साइबर सुरक्षा जोखिम को बेहतर ढंग से प्रबंधित करने के लिए, तीसरे पक्ष के लिए शून्य-विश्वास सिद्धांतों का विस्तार करें – टेकक्रंच

 साइबर सुरक्षा जोखिम को बेहतर ढंग से प्रबंधित करने के लिए, तीसरे पक्ष के लिए शून्य-विश्वास सिद्धांतों का विस्तार करें – टेकक्रंच


GettyImages 1195574782 साइबर सुरक्षा जोखिम को बेहतर ढंग से प्रबंधित करने के लिए, तीसरे पक्ष के लिए शून्य-विश्वास सिद्धांतों का विस्तार करें – टेकक्रंच

आज का साइबर सुरक्षा परिदृश्य तीसरे पक्ष के हमले की लगातार बढ़ती सतह से निपटने के लिए एक चुस्त और डेटा-संचालित जोखिम प्रबंधन रणनीति की आवश्यकता होती है।

जब कोई व्यवसाय डेटा और नेटवर्क एक्सेस साझा करके सेवाओं को आउटसोर्स करता है, तो वह अपने विक्रेताओं से अपने लोगों, प्रक्रियाओं, प्रौद्योगिकी और उस विक्रेता के तीसरे पक्ष से साइबर जोखिम प्राप्त करता है। विशिष्ट उद्यम औसतन लगभग 5,900 तृतीय पक्षों के साथ काम करता है, जिसका अर्थ है कि कंपनियों को भारी मात्रा में जोखिम का सामना करना पड़ता है, भले ही वे अपने स्वयं के ठिकानों को कितनी अच्छी तरह कवर करते हों।

उदाहरण के लिए, ब्लैक काइट की एक रिपोर्ट के अनुसार, 81 व्यक्तिगत तृतीय-पक्ष घटनाओं ने पूरे 2021 में 200 से अधिक सार्वजनिक रूप से प्रकट उल्लंघनों और हजारों लहर-प्रभाव उल्लंघनों का नेतृत्व किया।

तीसरे पक्ष के जोखिम के प्रबंधन के लिए मौजूदा बाहरी दृष्टिकोण अपर्याप्त है। इसके बजाय, उद्योग को बाहरी आकलन से परे बातचीत शुरू करके एक नए तीसरे पक्ष के जोखिम प्रबंधन दृष्टिकोण की ओर बढ़ने की जरूरत है। विशेष रूप से, व्यवसायों को सभी विक्रेताओं के लिए शून्य-विश्वास सिद्धांत स्थापित करना चाहिए, बाहरी और आंतरिक परिसंपत्तियों में जोखिम का आकलन अंदरूनी आकलन के साथ करना चाहिए और वास्तविक समय में साइबर जोखिम को मापना चाहिए।

आंतरिक वातावरण के प्रबंधन के लिए “कभी विश्वास न करें, हमेशा सत्यापित करें” के शून्य-विश्वास सिद्धांत को व्यापक रूप से अपनाया गया है, और संगठनों को इस धारणा को तीसरे पक्ष के जोखिम प्रबंधन तक विस्तारित करना चाहिए।

इसका मुकाबला करने के लिए, उद्यमों को विक्रेताओं को अपने व्यवसाय के सबसेट के रूप में विचार करने की आवश्यकता है।

मंडरा रहा खतरा

एक उद्यम द्वारा अपने विक्रेताओं के साथ साझा किए जाने वाले डेटा और व्यवसाय-महत्वपूर्ण जानकारी की मात्रा चौंका देने वाली है। उदाहरण के लिए, एक कंपनी बौद्धिक संपदा को विनिर्माण भागीदारों के साथ साझा कर सकती है, बीमाकर्ताओं के साथ साझा करने के लिए क्लाउड सर्वर पर व्यक्तिगत स्वास्थ्य जानकारी (पीएचआई) स्टोर कर सकती है और मार्केटिंग एजेंसियों को ग्राहक डेटा और व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) तक पहुंच की अनुमति दे सकती है।

यह केवल हिमशैल का सिरा है, और अधिकांश व्यवसाय अक्सर नहीं जानते कि हिमशैल वास्तव में कितना बड़ा है। पोनमोन इंस्टीट्यूट द्वारा किए गए एक सर्वेक्षण में, सर्वेक्षण में शामिल 51% कंपनियों ने कहा कि वे गोपनीय जानकारी तक पहुंच की अनुमति देने से पहले तीसरे पक्ष के साइबर जोखिम की स्थिति का आकलन नहीं करती हैं। साथ ही, सर्वेक्षण में शामिल 63% कंपनियों ने कहा कि उनके पास इस बात की दृश्यता नहीं है कि विक्रेता किस डेटा और सिस्टम कॉन्फ़िगरेशन तक पहुंच सकते हैं, उनके पास इसकी पहुंच क्यों है, जिनके पास अनुमतियां हैं और डेटा कैसे संग्रहीत और साझा किया जाता है।

वास्तविक समय में जानकारी साझा करने वाले व्यवसायों के इस विशाल नेटवर्क के परिणामस्वरूप एक विशाल हमले की सतह होती है जिसे प्रबंधित करना कठिन होता जा रहा है। इस चुनौती को दूर करने के लिए, व्यवसाय अपनी तृतीय-पक्ष जोखिम प्रबंधन रणनीतियों में साइबर सुरक्षा पहल जैसे प्रश्नावली-आधारित ऑनबोर्डिंग सर्वेक्षण और सुरक्षा रेटिंग सेवाओं का उपयोग करते हैं।

जबकि इन उपकरणों के निश्चित उपयोग के मामले हैं, उनकी गंभीर सीमाएँ भी हैं।

साइबर सुरक्षा रेटिंग सेवाएं तीसरे पक्ष के जोखिम आकलन के लिए एक त्वरित और किफायती दृष्टिकोण है। उनकी सादगी – एक विक्रेता के साइबर जोखिम को एक स्कोर के रूप में प्रस्तुत करना, जैसे वित्तीय सेवाओं में क्रेडिट रेटिंग – उन्हें सीमाओं के बावजूद एक लोकप्रिय विकल्प बनाती है।



Credit

Avatar of Sareideas

Sareideas

Leave a Reply

Your email address will not be published.

%d bloggers like this: