فہرست کا خانہ:
- تعمیل کا نقص
- بچاؤ کو سیکیورٹی؟
- واحد سچ کے طور پر خطرہ
- خطرہ کے ایک ہولیسک نظریہ کے تین عناصر
- نیچے خطرہ خطرہ اور تعمیل
مشروم سازی کی صنعت اور حکومتی مینڈیٹ جو آئی ٹی سیکیورٹی کو کنٹرول کرتے ہیں ان کی وجہ سے انتہائی منظم ماحول اور سالانہ تعمیل فائر مشقیں ہو رہی ہیں۔ اوسط تنظیموں پر اثر انداز ہونے والے قواعد و ضوابط کی تعداد آسانی سے ایک درجن یا اس سے زیادہ ہوسکتی ہے ، اور دن بدن زیادہ پیچیدہ ہوسکتی ہے۔ یہ زیادہ تر کمپنیوں کو اپنی ترجیحات کی لمبی لمبی فہرست میں اعلی حکمرانی اور تعمیل کی کوششوں کے لئے بہت زیادہ وسائل مختص کرنے پر مجبور کررہا ہے۔ کیا ان کوششوں کی ضمانت ہے؟ یا محض سیکیورٹی پر عمل پیرا ہونے کے ذریعہ چیک باکس کی ضرورت ہے۔
تلخ حقیقت یہ ہے کہ آپ آڈٹ شیڈول کرسکتے ہیں ، لیکن آپ سائبرٹیک کو شیڈول نہیں کرسکتے ہیں۔ تقریبا ہر دن ، جب ہم خلاف ورزیوں کی خبریں بناتے ہیں تو ہمیں اس حقیقت کی یاد دلاتے ہیں۔ نتیجے کے طور پر ، بہت ساری تنظیموں نے یہ نتیجہ اخذ کیا ہے کہ ان کے خطرے کی کرن کی روشنی میں بصیرت حاصل کرنے کے ل they ، انہیں تعمیل کے آسان تخمینے سے بھی آگے بڑھنا چاہئے۔ اس کے نتیجے میں ، وہ خطرات اور خطرات کے ساتھ ساتھ کاروباری اثرات کو بھی مدنظر رکھتے ہیں۔ ان تینوں عوامل کا صرف ایک مجموعہ ہی خطرے کے ایک جامع نظریہ کی یقین دہانی کراتا ہے۔
تعمیل کا نقص
وہ تنظیمیں جو ایک چیک باکس پر عمل پیرا ہوتی ہیں ، رسک مینجمنٹ کے لئے تعمیل پر مبنی نقطہ نظر صرف وقتی وقت پر سیکیورٹی حاصل کرتی ہیں۔ اس کی وجہ یہ ہے کہ کسی کمپنی کی سیکیورٹی کرنسی متحرک ہے اور وقت کے ساتھ ساتھ اس میں بھی بدلاؤ آتا ہے۔ یہ بار بار ثابت ہوا ہے۔
حال ہی میں ، ترقی پسند تنظیموں نے سلامتی کے لئے زیادہ فعال ، رسک پر مبنی نقطہ نظر کو اپنانا شروع کیا ہے۔ رسک پر مبنی ماڈل کا مقصد کسی تنظیم کے آئی ٹی سیکیورٹی آپریشنز کی کارکردگی کو زیادہ سے زیادہ بنانا اور رسک اور تعمیل کرنسی میں مرئیت فراہم کرنا ہے۔ آخری مقصد تعمیل میں رہنا ، خطرہ کم کرنا اور مستقل بنیادوں پر سیکیورٹی سخت کرنا ہے۔
متعدد عوامل تنظیموں کو خطرے پر مبنی ماڈل کی طرف بڑھنے کا باعث بن رہے ہیں۔ ان میں شامل ہیں ، لیکن ان تک محدود نہیں ہیں:
- ابھرتی ہوئی سائبر قانون سازی (جیسے ، سائبر انٹلیجنس شیئرنگ اینڈ پروٹیکشن ایکٹ)
- کنٹرولر آف کرنسی (او سی سی) کے دفتر کے ذریعہ نگران رہنمائی
بچاؤ کو سیکیورٹی؟
