विषयसूची:
कारोबारियों को साइबर रेट से खतरनाक दर पर निशाना बनाया जा रहा है। दिसंबर 2013 में टारगेट पर प्रमुख उल्लंघनों और 2014 के जनवरी में नीमन मार्कस ने अपर्याप्तता पर एक बड़ी स्पॉटलाइट को चमकाया, जो कि बहुत से खुदरा दुकानों में उनके सुरक्षा ढांचे में है। नतीजतन, अधिक से अधिक कंपनियों, दोनों बड़े और छोटे, उनके प्रयासों को रैंप करने की आवश्यकता महसूस कर रहे हैं और एक समर्पित सुरक्षा टीम है।
मई 2014 में रॉयटर्स द्वारा जारी एक रिपोर्ट के अनुसार, कई बड़े निगमों, जैसे कि पेप्सी और जेपी मॉर्गन चेज़ एंड कंपनी, नए मुख्य सूचना सुरक्षा अधिकारियों (CISOs) के लिए सुरक्षा अभ्यास करने के लिए बोली लगाने के लिए शिकार पर हैं। यह जो दर्शाता है वह व्यापार के कार्यकारी स्तर पर सुरक्षा और उसके महत्व के बारे में अधिक जागरूकता है।
सीआईएसओ और मुख्य साइबर सुरक्षा अधिकारी, नियोक्ता और ग्राहक दोनों के लिए, अपनी तकनीक की सुरक्षा में डूबे रहते हैं, लेकिन उनकी भूमिकाएं और जिम्मेदारियां सुरक्षा समुदाय के बीच ही नहीं, बल्कि आम जनता की नजर में भी अधिक स्पष्ट और अनिवार्य होती जा रही हैं।
भर्ती फर्म हेइड्रिक के क्षेत्रीय प्रबंध साझेदार डेविड बोहमर कहते हैं, "पांच साल पहले, सूचना सुरक्षा ने बोर्ड की शीर्ष 10 चिंताओं को एक साल पहले ही खत्म कर दिया था। एक साल पहले, यह नंबर 2 था। दिलचस्प बात यह है कि यह अब डेटा सुरक्षा है और सिर्फ सूचना सुरक्षा नहीं है।" स्ट्रगल, कंपनी द्वारा निर्मित एक YouTube वीडियो में)
एक CISO क्या करता है
एक CISO की भूमिका काफी व्यापक हो सकती है, और वे अक्सर खुद को कई अलग-अलग टोपी पहने हुए पाते हैं। नौकरी में आंतरिक सुरक्षा से सब कुछ शामिल है, जैसे कि बौद्धिक संपदा की सुरक्षा का प्रबंधन, ग्राहक सुरक्षा के लिए जिम्मेदार होना।
सूमो लॉजिक के सीआईएसओ जोआन पेपिन कहते हैं, "मैं अपने उत्पाद टीम और इंजीनियरिंग टीम के साथ काम करता हूं, जो सुरक्षा खरीदारों के लिए दिलचस्प हो सकता है।"
जबकि टार्गेट ब्रीच ने पिछले साल निश्चित रूप से बहुत सारे लोगों से बात की थी, पेपिन बताते हैं कि वह आश्चर्यचकित नहीं थी - और न ही अधिकांश सुरक्षा समुदाय था। यह कहना नहीं है कि सुरक्षा समुदाय के पास अपने "वाटरशेड मोमेंट्स" नहीं हैं, हालांकि हर किसी को आगे बढ़ने के लिए अपने काम को सुदृढ़ करने की आवश्यकता है।
2011 में आरएसए उल्लंघन, जिसमें हैकर्स ने सूचना सुरक्षा कंपनी के सर्वर को तोड़ दिया और संवेदनशील सरकार और कॉर्पोरेट डेटा तक पहुंच प्रदान करने वाले प्रमाणीकरण टोकन चुरा लिए, उनके पास कई सुरक्षा पेशेवर थे। एक सिक्योरिटी कंपनी इस तरह हैकर्स के शिकार कैसे हो सकती है? केवल दो साल बाद, यह चिंता एक ऐसे लक्ष्य पर स्थानांतरित हो जाएगी जो पहले रडार के नीचे उड़ गया था: खुदरा ग्राहक। टारगेट और नीमन मार्कस में देखे जाने वाले हमलों ने रोजमर्रा के ग्राहकों की सुरक्षा की ओर ध्यान आकर्षित किया।
