Postbank, la division bancaire du Pat Office d'Afrique du Sud, a récemment signalé qu'un employé malhonnête avait volé le 36-chiffres utilisées pour protéger les systèmes de la banque. Le résultat: 25 000 frais frauduleux d'une valeur de 56 millions de rands (3,2 millions de dollars américains) et un énorme milliard de rands (58 millions de dollars américains). pour remplacer tous les credit et les cartes de guichet automatique émises par la banque.
Cet événement nous rappelle de la catastrophiques catastrophiques même une seule clé compromise peut entraîner pour une organisation.
Chaque clé est importante
Dans un récent rapport Ponemonles personnes interrogées ont indiqué que les organisations possédaient en moyenne 88 750 clés et certificats, tandis que 74 % des personnes interrogées ont admis qu'elles ne connaissaient pas le nombre exact de clés utilisées dans leur organisation.
Le fait choquant: la plupart des organisations ne disposent pas des outils, de l'attention, des compétences et du budget nécessaires pour gérer efficacement les clés cryptographiques.. Hependant, chaque organisation doit rechercher chaque clé afin de pouvoir la gérer et l'auditer. de la gérer et de l'auditer.
Il convient de souligner ici que chaque clé doit être être gérée. Il est rare que des violations et des compromissions se produisent sur des actifs qui sont constamment gérés. qui sont constamment surveillés et contrôlés en permanence; it'ce sont ces actifs qui ne sont pas gérés qui sont le plus souvent à l'origine d'une violation.
Trouver toutes les clés, gérer toutes les clés, surveiller toutes les clés, auditer chaque clé.
La gestion du cycle de vie est importante
Une fois que vous pouvez identifier toutes vos clés, vous pouvez alors commencer à examiner comment le cycle de vie de chaque clé peut être amélioré afin d'atténuer davantage les risques.
Dans la plupart des cas, les clés expirent et doivent être être renouvelées. Si la clé n'expire pas, elle doit quand même faire l'objet d'une rotation. Cette opération a plusieurs objectifss, les plus importants les plus importants les plus importants :
- Il minimise risque de d'utilisation d'une clé compromise
- Il maintient les normes cryptographiques actuelles et les meilleures pratiques
Dans de dans de nombreux cas, dans de nombreux cas, la rotation des clés n'est pas toujours possible, rotation des clés est évitée, car il s'agit d'une tâche fastidieuse.
Entrer dans l'automatisation.
Le cycle de vie des clés devrait être automatisé afin de garantir qu'elles sont remplacées régulièrement, d'éviter l'interaction humaine avec les clés et d'éviter une mauvaise configuration des dispositifs utilisant les clés .
Questions relatives à la propriété
La propriété des clés et des certificats est trop souvent disséminée l'ensemble de l'organisation, la direction faisant des suppositionss sur les politiques appliquées aux clés cryptographiques. La nouvelle réalité est qu'une approche fragmentée de la gestion des clés n'est tout simplement plus possible. n'est plus n'est plus acceptable.
Certaines organisations prennent ce problème en main en mettant en place un "c". "cryptographique ce de excellence." Ce groupe central, généralement placé sous l'autorité d'un dirigeant, est responsable de la création et de l'application de la politique et des procédures au sein de l'organisation. A cryptographique ce de excellence s'emploie également pour établir rapidement:
- Quelles sont les clés de l'organisation et où se trouvent-elles ?
- Comment clés Utilisation des clés par les systèmes et les applications
- Quelles sont les clés qui ne répondent pas aux normes en vigueur ?
- Comment appliquer les meilleures pratiques à tous les niveaux de l'organisation ?
Alors que la législation continue d'encourager l'utilisation du cryptage, le nombre de clés nécessaires pour assurer la sécurité des produits et des applications a diminué. nécessaires pour assurer la sécurité des produits et des applications continue de croître rapidement. AEt cette croissance s'accompagne de la nécessité de comprendre le rôle des clés dans la sécurité des produits et des applications. la nécessité de comprendre où se trouve et la propriété de chaque clé clés, afin de garantir au mieux la sécurité des informations et des données critiques liées à ces applications et à ces produits. sécurisées.
Les key de la gestion a dépassé le niveau de la niveau de simplement de servir de case à cocher sur un questionnaire de sécurité.de case à cocher sur un questionnaire de sécurité. Il s'agit, et il continuera à s'agir, d'une initiative stratégique essentielle pour l'entreprise, une initiative stratégique. En d'autres termes, il s'agit d'une initiative stratégique essentielle pour l'entreprise : tinvestissement dans la gestion des clés est une goutte d'eau seau par rapport par rapport aux de l'entreprise, de la marque et des financier financier d'une violation ou d'une compromission.
