Kada govorimo o svesti, odnosno svesti o sigurnosti, obično mislimo o svesti opšte brige o bezbednosti informacija. Dakle, svest nije samo o kriptologiji, već i o npr. šifrovanju poverljivih podataka, ali i mnogo širih tema. Sledeće figure nastoje da ilustruju ovu činjenicu:

IT sigurnost sveobuhvatno opisuje aktivnosti koje podržavaju funkcionisanje IT sistema sa sigurnosnim merama, kako bi pružili zaštitu za elektronske podatke kompanija kao i njihovih klijenata i prodavaca.

Mere IT bezbednosti obuhvataju (pored kriptoloških metoda) npr. bezbednosne organizacije, pravne aspekte, bezbednosni nadzor, mere za borbu protiv virusa, zakrpa za upravljanje, oporavljanje od katastrofa, kontinuitet poslovanja, i podizanje nivoa bezbednosne arhitekture za IT bezbednost. Dobar pregled ove mere može se naći na NIST ili kod Nemačke agencije za bezbednost informacija (BSI).

Upravljanje rizikom produbljuje stepen IT bezbednosti i pokriva sociološki poželjnu zaštitu kritične infrastrukture.

Upravljanje rizicima može se definisati kao svesno upravljanje rizicima. Ovo može da sadrši opšte operativne rizike ili specifične finansijske rizike. Preduzeća, organizacije i pojedinci moraju da se bave svim vrstama rizika unutar žive memorije. Poreklo sistematskog upravljanja rizikom se zasniva na finansijskoj industriji. Danas više zakona doprinose i nastoje da pruže finansijsku kontrolu i transparentnost za korporacije (npr. Sarbanes-Oxley Act, ili Basel II).

Ukupan rizik preduzeća može se podeliti na operacioni rizik (npr. krah ili ograničenja IT sistema) ili sve vrste finansijskog rizika (kreditni rizik, rizik likvidnosti, tržišni rizik, rizik odgovornosti i sl.).

Postoji nekoliko pristupa za identifikaciju, merenje, praćenje i kontrolu rizika.

Upravljanje rizikom ne mora nužno da znači potpuno sprečavanje rizika. Umesto toga, ono pokušava da identifikuje odgovarajuće mere u okviru troškova i koristi perspektivu (odgovarajuće mere bi takođe mogle da obuhvate i osiguranje od određenih rizika).

Osnovno razumevanje kriptologije je neophodno kako bi se preduzele odgovarajuće mere i kontrola u cilju postizanja ciljeva IT bezbednosti (potvrda identiteta, poverljivost, integritet, neporecivost) sa optimalnim odnosom cena-vrednost. Sledeća slika ilustruje kako CrypTool može da doprinese boljem razumevanju svesti o bezbednosti u tom kontekstu:

Standardizacija i Menadžment Vidljivosti Kriptologije

Pored prethodne klasifikacije, koja je vodi poreklo iz tehničke i perspektive upravljanjem rizicima, ključne oblasti kriptologije mogu biti struktuirane na 5 komponenti: algoritmi, protokoli, upravljanje ključevima, najbolja organizaciona praksa i regulatorni zahtevi. Ove glavne komponente se odlikuju veoma različitim stavovima u pogledu stepena standardizacije, korporativne/menadžment vidljivosti i naučnog fokusa.

Regulatorni Zahtevi

Regulatortni zahtevi su postavljeni od strane zakonodavca i korporacije i moraju da ispune ove zahteve kao što su oni po zakonu. Što se tiče oblasti kriptologije, važno je da se uspostave zajednički standardi u cilju zaštite elektronske razmene podataka. Pored toga, pravna sigurnost, odnosno predvidljivost pravnih odluka, je neophodna kako bi se zakonito čuvala elektronska komunikacija osigurana kriptologijom (npr. digitalni potpis)

Algoritmi

Algoritmi i srodne matematičke funkcije su temelj kriptologije. Algoritmi kao što su AES, 3DES ili RSA su visoko standardizovani, i predmet su kriptologije i srodnih matematičkih istraživanja.

Protokoli

Protokoli koriste algoritme. Oni se koriste za zaštitu prenosa podataka između komunikacionih partnera, pa su stoga neizbežni omogućilac komercijalne upotrebe elektronske komunikacije. Tipični bezbednosni protokoli su TLS, SSL ili IPsec. Ovi protokoli su takođe visoko standardizovani i poznati su mnogim korisnicima zbog široko rasprostranjene primene u intranet ili Internet komunikaciji.

Upravljanje Ključevima

Važan deo kriptologije predstavlja upravljanje ključevima za šifrovanje i dešifrovanje, takozvani menadžment ključeva. Budući da je većina algoritama i protokola bazirana na ključevima, upravljanje ključevima i skladištenje su od suštinskog značaja. Postoji više standarda u oblasti upravljanja ključevima, kao što su ISO, PKIX ili XKMS.

Implementacija Najbolje Prakse

Osnovni aspekt, posebno iz korporativne perspektive jeste implementacija kriptologije, kako tehnička, tako i organizaciona. Izvedeni iz upravljanja rizikom, odgovarajući mehanizmi moraju da se sprovode, što često rezultira u sprovođenju kriptoloških metoda. U ovom kontekstu, kriptologija često mora da se primenjuje u heterogenim IT okruženjima, i kako bi se zaštitile informacije procesirane učestalo promenljivom tehnologijom.