"स्पष्ट रूप से जब आपके पास हजारों और हजारों कर्मचारियों के साथ बड़े पैमाने पर खुदरा ऑपरेशन होता है, ये सभी अलग-अलग साइटें, पॉइंट-ऑफ-सेल मशीनें, जो कि सबसे खराब तरह की प्रणाली है और इस तथ्य पर कि इस प्रकार के हमले उस पर नहीं हुए थे पैपिन ने कहा कि जल्द ही इस तरह के पैमाने वास्तव में मेरे लिए आश्चर्य की बात है।
यह मुद्दा सुरक्षा से उपजा है कि कंपनियों को टिक करने और छोड़ने के लिए एक चेक बॉक्स के रूप में देखा जा रहा है न कि उनके व्यवसाय के लगातार पॉलिश किए गए पहलू के बजाय। इसका मतलब यह नहीं है कि साइबर क्रिमिनल ढीले हैं और बस अंदर चल सकते हैं। वास्तव में, साइबर क्रिमिनल तेजी से कुशल हो रहे हैं।
"एक बहुत ही परिष्कृत ब्रीच थी, जो BMC एजेंट, और उन प्रकार की चोरी की चीजों को लगाने में सक्षम थी। लक्ष्य नेटवर्क में पार्श्व आंदोलनों में संलग्न होने के लिए बहुत चालाक था, पेपिन ने कहा।
"मैं उससे दूर नहीं होना चाहता, लेकिन लक्ष्य में कठिनाई के मामले में, कोई भी दंड का इरादा नहीं है, मैं कभी भी किसी भी खुदरा श्रृंखला को कठिन लक्ष्यों की सूची में नहीं डालूंगा। सुरक्षा कंपनियां कठिन लक्ष्य हैं, सरकार एक कठिन लक्ष्य है। कुछ रिटेल चेन जिनके कारोबार में मोजे बिक रहे हैं, मैं उनसे सुपर सिक्योर शॉप की उम्मीद नहीं करूंगा। '
सुरक्षा पेशेवरों के लिए लैंडस्केप
जून 2014 में, टारगेट ने अपना पहला CISO, ब्रैड मैरिनो, एक पूर्व जनरल मोटर्स के कार्यकारी को नियुक्त किया, जो कंपनी की सुरक्षा प्रथाओं के एक बड़े हिस्से की देखरेख करेगा।
व्यवसाय, चाहे उनके क्षेत्र या उनके आकार के हों, उन्हें संभावित उल्लंघनों पर कार्रवाई करने के लिए अधिक जागरूकता और अधिक अधिकार के साथ बढ़ते खतरों के जवाब में अपने सुरक्षा खेल को ध्यान में रखना और बढ़ाना होगा।
"यह स्पष्ट था … लक्ष्य के मामले में अलर्ट उत्पन्न किए गए थे कि किसी ने भी प्रतिक्रिया नहीं दी और मेरे अनुभव में, प्रबंधित सुरक्षा से आने वाला, बेहद विशिष्ट है, पेपिन ने कहा।
"दुनिया में सबसे अच्छा घुसपैठ का पता लगाने वाली प्रणाली अभी भी एक बहुत ही उच्च झूठी सकारात्मक दर है और इसलिए सुरक्षा उत्तरदाताओं को मूल रूप से उनके सिस्टम को अनदेखा करने के लिए उनके सिस्टम द्वारा प्रशिक्षित किया जाता है। वहां एक तकनीकी मानव संपर्क अंतराल है, जहां पहले उत्तरदाता हजारों की संख्या में सुन्न हो जाते हैं। अलर्ट कि वे प्राप्त कर रहे हैं कि कचरा कर रहे हैं। लक्ष्य के मामले में, कुछ संकेत थे जिनका पालन नहीं किया गया था जो बहुत जल्द प्रभाव को कम करने में मदद कर सकते थे। "
