टीका
डिजिटल खतरों के जटिल परिदृश्य से निपटने के लिए साइबर सुरक्षा नेता लगातार उपकरणों और रणनीतियों की तलाश में रहते हैं। लेकिन डिजिटल परिसंपत्तियों की सुरक्षा के लिए लगातार जवाबदेह ठहराए जाने के बावजूद, मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) लंबे समय से अपने प्रबंधन शस्त्रागार में एक गंभीर कमी से जूझ रहे हैं: उनके पास अपने पूरे संचालन की निगरानी का अभाव है जो उन्हें सक्षम होने के साथ-साथ बड़ी तस्वीर को समझने की अनुमति देता है। जो महत्वपूर्ण है उस पर शीघ्रता से ज़ूम इन करने के लिए।
नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी के साइबर सुरक्षा फ्रेमवर्क का पहला संस्करण 2014 में राष्ट्रपति के कार्यकारी आदेश (ईओ 13636) के जवाब में विकसित किया गया था। महत्वपूर्ण बुनियादी ढांचे साइबर सुरक्षा में सुधार) का उद्देश्य महत्वपूर्ण बुनियादी ढांचा संगठनों को साइबर सुरक्षा जोखिम को कम करने में मदद करना है। आदेश में एनआईएसटी को मौजूदा मानकों, दिशानिर्देशों और प्रथाओं के आधार पर एक स्वैच्छिक ढांचा बनाने के लिए उद्योग और सरकारी हितधारकों के साथ काम करने का निर्देश दिया गया। साइबर सुरक्षा फ्रेमवर्क 2.0 अपने मौजूदा पांच बुनियादी कार्यों का विस्तार करता है (पहचान करना, रक्षा करना, पता लगाना, प्रतिक्रिया, तथा की वसूली) और नए शामिल फ़ंक्शन का वर्णन करता है, शासन करना.
सीआईएसओ का अभिन्न अंग
गवर्नन फ़ंक्शन की शुरूआत एक महत्वपूर्ण उद्योग स्वीकृति का प्रतीक है कि प्रभावी प्रबंधन सीआईएसओ भूमिका का एक अभिन्न अंग है। व्यावहारिक रूप से, गवर्न फ़ंक्शन सीआईएसओ के टूलकिट में एक महत्वपूर्ण अंतर को पाटता है, जिससे प्रबंधन के लिए अधिक व्यापक दृष्टिकोण की अनुमति मिलती है। पहले, सीआईएसओ को अपने डेस्क पर आने वाले प्रमुख प्रश्नों और चिंताओं को संबोधित करने में चुनौतियों का सामना करना पड़ता था, जिससे प्रभावी ढंग से प्रबंधन करने की उनकी क्षमता में कमी आ जाती थी। उनके पास यह जवाब देने का कोई तरीका नहीं था कि वे नीतियों को कितनी अच्छी तरह लागू कर रहे थे, क्या वे प्रगति कर रहे थे, या क्या उनके नवीनतम निवेश का समग्र प्रदर्शन पर महत्वपूर्ण प्रभाव पड़ा था।
उदाहरण के लिए, किसी विशिष्ट खतरे के विरुद्ध तत्परता का स्तर क्या है? आज, नीति प्रवर्तन और नियंत्रणों की सेहत की जांच अक्सर अफवाह से प्रेरित होती है कि कोई खतरा चल रहा है। यह एक प्रतिक्रियाशील दृष्टिकोण है जिसके परिणाम बहुत देर से आने की संभावना है। अधिक सक्रिय दृष्टिकोण का मतलब है कि सुरक्षा नेताओं के पास नियंत्रण और कार्यक्रमों की एक श्रृंखला के प्रदर्शन में निरंतर दृश्यता होती है और जैसे ही नीति का उल्लंघन होता है, वे आसानी से संकेत प्राप्त कर सकते हैं। आज, विभिन्न उत्पाद मालिकों से इन डेटा बिंदुओं को इकट्ठा करने की प्रक्रिया इतनी निराशाजनक है कि अधिकांश सीआईएसओ बस हार मान लेते हैं और इसके बिना रहते हैं। लेकिन निश्चिंत रहें कि जैसे ही कोई खतरा उनके दरवाजे पर दस्तक देगा, वे तुरंत इस डेटा का पीछा करेंगे। भले ही बहुत देर हो चुकी हो.
नए उत्पाद की खरीद की प्रक्रिया एक और उदाहरण है जहां प्रभावी प्रबंधन सीमित कर दिया गया है। उदाहरण के लिए, एक बार जब कोई सीआईएसओ एक नया कोड सुरक्षा उपकरण खरीदता है, तो उसके नामांकन की पुष्टि करने का कोई आसान तरीका नहीं है, जब तक कि वे टीम से रिपोर्ट जमा करने के लिए समय आवंटित करने के लिए न कहें। प्रदर्शन विभिन्न मापों का एक समूह है: क्या उपकरण ठीक से स्कैन करता है? क्या यह सभी प्रासंगिक परिवेशों को कवर करता है? क्या समाधान का औसत समय (MTTR) पर्याप्त है? क्या अधिकांश घटनाएं स्वचालित रूप से या मैन्युअल रूप से प्रबंधित की जाती हैं? क्या टीम को अनसुलझे चुनौतियों का सामना करना पड़ता है?
