Postbank, la división bancaria del Pat Office sudafricano, informó recientemente de que un empleado deshonesto había robado el 36-utilizadas para proteger los sistemas del banco. El resultado: 25.000 cargos fraudulentos por valor de 56 millones de rands (3,2 millones de dólares) y la friolera de 1.000 millones de rands (58 millones de dólares). para sustituir todas las ctarjetas de crédito y de cajero automático emitidas por el banco.
Este acontecimiento nos recuerda de la catastróficas consecuencias incluso una sola clave comprometida puede causar para una organización.
Cada tecla es importante
En un informe reciente de Ponemonlos encuestados identificaron que las organizaciones tienen una media de 88.750 claves y certificados, mientras que el 74% de los encuestados admitieron que no conocían el número exacto de claves que se utilizaban en sus organizaciones.
El hecho chocante: la mayoría de las organizaciones carecen de las herramientas, el enfoque, los conocimientos y el presupuesto necesarios para gestionar eficazmente las claves criptográficas.. Hin embargo,, toda organización debe buscar cada clave para que pueda pueda ser gestionada y auditada.
Lo que hay que destacar aquí es que cada clave debe gestionarse. Rara vez se producen brechas y compromisos en activos que están constantemente controlados y vigilados; it'son esos activos los que no que no se gestionan los que suelen provocar infracciones.
Encuentre cada llave, gestione cada llave, controle cada llave, auditar todas las llaves.
La gestión del ciclo de vida importa
Una vez que pueda identificar todas tus llaves, podrá empezar a ver cómo el ciclo de vida de cada clave puede mejorarse para mitigar aún más el riesgo.
En la mayoría de los casos, las llaves caducan y deben rotarse. Si la clave no caduca debe rotarse de todos modos. Esto tiene varias finalidadess, los más importantes dos significativos:
- En minimiza riesgo de uso de una clave comprometida
- Mantiene las normas criptográficas actuales y las mejores prácticas
En muchos casos, sin embargo, rotación de teclas se evita, ya que puede ser una tarea engorrosa.
Entra en Automatización.
El ciclo de vida delas claves debe automatizarse para garantizar que serotan periódicamente, evitar la interacción humana con las claves y evitar la configuración errónea de los dispositivos que las utilizan.
Cuestiones de propiedad
La propiedad de claves y certificados con demasiada frecuencia está repartida en una organización y la dirección hace suposicioness sobre las políticas aplicadas a las claves criptográficas. La nueva realidad es que un enfoque fragmentado de la gestión de claves ya no es posible. ya no es aceptable.
Algunas organizaciones están tomando las riendas de este asunto estableciendo un "criptográfico centro de excelencia." Este grupo central, que suele depender de un ejecutivo, es responsable de la creación y aplicación de políticas y procedimientos dentro de la organización. A criptografía cntro de excelencia también trabaja para establecer rápidamente:
- Qué claves hay en la organización y dónde viven
- Cómo llaves utilizan los sistemas y las aplicaciones
- Qué llaves incumplen las normas vigentes
- Cómo aplicar las mejores prácticas en todas las claves de la organización
A medida que la legislación sigue impulsando el uso del cifrado, el número de claves para mantener la seguridad de productos y aplicaciones sigue creciendo rápidamente. AY con ese crecimiento, llega la necesidad de conocer el paradero y la propiedad de cada para garantizar la seguridad de la información y los datos críticos asociados a esas aplicaciones y productos. seguros.
Key gestión ha superado el nivel de simplemente servcomo una casilla de verificación en un cuestionario de seguridad. Es, y seguirá siendo, una iniciativa estratégica crítica para la empresa, iniciativa estratégica. En pocas palabras: ta inversión en gestión de claves es una gota en el en comparación con el negocio, la marca y financiero financiero de una brecha o compromiso.
