گورننس اور تعمیل سے بالاتر: آئی ٹی سیکیورٹی رسک کیوں اہمیت رکھتا ہے

مصنف: Eugene Taylor
تخلیق کی تاریخ: 7 اگست 2021
تازہ کاری کی تاریخ: 10 مئی 2024
Anonim
کمپلائنس رسک اور کمپلائنس رسک مینجمنٹ (تعمیل اور رسک کمپلائنس مینجمنٹ)
ویڈیو: کمپلائنس رسک اور کمپلائنس رسک مینجمنٹ (تعمیل اور رسک کمپلائنس مینجمنٹ)

مواد


ٹیکا وے:

حکمرانی اور تعمیل کے ضوابط میں مسلسل بدلاؤ اور زیادہ پیچیدہ اضافے کے ساتھ ، کاروبار کو برقرار رکھنا مشکل ہوسکتا ہے ، لیکن سیکیورٹی کے چند اہم عناصر جو مدد کرسکتے ہیں۔

مشروم سازی کی صنعت اور حکومتی مینڈیٹ جو آئی ٹی سیکیورٹی کو کنٹرول کرتے ہیں ان کی وجہ سے انتہائی منظم ماحول اور سالانہ تعمیل فائر مشقیں ہو رہی ہیں۔ اوسط تنظیموں پر اثر انداز ہونے والے قواعد و ضوابط کی تعداد آسانی سے ایک درجن یا اس سے زیادہ ہوسکتی ہے ، اور دن بدن زیادہ پیچیدہ ہوسکتی ہے۔ یہ زیادہ تر کمپنیوں کو اپنی ترجیحات کی لمبی لمبی فہرست میں اعلی حکمرانی اور تعمیل کی کوششوں کے لئے بہت زیادہ وسائل مختص کرنے پر مجبور کررہا ہے۔ کیا ان کوششوں کی ضمانت ہے؟ یا محض سیکیورٹی پر عمل پیرا ہونے کے ذریعہ چیک باکس کی ضرورت ہے۔

تلخ حقیقت یہ ہے کہ آپ آڈٹ شیڈول کرسکتے ہیں ، لیکن آپ سائبرٹیک کو شیڈول نہیں کرسکتے ہیں۔ تقریبا ہر دن ، جب ہم خلاف ورزیوں کی خبریں بناتے ہیں تو ہمیں اس حقیقت کی یاد دلاتے ہیں۔ اس کے نتیجے میں ، بہت ساری تنظیموں نے یہ نتیجہ اخذ کیا ہے کہ ان کے خطرے کی کرن کی روشنی میں بصیرت حاصل کرنے کے ل they ، انہیں تعمیل کے آسان تخمینے سے بھی آگے بڑھنا چاہئے۔ اس کے نتیجے میں ، وہ خطرات اور خطرات کے ساتھ ساتھ کاروباری اثرات کو بھی مدنظر رکھتے ہیں۔ ان تینوں عوامل کا صرف ایک مجموعہ ہی خطرے کے ایک جامع نظریہ کی یقین دہانی کراتا ہے۔

تعمیل کا نقص

وہ تنظیمیں جو ایک چیک باکس پر عمل پیرا ہوتی ہیں ، رسک مینجمنٹ کے لئے تعمیل پر مبنی نقطہ نظر صرف وقتی وقت پر سیکیورٹی حاصل کرتی ہیں۔ اس کی وجہ یہ ہے کہ کسی کمپنی کی سیکیورٹی کرنسی متحرک ہوتی ہے اور وقت کے ساتھ ساتھ تبدیل ہوتی رہتی ہے۔ یہ بار بار ثابت ہوا ہے۔

حال ہی میں ، ترقی پسند تنظیموں نے سلامتی کے لئے زیادہ فعال ، رسک پر مبنی نقطہ نظر کو اپنانا شروع کیا ہے۔ رسک پر مبنی ماڈل کا مقصد کسی تنظیم کے آئی ٹی سیکیورٹی آپریشنز کی کارکردگی کو زیادہ سے زیادہ بنانا اور رسک اور تعمیل کرنسی میں مرئیت فراہم کرنا ہے۔ آخری مقصد تعمیل میں رہنا ، خطرہ کم کرنا اور مستقل بنیادوں پر سیکیورٹی سخت کرنا ہے۔

