En företagskrypteringspolicy är avgörande för en organisations säkerhet. Denna policy ger ett enhetligt sätt att säkerställa kryptering bästa praxis implementeras korrekt i hela organisationen. Dessutom kan en stark företagskrypteringspolicy anpassas till den krypteringsstrategi som din organisation har skapat, vilket ger dig en organisationsspecifik lösning på dina krypteringsluckor.
Att skapa en krypteringspolicy kräver mycket planering och organisation för att implementera den korrekt. Din företagskrypteringspolicy kommer sannolikt att föreslå olika verktyg som ska användas för datakryptering, som kodsignering lösningar för att ge dina data den säkerhet de förtjänar.
Grunderna i kryptering
Det första steget i att utforma en stark företagskrypteringspolicy är att se till att du förstår grunderna i kryptering. Det finns två olika typer av krypteringsmetoder: asymmetrisk och symmetrisk krypteringSymmetrisk kryptering använder en nyckel vid kryptering av data. Det betyder att både personen som krypterar data och personen dekryptering data använder samma nyckel.
Den initiala klartextdatan krypteras med den symmetriska nyckeln och omvandlas till chiffertext. Denna chiffertext dekrypteras sedan senare med samma nyckel som används för att kryptera den, vilket reproducerar klartexten. Nyckeln bör överföras säkert till både den person som dekrypterar och krypterar informationen, eftersom endast de individer som behöver kryptera eller dekryptera informationen ska ha tillgång till nyckeln.
Om nyckelns säkerhet hanteras felaktigt kan en illvillig hotaktör stjäla klartextdata och använda den för oönskade syften.
Den andra typen av kryptering är asymmetrisk kryptering. Denna krypteringsmetod hanterar ett krypteringsnyckelpar i motsats till en enda krypteringsnyckel. Nyckelparet skapas med en offentlig och en privat nyckel. Som namnen antyder är den offentliga nyckeln tillgänglig för alla medan den privata nyckeln endast är känd för nyckelparets skapare. Detta nyckelpar är matematiskt länkat, så att om den privata nyckeln eller den offentliga nyckeln krypterar någon klartext, kan den andra nyckeln dekryptera den resulterande chiffertexten.
Sättet som den asymmetriska krypteringsprocessen fungerar med data under överföring är att avsändaren av informationen krypterar informationen med den privata nyckeln i sitt nyckelpar. Den publika nyckeln skickas sedan vidare till mottagaren av informationen, som använder den publika nyckeln för att dekryptera informationen. Eftersom dessa nycklar är länkade vet mottagaren att informationen faktiskt kommer från den person de tror att den kommer ifrån. På så sätt ger asymmetrisk kryptering ett giltigt sätt att autentisera att informationen under överföring inte har ändrats och att validera avsändarens identitet.
En sista komponent i kryptering som vi bör förstå är de olika tillstånd som data kan vara i, vilka inkluderar data under överföring/data i rörelse, data i vila och data i användning:
Nu när vi förstår grunderna i kryptering, låt oss ta en titt på vad du behöver tänka på när du utvecklar en strategi för företagskryptering.
Vad ska man tänka på när man utformar strategi?
Att utforma en strategi för utvecklingen av en företagskrypteringspolicy är ett oerhört viktigt steg i att faktiskt utveckla policyn. Det finns ett antal olika punkter att beakta när man utformar en strategi för sin företagskrypteringspolicy, vilket börjar med samarbete. En organisation som skapar en policy bör arbeta med alla team som kan inkluderas i denna policy eller som kan ha användbar information för policyn. Detta inkluderar efterlevnadsteam, eftersom de kommer att kunna hjälpa till att avgöra vilka typer av data som måste upptäckas och klassificeras, samt vilka metoder för kryptering eller nyckelskydd som är nödvändiga.
De andra intressenterna som ingår i det här projektet kan också hjälpa till att koppla denna policy till andra policyer som redan finns på plats i er organisation, såsom nyckelskyddspolicyer. De team som faktiskt implementerar Enterprise Encryption Policy-kontrollerna bör också inkluderas i strategiprocessen.
Nästa steg att överväga när du utformar strategier för att skapa din Enterprise Encryption Policy är att klassificera data. Med hjälp av compliance-teamets kunskap bör du fastställa vilka olika standarder och efterlevnadsregler du behöver följa, eftersom det kommer att avgöra för din organisation om eller vilka data som måste klassificeras och hur dessa data ska skyddas. För att klassificera data måste en organisation gå igenom all sin data för att avgöra vilka olika typer av data de lagrar. Om vissa typer av data, som personnummer, telefonnummer eller adresser, lagras eller används på något sätt, måste dessa data skyddas.
När data väl har klassificerats blir det mycket enklare att skydda dem via kryptering, tokenisering eller andra metoder. Data klassificeras normalt på ett av fyra olika sätt. Offentlig är den första klassificeringsnivån, vilket är data som är eller kommer att bli tillgängliga för allmänheten. Om dessa data förloras eller stjäls orsakar det inga problem, eftersom de är allmänt kända.
Den andra nivån är affärsanvändning, vilket är data som används i dagliga affärsfall. Detta är klassificeringsnivån för de flesta data, och även om det skulle vara ett hinder att förlora dem, skulle det inte lamslå din organisation. Den tredje nivån är konfidentiella data, vilket är data som färre personer har tillgång till och som skulle leda till att en konkurrensfördel går förlorad om den läckte ut. Slutligen finns det begränsade data, vilket är den minst tillgängliga informationen i organisationen.
Begränsad data kan orsaka intäktsförluster på miljontals dollar om den läcks ut, och kan leda till stämningar om informationen förloras eller blir stulen.
En annan viktig punkt att strategiskt utarbeta när du skapar din organisations policy är roller och åtkomstkontroll av data. Att säkerställa att endast de som behöver åtkomst till vissa data är mycket viktigt för datasäkerheten, eftersom att tillåta någon att få åtkomst till begränsade data som inte borde ha det kan leda till att data som är viktiga för organisationen stjäls eller förloras. Du kan implementera korrekt åtkomstkontroll genom att tilldela roller till användare. Dessa roller kan baseras på dataklassificeringsnivåer, jobbtitel eller till och med den del av ett företag en användare arbetar i. Det betyder att någon kan ha en roll inom begränsade data, en säljareroll respektive en personalroll.
En annan viktig punkt att tänka på gällande åtkomstkontroll är arbetsuppdelning. Arbetsuppdelning innebär att flera personer behövs för att slutföra en viss uppgift, så om någon begär åtkomst till begränsade uppgifter måste en eller flera godkännare ge dem åtkomst till dessa uppgifter innan de faktiskt kan komma åt och använda dem. Detta ger fler chanser att stoppa ett potentiellt insiderhot, eftersom det måste finnas flera personer inblandade i insiderhotet för att stjäla data.
En av nycklarna när du skapar en strategi för din policy är att överväga vilka typer av kryptering du vill införa. Dessa kan variera beroende på de efterlevnadsregler och standarder som din organisation är skyldig att följa och vilken säkerhetsnivå du vill implementera i din IT-infrastruktur. Varje organisation bör sträva efter att ha starkast möjliga kryptering och säkerhet på plats som inte hämmar eller saktar ner dess verksamhet.
Ditt företag kan använda vilken typ av krypteringsalgoritm som helst, men det är viktigt att säkerställa att data skyddas i alla format. Om data bara skyddas i rörelse kan data äventyras, antingen i vila eller under användning. Håll också koll på Nationella institutet för vetenskap och teknologi (NIST) uppdateringar av regler och standarder, eftersom dessa ger organisationer bästa möjliga praxis att följa för att säkerställa att de använder de starkaste krypteringsalgoritmerna, nyckellängderna etc.
Ditt företag kan hantera dina olika krypteringsmetoder antingen manuellt eller med Tjänster för företagskrypteringsplattform, som MicroFocus eller Protegrity. Detta bör också hjälpa dig att bestämma nästa steg i din strategi, vilket är hantering av krypteringsnycklar.
Hantering av krypteringsnycklar är utan tvekan den viktigaste delen av ditt krypteringsstrategi, vilket många av de senaste attackerna mot leveranskedjorna har visat. Det första målet som en hotaktör försöker hitta är den privata nyckeln till det asymmetriska krypteringsnyckelparet.
Nu kan nycklar lagras på en mängd olika platser, men alla är inte säkra. Vissa organisationer lagrar sina nycklar i klartext på sina enheter, vilket är den minst säkra metoden att lagra nycklar. Programvarubaserad nyckelsäkerhet är tillgänglig, men detta är fortfarande inte bästa praxis, eftersom dessa nycklar fortfarande är benägna att bli stulna.
Den bästa praxisen, enligt NIST, är att använda Federal Information Processing Standards (FIPS) Validerade hårdvarusäkerhetsmoduler (HSM), eftersom de ger den säkraste metoden för att skydda krypteringsnycklar, eller nycklar av alla typer. FIPS-validerade HSM kan variera från FIPS 140-2 Nivå 1 till Nivå 4. Nivå 1 ger den lägsta mängden säkerhet och kräver en fungerande krypteringsalgoritm av alla typer och utrustning av produktionskvalitet. Nivå 2 tar alla krav från nivå 1 och lägger till rollbaserad autentisering, manipuleringssäkra fysiska enheter och ett operativsystem som är godkänt av Common Criteria vid EAL2.
Majoriteten av organisationer tenderar att använda en FIPS 140-2 nivå 3 HSM, eftersom den tillgodoser alla krav på nivå 2 och lägger till manipulationssäkra enheter, en separation av de logiska och fysiska gränssnitten som har "kritiska säkerhetsparametrar" som kommer in i eller lämnar systemet, samt identitetsbaserad autentisering. Privata nycklar som lämnar eller kommer in i systemet måste också krypteras innan de kan flyttas till eller från systemet. Den sista nivån, nivå 4, kräver allt i nivå 3, tillsammans med enhetens förmåga att vara manipuleringsaktiv och att enhetens innehåll kan raderas om vissa miljöattacker upptäcks.
Den sista delen av en stark strategi för att skapa din företagskrypteringspolicy bör vara att bestämma vilka lösningar du vill implementera. Dessa kan variera från certifikathanteringslösningar, företagskrypteringsplattformstjänster, kodsigneringslösningar, nyckelhanteringslösningar och infrastrukturer för offentliga nyckelringar (PKI). Att välja rätt lösning för din organisation är oerhört viktigt, eftersom du kommer att ha många olika affärsbehov som behöver uppfyllas av dessa lösningar.
Att välja den bästa lösningen kan vara svårt, men att fokusera på de olika efterlevnadsstandarder du måste följa, såväl som de bästa metoderna som anges i NIST-standarder, kommer att ge ditt företag de bästa möjliga lösningarna för att uppfylla projektets krav. Nu när vi har utvecklat en strategi för din företagskrypteringspolicy, låt oss se vilka de viktigaste komponenterna i den policyn är.
Viktiga policyområden för företagskryptering
Tekniska standarder för kryptering:
Den del av Enterprise Encryption Policy som rör tekniska krypteringsstandarder behandlar de tekniska detaljerna för olika nycklar, krypteringsalgoritmer etc. för företaget. Detta avsnitt inkluderar nyckellängd, nyckelstyrka, nyckeltyper och andra tekniska nyckeldetaljer. Styrkan på de krypteringsalgoritmer som används, de typer av krypteringsalgoritmer som används och styrkan på eventuella chiffer som används är alla ytterligare delar av de tekniska krypteringsstandarderna. Poängen med detta policyområde är att säkerställa att det finns enhetlighet mellan alla affärsenheter inom företaget, med avseende på nycklarna och andra aspekter av kryptering.
Data att kryptera:
Detta policyområde är avsett att hantera idén om vilka data som behöver krypteras och varför. Detta fungerar med dataklassificeringsmetoder, dataklassificeringspolicyer och andra dataidentifieringsmetoder. Data kan klassificeras i ett antal olika kategorier, och ett exempel på detta finns i vad man ska tänka på när man utformar strategier avsnittet i detta dokument.
Vilket steg ska krypteras på:
Detta handlar om olika typer av data och var data ska krypteras. Inom detta policyområde bör du fastställa de bästa lösningarna för kryptering av data i vila, data i rörelse och data i användning. Dessa lösningar kan bestämmas baserat på de efterlevnadsstandarder och bästa praxis som din organisation måste följa.
Nyckelskydd:
Detta policyområde hanterar nycklars styrka och hur dessa nycklar skyddas. Den vanligaste metoden är att följa NIST-standarder och ha flerfaktorsautentisering på plats för nyckellagring och åtkomst. Dessutom säkrar verktyg som HSM:er krypterade privata nycklar på starkast möjliga sätt.
Nyckeldeposition:
Nyckeldepositionering avser att hämta nycklar av juridiska skäl, som efterlevnadsrevisioner eller katastrofåterställning. Om en oförutsedd katastrof skulle inträffa i din organisation och nycklar behövde återställas eller återställas, måste nyckeldepositionering finnas på plats i företagets krypteringspolicy.
Träning:
Utbildning är avgörande för en organisation, eftersom varje teammedlem och affärsenhet bör veta hur man får åtkomst till data, vilka datatyper de kan komma åt, hur de ska klassificera nya data och hur man skyddar nya krypteringsnycklar eller data. Så länge alla vet hur man får åtkomst till och hanterar data kan de arbeta bra inom organisationen.
Övervakning:
Att övervaka kryptering och data i hela företaget är avgörande, eftersom en revisionslogg måste skapas, certifikat och nycklar måste spåras och stark åtkomstkontroll måste finnas på plats.
Krypteringskonsultprodukter och tjänster
Om er organisation planerar att skapa en stark företagskrypteringspolicy kan krypteringskonsulting hjälpa till. Vi erbjuder ett brett utbud av produkter och tjänster som hjälper till att hålla ert företag säkert. För våra tjänster erbjuder vi kryptering, PKIoch HSM utvärderings-, design- och implementeringstjänster för din organisation.
Vi kan också tåg dina anställda om användningen av HSM:er, PKI och Amazon Web ServicesVi erbjuder även en kodsigneringslösning, CodeSign Secure 3.0, som bland annat har övervakning, virus-/skanning och flerfaktorsautentisering. Vår PKI-som-en-tjänst är ett annat bra sätt att ha en stark företagskrypteringspolicy, utan att behöva hantera varje del av PKI:n. Om du har några frågor om Encryption Consultings tjänster eller produkter, besök vår webbplats på www.krypteringskonsulting.com.
