तीसरे पक्ष के जोखिम को कम करने के लिए सहयोगात्मक, गहन दृष्टिकोण की आवश्यकता है

टीका

साइबर अपराधियों की बढ़ती उन्नत रणनीति के साथ-साथ आने वाले नियमों पर विचार करते समय तीसरे पक्ष के जोखिम को कम करना कठिन लग सकता है। हालाँकि, अधिकांश संगठनों के पास जितना वे सोचते हैं उससे कहीं अधिक एजेंसी और लचीलापन है। तृतीय-पक्ष जोखिम प्रबंधन मौजूदा जोखिम प्रशासन प्रथाओं और सुरक्षा नियंत्रणों के शीर्ष पर बनाया जा सकता है जो वर्तमान में कंपनी में लागू हैं। इस मॉडल के बारे में आश्वस्त करने वाली बात यह है कि इसका मतलब है कि संगठनों को तीसरे पक्ष के जोखिम को सफलतापूर्वक कम करने के लिए अपनी मौजूदा सुरक्षा को पूरी तरह से खत्म करने की ज़रूरत नहीं है - और यह क्रमिक, निरंतर सुधार की संस्कृति को प्रोत्साहित करता है। 

तृतीय-पक्ष जोखिम संगठनों के लिए एक अनोखी चुनौती प्रस्तुत करता है। सतही तौर पर, कोई तीसरा पक्ष भरोसेमंद दिखाई दे सकता है। लेकिन उस तृतीय-पक्ष विक्रेता की आंतरिक कार्यप्रणाली में पूर्ण पारदर्शिता के बिना, कोई संगठन यह कैसे सुनिश्चित कर सकता है कि उसे सौंपा गया डेटा सुरक्षित है?

अक्सर, संगठन अपने तीसरे पक्ष के विक्रेताओं के साथ लंबे समय से चले आ रहे संबंधों के कारण इस जरूरी सवाल को नजरअंदाज कर देते हैं। चूँकि उन्होंने 15 वर्षों तक एक तृतीय-पक्ष विक्रेता के साथ काम किया है, इसलिए उन्हें "छिपाकर देखने" के लिए कहकर अपने रिश्ते को ख़तरे में डालने का कोई कारण नज़र नहीं आएगा। हालाँकि, इस तरह की सोच खतरनाक है - एक साइबर घटना तब हो सकती है जब या जहां इसकी सबसे कम उम्मीद हो।

एक बदलता परिदृश्य

जब कोई डेटा उल्लंघन होता है, तो न केवल संगठन पर एक इकाई के रूप में जुर्माना लगाया जा सकता है, बल्कि व्यक्तिगत परिणाम भी जारी किए जा सकते हैं। पिछले साल, FDIC ने तीसरे पक्ष के जोखिम पर अपने दिशानिर्देश कड़े कर दिए हैं, अन्य उद्योगों के लिए भी इसका अनुसरण करने के लिए मंच तैयार करना। कृत्रिम बुद्धिमत्ता जैसी नई प्रौद्योगिकियों के उद्भव के साथ, किसी तीसरे पक्ष द्वारा डेटा के गलत प्रबंधन के परिणाम गंभीर हो सकते हैं। आने वाले नियम उन लोगों पर कठोर दंड जारी करके इन गंभीर परिणामों को प्रतिबिंबित करेंगे जिन्होंने मजबूत नियंत्रण विकसित नहीं किया है।

नए नियमों के अलावा, चौथे और यहां तक ​​कि पांचवें पक्ष के विक्रेताओं के उद्भव से संगठनों को अपने बाहरी डेटा को सुरक्षित करने के लिए प्रोत्साहित किया जाना चाहिए। सॉफ़्टवेयर वह सरल, आंतरिक अभ्यास नहीं है जो 10 साल पहले था - आज, डेटा कई हाथों से होकर गुजरता है, और डेटा श्रृंखला में प्रत्येक जोड़े गए लिंक के साथ, सुरक्षा खतरे बढ़ जाते हैं जबकि निगरानी अधिक कठिन हो जाती है। उदाहरण के लिए, किसी तृतीय-पक्ष विक्रेता पर उचित परिश्रम करने से कोई लाभ नहीं होता है यदि सत्यापित तृतीय पक्ष निजी ग्राहक डेटा को किसी लापरवाह चौथे पक्ष को आउटसोर्स करता है और संगठन इससे अनजान है।

