Lima kiat untuk usaha kecil yang mengadopsi enkripsi
Dunia enkripsi berubah lebih dari sebelumnya. Saat ini banyak bisnis kecil sedang mencari cara menambahkan enkripsi untuk pertama kalinya, didorong oleh peraturan baru-baru ini seperti GDPR, dan yang membutuhkan enkripsi sebagai bagian dari mekanisme penegakan privasi. Namun, bersama dengan manfaat yang ditawarkan enkripsi, ada juga tantangan yang dihadapi bisnis kecil ini ketika ingin mengadopsi.
Berdasarkan pengalaman dan umpan balik yang telah dicapai Becrypt, saya telah merangkum lima isu teratas yang harus dipikirkan oleh usaha kecil dengan perangkat lunak jika mereka ingin mengadopsi enkripsi disk, atau jika mereka ingin melakukan roll-out disk yang lebih luas. enkripsi.
Kemudahan penggunaan
Organisasi harus mencari produk yang mudah digunakan, mudah dan cepat untuk dipasang. Ini adalah persyaratan yang jelas yang sebagian tentang mengurangi waktu dan keahlian yang diperlukan untuk menginstal produk di tempat pertama. Poin penting berikutnya adalah juga total biaya kepemilikan. Jika suatu produk tidak mudah dipasang, biasanya merupakan indikator tingkat kompleksitas yang baik yang akan tetap menjadi overhead bisnis jangka panjang.
Semakin kompleks suatu produk, semakin banyak kompleksitas yang harus dikelola. Ini mengarah ke tingkat keahlian yang lebih tinggi. Ini juga meningkatkan potensi masalah dukungan terjadi seiring waktu. Ini menaikkan total biaya kepemilikan produk untuk organisasi.
Dukungan yang dapat diakses
Enkripsi dapat menjadi aset manajemen penting bisnis, serta teknologi yang mendukung bisnis. Karena itu penting bagi Anda untuk bekerja dengan organisasi apakah itu vendor atau mitra vendor yang dapat menawarkan dukungan teknis yang baik dan dapat diakses.
Bahkan jika Anda memilih produk yang mudah digunakan, mis. Itu akan mengurangi jumlah dukungan teknis yang diperlukan, Anda tetap harus memikirkan potensi untuk memerlukan dukungan selama masa pakai produk. Dalam beberapa tahun, Anda mungkin melihat melakukan sesuatu yang sedikit berbeda, seperti melihat mengenkripsi perangkat baru yang mungkin tidak standar (seperti server RAID bisnis kecil). Karena itu, Anda ingin memastikan bahwa Anda dapat mengangkat telepon dan berbicara dengan seseorang dengan keahlian yang memadai.
Opsi dukungan berbasis telepon itu penting; mampu melompat ke panggilan dalam jumlah waktu yang wajar dan benar-benar berbicara dengan seorang ahli. Karenanya, kami pasti akan merekomendasikan untuk menguji proses ini dengan vendor atau mitra sebelum Anda melanjutkan dan melakukan pengadaan.
Bukti enkripsi
Ini adalah langkah pertama yang baik untuk mengenkripsi laptop bisnis, karena organisasi akan selalu kehilangan laptop. Enkripsi mengubah apa yang berpotensi menjadi kehilangan informasi, menjadi sekadar kehilangan aset fisik. Ini melindungi informasi organisasi dan mengatasi kewajiban organisasi.
Namun, di bawah peraturan seperti Peraturan Perlindungan Data Umum (GDPR), seringkali ada persyaratan untuk membuktikan bahwa perangkat benar-benar dienkripsi jika terjadi kerugian. Ini membahas beberapa persyaratan pelaporan dalam peraturan ini. Membuktikan bahwa kehilangan perangkat bukanlah kehilangan informasi dan menghindari perlunya melakukan pemberitahuan pelanggaran, adalah sesuatu yang Anda ingin dapat pikirkan terlebih dahulu.
Jika Anda menggunakan produk yang menyertakan manajemen terpusat, fungsionalitas itu seharusnya sudah ada. Tetapi banyak bisnis kecil akan memilih untuk menggunakan dalam konfigurasi yang lebih berdiri sendiri. Menyebarkan dengan platform manajemen pusat meningkatkan biaya tetapi juga meningkatkan risiko.
Dengan pemasangan mandiri, Anda harus tetap memastikan bahwa produk tersebut memiliki kemampuan pelaporan, seperti online. Ini memungkinkan status enkripsi perangkat Anda dilaporkan.