متعدد عوامل تنظیموں کو خطرے پر مبنی ماڈل کی طرف بڑھنے کا باعث بن رہے ہیں۔ ان میں شامل ہیں ، لیکن ان تک محدود نہیں ہیں:
  • 2002 کا فیڈرل انفارمیشن سیکیورٹی مینجمنٹ ایکٹ (FISMA)
  • فیڈرل رسک اینڈ اتھارائزیشن منیجمنٹ پروگرام (فیڈ آر اے ایم پی)
  • سیکیورٹیز اینڈ ایکسچینج کمیشن (ایس ای سی) سائبر گائیڈنس
  • ابھرتی ہوئی سائبر قانون سازی (جیسے سائبر انٹلیجنس شیئرنگ اینڈ پروٹیکشن ایکٹ)
  • سائبر سیکیورٹی سے متعلق صدارتی ایگزیکٹو آرڈر
  • سائبر کرائم کے بارے میں کونسل آف یورپ کنونشن
  • کنٹرولر آف کرنسی (او سی سی) کے دفتر کے ذریعہ نگران رہنمائی

بچاؤ کو سیکیورٹی؟

عام طور پر یہ خیال کیا جاتا ہے کہ کمزوری کے انتظام سے ڈیٹا کی خلاف ورزی کا خطرہ کم ہوجاتا ہے۔ تاہم ، خطرات کو اپنے ساتھ منسلک خطرات کے بغیر ، تنظیمیں اکثر اپنے تدارک کے وسائل کو غلط سمجھتی ہیں۔ اکثر وہ "انتہائی کم پائے جانے والے پھل" کو خطاب کرتے ہوئے انتہائی خطرناک خطرات کو نظر انداز کرتے ہیں۔

یہ نہ صرف پیسہ ضائع کرنا ہے ، بلکہ یہ ہیکرز کے لئے بھی خطرات سے دوچار ہونے کے مواقع کی ایک لمبی ونڈو تشکیل دیتا ہے۔ حتمی مقصد یہ ہے کہ ونڈو پر حملہ کرنے والوں کو سافٹ ویئر کی خرابی کا استحصال کرنا پڑے۔ لہذا ، خطرے ، انتظامیہ ، تنظیم کی تعمیل کرنسی اور کاروباری اثرات جیسے عوامل پر غور کرنے والے ، سلامتی کے لئے ایک جامع ، رسک پر مبنی نقطہ نظر کے ذریعہ خطرے سے متعلق انتظام کو پورا کرنا ضروری ہے۔ اگر خطرہ خطرے سے دوچار نہیں ہوسکتا ہے تو ، اس سے منسلک خطرہ یا تو کم یا ختم ہوجاتا ہے۔

واحد سچ کے طور پر خطرہ

کسی تنظیم کی تعمیل کرنسی معاوضہ والے کنٹرولوں کی نشاندہی کرکے آئی ٹی سیکیورٹی میں ایک لازمی کردار ادا کرسکتی ہے جو خطرات کو اپنے ہدف تک پہنچنے سے روکنے کے ل. استعمال کی جاسکتی ہے۔ 2013 کے ویریزون ڈیٹا بریک انویسٹی گیشن رپورٹ کے مطابق ، خلاف ورزی کی تحقیقات سے حاصل کردہ اعداد و شمار کا تجزیہ جو ویریزون اور دیگر تنظیموں نے پچھلے سال کے دوران انجام دیا ہے ، 97 فیصد سکیورٹی واقعات سادہ یا درمیانی درمیانی کنٹرول کے ذریعہ قابل دلا تھے۔ تاہم ، حقیقی خطرے کے تعین کے لئے کاروباری اثرات ایک اہم عنصر ہیں۔ مثال کے طور پر ، خطرات جو کاروباری اثاثوں کو خطرے میں ڈالتے ہیں وہ ان خطرات سے کہیں زیادہ خطرے کی نمائندگی کرتے ہیں جو ان سے کم اہم اہداف سے وابستہ ہیں۔

تعمیل کرنسی عام طور پر اثاثوں کی کاروباری تنقید سے منسلک نہیں ہوتی ہے۔ اس کے بجائے ، معاوضے کے کنٹرول عام طور پر لاگو ہوتے ہیں اور اسی کے مطابق تجربہ کیا جاتا ہے۔ کاروباری تنقید کی واضح تفہیم کے بغیر جو ایک اثاثہ کسی تنظیم کی نمائندگی کرتا ہے ، ایک تنظیم تدارک کی کوششوں کو ترجیح دینے سے قاصر ہے۔ ایک رسک پر مبنی نقطہ نظر آپریشنل کارکردگی بڑھانے ، تشخیص کی درستگی کو بہتر بنانے ، حملے کی سطحوں کو کم کرنے اور سرمایہ کاری کے فیصلے سازی کو بہتر بنانے کے لئے حفاظتی کرنسی اور کاروباری اثرات دونوں پر توجہ دیتا ہے۔