पाँच सरल आउट-ऑफ़-द-बॉक्स चरण

सही रोडमैप के साथ, संगठन तीसरे पक्ष के जोखिम को सफलतापूर्वक कम कर सकता है. इससे भी बेहतर, महंगा और विघटनकारी तकनीकी निवेश हमेशा आवश्यक नहीं होता है। आरंभ करने के लिए, उचित परिश्रम करते समय संगठनों को एक समझदार योजना, खरीदने के इच्छुक सक्षम कर्मियों और आईटी, सुरक्षा और व्यावसायिक टीमों के बीच बढ़े हुए संचार की आवश्यकता होती है।

पहला कदम विक्रेता परिदृश्य को पूरी तरह से समझना है। हालांकि यह स्पष्ट लग सकता है, कई संगठन, विशेष रूप से आउटसोर्स बजट वाली बड़ी कंपनियां, इस महत्वपूर्ण कदम की उपेक्षा करती हैं। हालाँकि जल्दबाजी में तृतीय-पक्ष विक्रेता संबंध स्थापित करने से अल्पावधि में पैसे की बचत हो सकती है, लेकिन यदि डेटा उल्लंघन होता है और संगठन को भारी जुर्माने का सामना करना पड़ता है, तो वे सभी बचत समाप्त हो जाएंगी।

विक्रेता परिदृश्य पर शोध करने के बाद, संगठनों को यह निर्धारित करना चाहिए कि कौन सी तृतीय-पक्ष भूमिकाएँ "महत्वपूर्ण" हैं - ये भूमिकाएँ परिचालन रूप से महत्वपूर्ण हो सकती हैं या संवेदनशील डेटा को संसाधित कर सकती हैं। गंभीरता के आधार पर, विक्रेताओं को स्तरों के आधार पर समूहीकृत किया जाना चाहिए, जो संगठन द्वारा विक्रेता का मूल्यांकन, समीक्षा और प्रबंधन करने के तरीके में लचीलेपन की अनुमति देता है।

विक्रेताओं को उनकी गंभीरता के आधार पर क्रमबद्ध करने से संगठनों की उनके तीसरे पक्ष के विक्रेताओं पर अत्यधिक निर्भरता पर प्रकाश पड़ सकता है। इन संगठनों को स्वयं से पूछना चाहिए: यदि यह संबंध अचानक समाप्त हो जाए, तो क्या हमारे पास कोई बैकअप योजना है? दैनिक कार्यों को निर्बाध रूप से जारी रखते हुए हम इस फ़ंक्शन को कैसे प्रतिस्थापित करेंगे?

तीसरा कदम शासन के लिए एक योजना विकसित करना है। उचित परिश्रम को प्रभावी ढंग से करने और जोखिम का प्रबंधन करने के लिए संगठन की तीन मुख्य शाखाओं के बीच तालमेल होना चाहिए - सुरक्षा टीम विक्रेता के सुरक्षा कार्यक्रम में खामियों पर प्रकाश डालती है, कानूनी टीम कानूनी जोखिम का निर्धारण करती है, और व्यावसायिक टीम नकारात्मक कैस्केडिंग की भविष्यवाणी करती है। यदि डेटा या संचालन से समझौता किया जाता है तो संचालन पर प्रभाव। ठोस प्रशासन बनाने की कुंजी किसी संगठन की विशिष्ट आवश्यकताओं के अनुरूप योजना को तैयार करना है। यह विशेष रूप से कम विनियमित उद्योगों के संगठनों पर लागू होता है।