विचार करें कि कोड सुरक्षा केवल एक उपकरण है, क्षमताओं की एक विस्तृत श्रृंखला में से, केवल कमजोरियों की दुनिया के भीतर। इसे कई प्रोग्रामों में दर्जनों टूल और प्रश्नों से गुणा करें। एक ख़राब प्रबंधन प्रक्रिया में एक संगठन को दर्जनों महीने और घंटों का श्रम खर्च करना पड़ता है। यह आसानी से दोहराने योग्य या स्केलेबल नहीं है।
पारदर्शिता, दृश्यता के साथ अधिकारियों को सशक्त बनाना
परिचालन पहलुओं में दृश्यता की कमी का मतलब है कि सीआईएसओ अनिवार्य रूप से अंधेरे में प्रबंधन कर रहे हैं, जिससे सूचित निर्णय लेना और रणनीतिक योजना बनाना मुश्किल हो गया है। उनके पास कई उपकरण, कई गुप्त डेटा आख्यान और व्यापक आख्यान बताने के लिए एक साथ पहेली करने के लिए सभी टुकड़े बचे हैं।
एनआईएसटी सीएसएफ 2.0 में गवर्न फ़ंक्शन सीधे इन कमियों को संबोधित करता है, प्रभावी प्रबंधन के लिए एक रूपरेखा प्रदान करता है। सरकार को सीआईएसओ को उनकी प्रबंधन भूमिकाओं में सशक्त बनाने के लिए इसमें कई प्रमुख विशेषताओं को शामिल करना चाहिए।
सबसे पहले, पारदर्शिता सर्वोपरि होनी चाहिए, जिससे सीआईएसओ को नियंत्रणों के कार्यान्वयन की स्थिति में अंतर्दृष्टि प्राप्त करने और समग्र कहानी और प्रवृत्ति के रूप में उनके सुरक्षा उपायों द्वारा प्रदान की गई सुरक्षा के स्तर का आकलन करने की अनुमति मिल सके, न कि उपकरण दर उपकरण। उदाहरण के लिए, सीआईएसओ कार्यालय एक नई नीति को परिभाषित करता है कि बिना मल्टीफैक्टर प्रमाणीकरण (एमएफए) वाला उपयोगकर्ता जो लगातार फ़िशिंग प्रशिक्षण में विफल रहता है, उसे कॉर्पोरेट ईमेल से ब्लॉक कर दिया जाएगा। यह देखने के लिए कि क्या नीति लागू की जा रही है, सीआईएसओ को दो अलग-अलग टूल से निरंतर ट्रेंडिंग डेटा बिंदुओं की आवश्यकता होगी, और इन बिंदुओं को निरंतर आधार पर सहसंबद्ध करने की आवश्यकता होगी।
दूसरा, ज्ञान की इस परत को एक स्वचालित मेट्रिक्स प्रणाली द्वारा संचालित करने की आवश्यकता है, न कि स्प्रेडशीट पर आधारित। यह प्रणाली विभिन्न उपकरणों और विभिन्न कार्यक्रमों से जुड़ी विविध भाषाओं और मापों को पार कर जाएगी, और तकनीकी शब्दजाल में खोए बिना समग्र दृष्टिकोण सुनिश्चित करेगी।
तीसरा, जटिल सुरक्षा स्टैक को कार्यकारी बोर्डों द्वारा समझने योग्य शब्दों में अनुवाद करने के लिए एक सीधी विधि की आवश्यकता है। यह बजट बाधाओं के बीच चल रहे निवेशों को उचित ठहराने के लिए सीआईएसओ की बढ़ती आवश्यकता को संबोधित करता है।
अंत में, प्रदर्शन की वास्तविक समय और निरंतर निगरानी आवश्यक है, जिससे नीति प्रवर्तन रुझानों पर एक सतत दृष्टिकोण सक्षम हो सके और यह सुनिश्चित हो सके कि सीआईएसओ न केवल प्रतिक्रियाशील हैं बल्कि अपने साइबर सुरक्षा उपायों को प्रबंधित करने और बढ़ाने में सक्रिय हैं। स्प्रेडशीट समय के स्थिर क्षण हैं और क्रियाशील नहीं हैं। सीआईएसओ को सुव्यवस्थित और स्वचालित प्रबंधन की दिशा में एक बड़ी छलांग लगाने की जरूरत है, जैसे कि मंडे.कॉम ने परियोजना प्रबंधकों के लिए किया था।
संक्षेप में, गवर्नेंस फ़ंक्शन एक मान्यता है कि प्रभावी प्रबंधन केवल एक अपेक्षा नहीं है बल्कि सीआईएसओ के लिए एक आवश्यकता है। सीएसएफ 2.0 के साथ, सीआईएसओ एक नए प्रकार के ज्ञान और अंतर्दृष्टि के साथ अपने साइबर सुरक्षा संचालन को संचालित करने, प्रबंधित करने और मापने के लिए अपनी छठी इंद्रिय प्राप्त करते हैं, और अधिक कुशलता से, सक्रिय और सूचित नेतृत्व के एक नए युग की शुरुआत करते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function
