millones de rands (3,2 millones de dólares) y la friolera de 1.000 millones de rands (58 millones de dólares). para sustituir todas las ctarjetas de crédito y de cajero automático emitidas por el banco.
Este acontecimiento nos recuerda de la catastróficas consecuencias incluso una sola clave comprometida puede causar para una organización.
Cada tecla es importante
En un informe reciente de Ponemonlos encuestados identificaron que las organizaciones tienen una media de 88.750 claves y certificados, mientras que el 74% de los encuestados admitieron que no conocían el número exacto de claves que se utilizaban en sus organizaciones.
El hecho chocante: la mayoría de las organizaciones carecen de las herramientas, el enfoque, los conocimientos y el presupuesto necesarios para gestionar eficazmente las claves criptográficas.. Hin embargo,, toda organización debe buscar cada clave para que pueda pueda ser gestionada y auditada.
Lo que hay que destacar aquí es que cada clave debe gestionarse. Rara vez se producen brechas y compromisos en activos que están constantemente controlados y vigilados; it'son esos activos los que no que no se gestionan los que suelen provocar infracciones.
Encuentre cada llave, gestione cada llave, controle cada llave, auditar todas las llaves.
La gestión del ciclo de vida importa
Una vez que pueda identificar todas tus llaves, podrá empezar a ver cómo el ciclo de vida de cada clave puede mejorarse para mitigar aún más el riesgo.
En la mayoría de los casos, las llaves caducan y deben rotarse. Si la clave no caduca debe rotarse de todos modos. Esto tiene varias finalidadess, los más importantes dos significativos:
- En minimiza riesgo de uso de una clave comprometida
- Mantiene las normas criptográficas actuales y las mejores prácticas
En muchos casos, sin embargo, rotación de teclas se evita, ya que puede ser una tarea engorrosa.
Entra en Automatización.
El ciclo de vida delas claves debe automatizarse para garantizar que serotan periódicamente, evitar la interacción humana con las claves y evitar la configuración errónea de los dispositivos que las utilizan.
La titularidad es crucial
La titularidad de las claves y certificados con demasiada frecuencia se dispersa por toda la organización, y la dirección asume políticas aplicadas a las claves criptográficas. La nueva realidad es que un enfoque fragmentado para la gestión de claves ya no es aceptable.
Algunas organizaciones están abordando este problema mediante el establecimiento de un “centro de excelencia criptográfico.” Este grupo central, que suele depender de un ejecutivo, es responsable de la creación y aplicación de políticas y procedimientos dentro de la organización. Un centro de excelencia criptográfico también trabaja para establecer rápidamente:
- Qué claves existen en la organización y dónde residen
- Cómo las claves están siendo utilizadas por los sistemas y aplicaciones
- Qué claves no cumplen con los estándares actuales
- Cómo aplicar las mejores prácticas a todas las claves de la organización
A medida que la legislación sigue impulsando el uso del cifrado, el número de claves necesarias para mantener seguros los productos y las aplicaciones sigue creciendo rápidamente. Y con ese crecimiento, surge la necesidad de comprender la ubicación y la titularidad de cada clave, para garantizar mejor que la información y los datos críticos asociados a esas aplicaciones y productos permanezcan seguros.
La gestión adecuada de claves ha superado el nivel de ser simplemente una casilla de verificación en un cuestionario de seguridad. Es, y seguirá siendo, una iniciativa estratégica y crítica para el negocio. En pocas palabras: la inversión en la gestión de claves es insignificante en comparación con el coste empresarial, de marca y financiero de una violación o compromiso.