عام طور پر یہ خیال کیا جاتا ہے کہ کمزوری کے انتظام سے ڈیٹا کی خلاف ورزی کا خطرہ کم ہوجاتا ہے۔ تاہم ، خطرات کو ان سے وابستہ خطرے کے تناظر میں رکھے بغیر ، تنظیمیں اکثر اپنے تدارک کے وسائل کو غلط سمجھتی ہیں۔ اکثر وہ "انتہائی کم پائے جانے والے پھل" کو خطاب کرتے ہوئے انتہائی خطرناک خطرات کو نظر انداز کرتے ہیں۔
یہ نہ صرف پیسہ ضائع کرنا ہے ، بلکہ یہ ہیکروں کے لئے بھی خطرات سے دوچار ہونے کے مواقع کی ایک لمبی ونڈو تشکیل دیتا ہے۔ حتمی مقصد یہ ہے کہ ونڈو پر حملہ کرنے والوں کو سافٹ ویئر کی خرابی کا استحصال کرنا پڑے۔ لہذا ، خطرے ، انتظامیہ ، تنظیم کی تعمیل کرنسی اور کاروباری اثرات جیسے عوامل پر غور کرنے والے ، سلامتی کے لئے ایک جامع ، رسک پر مبنی نقطہ نظر کے ذریعہ خطرے سے متعلق انتظام کو پورا کرنا ضروری ہے۔ اگر خطرہ خطرے سے دوچار نہیں ہوسکتا ہے تو ، اس سے منسلک خطرہ یا تو کم یا ختم ہوجاتا ہے۔
واحد سچ کے طور پر خطرہ
کسی تنظیم کی تعمیل کرنسی معاوضہ والے کنٹرولوں کی نشاندہی کرکے آئی ٹی سیکیورٹی میں ایک لازمی کردار ادا کرسکتی ہے جس کا استعمال خطرات کو اپنے ہدف تک پہنچنے سے روکنے کے لئے کیا جاسکتا ہے۔ 2013 کے ویریزون ڈیٹا بریک انویسٹی گیشن رپورٹ کے مطابق ، خلاف ورزی کی تحقیقات سے حاصل کردہ اعداد و شمار کا تجزیہ جو ویریزون اور دیگر تنظیموں نے پچھلے سال کے دوران انجام دیا ہے ، 97 فیصد سکیورٹی واقعات سادہ یا درمیانی درمیانی کنٹرول کے ذریعہ قابل دلا تھے۔ تاہم ، حقیقی خطرے کے تعین کے لئے کاروباری اثرات ایک اہم عنصر ہیں۔ مثال کے طور پر ، خطرات جو کاروباری اثاثوں کو خطرے میں ڈالتے ہیں وہ ان خطرات سے کہیں زیادہ خطرے کی نمائندگی کرتے ہیں جو ان سے کم اہم اہداف سے وابستہ ہیں۔
تعمیل کرنسی عام طور پر اثاثوں کی کاروباری تنقید سے منسلک نہیں ہوتی ہے۔ اس کے بجائے ، معاوضے کے کنٹرول عام طور پر لاگو ہوتے ہیں اور اسی کے مطابق تجربہ کیا جاتا ہے۔ کاروباری تنقید کی واضح تفہیم کے بغیر جو ایک اثاثہ کسی تنظیم کی نمائندگی کرتا ہے ، ایک تنظیم تدارک کی کوششوں کو ترجیح دینے سے قاصر ہے۔ ایک رسک پر مبنی نقطہ نظر آپریشنل کارکردگی بڑھانے ، تشخیص کی درستگی کو بہتر بنانے ، حملے کی سطحوں کو کم کرنے اور سرمایہ کاری کے فیصلے سازی کو بہتر بنانے کے لئے حفاظتی کرنسی اور کاروباری اثرات دونوں پر توجہ دیتا ہے۔
