W przeszłości, rotacja kluczy była postrzegana jak środek bezpieczeństwa chroniący przed potencjalnym atakiem "brute force" na zaszyfrowany tekst. Ponieważ możliwości przetwarzania komputerów stale rosły, to napastnik, który nie miał środków technicznych do wykonania tego typu ataku dzisiaj, mógł takie możliwości uzyskać w przyszłości. Aby zabezpieczyć się przed taką ewentualnością, organizacje stosowały okresowo ponowne szyfrowanie informacji z wykorzystaniem silniejszego klucza.

Jednak nowe podejście do zarządzania ryzykiem uznaje, że ponowne szyfrowanie archiwizowanych danych jest często bardziej ryzykowne niż pozostawienie ich w dotychczasowym stanie. I tak np. taśma z danymi archiwizowanymi jest prawdopodobnie bardziej bezpieczna leżąc w sejfie z pierwotnym szyfrowaniem, ponieważ wyjęcie jej z sejfu w celu ponownego zaszyfrowania daje okazję do jej niewłaściwego wykorzystania. Z tego powodu wielu zarządców IT stosuje do wymiany kluczy podejście opierające się bardziej na ocenie ryzyka, zamiast wykonywać taką wymianę tylko z czysto teoretycznego powodu: zapewnienia wyższego poziomu bezpieczeństwa.

Wymiana kluczy, wykonana w prawidłowy sposób, może poprawić bezpieczeństwo, ale powinna mieścić się w ogólnej strategii bezpieczeństwa. Jedną z korzyści jest łagodzenie ryzyka. Okresowa wymiana kluczy zmniejsza potencjalną możliwość utraty danych w wypadku zgubienia lub ujawnienia klucza. Częstotliwość wymiany klucza zależy istotnie od takich czynników, jak typ klucza, środowisko operacyjne, rozmiar szyfrowanych danych, klasyfikacja danych i aplikacji używających klucza.

Również regulacje prawne zmuszają firmy do ponownej oceny polityki wymiany klucza, ponieważ szyfrowanie jest ich centralnym punktem. Jednym z przykładów inicjatywy łączącej wymagania zgodności z wymaganiami na wymianę klucza szyfrującego jest PCI Data Securitu Standard. Jednak zarysowania strategicznego podejścia do problemów wymiany klucza nie jest proste. W niektórych organizacjach funkcjonuje wiele inicjatyw zgodności, które muszą być wspierane jednocześnie, a to wprowadza komplikacje i wpływa na częstotliwość wymiany kluczy.

Realnym źródłem kłopotów zarządców IT jest czas i wysiłek jaki trzeba poświęcić każdej wymianę kluczy, zwłaszcza kiedy trzeba posługiwać się kiepsko zaprojektowanym narzędziami zarządzania kluczami lub systemami opracowanymi we własnym zakresie. Wielość polityk, które muszą być przy tej okazji egzekwowane, wpływa dodatkowo na koszty i wykorzystanie zasobów.

Wiele firm uważa, że szyfrowanie danych jest łatwe. Utrzymywanie kluczy jest jednak trudnym elementem tego procesu, a często jest pomijane przy starcie projektów szyfrowania. Co gorzej, problemy związane z wymianą kluczy narastają w czasie, ponieważ pojawia się wiele nowych repozytoriów kluczy, zbyt wiele kluczy do zarządzania i zbyt mało zasobów do obsługi ręcznej wymiany kluczy.

Problemy obsługi kluczy powiązane są z jakością narzędzi zarządzania: jak radzą sobie one z podstawowymi usługami, takimi jak provisioning, przechowywanie kluczy i przepływ zadań. Sposobem na rozwiązanie tych problemów, w tym również wymiany klucza, i zapobiegania pojawienie się nowych, jest ustanowienie solidnej infrastruktury zarządzania kluczami.

Zarządzanie kluczami w przedsiębiorstwie zapewnia trzy podstawowe elementy radzenia sobie z wyzwaniami wymiany klucza. Po pierwsze zapewnia wgląd w stan kluczy szyfrujących we wszystkich repozytoriach przechowujących te klucze. Jest to ważne, ponieważ eliminuje problem "silosów" z kluczami szyfrującymi i brakiem nadrzędnego wglądu w to, który klucz potrzebuje wymiany. Rozwiązanie tego problemu jest pierwszym krokiem w kierunku budowy właściwej infrastruktury.

Po drugie, zarządzanie kluczami w przedsiębiorstwie zapewnia narzędzia do automatyzacji procesów wymiany klucza. Z taką automatyzacją można wykonywać wymianę kluczy nawet codziennie (np. dla systemów wrażliwych - obsługa kart płatniczych czy punktów kasowych). Narzędzia automatyzacji powinny także obejmować przepływ zadań zapewniający, że w procesach tych są przestrzegane wewnętrzne procedury.

Po trzecie zarządzanie kluczami w przedsiębiorstwie zapewnia, że wszystkie istotne elementy związane z kluczem są bezpieczne w środowisku IT i spełniają oczekiwane parametry operacyjne. Obejmuje to egzekwowanie polityki bezpieczeństwa, która zapewnia, że klucze spełniają obowiązujące zalecenia dotyczące cech klucza (długość, typ, czas życia itp.) jak również powiązanych usług (jak długo archiwizować klucze, polityka odtwarzania itp.).