Een Enterprise Encryption Policy is essentieel voor de beveiliging van een organisatie. Dit beleid biedt een uniforme manier om encryptie Best practices worden correct geïmplementeerd in uw hele organisatie. Bovendien kan een sterk Enterprise Encryption Policy worden afgestemd op de encryptiestrategie die uw organisatie heeft ontwikkeld, waardoor u een organisatiespecifieke oplossing krijgt voor uw encryptiehiaten.
Het opstellen van een encryptiebeleid vereist veel planning en organisatie om het correct te implementeren. Uw Enterprise Encryptiebeleid zal waarschijnlijk verschillende tools voorstellen die gebruikt kunnen worden voor data-encryptie, zoals code ondertekening oplossingen om uw gegevens de veiligheid te bieden die ze verdienen.
Basisprincipes van encryptie
De eerste stap bij het ontwerpen van een sterk Enterprise Encryption Policy is ervoor te zorgen dat u de basisprincipes van encryptie begrijpt. Er zijn twee verschillende soorten encryptiemethoden: asymmetrische en symmetrische encryptieSymmetrische encryptie gebruikt één sleutel bij het versleutelen van gegevens. Dit betekent dat zowel de persoon die de gegevens versleutelt als de persoon die de gegevens versleutelt, ontsleutelen gegevens gebruiken dezelfde sleutel.
De oorspronkelijke platte tekstgegevens worden versleuteld met de symmetrische sleutel en omgezet in cijfertekst. Deze cijfertekst wordt later ontsleuteld met dezelfde sleutel waarmee de gegevens zijn versleuteld, waardoor de platte tekst wordt gereproduceerd. De sleutel moet veilig worden verzonden naar zowel degene die de gegevens ontsleutelt als degene die de gegevens versleutelt, aangezien alleen degenen die de gegevens moeten versleutelen of ontsleutelen toegang tot de sleutel mogen hebben.
Als de beveiliging van de sleutel niet goed wordt beheerd, kan een kwaadwillende actor de plattetekstgegevens stelen en gebruiken voor ongewenste doeleinden.
Het andere type encryptie is asymmetrische encryptie. Deze encryptiemethode werkt met een encryptiesleutelpaar in plaats van een enkele encryptiesleutel. Het sleutelpaar bestaat uit een publieke en een privésleutel. Zoals de namen al suggereren, is de publieke sleutel voor iedereen beschikbaar, terwijl de privésleutel alleen bekend is bij degene die het sleutelpaar heeft gemaakt. Dit sleutelpaar is wiskundig gekoppeld, zodat als de privésleutel of de publieke sleutel platte tekst versleutelt, de andere sleutel de resulterende cijfertekst kan ontcijferen.
Asymmetrische encryptie werkt bij data-in-transit door de verzender van de data te encrypteren met de privésleutel van zijn sleutelpaar. De publieke sleutel wordt vervolgens doorgestuurd naar de ontvanger, die deze gebruikt om de data te decoderen. Doordat deze sleutels aan elkaar gekoppeld zijn, weet de ontvanger dat de data daadwerkelijk afkomstig is van de persoon die hij denkt dat ze afkomstig is. Op deze manier biedt asymmetrische encryptie een geldige manier om te verifiëren dat de data-in-transit niet is gewijzigd en om de identiteit van de verzender van de data te valideren.
Het laatste onderdeel van encryptie dat we moeten begrijpen, zijn de verschillende toestanden waarin gegevens zich kunnen bevinden, waaronder data in transit/data in beweging, data in rust en data in gebruik:
Nu we de basisbeginselen van encryptie begrijpen, gaan we kijken naar de overwegingen bij het ontwikkelen van een Enterprise Encryption Policy Strategy.
Waar moet je op letten bij het bedenken van een strategie?
Het ontwikkelen van een Enterprise Encryption Policy is een uiterst belangrijke stap in de daadwerkelijke ontwikkeling ervan. Er zijn verschillende punten om te overwegen bij het ontwikkelen van een strategie voor uw Enterprise Encryption Policy, die beginnen met samenwerking. Een organisatie die een beleid opstelt, moet samenwerken met elk team dat bij dit beleid betrokken kan zijn of nuttige informatie voor het beleid kan hebben. Dit geldt ook voor complianceteams, omdat zij kunnen helpen bepalen welke soorten gegevens moeten worden ontdekt en geclassificeerd, en welke methoden voor encryptie of sleutelbeveiliging nodig zijn.
De andere belanghebbenden bij dit project kunnen ook helpen bij het koppelen van dit beleid aan ander beleid dat al in uw organisatie van kracht is, zoals beleid voor sleutelbescherming. De teams die de Enterprise Encryption Policy-controles daadwerkelijk implementeren, moeten ook worden betrokken bij het strategieproces.
De volgende stap bij het opstellen van een strategie voor uw Enterprise Encryption Policy is het classificeren van gegevens. Gebruik de kennis van het complianceteam om te bepalen welke standaarden en compliancevoorschriften u moet volgen. Dit bepaalt namelijk of en welke gegevens moeten worden geclassificeerd en hoe deze gegevens moeten worden beschermd. Om gegevens te classificeren, moet een organisatie al haar gegevens doornemen om de verschillende soorten gegevens te bepalen die ze opslaan. Als bepaalde gegevens, zoals burgerservicenummers, telefoonnummers of adressen, op een of andere manier worden opgeslagen of gebruikt, moeten die gegevens worden beschermd.
Zodra gegevens geclassificeerd zijn, worden ze veel gemakkelijker te beschermen via encryptie, tokenisatie of andere methoden. Gegevens worden normaal gesproken op een van de vier verschillende manieren geclassificeerd. Openbaar is het eerste classificatieniveau, dit zijn gegevens die openbaar zijn of openbaar zullen worden. Mochten deze gegevens verloren gaan of gestolen worden, dan levert dat geen problemen op, omdat ze openbaar bekend zijn.
Het tweede niveau is Zakelijk Gebruik, oftewel data die dagelijks wordt gebruikt in zakelijke toepassingen. Dit is het classificatieniveau van de meeste data, en hoewel het lastig zou zijn om deze te verliezen, zou het uw organisatie niet lamleggen. Het derde niveau is Vertrouwelijke data, oftewel data waartoe minder mensen toegang hebben en die bij lekken een concurrentievoordeel zou opleveren. Tot slot zijn er Beperkte data, oftewel de minst toegankelijke informatie binnen de organisatie.
Vertrouwelijke gegevens kunnen miljoenen dollars aan omzetverlies veroorzaken als ze uitlekken. Bovendien kunnen ze leiden tot rechtszaken als de gegevens verloren gaan of worden gestolen.
Een ander belangrijk punt om te overwegen bij het opstellen van het beleid van uw organisatie zijn rollen en toegangscontrole voor gegevens. Het is erg belangrijk voor de gegevensbeveiliging om alleen degenen te selecteren die toegang nodig hebben tot bepaalde gegevens. Als iemand toegang krijgt tot beperkte gegevens die dat niet zou moeten hebben, kan dit leiden tot diefstal of verlies van gegevens die essentieel zijn voor de organisatie. U kunt een goede toegangscontrole implementeren door rollen toe te wijzen aan gebruikers. Deze rollen kunnen gebaseerd zijn op gegevensclassificatieniveaus, functietitel of zelfs de afdeling binnen een bedrijf waar een gebruiker werkt. Dat betekent dat iemand respectievelijk een beperkte gegevensrol, een salesmedewerkerrol of een HR-rol kan hebben.
Een ander belangrijk punt om te overwegen bij toegangscontrole is functiescheiding. Functiescheiding is het idee dat meerdere mensen nodig zijn om een bepaalde taak uit te voeren. Als iemand toegang vraagt tot afgeschermde gegevens, moeten een of meer goedkeurders die persoon toegang verlenen voordat hij of zij de afgeschermde gegevens daadwerkelijk kan openen en gebruiken. Dit biedt meer kansen om een potentiële insider threat te stoppen, omdat er meerdere mensen bij de insider threat betrokken moeten zijn om gegevens te stelen.
Een van de belangrijkste factoren bij het opstellen van een strategie voor uw beleid is het overwegen van de soorten encryptie die u wilt implementeren. Deze kunnen variëren afhankelijk van de nalevingsvoorschriften en -normen die uw organisatie moet volgen en het beveiligingsniveau dat u in uw IT-infrastructuur wilt implementeren. Elke organisatie zou moeten streven naar de sterkst mogelijke encryptie en beveiliging die de bedrijfsvoering niet belemmert of vertraagt.
