साइबर सुरक्षा एक संगठन के भीतर कई जोखिम कार्यों में से एक है, लेकिन विभिन्न फ़ंक्शन एक साथ काम नहीं कर सकते हैं क्योंकि उन्हें कंपनी के जोखिम प्रोफाइल को सामूहिक रूप से कम करना चाहिए। सुरक्षा टीमों को आईटी और व्यावसायिक हितधारकों के साथ-साथ शासन, अनुपालन, जोखिम प्रबंधन और कानूनी सहित अन्य जोखिम कार्यों के साथ काम करना चाहिए।
छाया आईटी
छाया आईटी 1980 के बाद से जब Apple- प्यार करने वाले कट्टरपंथी अपने Macintosh कंप्यूटर्स को काम पर लाए हैं, तब से IT डिपार्टमेंट्स को नुकसान पहुंचा है। जवाब में, आईटी विभागों ने काम पर व्यक्तिगत तकनीक पर प्रतिबंध लगा दिया, कंपनी के स्वामित्व वाले लैपटॉप और अंततः ब्लैकबेरी सेलफोन जारी किए। फिर, BYOD हुआ और आईटी युद्ध हार गया। जवाब में, साइबर सुरक्षा विक्रेताओं ने मोबाइल डिवाइस प्रबंधन (एमडीएम) और अन्य पेश किए समापन बिंदु सुरक्षा अपनी पसंद के एक उपकरण का उपयोग करने के लिए कर्मचारियों की इच्छा के साथ एक प्रबंधित आईटी पारिस्थितिकी तंत्र के लिए एक उद्यम की इच्छा को संतुलित करने के प्रयास में सॉफ्टवेयर।
इस बीच, विभागीय बजट को शामिल करने के लिए आईटी बजट को केंद्रीकृत आईटी से स्थानांतरित कर दिया गया। अपने स्वयं के बजट के साथ सशस्त्र, विभाग और व्यवसाय की लाइनें आखिरकार अपने स्वयं के तकनीक को खरीदने का औचित्य साबित कर सकती हैं, जो वे करते हैं, अक्सर आईटी की स्वीकृति या साइबर सुरक्षा मूल्यांकन के बिना। हालांकि यह सच है कि इसमें काम करने वाले लोगों की तुलना में कोई भी विभाग की जरूरतों को बेहतर ढंग से नहीं समझता है, जो गैर-प्रौद्योगिकीविदों को यह महसूस नहीं होता है कि उनकी तकनीकी खरीद आईटी, आईटी पारिस्थितिकी तंत्र, कंपनी की जोखिम प्रोफ़ाइल और सुरक्षा टीमों को कैसे प्रभावित कर सकती है। ।
साइबर सुरक्षा और आईटी को केवल विभागीय खरीद के बारे में सूचित नहीं किया जाना चाहिए, उन्हें खरीद से पहले लाया जाना चाहिए ताकि संभावित जोखिमों को शुरुआत से ही प्रबंधित किया जा सके। वास्तव में, कुछ आईटी विभागों ने कंपनी मार्केटप्लेस की स्थापना की है जहां कर्मचारी पूर्व-विकल्प विकल्पों में से चुन सकते हैं ताकि उपयोगकर्ताओं को पसंद के लिए वरीयता और संगठन के जोखिम प्रबंधन की आवश्यकता को संतुलित किया जा सके।
इसी तरह, कुछ साइबर सुरक्षा टीमें पूरे कारोबार में लोगों को उलझाने का एक बिंदु बनाती हैं, यह समझने के लिए कि वे क्या हासिल करने की कोशिश कर रहे हैं और जिस तकनीक के बारे में उन्हें लगता है कि उन्हें ऐसा करने की आवश्यकता होगी, इसलिए सुरक्षा टीम व्यापार उपयोगकर्ताओं को देने के लिए एक सुरक्षित तरीका पहचान सकती है वे चाहते हैं।
व्यापार + आईटी + सुरक्षा प्रक्रिया
आईटी और सुरक्षा को एक तकनीकी दृष्टिकोण से यह सुनिश्चित करने की आवश्यकता है कि उपकरण, सॉफ्टवेयर और उपकरण सुरक्षित हैं और कंपनी के कर्मचारी बुनियादी समझते हैं साइबर स्वच्छता। हालांकि, अधिक मौलिक रूप से, उन्हें जोखिम को कम करने वाली प्रक्रियाओं को स्थापित करने के लिए व्यवसाय के साथ काम करना चाहिए।
वहां प्राप्त करने के लिए ऐसी प्रक्रियाओं की आवश्यकता होती है जो सहकारी रूप से परिभाषित, पालन, संशोधित और अद्यतन की जाती हैं। इसके अलावा, प्रक्रियाओं को कर्मचारियों के बदलाव और एक ऑडिट का सामना करने के लिए प्रलेखित किया जाना चाहिए। अनुपालन और संकेतों को सुनिश्चित करने के लिए प्रक्रियाओं की निगरानी की जानी चाहिए कि प्रक्रियाओं को किसी तरह से बदलने की आवश्यकता है।
