زیادہ عرصہ نہیں گزرا، چیف انفارمیشن سیکیورٹی آفیسر کا کردار خالصتاً تکنیکی حیثیت کا حامل تھا جو کسی تنظیم کو سائبر سیکیورٹی چیلنجوں پر قابو پانے میں مدد کرنے کے لیے ڈیزائن کیا گیا تھا۔ تاہم آج، CISO کا کردار تیار ہوا ہے۔ - کمپنی کے اندر ذمہ داری اور قد دونوں میں بڑھنا۔ CISO اب ایگزیکٹو ٹیم کا ایک اہم رکن ہے، جو نہ صرف سائبر سیکیورٹی بلکہ مجموعی رسک مینجمنٹ کو کمپنی کی کاروباری حکمت عملی اور آپریشنز سے منسلک کرنے کا ذمہ دار ہے۔
جدید CISO سٹریٹجک فیصلہ سازی میں شامل ہے، مثال کے طور پر، اس بات کو یقینی بنانا کہ کاروبار ڈیجیٹل تبدیلی کو محفوظ طریقے سے قبول کرے جبکہ بورڈ، کلائنٹس اور سرمایہ کاروں کو یقین دلاتا ہے کہ سائبر صلاحیتیں اور دفاع فعال ہیں اور موجودہ خطرات کے ساتھ تیار ہو رہے ہیں۔ اور وہ لوگوں، عملوں اور ٹیکنالوجیز سے فائدہ اٹھانے کے ذمہ دار ہیں تاکہ ان کی تنظیم کو اس کے اہم کاروباری مقاصد کو محفوظ طریقے سے پورا کر سکیں۔
ذمہ داریوں میں اس ارتقاء کو دیکھتے ہوئے، نوکری پر CISO کے پہلے 90 دن آج سے بہت مختلف نظر آنے چاہئیں جو کئی سال پہلے تھے۔
پہلے 90 دن
اگرچہ بہت سے CISOs پہلے دن بڑے آئیڈیاز اور پراجیکٹس کے ساتھ تیزی سے اہمیت کا مظاہرہ کرنا چاہتے ہیں، لیکن اگر وہ کمپنی کے مشن، اقدار اور کاروبار کو سمجھنے کے لیے پہلے وقت نکالیں تو وہ بہت زیادہ طویل مدتی اثر ڈالنے کے قابل ہو جائیں گے۔ مقاصد انہیں بنیادی سرگرمیوں، مصنوعات، خدمات، تحقیق اور ترقی، دانشورانہ املاک، اور انضمام اور حصول کے منصوبوں پر تیزی سے کام کرنے کی بھی ضرورت ہے۔ اور انہیں تمام ممکنہ مسائل، سابقہ خلاف ورزیوں، ریگولیٹری یا بیرونی ذمہ داریوں، اور موجودہ تکنیکی قرضوں کو سمجھنے کی ضرورت ہے۔
اس بات کو ذہن میں رکھتے ہوئے، یہاں چند سفارشات دی گئی ہیں کہ ملازمت پر اپنے پہلے 90 دنوں کے دوران CISO کی توجہ کیا ہونی چاہیے۔
تنظیم کے بڑے مشن اور ثقافت کی تفہیم حاصل کریں۔
پہلے ہی دن، کاروبار، اس کے مقاصد اور اس کی ترجیحات کو سمجھنے کے مقصد کے ساتھ انٹرویو اور پوچھ گچھ کی تکنیکوں کا مجموعہ لگانا شروع کریں۔ تمام اہم اسٹیک ہولڈرز، ابتدائی درد کے نکات، اور تنظیم کے اندر سائبرسیکیوریٹی کلچر کتنا پختہ ہے۔ آخر میں، اپنے شراکت داروں، سپلائرز، اور دکانداروں سے نرمی سے اس بات کا تعین کرنے کے لیے پوچھ گچھ کریں کہ کون صرف فروخت کر رہا ہے اور کون ایک قابل اعتماد مشیر ہے۔ اس عمل سے گزرنے سے مواصلات کی لائنیں کھلیں گی، چیلنجوں سے پردہ اٹھے گا، اور 90 دن کا ایکشن پلان اور روڈ میپ بنانے میں مدد ملے گی۔
تاج جواہرات کی شناخت کریں۔
