सीआईएसओ कॉर्नर: सीआईओ कन्वर्जेंस, 10 महत्वपूर्ण सुरक्षा मेट्रिक्स, और इवंती फॉलआउट

सीआईएसओ कॉर्नर में आपका स्वागत है, डार्क रीडिंग का साप्ताहिक लेख विशेष रूप से सुरक्षा संचालन पाठकों और सुरक्षा नेताओं के लिए तैयार किया गया है। हर हफ्ते, हम अपने समाचार ऑपरेशन, द एज, डीआर टेक्नोलॉजी, डीआर ग्लोबल और हमारे कमेंटरी अनुभाग से प्राप्त लेख पेश करेंगे। हम सभी आकार और साइज़ के संगठनों के नेताओं के लिए साइबर सुरक्षा रणनीतियों के संचालन के काम में सहायता के लिए विविध दृष्टिकोण लाने के लिए प्रतिबद्ध हैं।

इस मुद्दे में:

10 सुरक्षा मेट्रिक्स श्रेणियां सीआईएसओ को बोर्ड को प्रस्तुत करनी चाहिए

एरिका चिकोव्स्की द्वारा, योगदानकर्ता लेखिका, डार्क रीडिंग

निदेशक मंडल को सुरक्षा कार्यक्रम के सूक्ष्म तकनीकी विवरणों की कोई परवाह नहीं है। वे देखना चाहते हैं कि प्रमुख प्रदर्शन संकेतकों को कैसे ट्रैक और उपयोग किया जाता है।

उसके साथ साइबर सुरक्षा से संबंधित अमेरिकी प्रतिभूति और विनिमय आयोग के नए नियम अब, सुरक्षा टीमों को इस बात पर अधिक सख्ती लाने की आवश्यकता है कि वे प्रमुख प्रदर्शन संकेतक (केपीआई) और प्रमुख जोखिम संकेतक (केआरआई) को कैसे ट्रैक करते हैं - और वे बोर्ड को सलाह देने और रिपोर्ट करने के लिए उन मैट्रिक्स का उपयोग कैसे करते हैं।

"जब निदेशक मंडल की जोखिम या ऑडिट समितियों के साथ साझा किया जाता है, तो ये प्रमुख प्रदर्शन संकेतक संगठन की साइबर सुरक्षा क्षमताओं और साइबर नियंत्रण की दक्षता को उजागर करते हैं, जबकि निदेशक मंडल को प्रौद्योगिकी और प्रतिभा में निवेश की पर्याप्तता का मूल्यांकन करने में भी मदद करते हैं," के अनुसार। एकनॉलेज पार्टनर्स की सीईओ होमायरा अकबरी और नेटस्कोप के लिए क्लाउड रणनीति के प्रमुख शामला नायडू लिख रहे हैं साइबर सेवी बोर्डरूम.

पुस्तक में दी गई सिफ़ारिशों से संकेत लेते हुए, डार्क रीडिंग ने शीर्ष सुरक्षा परिचालन मेट्रिक्स को तोड़ दिया है, जिसमें सीआईएसओ और साइबर नेताओं को बोर्ड को जोखिम के स्तर और सुरक्षा प्रदर्शन पर एक व्यापक रिपोर्ट देने के लिए धाराप्रवाह होने की आवश्यकता है और डेटा बनाने के तरीके पर चर्चा की गई है- किसी संगठन के कार्यक्रम की प्रभावकारिता निर्धारित करने और सुरक्षा में अंतराल की पहचान करने के लिए समर्थित मॉडल।

अधिक पढ़ें: 10 सुरक्षा मेट्रिक्स श्रेणियां सीआईएसओ को बोर्ड को प्रस्तुत करनी चाहिए

संबंधित: सीआईएसओ बोर्ड के लिए बेहतर आख्यान कैसे तैयार कर सकते हैं

सीआईएसओ और सीआईओ अभिसरण: तैयार है या नहीं, यहाँ यह आता है

आर्थर लोज़िंस्की, सीईओ और सह-संस्थापक, ओम्निट्ज़ा द्वारा टिप्पणी

हालिया बदलाव सफल डिजिटल परिवर्तन के लिए इन दो आईटी नेताओं के बीच सहयोग और संरेखण के महत्व को रेखांकित करते हैं।

डिजिटल जोखिमों को नियंत्रित करने में सीआईएसओ का नेतृत्व सफल डिजिटल परिवर्तन के लिए इतना आवश्यक है कि उनकी भूमिकाएं तेजी से सीआईओ के साथ ओवरलैप हो रही हैं - जो सर्वर रूम से बोर्डरूम तक साइबर सुरक्षा के निरंतर प्रक्षेप पथ को उजागर करती है।

