Dari pemusatan ke proses otomasi, berikut ini merupakan 12 langkah menjadikan Anda proaktif dalam manajemen kunci enkripsi perusahaan
Jika Anda menanykan, “apa yang diperlukan untuk melindungi data yang disimpan di server?” pada seseorang yang bersangkutan dengan masalah keamanan data, maka hanya ada satu jawabab yang akan ada dengar dari mulut manapun: Enkripsi.
Kenapa?
Karena hanya itu’lah satu-satunya yang bisa dilakukan oleh seorang penyimpan data untuk melindunginya. Penggunaan enkripsi ini sedang naik daun di seluruh perusahaan–akibat meningkatkan masalah kehilangan data dan standar kepatuhan peraturan. Sebuah perusahaan bisa memasangkan fungsi enkripsi keseluruh perangkat atau channel yang berbeda, termasuk website, email, data organisasi maupun pelanggan, dan lainya. Yang berarti seluruh perusahaana akan berhadapan dengan ribuan kunci enkripsi pada waktu tertentu.
Sebetulnya Anda akan membutuhkan banyak orang (atau bahkan tim) untuk menanganinya karena pentingnya keamanan bagi masing-masing kunci tersebut. Dan demikian, Anda memerlukan manajemen kunci enkripsi yang sesuai untuk kebutuhan organisasi Anda.
PusatSSL akan menjelaskan perbedaan standar manajemen industri kunci dan kemudian membahas 12 praktek terbaik untuk manajemen kunci (key management).
Mengapa manajemen kunci yang kuat sangat penting?
Enkripsi ibarat proses perebutan data yang hanya pihak tertentu bisa mengaksesenya. Proses ini dapat diselesaikan dengan menggunakan perangkat keamanan (security tool) yang dikenal sebagai kunci-kunci kriptografi/ enkripsi. Masing-masing kunci terdiri dari deretan bit yang acak untuk digunakan mengenkrip (dan mendekrip) data. Jadi, jika Anda menganggap kalau enkripsi mengunci data Anda, malah enkripsi merupakan bagian integral dari proses tersebut.
National Institute of Standard and Technology (NIST) mempublikasikan juga terkait best practice ini pada Special Publication 800-57 Revision 5
“Cryptographic keys play an important part in the operation of cryptography. These keys are analogous to the combination of a safe. If a safe combination is known to an adversary, the strongest safe provides no security against penetration. The proper management of cryptographic keys is essential to the effective use of cryptography for security. Poor key management may easily compromise strong algorithms.”.
Terjemahan:
“Kunci kriptografi memainkan peran penting dalam operasinal kriptigrafi. Kunci ini sejalan dengan kombinasi brankas. Apabila kombinasi brankas ini diketahui oleh seorang musuh, maka brankas terkuat tidak memberikan keamanan terhada penetrasi. Manajemen kunci yang sesuai penting bagi keefektifan penggunaan kriptografi untuk keamanan. Manajemen kunci yang buruk gampang merusak algoritma yang kuat.”
Apabila kunci Anda dirusak, sama halnya Anda yang berada di ambang tebing. Karena seseorang bisa saja menggunakan kunci tersebut untuk:
- Membuat website phising yang mirip dengan website Anda
- Melewati jaringan perusahaan dengan menyamar sebagai salah satu pegawai
- Menandatangani dokumen atau lamaran atas nama Anda
- Merusak data yang tersimpan di server
- Membaca email Anda yang terenkripsi dan melakukan hal jahat lainnya
Jika pelaku siber memiliki kunci Anda, mereka bisa melakukan yang mereka mau bahkan semuanya, sehingga memberikan manfaat bagi mereka dan kerugian pada Anda; meminta uang tebusan, menjual data Anda pada kompetitor, atau membagikannya ke publik yang mana mampu menurunkan reputasi perusahaan.
Tidak ada organisasi yang menginginkan hal itu terjadi, termasuk Anda, bukan?
Oleh karenanya mengapa manajemen kunci menjadi prioritas Anda sejauh menyangkut keamanan data dan privasi.
Jadi, apa sih kunci enkripsi itu?
