Co-Autor von Matthew Losanno und Emmett Jorgensen
Ich habe in der Vergangenheit die Bedeutung der Verschlüsselung betont, und wenn Sie ein begeisterter InfoSec-Anhänger sind, werden Sie wahrscheinlich zustimmen, dass Verschlüsselung wichtig ist. Ist es jedoch der wichtigste Aspekt der Datensicherheit? Ich würde sagen, dass es einen hohen Rang einnimmt, sogar einen sehr hohen; Allerdings reicht die Verschlüsselung allein oft nicht aus. Für die Sicherheit Ihrer vertraulichen Daten sollte weit mehr als nur die Verschlüsselung in Betracht gezogen werden.
Es sind Variablen am Werk, die oft Sicherheitsmaßnahmen erfordern, die über die Verschlüsselung hinausgehen. Die Vertraulichkeit der Daten, mit denen Sie arbeiten, staatliche, bundesstaatliche und branchenspezifische Vorschriften, Benutzergewohnheiten, Plattformen und mehr spielen bei den Sicherheitsmaßnahmen, die zum Schutz Ihrer Daten erforderlich sind, eine Rolle.
Benutzergewohnheiten
Stellen Sie sich für eine Sekunde vor, Sie wollten Ihr Sicherheitssystem zu Hause verstärken. Sie fügen ein erstklassiges Sicherheitsalarmsystem, Stahltüren mit Stahlrahmen und zahlreichen Schlössern hinzu und die Fenster werden vergittert. ABER du lässt den Schlüssel unter der Fußmatte liegen ...
Dieses Szenario scheint albern; Bei Passwörtern geschieht dies jedoch grundsätzlich täglich, allerdings mit einem Klebezettel auf dem Monitor. Benutzergewohnheiten wie diese beeinträchtigen die Wirksamkeit der Verschlüsselung erheblich.
Um ganz ehrlich zu sein: Wenn ich mir ein 22-stelliges Passwort mit mindestens 4 Symbolen, Zahlen, Klein- und Großbuchstaben merken müsste, wäre ich vielleicht versucht, es auch aufzuschreiben. Es ist unrealistisch zu erwarten, dass sich der durchschnittliche Benutzer dieses Passwort merkt. Dies ist einer der Gründe, warum es wichtig ist, andere Sicherheitsmaßnahmen zu ergreifen.
Vorschriften
Die meisten staatlichen, bundesstaatlichen und branchenspezifischen Vorschriften fordern lediglich die Verschlüsselung privater oder vertraulicher Daten; Allerdings verhängen dieselben Staaten häufig hohe Geldstrafen für Datenschutzverstöße. Es ist die Aufgabe einer Organisation, über die Verschlüsselung hinaus zusätzliche Maßnahmen zu ergreifen, um die Sicherheit ihrer Daten zu gewährleisten und kostspielige Bußgelder für Datenschutzverletzungen zu vermeiden.
Wenn Sie nachweisen können, dass Sie zusätzliche Maßnahmen zum Schutz Ihrer Daten (oder der Daten Ihrer Kunden) ergriffen haben, hilft dies oft, sich vor Bußgeldern für Datenschutzverletzungen zu schützen.
Vertraulichkeit der Daten
Manche Informationen sind einfach wichtiger zu schützen. Ergreifen Sie beim Umgang mit personenbezogenen Daten (PII) zusätzliche Maßnahmen, um diese zu schützen und vor Identitätsdiebstahl zu schützen.
Welche Lösungen gibt es also? Beginnen Sie mit guten Richtlinien und deren Durchsetzung. Untersuchen Sie dann die Endpunktsicherheits- und Fernverwaltungsoptionen.
Erzwingen Sie regelmäßige Passwortänderungen, aber nicht so oft, dass der Benutzer gerade Zeit hat, sich das Passwort zu merken – dies wird den Benutzer dazu verleiten, es aufzuschreiben. Stellen Sie sicher, dass die Passwortstärke im Verhältnis zu den zu schützenden Daten steht. Wenn der Benutzer Teil des Grafikdesign-Teams ist und keine vertraulichen Informationen sieht (vor einigen Wochen vor einem Redesign oder einer Produktveröffentlichung), benötigt er keine Passwörter mit 14 bis 20 Zeichen. Eine Länge von 8 oder 10 könnte ausreichend sein. Gehen Sie noch einen Schritt weiter und informieren Sie Benutzer darüber, wie einfach es ist, Passphrasen anstelle von Passwörtern zu verwenden, wenn dadurch Haftnotizen vermieden werden.
Machen Sie es „einfach“, ein verlorenes Passwort zurückzusetzen. Offensichtlich muss die Identität des Endbenutzers bestätigt werden, aber wenn der Benutzer sich durch die ganze Sache kämpfen muss, schreibt er sie einfach auf. Führen Sie außerdem eine Liste der zuletzt verwendeten Passwörter, damit der Benutzer nicht zwei oder drei verschiedene Passwörter durchgehen muss. Es sollte auch eine gewisse Abweichung zwischen neuen und alten Passwörtern geben; Ein Unterschied von einem Zeichen reicht nicht aus.
Fernverwaltung
Bei mobilen Geräten wie Laptops und Flash-Laufwerken ist die Möglichkeit, alle Daten zu zerstören, immer eine gute Ausfallsicherheit. Hier kann eine Fernverwaltungsanwendung sehr praktisch sein. Das oben erwähnte Passwort-Konfigurationsmanagement sollte auch ausschaltbar sein und eine Passwortänderung aus der Ferne erzwingen können.
Wenn das Laufwerk kompromittiert wird, löschen oder deaktivieren Sie es einfach. Wenn das Gerät über einen Hardware-Verschlüsselungscontroller verfügt, kann der AES-Schlüssel (der zum Entschlüsseln der Daten verwendet wird) normalerweise auf Null gesetzt werden. Durch das Löschen des AES-Schlüssels muss die eigentliche Verschlüsselung angegriffen werden, wo bisher in vielen Fällen das Passwort der einfachste Zugangspunkt war.
Das Deaktivieren des Geräts ist eine weitere gute Funktion, ähnlich einer Diebstahlsicherung in einem Auto. Wenn der Endbenutzer das Gerät verlegt hat, kann er es deaktivieren lassen. Dadurch wird der Passwort-Zugriffspunkt entfernt oder bei einem Gerät mit einem Betriebssystem verhindert, dass es überhaupt startet.
Es gibt viele andere Fernverwaltungsfunktionen, die verwendet werden können, wie z. B. das Erzwingen einer Netzwerkverbindung zur Verwendung des Geräts (oder innerhalb eines bestimmten IP-Bereichs), die ebenfalls für mehr Sicherheit sorgen können. Dadurch wird auch sichergestellt, dass Sie wissen, wo sich das Gerät befindet (zumindest anhand der IP-Adresse, aber einige Anwendungen können diese Informationen auf einer Karte anzeigen) und dass es sich dort befindet, wo es sein soll.
Die Verschlüsselung schützt die Daten, aber ein Passwort schützt die Verschlüsselung, um die Diskussion zu erleichtern. Eine gute Passwortverwaltungsrichtlinie wird die Verschlüsselung für Sie erheblich erschweren. Mit einer guten Fernverwaltungsplattform können Sie zusätzliche Sicherheits-/Benutzerfreundlichkeitsfunktionen nutzen, die die Verwendung strengerer Passwortrichtlinien für den Endbenutzer einfacher machen (und weniger Zeit für die Bearbeitung von Benutzersupportanfragen für Sie aufwenden).