Consideraciones de cifrado empresarial

0

¿Cuáles son los diferentes aspectos a considerar para la política de Enterprise Encryption?

Hasta ahora, los recursos que tengo son:

enlace

enlace

enlace

enlace

La mayoría de estos tratan con el cifrado de datos confidenciales en la base de datos. Para una auditoría interna sobre los estándares de encriptación en una organización, ¿qué más se debe tener en cuenta?

Reduciéndolo a estos factores con respecto a la administración clave, cuáles serían las mejores prácticas:

  1. Almacenamiento de claves dentro del código fuente
  2. Almacenamiento de claves dentro de los archivos de configuración
  3. Almacenamiento de claves dentro de un módulo de seguridad de hardware
  4. Almacenamiento de claves dentro de un almacén de claves
  5. Política de rotación de claves
  6. Copia de seguridad de claves
  7. Acceso restringido a claves

NIST ha proporcionado una guía disponible aquí: enlace

¿Qué sería relevante desde el punto de vista de una empresa?

    
pregunta Epoch Win 19.12.2011 - 01:26
fuente

1 respuesta

1

Creo que, como primer paso, debe crear una política de Clasificación de Datos en la que definiría diferentes niveles de sensibilidad de los datos (como público, interno, confidencial, secreto, etc.). Entonces tendría una guía clara sobre qué datos son lo suficientemente valiosos para ser protegidos con encriptación, ya sea en reposo o en transmisión. Definir la clasificación de datos ayudaría enormemente tanto a los empleados de la empresa (para saber qué datos proteger y qué tan bien) como a los auditores internos y externos.

En cuanto a la Política de cifrado, recomendaría explícitamente la prohibición de crear sus propios esquemas de cifrado: todos deberían utilizar la biblioteca y los mecanismos de cifrado bien establecidos de la industria.

    
respondido por el dmitris 20.12.2011 - 17:42
fuente