Masih banyak orang-orang yang salah paham dengan istilah “manajemen kunci enkripsi” yang setara dengan menyimpan kunci enkripsi dengan aman. Mungkin sebagian arti memang benar kalau penyimpanan yang aman untuk kunci enkripsi merupakan bagian dari manajemen kunci enkripsi, namun itu tidak sepenuhnya. Manajemen kunci enkripsi melibatkan seluruh tugas dan metode yang terlibat dengan kunci enkripsi–dimulai dari proses generate kunci sampai ke pembongkaran.
Manajemen kunci enkripsi mencakup:
- Mengembangkan dan menjalankan berbagai peraturan, sistem, dan standar yang memerintah proses manajemen kunci.
- Melakukana fungsi-fungsi penting seperti generate kunci, para-aktivasi, aktivasi, kedaluwarsa, aktivasi-setelahnya, menurunkan tugas (wasiat), dan pembongkaran.
- Mengamankan akses fisik dan virtual ke server kunci.
- Membatasi akses pengguna/tugas terhadap kunci enkripsi.
Apakah kita perlu melindungi kunci enkrispi?
Ya, menyimpan kunci enkripsi dengan aman melalui proses manajemen enkripsi yang kuat merupakan hal penting.
“Ultimately, the security of information protected by cryptography directly depends on the strength of the keys, the effectiveness of cryptographic mechanisms and protocols associated with the keys, and the protection provided to the keys. Secret and private keys need to be protected against unauthorized disclosure, and all keys need to be protected against modification.”
Terjemahan:
“Pastinya, keamanan informasi yang dilindungi oleh kriptografi secara langsung tergantung pada kekuatan kunci yang digunakan, efektivitas mekanisme kriptograf, dan protokol yang berkaitan dengan kunci tersebut, dan perlindungan yang diberikan kepada kuncinya. Kunci rahasia dan privasi perlu diamankan dari sembarangan pengintipan, dan seluruh kunci perlu diamankan dari modifikasi.”
Kekuatan metode enkripsi mungkin ditentukan dengan algoritma matematika yang diterapkan. Namun, itu bukan masalah besar yang dikhawatirkan, karena kebanyakan metode enkripsi yang ada sudah menggunakan algoritma keamanan terbaru. Dan yang menjadi masalah utama yang signifikan adalah bagaimana kunci kriptografi disimpan dan diatur.
Jika Anda masih ragu untuk melindungi kunci enkripsi, “akan‘kah Anda menyembunyikan kunci rumah di bawah keset saat mengetahui ada pencuri yang ingin menerobos?”
Apabila Anda kehilangan kunci atau dicuri orang lain, maka Anda tidak akan pernah bisa masuk dan mendapati barang-barang berharga di rumah. Sama halnya dengan kunci enkripsi.
Jadi, jika Anda menyimpan atau mengatur data penting, Anda membutuhkan enkripsi yang mana akan mengamankan kunci enkripsi Anda.
Sebelum Anda berpikir untuk mengenkripsi data…
Kami memiliki saran untuk memudahkan pekerjaan Anda; tidak semuanya perlu dienkripsi. Jadi, tentukan data mana yang sebenarnya ingin Anda enkrip karena kerahasiaannya atau sangat penting dan Anda perlu menyimpannya maupun mentransfernya.
Manfaat dan strategi menjalankan manajemen kunci enkripsi
Mempunya visibilitas tehadap sertifikat dan kunci yang masih berjalan pada sistem merupakan bagian integral dari efektivitas keamanan data. Akan tetapi, terlepas dari keamanannya ada beberapa manfaat besar dari manajemen kunci enkripsi:
- Lebih efisiensi terhadap mobilitas ataupun distibusi kunci
- Visibilitas dan pengendali kunci yang luar biasa untuk efektivitas manajemen
- Mengurangi aktivitas ‘bolak-balik’ untuk karyawan, pelanggan bahkan depertemen IT
- Mengurangi biaya karena fungsi otomasi
- Terdapat mitigasi downtime dan penalti yang tidak patuh
- Mengurangi kehilangan data
Persyaratan manajemen kunci enkripsi bagi perusahaan
Enkripsi merupakan kebutuhan dan sama halnya dengan kunci enkripsi. Namun, persyaratan sistem manajemen kunci enkripsi yang dapat diandalkan bukan hanya tentang mengamankan kuncinya–lebih dari itu. Berikut persyaratan manajemen kunci enkripsi dasar yang diperlukan bagi perusahaan untuk dipertimbangkan:
- Keamanan – Anda harus memastikan untuk melindungi kunci yang dengan seluruh harga. Ancaman tidak hanya dari luar, namun bisa juga dari dalam. Mekanismaekeamanan Anda harus bersiap untuk menanganinya.