جیسا کہ پہلے ذکر کیا گیا ہے ، خطرہ تین اہم عوامل سے متاثر ہوتا ہے: تعمیل کی کرنسی ، خطرات اور خطرات اور کاروباری اثرات۔ اس کے نتیجے میں ، یہ ضروری ہے کہ کاروباری کارروائیوں پر اثرات کا حساب لگانے اور تدارک کی کارروائیوں کو ترجیح دینے کے ل current ، موجودہ ، نئی اور ابھرتی ہوئی خطرے سے متعلق معلومات کے ساتھ خطرہ اور تعمیل والے اشارے کے بارے میں تنقیدی ذہانت کو جمع کرنا ضروری ہے۔
خطرہ کے ایک ہولیسک نظریہ کے تین عناصر
سلامتی کے لئے خطرہ پر مبنی نقطہ نظر کو نافذ کرنے کے لئے تین اہم اجزاء ہیں:- مستقل تعمیل میں اثاثوں کا مفاہمت اور ڈیٹا کی درجہ بندی کا آٹومیشن ، تکنیکی کنٹرول میں سیدھ ، تعمیل جانچ کی آٹومیشن ، تشخیص سروے کی تعیناتی ، اور ڈیٹا کوسولیٹیشن کی آٹومیشن شامل ہیں۔ مسلسل تعمیل کے ساتھ ، تنظیمیں ڈیٹا اکٹھا کرنے اور ڈیٹا تجزیہ میں درستگی بڑھانے کے ل control مشترکہ کنٹرول فریم ورک کا فائدہ اٹھا کر اوور لیپ کو کم کرسکتی ہیں ، اور بے کار ، نیز دستی ، مشقت کی کوششوں کو 75 فیصد تک کم کرسکتی ہیں۔
- مسلسل نگرانی سے اعداد و شمار کی تشخیص کی بڑھتی ہوئی تعدد کا تقاضا ہوتا ہے اور سیکیورٹی انفارمیشن اور ایونٹ مینجمنٹ (ایس ای ای ایم) ، اثاثہ جات کے انتظام ، خطرے سے متعلق فیڈز اور خطرے سے متعلق اسکینرز جیسے متعدد ذرائع سے ڈیٹا کو اکٹھا کرکے معمول پر لانا اور سیکیورٹی ڈیٹا آٹومیشن کی ضرورت ہوتی ہے۔ اس کے نتیجے میں ، تنظیمیں حل کو یکجا کرنے ، عمل کو ہموار کرنے ، بروقت کارآمد اور خطرات کو بے نقاب کرنے کے لئے حالات کی آگاہی پیدا کرنے اور تاریخی رجحان کے اعداد و شمار کو اکٹھا کرکے قیمتوں کو کم کرسکتی ہیں ، جو پیش گوئی کرنے والی سلامتی میں مدد فراہم کرسکتی ہیں۔
- خطرہ بند ، خطرہ پر مبنی تدارک کے لئے کاروباری یونٹوں کے اندر مضامین کے ماہرین ایک رسک کیٹلوگ اور رسک رواداری کی وضاحت کرنے کے لئے فائدہ اٹھاتے ہیں۔ اس عمل میں کاروبار کی تنقید کی وضاحت کرنے ، خطرے پر مبنی ترجیح کو قابل بنانے کے لئے مستقل اسکورنگ ، اور بند لوپ سے باخبر رہنے اور پیمائش کرنے کے لئے اثاثوں کی درجہ بندی کرنا ہے۔ موجودہ اثاثوں ، افراد ، عمل ، ممکنہ خطرات اور ممکنہ خطرات کی ایک مستقل جائزہ لوپ کو قائم کرنے سے ، تنظیمیں آپریشنل کارکردگی کو ڈرامائی انداز میں بڑھاسکتی ہیں ، جبکہ کاروبار ، سیکیورٹی اور آئی ٹی کارروائیوں میں باہمی تعاون کو بہتر بناسکتی ہیں۔ اس سے سیکیورٹی کی کوششوں کو قابل بناتا ہے - جیسا کہ وقتا فوقتا ریزولوشن ، سیکیورٹی آپریشنز کے اہلکاروں میں سرمایہ کاری ، اضافی حفاظتی ٹولوں کی خریداری - ناپنے اور ٹھوس ہونے کی۔