Perluasan
Pada contoh pertama, Anda mungkin sedang melihat penggelaran enkripsi di dalam sebuah perkebunan Windows perangkat. Seiring perubahan dan penyegaran teknologi, bisa jadi dalam satu atau dua tahun Anda memiliki persyaratan lain. Anda mungkin perlu mengelola enkripsi pada perangkat Mac, atau pada smartphones dan perangkat seluler dalam rangkaian produk yang sama.
Oleh karena itu, ide bagus untuk mencari vendor yang memiliki penawaran multi-platform, membantu untuk membuktikan di masa depan pilihan teknologi Anda. Ini akan memastikan bahwa Anda tidak terikat dengan vendor, tetapi setidaknya memastikan bahwa vendor Anda yang ada adalah pilihan seiring dengan meningkatnya kebutuhan Anda.
Menggunakan skema sertifikasi dan jaminan produk
Ini adalah langkah yang baik untuk mengenkripsi perangkat dan dapat membuktikan bahwa Anda telah mengenkripsi mereka. Namun, ada persyaratan peraturan yang meningkat untuk menunjukkan bahwa Anda telah melalui beberapa proses untuk memastikan bahwa teknologi yang Anda adopsi merupakan praktik terbaik. Sebagai contoh, GDPR secara eksplisit merujuk teknologi 'canggih'.
Untuk sepenuhnya memastikan bahwa Anda mengelola liabilitas, Anda perlu bukti bahwa Anda tidak hanya mengadopsi teknologi, tetapi juga bahwa itu adalah 'canggih'. Mencapai tingkat kepercayaan ini hanya dapat dilakukan dengan melihat teknologi yang memiliki validasi pihak ketiga, biasanya melalui jaminan produk atau sertifikasi. Ini memberikan validasi independen bahwa produk memiliki kualitas yang sesuai.
Ada berbagai skema sertifikasi umum yang relevan untuk produk enkripsi. Salah satunya adalah standar AS, Federal Information Processing Standard (FIPS), yang memastikan bahwa algoritma telah diimplementasikan dengan benar. Namun, organisasi harus berhati-hati dalam mengadopsi teknologi hanya karena memiliki sertifikasi FIPS. Mayoritas produk menggunakan algoritma yang sama, seperti Advanced Encryption Standard (AES). FIPS memastikan bahwa pihak ketiga telah memvalidasi bahwa vendor telah menerapkan algoritma dengan benar. Namun, vendor dapat, dan masih melakukan, menerapkan produk secara tidak tepat yang meninggalkan kerentanan.
Contoh yang baik dari kerentanan tersebut dalam produk enkripsi adalah di dalam Solid State Drives (SSDs). Penelitian terbaru dari Radboud University di Belanda telah menyoroti kerentanan tidak hanya pada satu vendor, tetapi juga seluruh jajaran SSD vendor. Vendor dapat mengambil jalan pintas, yang berarti kerentanan yang dihasilkan dapat ditemukan. Dalam hal ini, para peneliti dapat mem-bypass enkripsi dalam SSD.
Organisasi lebih baik mencari skema sertifikasi yang lebih komprehensif. Salah satu contohnya adalah skema Jaminan Produk Komersial (CPA), yang dijalankan oleh Pusat Keamanan Siber Nasional Inggris (NCSC). CPA bekerja bersama FIPS untuk memvalidasi algoritma, tetapi lebih banyak berbicara tentang kualitas produk keseluruhan dan implementasi, melihat arsitektur keamanan untuk memastikan bahwa ia telah dirancang dan diimplementasikan dengan cara yang masuk akal.
Ini juga melihat pengkodean vendor dan membangun standar, sehingga mengurangi risiko ada kerentanan dalam produk. Risiko tidak pernah sepenuhnya dikurangi, tetapi tentu saja turun ke titik yang memungkinkan Anda untuk mengatakan bahwa, sebagai sebuah organisasi, Anda mengadopsi praktik terbaik.
Pentingnya uji tuntas ketika mengadopsi enkripsi
Organisasi, khususnya UKM, harus mempertimbangkan lima langkah kunci ini ketika mereka mengadopsi enkripsi. Selain keamanan dan liabilitas, mereka juga perlu khawatir tentang biaya tertangkap oleh produk dengan kerentanan yang dipublikasikan. Selanjutnya, mereka juga perlu memikirkan biaya untuk kemudian beralih ke solusi yang berbeda.
Pada akhirnya, mengadopsi enkripsi bukanlah ilmu roket. Selama studi mereka, para peneliti dari Radboud University yang disebutkan di atas menyoroti bahwa menerapkan enkripsi dengan baik tidak mudah, dan mudah untuk membuat kesalahan. Namun, sebagian besar vendor yang baik, atau mitra mereka, harus dapat memberi saran kepada Anda tentang langkah-langkah praktik terbaik yang harus diambil.