- Akses – Kunci enkripsi ada untuk mengenkripsi data dan Anda harus memastikan kalau kunci memiliki akses yang diberikan dengan cara halus kepada pengguna yang tepat.
- Skalabilitas – Sejumlah data yang dimiliki oleh sebuah perusahan biasanya bergerak dalam satu arah–ke atas. Karenanya sistem manajemen kunci enkripsi Anda harus bersiap mengatur kunci enkripsi secara efektif seiring tumbuhnya sejumlah ketersediaan/ informasi.
- Kepatuhan – Ekosistem manajemen kunci enkripsi perusahaan harus dibangun di atas fondasi solid dengan standar dan kebijakan yang tepat. Pastikan Anda mematuhi rekomandasi dengan National Institute of Standard and Technology untuk Manajemen Kunci (Special Publication 800-57 Part 1)–yang telah kita sebutkan di atas.
Praktek terbaik manajemen kunci enkripsi untuk perusahaan
Daripada menggunakan standard atau sistem yang ditetapkan, kami mencoba memilih praktek terbaik yang dapat Anda gunakan untuk manajemen key yang bagus bagi perusahaan.
- Sentralisasi Sistem Manajemen Kunci Enkripsi
Sekarang ini banyak organisasi atau perusahaan yang menggunakan ratusan bahkan ribuan kunci enkripsi untuk melindungi data mereka. Berdasarkan laporan 2020 oleh KeyFactor dan Ponemon Institute, kalau 60% responden percaya mereka memiliki 10,000 lebih sertifikat yang digunakan pada perusahaan. Penyimpanan yang aman untuk kunci-kunci tersebut menjadi rumit karena Anda perlu mengaksesnya segera di berbagai kesempatan.
Demikian itu ’lah, sentralisasi peyimpanan kunci enkripsi menjadi peran utama dalam praktek ini.
Idealnya, perusahaan-perusahaan harus mengadopsi layanan manajemen kunci yang tersentralisasi. Namun, praktek ini menjadi hal yang tidak mungkin bagi perusahaan yang tidak memungkinkan adanya kapabilitas teknis yang canggih untuk melakukannya. Perusahaan semacam itu bisa mendapatkan manfaat besar dengan menggunakan layanan manajemen kunci enkripsi dari pihak ketiga. Layanan ini menyimpan seluruh kunci enkripsi dan sertifikat digital dengan aman di brankas kunci yang terlindungi, jauh dari data dan sistem yang telah dienkripsi. Ini sangat menguntungkan dari sudut pandang keamanan, karena kunci tetap terlindung bahkan data yang kemungkinan dirusak. Sebagaimana juga kunci yang dijaga di pusat, itu memungkinkan meminimalisir sejumlah tempat dimana kunci bisa diekspos ke attacker.
Pendekatan sentralisasi ini selain sangat bermanfaat di lingkup keamanan, juga membantu memperbaiki performa proses enkripsi-dekripsi yang berlangsung di tempat dimana data disimpan. Pada waktu yang sama, proses generate, penyimpanan yang aman, rotasi, ekspor, dan pergantian kunci yang diselesaikan oleh manajer kunci yang mana tidak di lokasi data berada.
- Menggunakan Otomasi bagi Keuntungan Anda
Otomasi tidak hanya diperuntukkan bagi manajemen sertifikat digital. Salah satu pendekatan paling cerdas untuk manajemen kunci enkripsi ada dengan menggunakan otomasi yang bertujuan untuk menghasilkan pasangan kunci (enkrip-dekrip), memperbarui kunci, dan merotasi kunci pada interval yang ditentukan (key lifecycle). Mengandalkan hanya pada manajemen kunci manual tidak cuman menghabiskan, juga merupakan sebuah proses mahal yang sering terjadi kesalahan – khususnya pada skala perusahaan besar.
- Peran dan Akses Pengguna Sentral
Beberapa perusahaan mungkin sudah menggunakan ribuan kunci enkripsi, namun tidak semua pegawai harus mengaksesnya. Oleh karenanya, akses kunci hanya perlu diberikan kepada mereka yang pekerjaannya membutuhkan akses kunci tersebut. Anda harus menjelaskan tugas manager kunci yang disentralisasi supaya pengguna sah bisa diberikan kredensial untuk mengakses ke data enkripsi yang berkaitan dengan pengguna profil tertentu.
- Mendukung Standar Multipel Enkripsi
Setiap perusahaan yang menggunakan enkripsi dan menyimpan data harus memilih standar enkripsi tertentu untuk proses enkripsi dan dekripsi, namun itu bukan berarti standar lainnya tidak berguna. Dalam kasus penggabungan, akuisisi dan partnership Anda mungkin perlu bekerja dengan perusahaan yang membutuhkan dukungan untuk standar kriptografi yang berbeda; AES, RSA, ECC, dan lain-lain. Oleh sebab itu, mengapa solusi keamanan yang Anda pilih harus mendukung multipel standar enkripsi.
- Menjalankan Audit dan Pencatatan yang Kuat
Saat Anda berurusan dengan data dan banyaknya kunci enkripsi, Anda mungkin tidak akan bisa berfokus terhadap kunci dan pengguna. Jadi, walaupun Anda menyimpan semua kunci di lokasi sentral, harus ada pencatatan dan audit yang mendukung kinerja kunci-kunci tersebut.
Mendukung kinerja ini diperlukan untuk memastikan kalau ada manajemen kunci enkripsi. Namun, bukan berarti Anda tidak bisa melakukan apapun. Anda bisa (dan harus) menjaga pencatatan otomatis yang ekstensif dari seluruh aktivitas yang dilakukan oleh pengguna. Ini mencakup detail akses ke data sensitif, pengguna, sumber daya enkripsi yang digunakan, data yang diakses, waktu, dan lain-lain. Catatan ini akan sangat membantu Anda apabila terdapat kasus ataupun sesuatu yang salah.
- Membuat Kebijakan Manajemen Kunci Enkripsi untuk Pekerja
Dengan menugaskan peran pengguna dan masing-masing akses mereka, Anda telah membatasi tempat pembongkaran. Akan tetapi, tindakan tersebut hanya sebagian untuk menuntaskan manajemen kunci enkripsi, karena orang-orang yang mengakses kunci tersebut harus diberikan serangkaian kebijakan/instruksi untuk menuntun apa yang mereka boleh lakukan dan tidak. Kebijakan ini harus diimplementasikan sekuat mungkin seperti sebuah perjanjian supaya mereka berpikir untuk memutuskan secara hati-hati sesuatu saat mengakses. Anda juga seharusnya menyiapkan sesi pelatihan terpisah untuk mengkomunikasikan setiap poin dengan sangat menekan.
- Menerapkan Prinsip Hak Terkecil
Suatu perusahaan seharusnya menghindari pemberian hak administratif untuk aplikasi sebanyak mungkin, karena akan membiat aplikasi menjadi sangat rentan terhadap ancaman internal juga eksternal. Dan apa yang seharusnya mereka lakukan adalah memberikan akses kunci sesuia peran pengguna. Ini ‘lah yang disebit ‘Menerapkan Prinsip Hak Terkecil’. Dengan begini, akses kunci dibatasi dan tidak ada potensi bagi kerusakan.
- Mengintegrasikan Perangkat dengan Pihak Ketiga
Setiap perusahaan nantinya akan menggunakan perangkat eksternal – baik dalam jumlah besar ataupun kecil pemakaian. Perangkat ini akan tersebar ke beberapa jaringan untuk menjalankan fungsi tertentu dengan menggunakan alat berpemilik, Biasanya mereka tidak memiliki aplikasi yang berorientasi basis data, karenanya aplikasi mereka tidak akan berinteraksi dengan database utama. Untuk memfasilitasi fitur perangkat ini, mekanisme enkripsi yang Anda jalankan harus kompatibel agar bekerja dengan perangkat atau aplikasi pihak ketiga ini.
