在采用加密时,中小企业的五个问题
加密被广泛被认为是改进数据保护的关键方法,欧盟的一般数据保护规范(GDPR)正在推动采用 - 但并非所有公司都难以采取。
研究表明,企业没有有效地应用普通加密工具,以包含数据漏洞和加密的漏洞和加密仍被认为难以部署和使用,特别是小于中型企业(中小企业)。
根据磁盘加密公司的首席执行官BENARDPERSCEO CEO的说法,任何小企业都会更广泛地推动他们的数据保护功能,应考虑五个关键问题。
最重要的是,Parsons相信小企业应该寻找易于使用和简单快速安装的产品。
“这部分是关于减少首先安装产品所需的时间和专业知识,但随后的重要点也是总体拥有成本,”他说。
如果产品不容易安装,则Parsons表示通常是一个良好的指标,即复杂程度仍将作为长期业务开销。
“产品的复杂性越复杂,要管理的复杂性越复杂,导致更高的所需专业知识和随着时间的推移可能发生的支持问题,提高该组织的总体拥有成本,”他说。
帕森斯表示,在易用性之后,中小企业应考虑潜在的加密供应商是否可以提供良好的技术支持。
“即使您选择易于使用的产品,该产品将减少所需的技术支持金额,您仍然应该考虑需要支持产品的整个生活的可能性,”他说。
当公司在考虑将来略有不同的东西时,例如在加密可能是非标准的新设备,例如RAID服务器,能够称之为具有足够专业知识的人是有用的。
“基于电话的支持的选择很重要 - 能够在合理的时间内跳上电话并实际与专家交谈,”他说。“因此,我们肯定会建议在继续之前与供应商或合作伙伴测试此过程并采购。”
虽然加密转变有可能是一个信息损失,只是丢失物理资产,保护组织的信息并解决其负债,但根据GDPR等法规,通常需要证明在事件中实际加密设备损失,以避免在这些规定内的一些报告要求。
“证明了设备损失不是信息损失,避免需要承担违规通知的必要性是我们希望能够提前思考的东西,”帕森斯说。
对于部署包括集中管理的加密产品的公司,该功能应该已经存在。但是,帕森斯说,许多小企业将选择以更独立的配置部署,而无需站立一个中央管理平台。
“通过独立安装,您仍应确保产品具有某种报告能力,例如在线,允许报告设备的遗产的加密状态,”他说。
另一个关键问题中小企业应考虑是否可以在多个操作系统中使用加密产品,即使在小型企业IT环境中也存在。
“虽然公司最初可能正在查看在Windows设备的遗产中部署加密,但在一两年内,他们可能具有其他要求,例如需要在同一产品套件中管理Mac设备上的加密,或者在智能手机和移动设备上进行加密帕森斯说。
“因此,寻找具有多平台产品的供应商是一个好主意,帮助未来的技术选择。这将确保您没有与供应商绑定,但至少确保您现有的供应商是您的需求增长的选项。“
最后,Parsons表示,越来越多的监管要求展示组织经历了一些过程确保他们使用的技术代表了最佳实践。
“例如,GDPR明确地引用了”艺术状态“技术,”他说。“为了充分确保您管理责任,您需要证明您不仅仅是采用技术,而且它是适当的”艺术状态“。”
通过查看通过产品保证或产品认证具有第三方验证的技术来实现这种置信度只能进行,例如提供产品具有适当质量的独立验证。
虽然有各种与加密产品相关的常见认证方案,例如美国联邦信息处理标准(FIPS),以确保算法已经正确实施,但是,帕苏斯表示,组织应该谨慎采用技术,因为它有FIPS认证。
“大多数产品使用相同的算法,例如高级加密标准(AES),”他说,“和FIPS确保第三方验证了供应商已正确实现算法。但供应商可以且仍然这样做,营造出产品,留下脆弱性。“
帕森斯表示,在加密产品中这种漏洞的漏洞中的一个很好的例子是固态驱动器(SSD)。
“荷兰的拉丁德大学最近的研究突出了不仅仅是一个供应商的漏洞,而且突出了一个供应商,而是一系列供应商的SSD,”他说。“他们突出显示的根本原因是它实际上并不容易实施加密,很容易犯错误。供应商可以采取快捷方式,这意味着安全研究人员可以找到导致漏洞。在这种情况下,他们能够绕过SSD内的加密。“
出于这个原因,帕森斯,组织应该寻找更全面的认证计划,例如英国国家网络安全中心(NCSC)经营的商业产品保证(CPA)计划。
“CPA与FIPS一起工作,用于验证算法,但它更加了解整体产品质量和实施,看着安全架构,以确保它以明智的方式设计和实施,”他说。
CPA还查询供应商编码和构建标准,以降低产品存在漏洞的风险。“风险从未完全缓解,”帕森斯说,“但它肯定会达到一个点,让你这么说,作为一个组织,你正在采用最好的做法。”