جیسا کہ پہلے ذکر کیا گیا ہے ، خطرہ تین اہم عوامل سے متاثر ہوتا ہے: تعمیل کی کرنسی ، خطرات اور خطرات اور کاروباری اثرات۔ اس کے نتیجے میں ، یہ ضروری ہے کہ کاروباری کارروائیوں پر اثرات کا حساب لگانے اور تدارک کی کارروائیوں کو ترجیح دینے کے ل current ، موجودہ ، نئی اور ابھرتی ہوئی خطرے سے متعلق معلومات کے ساتھ خطرہ اور تعمیل والے اشارے کے بارے میں تنقیدی ذہانت کو جمع کرنا ضروری ہے۔

خطرہ کے ایک ہولیسک نظریہ کے تین عناصر

سلامتی کے لئے خطرہ پر مبنی نقطہ نظر کو نافذ کرنے کے لئے تین اہم اجزاء ہیں:
  • مستقل تعمیل میں اثاثوں کا مفاہمت اور ڈیٹا کی درجہ بندی کا آٹومیشن ، تکنیکی کنٹرول کی سیدھ ، تعمیل جانچ کی آٹومیشن ، تشخیص سروے کی تعیناتی ، اور ڈیٹا کوسولیٹیشن کی آٹومیشن شامل ہیں۔ مسلسل تعمیل کے ساتھ ، تنظیمیں ڈیٹا اکٹھا کرنے اور ڈیٹا تجزیہ میں درستگی بڑھانے کے ل control مشترکہ کنٹرول فریم ورک کا استعمال کرکے اوور لیپ کو کم کرسکتی ہیں ، اور بے کار ، نیز دستی ، مشقت کی کوششوں کو 75 فیصد تک کم کرسکتی ہیں۔

  • مستقل نگرانی سے اعداد و شمار کی تشخیص کی بڑھتی ہوئی تعدد کا مطلب ہے اور سیکیورٹی انفارمیشن اور ایونٹ مینجمنٹ (ایس ای ای ایم) ، اثاثہ جات کے انتظام ، خطرے سے متعلق فیڈز اور خطرے سے متعلق اسکینرز جیسے متعدد ذرائع سے ڈیٹا کو اکٹھا کرکے معمول پر لانا اور سیکیورٹی ڈیٹا آٹومیشن کی ضرورت ہوتی ہے۔ اس کے نتیجے میں ، تنظیمیں حل کو یکجا کرنے ، عمل کو ہموار کرنے ، بروقت کارآمد اور خطرات کو بے نقاب کرنے کے لئے حالات کی آگاہی پیدا کرنے اور تاریخی رجحان کے اعداد و شمار کو اکٹھا کرکے قیمتوں کو کم کرسکتی ہیں ، جو پیش گوئی کرنے والی سلامتی میں مدد فراہم کرسکتی ہیں۔

  • کاروباری اکائیوں کے اندر کاروباری اکائیوں کے اندر ، بند خط ، خطرہ پر مبنی تدارک سے متعلق موضوعات کے ماہرین خطرے کی فہرست اور رسک رواداری کی وضاحت کرنے کے ل.۔ اس عمل میں کاروبار کی تنقید کی وضاحت ، رسک پر مبنی ترجیح کو قابل بنانے کے لئے مستقل اسکورنگ ، اور بند لوپ سے باخبر رہنے اور پیمائش کرنے کے لئے اثاثوں کی درجہ بندی کرنا ہے۔ موجودہ اثاثوں ، افراد ، عمل ، ممکنہ خطرات اور ممکنہ خطرات کی ایک مستقل جائزہ لوپ کو قائم کرنے سے ، تنظیمیں آپریشنل کارکردگی کو ڈرامائی انداز میں بڑھا سکتی ہیں ، جبکہ کاروبار ، سیکیورٹی اور آئی ٹی کارروائیوں میں باہمی تعاون کو بہتر بناسکتی ہیں۔ اس سے سیکیورٹی کی کوششوں کو قابل بناتا ہے - جیسا کہ وقتا فوقتا ریزولوشن ، سیکیورٹی آپریشنز کے اہلکاروں میں سرمایہ کاری ، اضافی حفاظتی ٹولوں کی خریداری - ناپنے اور ٹھوس ہونے کی۔

نیچے خطرہ خطرہ اور تعمیل

تعمیل نامہ کبھی بھی آئی ٹی سیکیورٹی بس کو چلانے کے لئے تیار نہیں کیا گیا تھا۔ انہیں ایک متحرک حفاظتی فریم ورک کے اندر ایک معاون کردار ادا کرنا چاہئے جو خطرے کی تشخیص ، مستقل نگرانی اور بند لوپ سے متعلق اصلاح کے ذریعہ چلتا ہے۔