Когда на карту поставлена важная корпоративная и личная информация, четкая стратегия шифрования данных становится важнейшей частью их защиты.
Первый шаг для разработки такой стратегии состоит в том, чтобы понять, какие именно данные и устройства должны быть защищены. Для начала следует зашифровать конфиденциальную информацию вне зависимости от того, где она находится — в коммуникаторе BlackBerry, на ноутбуке или на диске. Разобраться в том, какая информация подлежит шифрованию, помогут сведения, полученные от самых разных участков бизнеса. Ошибки на этом пути могут стать смертельными для компаний: авторы прошлогоднего обзора Ponemon Institute пришли к выводу, что в 2007 году утечки стоили компаниям примерно по 197 долл. за каждую украденную запись.
Разобравшись с информацией, переходите к устройствам.
“Одной из важнейших задач перед шифрованием является честная инвентаризация того, каким устройствам нужна защита”, — считает Джон Дашер, директор по управлению продуктами компании PGP.
Предприятия практически никогда не бывают настолько однородными в плане устройств, как они о себе думают, объясняет Дашер. Например, подразделения могут ориентироваться на ноутубки с ОС Windows и систему безопасности для них, пренебрегая ноутбуками с Mac OS, которыми пользуется руководство ИТ-департамента.
“Надо понимать, что люди порой отправляют важную информацию со своих коммуникаторов BlackBerry, — говорит он. — Зная, что сотрудники используют свои мобильные устройства с ОС Windows как удобное средство хранения данных, надо понимать и то, что эти данные находятся под угрозой. Такая же ситуация и с USB-устройствами, которые сегодня используют сплошь и рядом”.
Когда речь заходит о выборе и развертывании какого-либо продукта, компании должны думать об аспектах эксплуатации и о безопасности того, что они делают, советует Крис Бурше, технологический директор компании Credant Technologies.
“Все ли аспекты совместимости для оборудования и процессов обеспечены? — задает Бурше риторический вопрос. — Как вы собираетесь управлять зашифрованными данными в будущем? Защищена ли информация в процессе ремонта или замены деталей электронных устройств? Что нужно изменить в бизнес-процессах для поддержки шифрования? Вам надо как минимум иметь в виду резервирование информации, управление “заплатками”, восстановление доступа и ремонтные работы”.
Аналитик из компании Gartner Джон Пескаторе рекомендует использовать не сразу всю инфраструктуру открытых ключей шифрования, а отдельные её компоненты.
“Например, чтобы решить проблемы, связанные с шифрованием данных на PCI-картах, нужно поискать систему управления ключами, поддерживающую шифрование таких карт на серверах, а часто и на мэйнфреймах, и не пытаться использовать для этого концепцию шифрования цифровой подписи в целом, — говорит он. — Аналогичным образом очень редко удается (если это вообще возможно) достичь выгоды для бизнеса, используя одну и ту же систему для управления ключами шифрования на настольных ПК и, скажем, для шифрования сессий удаленного доступа или сетевого трафика. Основной совет по работе с ключами состоит в том, что лучше иметь два или три подхода к управлению ключами, которые соответствуют бизнес-нуждам, позволяют быстро реагировать на перемены и не требуют большого объема консалтинга, это дешевле при долгосрочном использовании и быстрее и эффективнее удовлетворяет бизнес-нуждам”.
Главный результат использования криптографии — это воздействие на существующие бизнес-процессы, считает Эрик Огрен, старший аналитик Ogren Group. Иными словами, любое решение должно быть простым для администрирования, не вызывать противодействия со стороны пользователей и работать вместе с системами восстановления после аварии.
“Кроме того, компании должны осознать, что безопасность не заканчивается с шифрованием: всё, что зашифровано, должно быть расшифровано, чтобы приносить пользу, — резюмирует Огрен. — Поэтому, оставляя данные в виртуализованных центрах обработки, следите за контролем доступа, регулярно проводите аудит и т. д.”.