व्यवसाय, आईटी और सुरक्षा के बीच ऑर्केस्ट्रेट प्रक्रियाओं के लिए महत्वपूर्ण कारणों में से एक यह है कि यह आज के साइबरबैटैक्स, साइबरवारफेयर और साइबर आतंकवाद के वातावरण में बिल्कुल आवश्यक है। इसके अलावा, आज के उद्यम आपूर्तिकर्ताओं, वितरकों, पुनर्विक्रेताओं और ग्राहकों सहित तीसरे पक्षों से जुड़े हुए हैं। यह "विस्तारित उद्यम" मॉडल केवल अपने सबसे कमजोर लिंक के रूप में सुरक्षित है। परिणामस्वरूप, तीसरे पक्ष पर हमले का प्रतिकूल प्रभाव पड़ सकता है। इसके विपरीत, तृतीय पक्ष एक हमले का प्रक्षेपण बिंदु हो सकता है।
सभी जटिलता और संभावित जोखिमों को देखते हुए, उद्यमों को अपने जोखिम को निर्धारित करना चाहिए ताकि व्यवसाय, आईटी और सुरक्षा नीति और संचालन दृष्टिकोण से सिंक में काम कर सकें। कंपनियों को अपनी जोखिम की भूख, उन खतरों के बारे में स्पष्ट होने की आवश्यकता है, जो साइबर सुरक्षा घटनाएं विकसित हो रही हैं, और साइबर सुरक्षा घटना की लागत संख्या में परिलक्षित हो सकती है।
संगठनों को भी सफेद टोपी संलग्न करने में समझदारी है जो कमजोर धब्बों को पहचानने में मदद कर सकते हैं जो कि उनकी आंतरिक टीमों को याद किया गया है, जैसे कि पैठ परीक्षण और सामाजिक इंजीनियरिंग अभ्यास।
उदाहरण के लिए, एक साइबर सिक्योरिटी कंसल्टिंग फर्म ने एक क्लाइंट की पार्किंग में अंगूठे के ड्राइव को यह प्रदर्शित करने के लिए गिरा दिया कि किसी कर्मचारी को धोखा देना कितना आसान है, यहां तक कि वह जो साइबर स्वच्छता की आवश्यकता के बारे में अच्छी तरह से जानता है। इस संभावना को बढ़ाने के लिए कि व्यक्ति अपने कंप्यूटर में थंब ड्राइव डालेंगे, सलाहकारों ने उपकरणों की गोपनीय जानकारी जैसे "कर्मचारी वेतन" या "कार्यकारी वेतन" के साथ लेबल किया।
थर्ड पार्टी रिस्क मैनेजमेंट
विस्तारित उद्यम ने तीसरे पक्ष के जोखिम प्रबंधन (टीपीआरएम) समाधानों की आवश्यकता पैदा की। गार्टनर के अनुसार, 60% संगठनों में 1,000 या अधिक विक्रेता हैं और 80% कानूनी और अनुपालन नेताओं का कहना है कि उन्होंने तीसरे पक्ष के जोखिम के बाद तीसरे पक्ष के जोखिमों की खोज नहीं की थी.
2020 में Gartner मैजिक क्वाड्रंट फॉर IT वेंडर रिस्क मैनेजमेंट टूल्स, प्रचलित और ServiceNow को विज़नरी नाम दिया गया। लीडर्स में गैल्वनाइज, मेट्रिकस्ट्रीम, NAVEX ग्लोबल, वनट्रस्ट, प्रॉसेसिटी, RSA और SAI ग्लोबल शामिल हैं।
कुछ कंपनियां तीसरे पक्ष के जोखिमों को समझने और प्रबंधित करने में मदद के लिए पेशेवर सेवा फर्मों और साइबर सुरक्षा सलाहकारों की ओर रुख कर रही हैं। उदाहरण के लिए, EY चार TPRM सेवाओं का एक सेट प्रदान करता है। उनमें से एक सेवा के रूप में टीपीआरएम है।
आपूर्ति श्रृंखला जोखिम, एक अन्य तीसरे पक्ष का विषय, हाल ही में स्वेज नहर की घटना के बाद कुछ हद तक देखा जा रहा है जिसमें मालवाहक जहाज एवर गिविंग ने कीचड़ में फंसने से छह दिनों के लिए यातायात के प्रवाह को रोक दिया। घटना से वाणिज्य प्रभावित होने की उम्मीद है हफ्तों या महीनों के लिए। हालाँकि, सुरक्षा के दृष्टिकोण सेइस बात की चिंता है कि आतंकवादी समान नुकसान पहुंचा सकते हैंसंभावित रूप से एक बड़े पैमाने पर, स्वेज नहर और पनामा नहर जैसे संकीर्ण मार्गों को एक साथ भौतिक या साइबर साधनों के माध्यम से बंद करके।
Coinsmart। यूरोपा में बेस्टे बिटकॉइन-बोरसे
स्रोत: https://www.cshub.com/existent-decisions/articles/risk-management-strategy-fundamentals