जैसा कि अक्सर होता है, एक सुरक्षा पेशेवर तुरंत इस मुद्दे पर कार्रवाई नहीं कर सकता क्योंकि उन्हें पदानुक्रम में किसी और से मंजूरी या अनुमोदन की आवश्यकता होती है। इसे बदलने की जरूरत है, पेपिन कहते हैं, यह समझाते हुए कि कंपनी की सुरक्षा टीम को पहल करने के लिए अधिक स्वायत्तता और अधिकार होना चाहिए।
ट्रेंड माइक्रो के मुख्य साइबर सुरक्षा अधिकारी टॉम केलरमन कहते हैं, "मुझे लगता है कि यह अभी भी एक मुख्य मुद्दा है कि मुख्य सूचना सुरक्षा अधिकारियों को सीआईओ को रिपोर्ट नहीं करना चाहिए।" "उन्हें मुख्य जोखिम अधिकारी या सीधे सीईओ को रिपोर्ट करना चाहिए।" यह कई बिचौलियों को काटता है और संभावित आपात स्थितियों में तेजी से प्रतिक्रिया समय सुनिश्चित करता है।
पेपिन सहमत हैं कि सुरक्षा पेशेवरों को अपनी कंपनी में "शीर्ष पर सही रिपोर्ट" करना चाहिए। "मैं काफी भाग्यशाली हूं कि मैं अपने सीईओ को रिपोर्ट करता हूं। यह बहुत अच्छा काम करता है और यह एक ऐसी चीज है जिसे मैं वास्तव में किसी भी संगठन के लिए सुझाऊंगा जो इसकी सुरक्षा को गंभीरता से लेता है।"
एसएमई के लिए अन्य बजट और सुरक्षा
यदि आपके पास बजट है तो CISO को किराए पर लेना और अपनी सुरक्षा टीम का विस्तार करना सब ठीक है और अच्छा है, लेकिन छोटी कंपनियों का क्या? हालांकि एक छोटी श्रृंखला या आपके स्थानीय हार्डवेयर स्टोर पर हमला हैकर्स के लिए एक लक्ष्य या नीमन मार्कस को मारने के समान लाभ नहीं होगा, यह अभी भी किसी भी तरह से खुद को कमजोर छोड़ने के लिए नासमझ है। तो हमले के जोखिम को कम करने के लिए आप क्या कर सकते हैं? पेपिन दृढ़ता से एक घटना प्रतिक्रिया ठेकेदार या सलाहकार की सेवाओं को काम पर रखने की सिफारिश करता है।
"जिस स्थिति में आप पर हमला किया जाता है, आपके पास कोई ऐसा व्यक्ति हो सकता है जिसे आप कॉल कर सकते हैं, इसलिए आपको Google को खोलना और ढूंढना शुरू नहीं करना है, " उसने कहा।
यह एक छोटी कंपनी के लिए अधिक आर्थिक समझ बनाएगा, वह बताती है, क्योंकि व्यवसाय केवल सेवाओं का उपयोग करेगा जब उन्हें ज़रूरत होगी। इन सेवाओं को लेने में भी बेहद विशेषज्ञता हासिल है, जहां आपके कर्मचारी छूट गए हैं।
"आपके पास ट्रिपिंग के लिए एक शानदार टीम हो सकती है, यह समझकर कि आप हमले के अधीन हैं, लेकिन उस हमले का जवाब देने के लिए आवश्यक कौशल का एक ही सेट नहीं है, उन्हें अपने नेटवर्क से बाहर निकालने और इस तरह से साक्ष्य एकत्र करने के लिए। कानून की अदालत में इस्तेमाल किया जा सकता है। ”
साइबर क्राइम से निपटने के लिए कंपनियों के पास अपने निपटान में कई संसाधन हैं। हालिया इतिहास बताता है कि एक और बड़ा हमला कोने के आसपास है।
