Encryption & Key Management, now and in the future

Door Pasqualle Verwoerdt

DE ESSENTIËLE ROL VAN VERSLEUTELING EN SLEUTELBEHEER

ICT verandert exponentieel en innovaties als IoT, Cloud, Blockchain en Big Data zijn een feit. We opereren in een open omgeving en hebben minder controle over waar onze data zich bevindt, zich naartoe verplaatst en wie het in gebruik heeft. Het creëren van vertrouwen in het digitale tijdperk is nu meer dan ooit essentieel.
Onze maatschappij en de wetgever stellen hoge eisen w.b.t digitalisering en privacy. Na de wet Meldplicht Datalekken en de EU eIDAS-verordening stevenen we nu af op de AVG / GDPR. De consequenties voor bedrijven die niet voldoende controle hebben over hun informatiebeveiliging worden groter: forse boetes, reputatieschade, vertrouwensbreuk en nadelig effect van dit alles op de aandelenkoersen.

Ik vind dat men regulering ook kan beschouwen als een kans; zie het als concurrentievoordeel om je op het gebied van informatiebeveiliging te onderscheiden. De recente internationale Ranswomware-uitbraak toont de zwakke plekken in onze samenleving; maar zijn dat wel onze grootste bedreigingen? Ieder zichzelf respecterend bedrijf heeft de juiste back-up in huis en maakt medewerkers bewust op de risico’s. De echte bedreidingen waar we m.i. altert op moeten zijn, zijn cyberspionage, datalekken, gerichte attacks en de bewust of onbewust onbekwame medewerker.

De Breach is een kwestie van tijd; zorg voor Controle

Kijkend naar innovaties, bedreigingen en regelgeving, moeten we ons afvragen of de traditionele NextGen Security Intelligence Solutions wel de juiste richting is om in te slaan? Is het niet tijd om te schakelen van het voorkomen van security breaches naar het beveilgingen van de breach an sich?
Als we onze informatie weten te classificeren – uitgaande van vertrouwelijkheid, integriteit en beschikbaarheid – kunnen we toch ook preventieve maatregelen nemen. Zelfs als men níet in staat is om alle informatie te classificeren, dan nog kan encryptie de informatie beschermen. De wetgever stelt niet voor niets dat privaygevoelige data alleen door gebruik van encryptie op de best mogelijke manier beschermd is; alleen dan bent u compliant en vindt de overheid dat u aan uw plicht tot bescherming van privacygevoelige data heeft voldaan.

Maar encryptie leidt toch tot vermogensverlies en hoge kosten? Dat is al lang niet meer valide. We beschikken over een range aan transparante versleutelingsoplossingen die een minimaal processorverlies met zich meebrengen en geruisloos aansluiten op de omgeving waarbinnen ze worden toegepast. Ook hoeft men minder te investeren in generieke beveiligingsoplossingen om toch  gewoon zaken te blijven doen. Kosten verschuiven als het ware. Daarbij moet men zeker het risico op bedrijfscontinuiteit, boetes en reputatieschade meenemen bij de overweging tot investering in encryptie.

Sleutelbeheer is essentieel voor het succes van encryptie
Sleutelbeheer is een kritische succesfactor en net zo belangrijk als de versleuteling zelf. Naast de processen is de juiste apparatuur ook een belangrijk gegeven. Wordt er een systeem voor sleutelbeheer gebruikt? Worden de sleutels gemaakt, beschermd opgeslagen, gedistribueerd, verwisseld en vernietigd? Wordt er gebruik gemaakt van software of van gecertificeerde hardware (Hardware Security Modules)?

Veel organisaties maken gebruik van de Cloud. Het is helemaal raadzaam om informatie in de cloud te versleutelen en daarbij de sleutels zelf goed te beheren (beleid, processen en apparatuur). Het is de enige manier om controle over informatie te behouden. Besteedt sleutelbeheer niet uit, voor mij geldt de stelregel: Encrypt all and Manage the keys yourself!

De vraag die veel relaties mij stellen is: Investeren we op de juiste gebieden? Hebben we ons laten overdonderen door commerciële oplossingen? 15 juni a.s. organiseren we ons High Grade Security Kennisevent. Verschillende stakeholders delen kennis en inzichten over nieuwe vormen van versleuteling en het beheer ervan. Relaties, partners en gastsprekers hebben zo allemaal hun visie op dit thema.
Het wordt een interessante digitale toekomst voor ons allemaal.

Dit Blog werd gepubliceerd in Platform voor Informatiebeveiliging – mei 2017

Encryptie in de toekomst

Pasqualle Verwoerdt
Business Manager Avensus High Grade Security.

 

Avensus High Grade Security beschermt de meest kritische data vanuit het standpunt dat encryptie de beste beveiliging is zolang de organisatie de sleutels zelf onder controle houdt. Het gaat ons daarbij niet alleen om het leveren van de beste oplossing voor informatiebeveiliging; het is ook onze taak mensen en organisaties bewust te maken van de risico’s.

Pasqualle is bereikbaar op pverwoerdt@avensus.nl

 

The essential role of encryption and key management – english version