- Mencadangkan Kunci Enkripsi
Apabila Anda kehilangan kunci enkripsi, maka sangat memungkinkan Anda tidak akan bisa memulihkan data yang dienkripsi. Ini cukup penting bagi Anda untuk memiliki kemampuan pencadangan kunci yang efektif. Saat mencadangkan data, Anda perlu pastikan kalau data sudah dienkripsi dengan menggunakan standar enkripsi tercanggih. Selain itu, Anda harus memastikan penghapusan kunci yang kedaluarsa secara teratur.
- Perlindungan Manajer Kunci dan Pemulihan Kunci yang Terhapus
Kunci yang sudah Anda simpan pada manajer kunci sentralisasi adalah harta karun perusahaan yang berharga. Oleh karena itu, Anda harus menerapkan keamanan kuat untuk memastikan kalau kunci Anda tetap terlindungi dari berbagai ancaman dan serangan. Dan mari sekarang kita balik, bagaimana jika ancaman tersebut berasal dari kesalahan Anda sendiri?
Ini’lah mengapa pentingnya bagi Anda untuk memiliki persiapan pemulihan kunci enkripsi. Kehilangan kunci enkripsi berakibat kehilang keseluruhan data. Terlepas dari apakah pihak jahat yang menghapusnya atau Anda yang menghapus secara tidak sengaja, akan lebih baik memiliki persiapan pemulihan sejak awal.
- Bersiap Diri Menghadapi Insiden
Tidak peduli berapa banyak kebijakan yang dijalankan atau mekanisme yang diterapkan, beberapa hal pasti akan salah. Dan perusahaan Anda harus bersiap untuk menanganinya, seperti:
- Seorang pengguna yang kehilangan kredensial pada kuncinya
- Pegawai yang meninggalkan pekerjaan atau dipecat
- Kunci yang mungkin dirusak
- Algoritma enkripsi yang tidak sempurna
- Anda sendiri mempublikasikan kunci ke platform umum secara tidak sengaja
Insiden semisal di atas bisa saja terjadi dan Anda harus bisa mengidentifikasi semua kemungkinan sebelum terjadi dan melakukan tindakan pencegahan. Seharusnya ada proses Audit berkelanjutan bagi infrastruktur keamanan untuk meminimalisir insiden.
- Merotasi Kunci; Tidak ada Dekrip atau Enkripsi Ulang
Salah satu pertanyaan terbesar yang dihadapi oleh perusahaan dengan database besar adalah kedaluwarsanya atau perubahan kunci enkripsi. Untuk menangkal masalah ini, perusahaan sangat direkomendasikan menugaskan sebuah profil kunci untuk masing-masing bidang data atau file yang dienkripsi. Dengan begini, profil kunci ini akan memungkinkan Anda untuk mengidentifikasi sumber daya enkripsi yang harus digunakan untuk mendekrip database. Jadi, tidak diwajibkan untuk mendekrip dan mengenkrip ulang data ketika kunci mengalami perubahan atau kedaluwarsa.
Kapanpun kunci mengalami kedaluwarsa atau diganti, profil kunci akan memastikan kalau kunci baru digunakan untuk mengenkrip data. Bagi data yang sudah ada, profil kunci akan mengidentifikasi kunci aslinya.
Jika dilihat sekilas, manajemen kunci perusahaan seperti memeras otak untuk dieksekusi. Namun, ternyata tidak serumit itu. Apabila Anda mampu membuat kebijakan yang tegas, mengendali akses yang kuat, dan menjalankan manajemen sentralisasi, manajemen kunci enkripsi terkuat bisa diciptakan bahkan sekalipun di lingkungan yang kompleks.
Perusahaan, pegawai, pelanggan, dan Anda sendiri berhak menggunakan efisiensi, keamanan, dan privasi yang ditawarkan manajemen kunci perusahaan yang kuat.
Sumber
https://www.thesslstore.com/blog/12-enterprise-encryption-key-management-best-practices/?utm_source=HashedOut&utm_campaign=341e399fb6-HashedOut_RSS_EMAIL&utm_medium=email&utm_term=0_21c4367032-341e399fb6-92052217&ct=t(RSS_EMAIL_CAMPAIGN)&goal=0_21c4367032-341e399fb6-92052217&mc_cid=341e399fb6&mc_eid=9cc1466ad4