आईटी सुरक्षा क्षेत्र में, हमें हर चीज़ का ध्यान रखना होगा। कोई भी मुद्दा, चाहे कितना भी छोटा क्यों न हो, रिमोट कोड निष्पादन का माध्यम बन सकता है या, कम से कम, धमकी देने वाले अभिनेताओं के लिए जमीन से दूर रहने और हमारे अपने उपकरणों को हमारे खिलाफ करने के लिए एक लैंडिंग बिंदु बन सकता है। यह आश्चर्य की बात नहीं है कि आईटी सुरक्षा कर्मचारी थकान और तनाव का सामना करते हैं। के अनुसार एंटरप्राइज़ रणनीति समूह द्वारा अनुसंधान और आईएसएसए, लगभग आधे आईटी सुरक्षा पेशेवर सोचते हैं कि वे अगले 12 महीनों में अपनी वर्तमान नौकरी छोड़ देंगे।
सुरक्षा दल पेशेवर रूप से जिम्मेदार हैं - और अब, मुख्य सूचना सुरक्षा अधिकारियों (सीआईएसओ) के लिए, व्यक्तिगत रूप से उत्तरदायी - उनके संगठनों की सुरक्षा के लिए. फिर भी आईटी और प्रौद्योगिकी के अन्य क्षेत्रों में, एक पूरी तरह से अलग मानसिकता है। मार्क जुकरबर्ग के मंत्र से "तेजी से आगे बढ़ें और चीजों को तोड़ें"एरिक रीज़ के माध्यम से' झुक स्टार्टअप और न्यूनतम व्यवहार्य उत्पाद (एमवीपी) मॉडल, इन क्षेत्रों में विचार तेजी से आगे बढ़ने के साथ-साथ पर्याप्त वितरण करने का भी है ताकि संगठन आगे बढ़ सके और सुधार कर सके।
अब, आईटी सुरक्षा टीमें इस मॉडल को स्वीकार नहीं कर सकतीं। विचार करने के लिए बहुत सारे नियम हैं। लेकिन हम न्यूनतम व्यवहार्य अनुपालन (एमवीसी) के बारे में मानसिक अभ्यास से क्या सीख सकते हैं, और हम अपने दृष्टिकोण में मदद के लिए उस जानकारी का उपयोग कैसे कर सकते हैं?
एमवीसी में क्या शामिल होगा?
एमवीसी में प्रभावी रूप से सुरक्षित होने के लिए जो आवश्यक है उसे कवर करना शामिल है। इसे प्राप्त करने के लिए, आपको यह समझना होगा कि आपके पास क्या है और सुरक्षित रखने के लिए क्या महत्वपूर्ण है, और आपको किन नियमों या विनियमों का प्रदर्शन करना होगा कि आप उनका अनुपालन कर रहे हैं।
परिसंपत्ति प्रबंधन के लिए, आदर्श रूप से आपको उन सभी संपत्तियों को जानना होगा जो आपने स्थापित की हैं। उस स्तर की निगरानी के बिना, आप स्वयं को सुरक्षित कैसे कह सकते हैं? एमवीसी दृष्टिकोण के लिए, क्या आपके पास जो कुछ है उसमें आपको 100% अंतर्दृष्टि की आवश्यकता होगी?
वास्तव में, कॉन्फ़िगरेशन प्रबंधन डेटाबेस (सीएमडीबी) जैसी परिसंपत्ति प्रबंधन परियोजनाओं का लक्ष्य प्रदान करना है आईटी परिसंपत्तियों में पूर्ण दृश्यता, लेकिन वे कभी भी 100% सटीक नहीं होते। अतीत में, संपत्ति की सटीकता 70% से 80% के आसपास रहती थी, और यहां तक कि आज की सबसे अच्छी तैनाती भी पूर्ण दृश्यता हासिल करने और उसे वहीं बनाए रखने में सक्षम नहीं है। तो, क्या हमें अपना एमवीसी बजट इस क्षेत्र पर खर्च करना चाहिए? हां, लेकिन बिल्कुल उस तरह से नहीं जैसा हम परंपरागत रूप से सोचते हैं।
एक डिप्टी सीआईएसओ ने मुझसे कहा कि वह पूर्ण कवरेज के आदर्श को समझते हैं, लेकिन यह संभव नहीं है; इसके बजाय, वह संगठन के महत्वपूर्ण बुनियादी ढांचे की पूर्ण और निरंतर दृश्यता की परवाह करता है - कुल संपत्ति का लगभग 2.5% - जबकि अन्य कार्यभार को यथासंभव बार-बार ट्रैक किया जाता था। इसलिए, जबकि आईटी सुरक्षा कार्यक्रमों के लिए दृश्यता अभी भी एक आवश्यक तत्व है, सबसे पहले सबसे अधिक जोखिम वाली संपत्तियों की सुरक्षा के लिए प्रयास किया जाना चाहिए। हालाँकि, यह एक अल्पकालिक लक्ष्य है, क्योंकि आप कम जोखिम वाली संपत्ति के उच्च जोखिम वाली संपत्ति बनने से केवल एक भेद्यता प्रकटीकरण दूर हैं। इस प्रक्रिया से गुजरते समय, सुरक्षा अनुपालन को भ्रमित न करें - वे एक ही चीज़ नहीं हैं। एक अनुपालनशील व्यवसाय सुरक्षित नहीं हो सकता है।