Uw bedrijf kan elk type encryptie-algoritme gebruiken, maar het is essentieel dat gegevens in alle formaten worden beschermd. Als gegevens alleen tijdens verzending worden beschermd, kunnen gegevens zowel tijdens opslag als tijdens gebruik in gevaar komen. Houd ook de Nationaal Instituut voor Wetenschap en Technologie (NIST) updates van regelgeving en normen, omdat deze organisaties voorzien van de best mogelijke werkwijzen om te garanderen dat ze de sterkste encryptie-algoritmen, sleutellengtes, etc. gebruiken.
Uw onderneming kan uw verschillende encryptiemethoden handmatig of met Enterprise Encryption Platform Services, zoals MicroFocus of Protegrity. Dit zou u ook moeten helpen bij het bepalen van de volgende stap in uw strategie: het beheer van encryptiesleutels.
Het beheer van encryptiesleutels is misschien wel het belangrijkste onderdeel van uw encryptiestrategie, zoals veel van de meest recente aanvallen op de toeleveringsketen hebben aangetoond. Het eerste doelwit dat een aanvaller zal proberen te vinden, is de privésleutel van het asymmetrische encryptiesleutelpaar.
Sleutels kunnen tegenwoordig op verschillende plaatsen worden opgeslagen, maar niet allemaal zijn ze veilig. Sommige organisaties slaan hun sleutels in platte tekst op hun apparaten op, wat de minst veilige manier is om sleutels te bewaren. Softwarematige sleutelbeveiliging is beschikbaar, maar dit is nog steeds niet de beste manier, omdat deze sleutels nog steeds gevoelig zijn voor diefstal.
De beste praktijk, zoals beweerd door het NIST, is om Federale normen voor informatieverwerking (FIPS) Gevalideerde Hardware Security Modules (HSM's), omdat deze de veiligste methode bieden voor het beschermen van encryptiesleutels, of sleutels van welk type dan ook. FIPS-gevalideerde HSM's kunnen variëren van FIPS 140-2 Niveau 1 tot Niveau 4. Niveau 1 biedt de minste beveiliging en vereist een werkend encryptiealgoritme van elk type en apparatuur van productiekwaliteit. Niveau 2 neemt alle vereisten van Niveau 1 over en voegt rolgebaseerde authenticatie, fraudebestendige fysieke apparaten en een besturingssysteem toe dat is goedgekeurd door Common Criteria op EAL2.
De meeste organisaties gebruiken doorgaans een FIPS 140-2 niveau 3 HSM, omdat deze aan alle vereisten van niveau 2 voldoet en bovendien fraudebestendige apparaten, een scheiding van de logische en fysieke interfaces met "kritieke beveiligingsparameters" die het systeem binnenkomen of verlaten, en identiteitsgebaseerde authenticatie toevoegt. Privésleutels die het systeem verlaten of binnenkomen, moeten ook worden versleuteld voordat ze naar of van het systeem kunnen worden verplaatst. Het laatste niveau, niveau 4, vereist alles van niveau 3, plus de mogelijkheid dat het apparaat fraudebestendig is en dat de inhoud ervan kan worden gewist als bepaalde omgevingsinbreuken worden gedetecteerd.
Het laatste onderdeel van een sterke strategie voor het opstellen van uw Enterprise Encryption Policy is het bepalen van de oplossingen die u wilt implementeren. Deze kunnen variëren van oplossingen voor certificaatbeheer, enterprise encryptieplatformdiensten, codeondertekeningsoplossingen, oplossingen voor sleutelbeheer en Public Key Infrastructures (PKI's). Het kiezen van de juiste oplossing voor uw organisatie is van cruciaal belang, aangezien u veel verschillende zakelijke behoeften hebt waaraan deze oplossingen moeten voldoen.
Het kiezen van de beste oplossing kan lastig zijn, maar door u te richten op de verschillende nalevingsnormen die u moet volgen, evenals de best practices van NIST-normen, krijgt uw bedrijf de best mogelijke oplossingen om aan de projectvereisten te voldoen. Nu we een strategie voor uw Enterprise Encryption Policy hebben ontwikkeld, laten we eens kijken wat de belangrijkste componenten van dat beleid zijn.
