इन दिनों मुख्य सूचना सुरक्षा अधिकारियों (CISO) के लिए उच्च-प्राथमिकता वाली चिंताओं की सूची में, गोपनीयता एक तेजी से प्रमुख स्थिति पर कब्जा कर रही है।
संवेदनशील ग्राहक और हितधारक जानकारी को संभालने वाले व्यवसायों और अन्य संगठनों के लिए गोपनीयता हमेशा महत्वपूर्ण रही है, लेकिन गोपनीयता नियमों में हाल के बदलावों से सीआईएसओ पर अधिक जिम्मेदारी है, जिन्हें मांग पर उपलब्ध परिणामों को पूरा करते हुए पूरी तरह से जोखिम आकलन करने की आवश्यकता होती है। आकलन करने या सही कमियों का संचालन करने में विफलता महत्वपूर्ण जुर्माना लगा सकती है और, कुछ मामलों में, यहां तक कि जेल का समय भी।
CISOS को चुनौती को पूरा करने के लिए एक सक्रिय दृष्टिकोण लेने की आवश्यकता है, विशेष रूप से कमजोरियों और उच्च-प्राथमिकता वाले जोखिमों की पहचान करने के लिए तेजी से डेटा सुरक्षा आकलन करके-जिसमें तृतीय पक्षों को शामिल करना और डेटा, संगठन और उसके ग्राहकों की सुरक्षा के लिए mitigations को लागू करना शामिल है।
Neovera में सुरक्षा के उपाध्यक्ष।
राज्य नियामक जोखिम आकलन चाहते हैं – अब
कई राज्यों ने हाल ही में CISOS के लिए पूर्व को समाप्त कर दिया है, जिसमें विस्तृत जोखिम आकलन की आवश्यकता है जो अनुरोध पर उत्पादित किया जाना चाहिए। नई आवश्यकताओं को जोड़ने वाले राज्य के नियमों में कैलिफोर्निया गोपनीयता संरक्षण एजेंसी (CPPA) ड्राफ्ट नियम, टेक्सास डेटा गोपनीयता और सुरक्षा अधिनियम (TDPSA), वर्जीनिया उपभोक्ता डेटा संरक्षण अधिनियम (VCDPA), कोलोराडो गोपनीयता अधिनियम (CPA), और न्यूयॉर्क शील्ड अधिनियम शामिल हैं।
CISOS को इन नए नियमों के साथ एक ही पृष्ठ पर होना चाहिए, भले ही उनमें से सभी एक ही प्लेबुक का उपयोग न करें। जबकि वर्जीनिया और कोलोराडो, उदाहरण के लिए, आकलन के लिए स्पष्ट दिशानिर्देश निर्धारित करते हैं, कैलिफोर्निया के नियम अधिक अस्पष्ट हैं, विवरण की पेशकश के बिना आकलन की आवश्यकता है।
गोपनीयता नियंत्रण और नीतियों को लागू करने और दस्तावेज करने की जिम्मेदारी मुख्य रूप से CISO के कंधों पर आती है, जो यह सुनिश्चित करना चाहिए कि सूचना के प्रबंधन के लिए संगठन की प्रक्रियाएं गोपनीयता डेटा की सुरक्षा करती हैं और नियामक आवश्यकताओं को पूरा करती हैं। जोखिम का आकलन करना जो कमजोरियों की पहचान करते हैं और प्रदर्शित करते हैं कि उन्हें संबोधित किया जा रहा है, प्रक्रिया में एक महत्वपूर्ण कदम है, और भी अधिक अब यह कि वे जोखिम मूल्यांकन का उत्पादन करने के लिए तैयार होंगे जब भी नियामक निकाय उनसे अनुरोध करते हैं।
जैसे कि CISOS को एक अतिरिक्त प्रोत्साहन की आवश्यकता थी, राज्य और संघीय स्तर पर नियामक महंगे उल्लंघनों के मद्देनजर संगठन प्रबंधन, विशेष रूप से CISO को लक्षित करने की दिशा में ट्रेंड कर रहे हैं। परिणामों में संगठनों के लिए भारी जुर्माना और सबसे खराब स्थिति में, यहां तक कि सिसोस के लिए जेल की सजा भी शामिल है।
गोपनीयता सुरक्षा के लिए जिम्मेदारी भी तीसरे पक्ष के जोखिमों तक फैली हुई है। संगठन केवल तृतीय-पक्ष प्रदाताओं द्वारा किए गए वादों पर भरोसा नहीं कर सकते हैं क्योंकि नियामक और राज्य के वकील आम तौर पर एक ब्रीच के लिए जिम्मेदार एक संगठन को पकड़ सकते हैं, भले ही शोषण की गई भेद्यता एक प्रदाता से संबंधित हो। संगठनों को तृतीय-पक्ष जोखिम प्रबंधन के लिए एक रूपरेखा को लागू करने की आवश्यकता है जिसमें तीसरे पक्ष की सुरक्षा मुद्राओं पर उचित परिश्रम करना शामिल है।
तेजी से जोखिम आकलन सुरक्षा और अनुपालन दोनों को बढ़ावा देता है
टीमों को तेजी से आकलन करने में कई सर्वोत्तम प्रथाओं का पालन करना चाहिए।
स्वचालित स्कैनिंग उपकरण कमजोर या गैर-मौजूद प्रमाणीकरण प्रक्रियाओं, अनपचेड और/या पुराने सॉफ्टवेयर और हार्डवेयर, और नेटवर्क में गलतफहमी, जैसे कमजोरियों की एक श्रृंखला की पहचान कर सकते हैं। आंतरिक जोखिमों के आकलन को सामान्य बाहरी खतरों के विश्लेषण के साथ जोड़ा जा सकता है। सुरक्षा टीमें तब अपने खतरे के स्तर के आधार पर जोखिमों को प्राथमिकता दे सकती हैं और उपचार के लिए एक योजना स्थापित कर सकती हैं।
पैठ परीक्षण एक अन्य महत्वपूर्ण उपकरण के रूप में कार्य करता है जो सुरक्षा टीमों को उनके बुनियादी ढांचे के लिए संभावित खतरों का जल्दी से मूल्यांकन और आकलन करने में मदद कर सकता है। एक वास्तविक दुनिया के हमले का अनुकरण करके, यह दिखाने के लिए डिज़ाइन किया गया है कि कैसे एक संगठन के स्तरित नियंत्रणों ने एक हैकर के खिलाफ बचाव के लिए एक साथ काम किया (या काम नहीं किया)। नतीजतन, संगठनों को अपनी सुरक्षा मुद्रा और कमजोरियों की बेहतर समझ होती है जो बुरे अभिनेताओं को आकर्षित कर सकती हैं।
आज के खतरे के परिदृश्य में, परिष्कृत हमलों के निरंतर नशे के साथ, प्रक्रिया को कुशलता से करने की आवश्यकता है, जिससे तेजी से डेटा सुरक्षा का आकलन किसी भी जोखिम विश्लेषण ढांचे का एक अनिवार्य हिस्सा है। तेजी से आकलन टीमों को आगे के उपचार के लिए योजनाएं बिछाने के दौरान सबसे बड़ी जोखिमों को जल्दी से पहचानने, प्राथमिकता देने और हटाने में सक्षम बनाता है। यह उन्हें प्रत्येक मामले में उचित चरणों को निर्धारित करने की अनुमति देता है, जैसे कि क्या उन्हें एन्क्रिप्शन, एक्सेस कंट्रोल, घुसपैठ रोकथाम प्रणाली, फ़ायरवॉल या अन्य उपायों को लागू करने की आवश्यकता है।
उपचारात्मक लागू होने के बाद, टीमों को यह सत्यापित करने के लिए प्रभावित प्रणाली का परीक्षण करने की आवश्यकता है कि फिक्स ने पकड़ लिया है, और फिर यह सुनिश्चित करने के लिए व्यापक परीक्षण का संचालन किया है कि सिस्टम अपेक्षित रूप से काम कर रहे हैं।
अंतिम चरण के रूप में, संगठनों को प्रबंधित सेवाओं में एक अच्छी तरह से अनुभवी भागीदार को लागू करना चाहिए जो उनके सुरक्षा वातावरण को देख सकते हैं और होने वाली किसी भी कमजोरियों को दूर कर सकते हैं। छुट्टी पर कार्यालय से बाहर? साइबर क्रिमिनल थैंक्सगिविंग डिनर पर अपनी कमजोरियों का फायदा उठाने में संकोच नहीं करेंगे। सुरक्षा मुद्रा को बनाए रखने के लिए आज के विकसित और अशांत साइबर परिदृश्य में 24/7 समर्पण की आवश्यकता होती है, जहां प्रबंधित सेवा प्रदाता समर्थन की पेशकश कर सकते हैं।
नियमित रूप से तेजी से आकलन करना, जैसे कि हर छह महीने, महंगे और हानिकारक डेटा उल्लंघनों से बचाने के लिए अपने आप में एक अच्छा अभ्यास है, लेकिन यह तेजी से कड़े गोपनीयता नियमों का पालन करने में सक्षम होने के लिए भी अनिवार्य है। उनके द्वारा उठाए गए कदमों का दस्तावेजीकरण, साथ ही वे जो वे लेने की योजना बनाते हैं, वे सिसोस को जोखिम मूल्यांकन नियामकों को वितरित करने में सक्षम करेंगे।
निष्कर्ष
सुरक्षा एक कभी न खत्म होने वाली प्रक्रिया है, क्योंकि CISO अच्छी तरह से जागरूक हैं, लेकिन ऐसा अनुपालन है। जिस क्षेत्र में वे काम करते हैं, उसके आधार पर, व्यवसाय अनुपालन आवश्यकताओं की एक सरणी का सामना कर सकते हैं जो अक्सर बदल रहे हैं, जैसा कि हाल के अपडेट के मामले में राज्य गोपनीयता कानूनों के लिए। सभी में, 20 अमेरिकी राज्यों (अब तक) में गोपनीयता कानून हैं, और यद्यपि संघीय गोपनीयता कानून नहीं हैं, कई व्यवसायों को यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (GDPR) जैसे अंतरराष्ट्रीय कानूनों का पालन करना चाहिए यदि वे यूरोपीय संघ में व्यापार या निगरानी करते हैं।
सुरक्षा के लिए एक सक्रिय दृष्टिकोण जो एक मजबूत जोखिम प्रबंधन ढांचे के हिस्से के रूप में नियमित, दोहराने योग्य रैपिड डेटा सुरक्षा आकलन करने में स्वचालन का उपयोग करता है, सीआईएसओ को विकसित अनुपालन परिदृश्य के साथ तालमेल रखते हुए डेटा सुरक्षा को बढ़ाने में सक्षम करेगा।
हमने सर्वश्रेष्ठ ऑनलाइन साइबर सुरक्षा पाठ्यक्रम दिखाया है।
यह लेख TechRadarpro के विशेषज्ञ इनसाइट्स चैनल के हिस्से के रूप में निर्मित किया गया था, जहां हम आज प्रौद्योगिकी उद्योग में सबसे अच्छे और प्रतिभाशाली दिमागों की सुविधा देते हैं। यहां व्यक्त किए गए विचार लेखक के हैं और जरूरी नहीं कि TechRadarpro या भविष्य PLC के हों। यदि आप योगदान देने में रुचि रखते हैं तो यहां और अधिक जानकारी प्राप्त करें: https://www.techradar.com/news/submit-your-story-to-techradar-pro
Hello Readers! I am RAHUL KUMAR MAHTO RKM With 3 Year of Experience in Writing Content About Scholarship. With Masters in IT, I love to to write digital content about Government Scholarship Schemes, Private Scholarship Schemes.