दोनों भूमिकाएँ 20 वर्षों से एक साथ आ रही हैं, लेकिन अब सीआईओ को मुख्य रूप से व्यावसायिक नवाचार का समर्थन करने के लिए प्रौद्योगिकी की खरीद और उपयोग करने का काम सौंपा गया है - और यह भूमिका एक बार की तुलना में काफी कम परिचालन वाली है।

इस बीच सीआईएसओ अब एक मुख्य परिचालन हितधारक है, जो अनुपालन जनादेश का सामना कर रहा है, डेटा उल्लंघनों से परिचालन व्यवधान को रोक रहा है, और जोखिम स्कोर निर्दिष्ट कर रहा है। उभरते साइबर सुरक्षा खतरे.

परिणाम? सीआईओ और सीआईएसओ तेजी से लॉकस्टेप में चल रहे हैं - और इस बात की परवाह किए बिना कि दोनों भूमिकाएं कैसे विकसित होती हैं, यह बदलाव सफल डिजिटल परिवर्तन और उससे आगे के लिए इन दो आईटी नेताओं के बीच सहयोग और संरेखण के महत्व को रेखांकित करता है।

सीआईओ/सीआईएसओ अभिसरण पर अधिक जानकारी: सीआईएसओ और सीआईओ अभिसरण: तैयार है या नहीं, यहाँ यह आता है

संबंधित: 2024 के लिए राज्य सीआईओ प्राथमिकताओं में परिवर्तन एपीआई सुरक्षा पर कैसे लागू होते हैं

एफसीसी को दूरसंचार और वीओआईपी प्रदाताओं से पीआईआई उल्लंघनों की रिपोर्ट करने की आवश्यकता है

तारा सील्स, प्रबंध संपादक, समाचार, डार्क रीडिंग द्वारा

आवाज और वायरलेस प्रदाताओं के लिए आयोग के उल्लंघन नियम, जो 2017 से अछूते हैं, अंततः आधुनिक युग के लिए अद्यतन किए गए हैं।

आगे बढ़ें, एसईसी: शहर में एक नया अनुपालन अधिदेश है।

अगले महीने से, दूरसंचार और वीओआईपी प्रदाताओं को ऐसा करना होगा एफसीसी को डेटा उल्लंघनों की रिपोर्ट करें, एफबीआई, और गुप्त सेवा खोज के सात दिनों के भीतर।

और जब भी किसी साइबर घटना में व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) पकड़ी जाएगी तो उन्हें ग्राहकों को डेटा उल्लंघन सूचनाएं जारी करनी होंगी।

एफसीसी ने इस सप्ताह अपने अंतिम नियम जारी किए, जिसमें कहा गया कि पीआईआई उजागर होने पर वाहक और सेवा प्रदाता अधिक पारदर्शी हों। आयोग की पीआईआई की परिभाषा व्यापक है और इसमें न केवल नाम, संपर्क जानकारी, जन्मतिथि और सामाजिक सुरक्षा नंबर शामिल हैं, बल्कि बायोमेट्रिक्स और कई अन्य डेटा भी शामिल हैं।

पहले, एफसीसी को ग्राहक सूचनाओं की आवश्यकता केवल तभी होती थी जब ग्राहक स्वामित्व नेटवर्क सूचना (सीपीएनआई) डेटा प्रभावित होता था, यानी फोन बिल की जानकारी जैसे सदस्यता योजना डेटा, उपयोग शुल्क, कॉल किए गए या संदेश भेजे गए नंबर इत्यादि।

एफसीसी की उल्लंघन रिपोर्टिंग आवश्यकताओं का अंतिम अद्यतन 16 साल पहले था।

अधिक पढ़ें: एफसीसी को दूरसंचार और वीओआईपी प्रदाताओं से पीआईआई उल्लंघनों की रिपोर्ट करने की आवश्यकता है

संबंधित: प्रूडेंशियल ने एसईसी के पास स्वैच्छिक उल्लंघन नोटिस दाखिल किया

मध्य पूर्व और अफ्रीका सीआईएसओ ने 2024 के बजट को 10% बढ़ाने की योजना बनाई है

से डीआर ग्लोबल

रॉबर्ट लेमोस द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

नया डेटा एआई और अन्य कारकों की बदौलत मध्य पूर्व, तुर्की और अफ्रीका क्षेत्र में उम्मीद से अधिक साइबर सुरक्षा वृद्धि दर्शाता है।

मध्य पूर्व, तुर्की और अफ्रीका (एमईटीए) क्षेत्र में साइबर सुरक्षा बाजार तेजी से बढ़ने की उम्मीद है, जिसका खर्च 6.5 में 2024 अरब डॉलर तक पहुंच जाएगा।

आईडीसी के अनुसार, क्षेत्र में तीन-चौथाई से अधिक सीआईएसओ इस वर्ष बजट में कम से कम 10% की वृद्धि करने की योजना बना रहे हैं, जो कि बड़े पैमाने पर भू-राजनीतिक खतरों, जेनरेटिव एआई की वृद्धि और पूरे क्षेत्र में बढ़ते डेटा सुरक्षा नियमों से प्रेरित है। .

आईडीसी दक्षिण अफ्रीका और मेटा में आईटी सुरक्षा डेटा के शोध विश्लेषक योताशा थावर कहते हैं, "सफल साइबर अपराधों में वृद्धि ने गैर-प्रमुख देशों में परामर्श सेवाओं की मांग को बढ़ा दिया है, जहां मुख्य देशों की तुलना में जागरूकता उतनी अधिक नहीं है।" "साइबर सुरक्षा में सुधार के लिए सरकारों की ओर से भी दबाव आ रहा है - विशेष रूप से मध्य पूर्व में।"

बेशक खर्च देश के अनुसार अलग-अलग होगा। उदाहरण के लिए, सऊदी अरब और संयुक्त अरब अमीरात (यूएई) दोनों, जो हैं राष्ट्रीय रणनीतियों में सक्रिय रूप से निवेश करना आईडीसी ने पाया कि अपने नेटवर्क और प्रौद्योगिकियों को सुरक्षित करने के लिए, अपने साथियों की तुलना में अधिक उच्च-विकास खर्च प्रक्षेपवक्र में हैं।

अधिक पढ़ें: मध्य पूर्व और अफ्रीका सीआईएसओ ने 2024 के बजट को 10% बढ़ाने की योजना बनाई है

संबंधित: संयुक्त अरब अमीरात के बैंकों ने साइबर युद्ध खेल अभ्यास का आयोजन किया

GenAI उपकरण उद्यम के सभी क्षेत्रों में व्याप्त होंगे

से गहन अध्ययन: डीआर अनुसंधान रिपोर्ट

कई विभाग और समूह जेनेरिक एआई टूल का उपयोग करने के लाभों को देखते हैं, जो उद्यम को डेटा लीक और अनुपालन और गोपनीयता उल्लंघन से बचाने के लिए सुरक्षा टीमों के काम को जटिल बना देगा।

उपयोग करने में संगठनों के बीच उल्लेखनीय रुचि है जेनरेटिव एआई (जेनएआई) उपकरण जेनएआई के बारे में डार्क रीडिंग के पहले सर्वेक्षण के अनुसार, उपयोग के मामलों की एक विस्तृत श्रृंखला के लिए। उद्यमों के भीतर कई अलग-अलग समूह इस तकनीक का उपयोग कर सकते हैं, लेकिन ये उपकरण डेटा एनालिटिक्स, साइबर सुरक्षा, अनुसंधान और विपणन टीमों द्वारा सबसे अधिक उपयोग किए जाते हैं।

लगभग एक तिहाई उत्तरदाताओं का कहना है कि उनके संगठनों के पास पायलट कार्यक्रम हैं या वे अन्यथा GenAI टूल का उपयोग तलाश रहे हैं, जबकि 29% का कहना है कि वे अभी भी विचार कर रहे हैं कि इन टूल का उपयोग किया जाए या नहीं। केवल 22% का कहना है कि उनके संगठन सक्रिय रूप से GenAI टूल का उपयोग कर रहे हैं, और 17% का कहना है कि वे कार्यान्वयन की प्रक्रिया में हैं।

सुरक्षा टीमें यह देख रही हैं कि इन गतिविधियों को उनके दैनिक कार्यों में कैसे शामिल किया जा सकता है, विशेष रूप से कोड लिखने, विशिष्ट खतरे संकेतकों और मुद्दों से संबंधित संदर्भ जानकारी की तलाश करने और जांच कार्यों को स्वचालित करने के लिए।

इस बीच, मार्केटिंग और बिक्री समूह अक्सर टेक्स्ट दस्तावेज़ों का पहला ड्राफ्ट बनाने या वैयक्तिकृत मार्केटिंग संदेश विकसित करने और टेक्स्ट दस्तावेज़ों को सारांशित करने के लिए एआई जेनरेटर का उपयोग करते हैं। उत्पाद और सेवा समूहों ने ग्राहकों की ज़रूरतों में रुझानों की पहचान करने और नए डिज़ाइन बनाने के लिए GenAI पर झुकाव करना शुरू कर दिया है, जबकि सेवा समूह रुझानों का पूर्वानुमान लगाने और चैटबॉट्स जैसे ग्राहक-सामना वाले अनुप्रयोगों में प्रौद्योगिकी को एकीकृत करने पर ध्यान केंद्रित कर रहे हैं।

इसमें इस बारे में और जानें कि डार्क रीडिंग पाठक उद्यम में जेनरेटिव एआई का उपयोग कैसे करते हैं निःशुल्क डाउनलोड करने योग्य रिपोर्ट।

अधिक पढ़ें: GenAI उपकरण उद्यम के सभी क्षेत्रों में व्याप्त होंगे

संबंधित: सऊदी अरब ने 'सभी के लिए जेनरेटिव एआई' कार्यक्रम की शुरुआत की

क्या सीआईएसओ को अभी इवांती को छोड़ देना चाहिए?

बेकी ब्रैकेन, संपादक, डार्क रीडिंग द्वारा

व्यापक सीवीई, साइबर हमले और विलंबित पैचिंग इवंती वीपीएन को परेशान कर रहे हैं, जिससे साइबर सुरक्षा टीमों को समाधान के लिए संघर्ष करने के लिए मजबूर होना पड़ रहा है। शोधकर्ता अप्रभावित हैं।

इवांती ने 2024 में अब तक पांच वीपीएन खामियों का खुलासा किया है, शून्य-दिवस के रूप में सबसे अधिक उपयोग किया जाता है - उनमें से दो की सार्वजनिक रूप से घोषणा पैच उपलब्ध होने से कुछ सप्ताह पहले की गई थी। कुछ आलोचक, जैसे साइबर सुरक्षा शोधकर्ता जेक विलियम्स, इवांती की कमजोरियों की भरमार और कंपनी की धीमी घटना प्रतिक्रिया को व्यवसाय के लिए एक संभावित खतरे के रूप में देखते हैं।

विलियम्स इवांती की वर्तमान समस्याओं के लिए सुरक्षित कोडिंग और सुरक्षा परीक्षण की वर्षों से चली आ रही उपेक्षा को जिम्मेदार मानते हैं। विलियम्स के अनुसार, उबरने के लिए, इवंती को उस तकनीकी ऋण से उबरना होगा, साथ ही किसी तरह अपने ग्राहकों के साथ विश्वास कायम करना होगा। विलियम्स का कहना है कि यह एक ऐसा कार्य है जिसे इवांती पूरा करने में सक्षम होंगी, इसमें संदेह है।

विलियम्स ने डार्क रीडिंग को बताया, "मैं नहीं देखता कि इवंती एक एंटरप्राइज़ फ़ायरवॉल ब्रांड के रूप में कैसे जीवित रहती है," एक भावना जिसे उन्होंने सोशल मीडिया पर व्यापक रूप से दोहराया है।

अंततः, इवांती की मुसीबतें उद्यम साइबर टीमों पर आती हैं, जिन्हें चुनना होगा। साइबर टीमें सीआईएसए की सलाह का पालन कर सकती हैं और इवंती वीपीएन उपकरणों को डिस्कनेक्ट कर सकती हैं और उन्हें दोबारा कनेक्ट करने से पहले अपडेट कर सकती हैं। या, जबकि वे पैचिंग के लिए पहले से ही ऑफ़लाइन हैं, वे पूरी तरह से अपडेटेड गियर के साथ इवंती उपकरणों को बदल सकते हैं।

हालाँकि, कुछ लोग कहते हैं कि इवांती के साथ रहना एक ऐसा रस है जो निचोड़ने लायक नहीं हो सकता है। बैम्बेनेक कंसल्टिंग के अध्यक्ष जॉन बैम्बेनेक कहते हैं, "इन उपकरणों को उसी तरह की गंभीरता के साथ अपने सॉफ़्टवेयर को इंजीनियर करने की आवश्यकता है जैसी इस खतरे की आवश्यकता है।" "अगर मैं सीआईएसओ होता, तो मैं कुछ वर्षों के लिए इवांती को नजरअंदाज कर देता, जब तक कि वे फिर से खुद को साबित नहीं कर देते।"

अधिक पढ़ें: इवांती को साइबर घटना प्रतिक्रिया के लिए खराब अंक मिले

संबंधित: वोल्ट टाइफून ने कई विद्युत उपयोगिताओं को प्रभावित किया, साइबर गतिविधि का विस्तार किया

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cybersecurity-operations/ciso-corner-cio-convergence-critical-security-metrics-ivanti-fallout