Belangrijkste beleidsgebieden voor bedrijfsversleuteling
Technische normen voor encryptie:
Het gedeelte 'Technische standaarden voor encryptie' van het Enterprise Encryption Policy behandelt de technische details van de verschillende sleutels, encryptiealgoritmen, enz. voor de onderneming. Dit gedeelte omvat sleutellengte, sleutelsterkte, sleuteltypen en andere technische details over sleutels. De sterkte van de gebruikte encryptiealgoritmen, de gebruikte typen encryptiealgoritmen en de sterkte van eventuele gebruikte cijfers maken allemaal deel uit van de technische standaarden voor encryptie. Het doel van dit beleidsgebied is om uniformiteit te garanderen tussen alle bedrijfseenheden binnen de onderneming met betrekking tot de sleutels en andere aspecten van encryptie.
Te versleutelen gegevens:
Dit beleidsgebied behandelt de vraag welke gegevens versleuteld moeten worden en waarom. Dit werkt met methoden voor gegevensclassificatie, beleid voor gegevensclassificatie en andere methoden voor gegevensidentificatie. Gegevens kunnen in verschillende categorieën worden ingedeeld, en een voorbeeld hiervan is te vinden in de waar u rekening mee moet houden bij het maken van een strategie gedeelte van dit document.
In welke fase moet worden versleuteld:
Dit behandelt de verschillende soorten gegevens en waar gegevens moeten worden versleuteld. In dit beleidsgebied bepaalt u de beste oplossingen voor het versleutelen van data-at-rest, data-in-motion en data-in-use. Deze oplossingen kunnen worden bepaald op basis van de nalevingsnormen en best practices die uw organisatie moet volgen.
Sleutelbescherming:
Dit beleidsgebied regelt de sterkte van sleutels en hoe deze worden beschermd. De meest voorkomende methode is het volgen van NIST-normen en het gebruik van multi-factorauthenticatie voor sleutelopslag en -toegang. Daarnaast beveiligen tools zoals HSM's encryptiesleutels zo sterk mogelijk.
Sleutel escrow:
Sleutelescrow verwijst naar het ophalen van sleutels om juridische redenen, zoals nalevingsaudits of noodherstel. Mocht er zich een onvoorziene ramp voordoen binnen uw organisatie en moeten sleutels worden hersteld of gereset, dan moet er sleutelescrow worden opgenomen in het Enterprise Encryption Policy.
Opleiding:
Training is essentieel voor een organisatie, omdat elk teamlid en elke bedrijfseenheid moet weten hoe ze toegang krijgen tot gegevens, welke gegevenstypen ze kunnen benaderen, hoe ze nieuwe gegevens moeten classificeren en hoe ze nieuwe encryptiesleutels of gegevens moeten beveiligen. Zolang iedereen weet hoe ze toegang moeten krijgen tot gegevens en hoe ze ermee moeten omgaan, kunnen ze goed functioneren binnen de organisatie.
Monitoring:
Het is van essentieel belang om de encryptie en gegevens in uw hele onderneming te bewaken. Er moet immers een controletraject worden gecreëerd, certificaten en sleutels moeten worden bijgehouden en er moet een sterke toegangscontrole zijn.
Encryptie Consulting Producten en Diensten
Als uw organisatie van plan is een sterk Enterprise Encryption Policy te creëren, kan Encryption Consulting u helpen. Wij bieden een breed scala aan producten en diensten die uw bedrijf veilig houden. Voor onze diensten bieden wij: encryptie, PKIen HSM beoordelings-, ontwerp- en implementatiediensten voor uw organisatie.
We kunnen ook Train uw medewerkers over het gebruik van HSM's, PKI en Amazon Web ServicesWij bieden ook een codeondertekeningsoplossing, CodeSign Secure 3.0, die onder andere monitoring, virus-/malwarescanning en multifactorauthenticatie biedt. Onze PKI-as-a-Service is een andere geweldige manier om een sterk Enterprise Encryption Policy te hebben, zonder dat u elk onderdeel van de PKI hoeft te beheren. Heeft u vragen over de diensten of producten van Encryption Consulting? Bezoek dan onze website: www.encryptionconsulting.com.