शासन के कदम में संविदात्मक दायित्वों का मसौदा तैयार करना शामिल है। उदाहरण के लिए, अक्सर क्लाउड कंप्यूटिंग में, बिजनेस लीडर गलती से एक अनुबंध पर हस्ताक्षर करने में जल्दबाजी करेंगे, बिना यह समझे कि कुछ सुरक्षा उपाय बेसलाइन पैकेज में शामिल हो भी सकते हैं और नहीं भी। संविदात्मक दायित्व अक्सर उद्योग पर निर्भर होते हैं, लेकिन एक मानकीकृत सुरक्षा खंड भी विकसित किया जाना चाहिए। उदाहरण के लिए, यदि हम किसी डिलीवरी कंपनी का मूल्यांकन कर रहे हैं, तो विक्रेता की सॉफ़्टवेयर विकास जीवनचक्र (एसडीएलसी) प्रक्रिया पर कम ध्यान दिया जा सकता है और उनके लचीलेपन के उपायों पर अधिक ध्यान दिया जा सकता है। हालाँकि, यदि हम एक सॉफ्टवेयर कंपनी का मूल्यांकन कर रहे हैं, तो हम विक्रेता की एसडीएलसी प्रक्रियाओं पर ध्यान केंद्रित करना चाहेंगे, जैसे कि कोड की समीक्षा कैसे की जाती है और उत्पादन को आगे बढ़ाने के लिए सुरक्षा उपाय क्या दिखते हैं। 

अंततः, संगठनों को एक निकास रणनीति विकसित करने की आवश्यकता है। यह सुनिश्चित करते हुए कि उनके ग्राहक डेटा की जांच की जाती है, कोई संगठन किसी तीसरे पक्ष से कैसे स्पष्ट रूप से अलग हो जाता है? ऐसे मामले सामने आए हैं, जहां कोई कंपनी किसी विक्रेता के साथ संबंध तोड़ देती है, लेकिन कई साल बाद उन्हें कॉल आती है, जिसमें उन्हें बताया जाता है कि उनके पूर्व पार्टनर को डेटा से समझौता करना पड़ा था और उनके क्लाइंट का डेटा उजागर हो गया था - इस धारणा के बावजूद कि यह डेटा मिटा दिया गया था। कहानी का सार: मान मत लो. आकस्मिक डेटा उल्लंघन के अलावा, यह भी संभावना है कि तृतीय-पक्ष विक्रेता आंतरिक विकास के लिए पूर्व भागीदार के डेटा का उपयोग करेंगे, जैसे कि मशीन लर्निंग मॉडल बनाने के लिए उस डेटा का उपयोग करना। संगठनों को स्पष्ट, विशिष्ट और कानूनी रूप से बाध्यकारी शब्दों में यह बताकर इसे रोकना चाहिए कि साझेदारी समाप्त होने की स्थिति में विक्रेता डेटा कैसे मिटाएंगे, और यदि वे ऐसा नहीं करते हैं तो इसके परिणाम क्या होंगे।

साझा जिम्मेदारी और निरंतर सुधार की संस्कृति बनाएं 

उचित परिश्रम करने के लिए एक टीम दृष्टिकोण अपनाने का मतलब है कि मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) को किसी तीसरे पक्ष के विक्रेता को जोखिम से मुक्त करने की जिम्मेदारी पूरी तरह से नहीं निभानी होगी। सोलरविंड्स के खिलाफ एसईसी के आरोप एक चिंताजनक मिसाल कायम करें - एक सीआईएसओ पतन का सामना कर सकता है, भले ही समस्या संगठनव्यापी शिथिलता से उत्पन्न हो। यदि आईटी और बिजनेस टीमें तीसरे पक्ष के विक्रेताओं की जांच में सीआईएसओ का समर्थन करती हैं, तो यह भविष्य में क्रॉस-टीम सहयोग के लिए मंच तैयार करता है, संगठन की खरीद को बढ़ावा देता है और सुरक्षा के मामले में बेहतर परिणाम देता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach