विषयसूची:
- अनुपालन का नुकसान
- बचाव के लिए सुरक्षा?
- एकमात्र सत्य के रूप में जोखिम
- जोखिम के समग्र दृष्टिकोण के लिए तीन तत्व
- जोखिम और अनुपालन पर निचला रेखा
मशरूम उद्योग और सरकार का कहना है कि आईटी सुरक्षा को नियंत्रित करने के लिए एक उच्च विनियमित पर्यावरण और वार्षिक अनुपालन फायर ड्रिल का नेतृत्व किया गया है। औसत संगठनों को प्रभावित करने वाले नियमों की संख्या आसानी से एक दर्जन या अधिक से अधिक हो सकती है, और दिन तक अधिक जटिल हो सकती है। यह अधिकांश कंपनियों को आईटी प्राथमिकताओं की उनकी लंबी सूची के शीर्ष पर शासन और अनुपालन प्रयासों के लिए संसाधनों की एक विषम राशि आवंटित करने के लिए मजबूर कर रहा है। क्या इन प्रयासों को वारंट किया गया है? या सुरक्षा के लिए एक अनुपालन-संचालित दृष्टिकोण के हिस्से के रूप में बस एक चेक-बॉक्स की आवश्यकता?
कड़वा सच यह है कि आप एक ऑडिट शेड्यूल कर सकते हैं, लेकिन आप साइबर हमले का शेड्यूल नहीं कर सकते। लगभग हर दिन, हमें इस तथ्य की याद दिलाई जाती है जब उल्लंघनों के शीर्षक समाचार होते हैं। नतीजतन, कई संगठनों ने निष्कर्ष निकाला है कि उनके जोखिम वाले आसन में अंतर्दृष्टि प्राप्त करने के लिए, उन्हें सरल अनुपालन आकलन से परे जाना चाहिए। नतीजतन, वे खतरों और कमजोरियों के साथ-साथ व्यापार प्रभाव को भी ध्यान में रख रहे हैं। केवल इन तीन कारकों का एक संयोजन जोखिम के समग्र दृष्टिकोण का आश्वासन देता है।
अनुपालन का नुकसान
संगठन जो एक चेक-बॉक्स का पीछा करते हैं, जोखिम प्रबंधन के लिए अनुपालन-संचालित दृष्टिकोण केवल प्वाइंट-इन-टाइम सुरक्षा प्राप्त करते हैं। ऐसा इसलिए है क्योंकि कंपनी की सुरक्षा मुद्रा गतिशील है और समय के साथ बदलती है। यह बार-बार साबित हुआ है।
हाल ही में, प्रगतिशील संगठनों ने सुरक्षा के लिए अधिक सक्रिय, जोखिम-आधारित दृष्टिकोण का पीछा करना शुरू कर दिया है। जोखिम-आधारित मॉडल में लक्ष्य एक संगठन के आईटी सुरक्षा संचालन की दक्षता को अधिकतम करना और जोखिम और अनुपालन मुद्रा में दृश्यता प्रदान करना है। अंतिम लक्ष्य अनुपालन में बने रहना, जोखिम को कम करना और निरंतर आधार पर कड़ी सुरक्षा है।
कई कारकों के कारण संगठन जोखिम-आधारित मॉडल की ओर बढ़ रहे हैं। इनमें शामिल हैं, लेकिन इन तक सीमित नहीं हैं:
- उभरते साइबर कानून (जैसे, साइबर इंटेलिजेंस साझाकरण और संरक्षण अधिनियम)
- मुद्रा नियंत्रक (OCC) के कार्यालय द्वारा पर्यवेक्षी मार्गदर्शन
बचाव के लिए सुरक्षा?
यह आमतौर पर माना जाता है कि भेद्यता प्रबंधन एक डेटा उल्लंघन के जोखिम को कम करेगा। हालांकि, उनके साथ जुड़े जोखिम के संदर्भ में कमजोरियों को रखे बिना, संगठन अक्सर अपने उपचारात्मक संसाधनों का दुरुपयोग करते हैं। अक्सर वे "कम-लटकते फल" को संबोधित करते हुए सबसे महत्वपूर्ण जोखिमों की अनदेखी करते हैं।
यह न केवल पैसे की बर्बादी है, बल्कि यह हैकर्स के लिए महत्वपूर्ण कमजोरियों का फायदा उठाने के अवसर की लंबी खिड़की भी बनाता है। अंतिम लक्ष्य खिड़की के हमलावरों को एक सॉफ्टवेयर दोष का फायदा उठाना है। इसलिए, भेद्यता प्रबंधन को सुरक्षा के लिए एक समग्र, जोखिम-आधारित दृष्टिकोण द्वारा पूरक होना चाहिए, जो कि खतरों, पुन: अस्तित्व, संगठन के अनुपालन आसन और व्यवसाय प्रभाव जैसे कारकों पर विचार करता है। यदि खतरा भेद्यता तक नहीं पहुंच सकता है, तो संबंधित जोखिम या तो कम हो जाता है या समाप्त हो जाता है।
एकमात्र सत्य के रूप में जोखिम
एक संगठन का अनुपालन आसन, क्षतिपूर्ति नियंत्रणों की पहचान करके आईटी सुरक्षा में एक आवश्यक भूमिका निभा सकता है जिसका उपयोग खतरों को उनके लक्ष्य तक पहुँचने से रोकने के लिए किया जा सकता है। 2013 के Verizon Data Breach Investigations की रिपोर्ट के अनुसार, पिछले वर्ष के दौरान Verizon और अन्य संगठनों द्वारा किए गए ब्रीच जांच से प्राप्त आंकड़ों का विश्लेषण, 97 प्रतिशत सुरक्षा घटनाओं को सरल या मध्यवर्ती नियंत्रण के माध्यम से टाला जा सकता था। हालांकि, वास्तविक जोखिम का निर्धारण करने में व्यापार प्रभाव एक महत्वपूर्ण कारक है। उदाहरण के लिए, महत्वपूर्ण व्यावसायिक परिसंपत्तियों को खतरा देने वाली कमजोरियां उन लोगों की तुलना में कहीं अधिक जोखिम का प्रतिनिधित्व करती हैं जो कम-महत्वपूर्ण लक्ष्यों से जुड़े हैं।
अनुपालन आसन आम तौर पर संपत्ति की व्यावसायिक महत्वपूर्णता से बंधा नहीं होता है। इसके बजाय, क्षतिपूर्ति नियंत्रण को उदारतापूर्वक लागू किया जाता है और तदनुसार परीक्षण किया जाता है। व्यावसायिक आलोचना की स्पष्ट समझ के बिना कि एक परिसंपत्ति एक संगठन का प्रतिनिधित्व करती है, एक संगठन सुधारात्मक प्रयासों को प्राथमिकता देने में असमर्थ है। एक जोखिम-चालित दृष्टिकोण परिचालन दक्षता बढ़ाने, मूल्यांकन सटीकता में सुधार, हमले की सतहों को कम करने और निवेश निर्णय लेने में सुधार के लिए सुरक्षा मुद्रा और व्यावसायिक प्रभाव दोनों को संबोधित करता है।
जैसा कि पहले उल्लेख किया गया है, जोखिम तीन प्रमुख कारकों से प्रभावित होता है: अनुपालन आसन, खतरे और कमजोरियां, और व्यापार प्रभाव। परिणामस्वरूप, व्यवसाय संचालन पर प्रभाव की गणना करने और सुधारात्मक कार्रवाइयों को प्राथमिकता देने के लिए वर्तमान, नई और उभरती हुई खतरे की सूचनाओं के साथ जोखिम और अनुपालन मुद्राओं के बारे में महत्वपूर्ण बुद्धिमत्ता को एकत्र करना आवश्यक है।
जोखिम के समग्र दृष्टिकोण के लिए तीन तत्व
सुरक्षा के लिए जोखिम-आधारित दृष्टिकोण को लागू करने के लिए तीन मुख्य घटक हैं:- निरंतर अनुपालन में संपत्ति के वर्गीकरण और डेटा वर्गीकरण का स्वचालन, तकनीकी नियंत्रणों का संरेखण, अनुपालन परीक्षण का स्वचालन, मूल्यांकन सर्वेक्षणों की तैनाती और डेटा समेकन का स्वचालन शामिल है। निरंतर अनुपालन के साथ, संगठन डेटा संग्रह और डेटा विश्लेषण में सटीकता बढ़ाने और अनावश्यक, साथ ही मैनुअल, श्रम-गहन प्रयासों को 75 प्रतिशत तक कम करने के लिए एक सामान्य नियंत्रण ढांचे का लाभ उठाकर ओवरलैप को कम कर सकते हैं।
- सतत निगरानी से डेटा आकलन की एक बढ़ती आवृत्ति का पता चलता है और सुरक्षा स्रोतों और इवेंट मैनेजमेंट (कोलम्बिया), परिसंपत्ति प्रबंधन, खतरे फ़ीड और भेद्यता स्कैनर जैसे विभिन्न स्रोतों से डेटा को एकत्र और सामान्य करके सुरक्षा डेटा स्वचालन की आवश्यकता होती है। बदले में, संगठन समाधानों को एकीकृत करके, समय पर ढंग से कारनामों और खतरों को उजागर करने के लिए स्थितिजन्य जागरूकता पैदा करके और ऐतिहासिक प्रवृत्ति के आंकड़ों को इकट्ठा करके लागत को कम कर सकते हैं, जो भविष्यवाणिय सुरक्षा में सहायता कर सकते हैं।
- बंद-लूप, जोखिम-आधारित सुधारात्मक छूट एक जोखिम सूची और जोखिम सहिष्णुता को परिभाषित करने के लिए व्यावसायिक इकाइयों के भीतर विषय विशेषज्ञों का लाभ उठाती है। यह प्रक्रिया व्यापार की आलोचनात्मकता को परिभाषित करने के लिए परिसंपत्ति वर्गीकरण को मजबूर करती है, जोखिम-आधारित प्राथमिकताकरण और बंद लूप ट्रैकिंग और माप को सक्षम करने के लिए निरंतर स्कोरिंग। मौजूदा परिसंपत्तियों, लोगों, प्रक्रियाओं, संभावित जोखिमों और संभावित खतरों की निरंतर समीक्षा पाश स्थापित करके, संगठन व्यवसाय, सुरक्षा और आईटी कार्यों के बीच सहयोग में सुधार करते हुए, नाटकीय रूप से परिचालन दक्षता बढ़ा सकते हैं। यह सुरक्षा प्रयासों को सक्षम करता है - जैसे कि समय-समय पर समाधान, सुरक्षा संचालन कर्मियों में निवेश, अतिरिक्त सुरक्षा उपकरणों की खरीद - को मापने और मूर्त बनाने के लिए।
जोखिम और अनुपालन पर निचला रेखा
अनुपालन जनादेश कभी भी आईटी सुरक्षा बस को चलाने के लिए नहीं बनाया गया था। उन्हें एक गतिशील सुरक्षा ढांचे के भीतर एक सहायक भूमिका निभानी चाहिए जो जोखिम मूल्यांकन, निरंतर निगरानी और बंद-लूप रिमेडियेशन द्वारा संचालित होती है।
