5 dicas para um melhor gerenciamento de chaves

20/09/2022 mindsecblog Artigos, Notícias 2

5 dicas para um melhor gerenciamento de chaves. Transforme a conformidade em resultado e desenvolva uma estratégia de gerenciamento de risco.

Desde a análise do perfil de risco da sua empresa até saber onde as chaves estão armazenadas e quem pode acessá-las, priorize a limpeza e o gerenciamento das chaves.

O aumento estratosférico no número de ataques globais de segurança cibernética destacou a necessidade crítica de seguir as melhores práticas com criptografia e segurança em geral. Adotar uma mentalidade de dentro para fora é uma coisa; colocá-lo em prática é outra.

Para ajudar, a equipe da Cryptomathic compilou uma lista de cinco indicadores-chave para um melhor gerenciamento de chaves criptográficas para ajudar as organizações a iniciar a jornada, a qual foi publicada inicialmente pelo Dark Reading e reproduzimos aqui para nossos leitores.

Dicas para um melhor gerenciamento de chaves criptográficas

1. Comece com chaves realmente boas — e uma verificação de inventário. Sem dúvida, a coisa mais importante que você pode fazer é garantir que sua organização esteja usando chaves de alta qualidade. Se você não usa boas chaves, qual é o ponto? Você está construindo um castelo de cartas.

Criar boas chaves requer saber de onde vêm as chaves e como elas foram geradas. Você os criou em seu laptop ou com uma calculadora de bolso, ou usou uma ferramenta desenvolvida especificamente para o trabalho? Eles têm entropia suficiente? Da geração ao uso e armazenamento, as chaves nunca devem sair dos limites seguros de um módulo de segurança de hardware (HSM) ou de um dispositivo similar.

É provável que sua organização já esteja usando chaves e certificados — você sabe onde eles residem? Quem tem acesso a eles e por quê? Onde estão armazenados? Como eles são gerenciados? Crie um inventário do que você tem e comece a priorizar o gerenciamento do ciclo de vida de limpeza e centralização dessas chaves, certificados e segredos.

2. Analise todo o seu perfil de risco em todo o seu ambiente. Você pode criar a estratégia de segurança cibernética mais brilhante, completa e abrangente, mas, no final das contas, ela só será bem-sucedida se todos em sua organização concordarem com ela. É por isso que é importante desenvolver uma estratégia de gerenciamento de risco com a contribuição de representantes de toda a empresa. Inclua as pessoas de compliance e risco desde o início para manter o processo honesto. Para que os processos e protocolos de segurança sejam significativos, eles devem incluir todos, desde o pessoal de TI até as unidades de negócios que trazem casos de uso e podem voltar e explicar a seus colegas por que as etapas de segurança são necessárias.

3. Faça da conformidade um resultado, não o objetivo final. Isso pode parecer contra-intuitivo, mas ouça-me. Embora a conformidade seja extremamente importante, há um risco inerente em usar a conformidade regulatória como o único impulsionador de sua estratégia. Quando os sistemas são projetados para simplesmente marcar as caixas em uma lista de verificação regulatória, as organizações perdem o ponto mais amplo e importante: projetar e construir para melhor segurança.

Em vez disso, use regulamentações e padrões de segurança como uma diretriz para o conjunto mínimo de requisitos e, em seguida, certifique-se de que seus esforços realmente atendam às suas necessidades de segurança e negócios daqui para frente . Não deixe que a conformidade seja uma distração do objetivo real.

4. Equilibre segurança com usabilidade. Como a segurança afeta a usabilidade? Você criou um sistema tão seguro que é impraticável para a maioria dos usuários? É imperativo encontrar um equilíbrio entre a segurança e a experiência do usuário e garantir que os processos de segurança não impeçam as pessoas de realmente fazerem seu trabalho. Por exemplo, a autenticação multifator pode ser uma ótima maneira de tornar o acesso mais seguro, mas se não for implementado corretamente, pode causar falhas nos fluxos de trabalho e uma queda na eficiência.

5. Seja um especialista… que saiba quando chamar um especialista. O gerenciamento de chaves é um negócio sério e deve ser tratado como tal. Alguém em sua organização deve se tornar realmente proficiente em entender as ferramentas e a tecnologia para estabelecer boas práticas de gerenciamento de chaves no centro de tudo que sua organização faz.

Ao mesmo tempo, é igualmente importante reconhecer quando você precisa de suporte especializado, como quando sua organização tem muitas chaves para gerenciar. O Instituto Nacional de Padrões e Tecnologia (NIST) publica um enorme documento que apresenta recomendações para tudo o que deve e não deve ser feito para estabelecer boas práticas de gerenciamento de chaves. Os profissionais de criptografia se aprofundam nessas recomendações para garantir que as ferramentas criptográficas e as soluções de gerenciamento de chaves oferecidas atendam a esses padrões. Dessa forma, quando sua organização precisar de suporte adicional para o processo de gerenciamento de chaves, você terá a estrutura para avaliar as opções e encontrar o conhecimento necessário para proteger seus ativos com eficiência.