विनियमन योजना
एमवीसी के हिस्से के रूप में, हमें नियमों और उनका अनुपालन कैसे किया जाए, इसके बारे में सोचना होगा। सुरक्षा टीमों के लिए चुनौती यह है कि इन नियमों के बारे में आगे कैसे सोचा जाए। सामान्य दृष्टिकोण यह है कि कानून को लागू किया जाए, फिर देखें कि यह हमारे अनुप्रयोगों पर कहां लागू होता है, और फिर आवश्यकतानुसार सिस्टम में बदलाव करें। हालाँकि, यह एक बहुत ही स्टॉप-स्टार्ट दृष्टिकोण हो सकता है जिसमें परिवर्तन शामिल है - और इसलिए व्यय - हर बार जब कोई नया विनियमन लाया जाता है या कोई महत्वपूर्ण परिवर्तन होता है।
हम अपनी टीमों के लिए इस प्रक्रिया को कैसे आसान बना सकते हैं? प्रत्येक विनियम को अलग से देखने के बजाय, क्या हम यह देख सकते हैं कि लागू विनियमों में क्या समानता है, और फिर उन सभी के अनुपालन में आवश्यक कार्य की मात्रा को कम करने के लिए इसका उपयोग कर सकते हैं? सिस्टम को अनुपालन में लाने के लिए टीम को बड़े पैमाने पर अभ्यास करने के बजाय, हम या तो दायरे से बाहर ले सकते हैं या इसके बजाय सुरक्षित तरीके से बुनियादी ढांचा प्रदान करने के लिए सेवा के रूप में उपयोग कर सकते हैं? इसी तरह, क्या हम प्रत्येक मुद्दे को व्यक्तिगत रूप से देखने के बजाय समस्याओं के पूरे सेट को हटाने के लिए क्लाउड नियंत्रण जैसी सामान्य सर्वोत्तम प्रथाओं का उपयोग कर सकते हैं?
इस दृष्टिकोण के मूल में, हमें सुरक्षा से संबंधित ओवरहेड को कम करना होगा और इस बात पर ध्यान केंद्रित करना होगा कि हमारे व्यवसायों के लिए सबसे बड़ा जोखिम क्या है। विशिष्ट प्रौद्योगिकियों के बारे में सोचने के बजाय, हम इन समस्याओं को प्रक्रियाओं और लोगों के मुद्दों के रूप में जांच सकते हैं, क्योंकि बाजार के बढ़ने के साथ-साथ नियम हमेशा विकसित और बदलते रहेंगे। इस मानसिकता को अपनाने से सुरक्षा योजना बनाना आसान हो जाता है, क्योंकि यह कुछ ऐसे विवरणों में नहीं फंसता है जो हमारी टीमों को परेशान कर सकते हैं जब प्रक्रियाएं सीवीई और खतरे के डेटा को देखने के बजाय व्यावहारिक जोखिम के संदर्भ में बनाई गई हैं जो वास्तव में एक मुद्दा है।
बाज़ार की माँगों को पूरा करने या नियमों का एक सेट पारित करने के लिए आवश्यक न्यूनतम कार्य करने का विचार अंकित मूल्य पर आकर्षक हो सकता है। लेकिन एमवीपी की मानसिकता केवल एक विशिष्ट स्तर तक पहुंचना और फिर वहीं बस जाना नहीं है। इसके बजाय, यह उस न्यूनतम मानक तक पहुंचने और फिर स्थिति को और बेहतर बनाने के लिए जितनी जल्दी हो सके पुनरावृत्ति करने के बारे में है। सुरक्षा टीमों के लिए, निरंतर सुधार और जोखिम को कम करने के तरीकों की तलाश करने की यह मानसिकता पारंपरिक आईटी सुरक्षा मॉडल का एक उपयोगी विकल्प हो सकती है। इस बात पर ध्यान केंद्रित करके कि कौन से सुधार कम से कम समय सीमा में सबसे अधिक जोखिम प्रभाव डालेंगे, आप अपनी प्रभावशीलता बढ़ा सकते हैं और सामान्य रूप से जोखिम कम कर सकते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why