اس بات کا تعین کریں کہ کون سا ڈیٹا اور سسٹم کمپنی کے سٹریٹجک مشن اور بنیادی صلاحیتوں کو تقویت دیتے ہیں، املاک دانش کی نمائندگی کرتے ہیں، انٹرپرائز کو اس کے حریفوں سے ممتاز کرتے ہیں، یا بڑے کسٹمر سیگمنٹس یا ریونیو لائنوں کی حمایت کرتے ہیں۔ یہ تاج کے زیورات وہ ڈیجیٹل اثاثے ہیں جن کا زیادہ تر ممکنہ طور پر خطرہ بننے والے اداکاروں کے ذریعہ نشانہ بنایا جاتا ہے، اور اس طرح ان کی سائبر حفظان صحت کی کوششوں کو تیز کرنا ہوگا۔ اگر سی سویٹ اور بورڈ ان نازک علاقوں کو سمجھتے ہیں۔، وہ آپ کو اپنی خطرے کی بھوک بتا سکتے ہیں، اور آپ اس کے مطابق حفاظتی حکمت عملیوں کو نافذ کر سکتے ہیں۔
کمپنی کے موجودہ آئی ٹی اور بزنس لینڈ اسکیپ کی بنیاد پر ایک منصوبہ تیار کریں۔
ایک بار جب اثاثوں کی شناخت اور ترجیح دی جائے تو، اہم اندرونی اور بیرونی اسٹیک ہولڈرز کے درمیان ڈیلیوری ایبلز، ساخت اور مواصلات کے لیے چیک لسٹ کے ساتھ ایک تحریری رسک مینجمنٹ پلان تیار کریں۔ اس مؤخر الذکر نقطہ پر، CISO کو ہمیشہ ایک معلوماتی بروکر کے طور پر اور تمام اہم تنظیمی فیصلہ سازوں کے ساتھ شراکت دار کے طور پر کام کرنا چاہیے۔ ایسا کرنے کا ایک مؤثر طریقہ ان کرداروں کے ساتھ رسمی اور غیر رسمی رابطہ قائم کرنا ہے، تاکہ تنظیم حکمت عملی کے ساتھ آگے بڑھ سکے۔
بنیادی باتوں میں ماسٹر
جدید کمپنی کو محفوظ بنانے کے لیے بہت سی ٹکنالوجی کی ضرورت ہے، لیکن کچھ ایسی چیزیں ہیں جن کو فوری طور پر لاگو کیا جانا چاہیے، اگر وہ پہلے سے موجود نہیں ہیں۔ یہ بیس لائن کنٹرولز ہیں، بشمول خطرے کا انتظام اور اختتامی نقطہ کے لیے اینٹی میلویئر ڈیفنس، اور غیر گفت و شنید کنٹرولز، بشمول ملٹی فیکٹر تصدیق، حساس ڈیٹا انکرپشن، ایپلیکیشن وائٹ لسٹنگ، 24/7 سیکیورٹی مانیٹرنگ، فائل انٹیگریٹی مانیٹرنگ، مراعات یافتہ رسائی کا انتظام، نیٹ ورک سیگمنٹیشن۔ ، ڈیٹا کے نقصان کی روک تھام، اور کمزوری اور پیچیدگی کی حکمت عملیوں سے منسلک ایک سخت تشخیص اور آڈٹ فنکشن۔
بینچ مارکس کو لاگو کریں۔
C-suite، بزنس یونٹ کے ایگزیکٹوز، اور بورڈ کو سیکیورٹی پلانز، عمل، اور ٹیکنالوجیز کی قدر ثابت کریں۔ بینچ مارکس اور پختگی کے جائزوں کو نافذ کرنا جو یہ بتاتے ہیں کہ کمپنی کس طرح حریفوں کے خلاف کھڑی ہے، کس طرح سیکورٹی کی حکمت عملی صنعت کے بہترین طریقوں اور فریم ورک کے خلاف کھڑی ہے، اور کس طرح حفاظتی اقدامات کاروبار کو محفوظ آپریشنز کے ساتھ فعال کر رہے ہیں۔
سیکیورٹی کو ہمیشہ ایک کاروباری مسئلہ سمجھیں۔
سیکیورٹی کے واقعات کے نتیجے میں کاروبار پر بے شمار نتائج برآمد ہوسکتے ہیں، اور اس کے برعکس، مضبوط سیکیورٹی کاروبار کو محفوظ انداز میں کامیاب کرنے میں مدد کر سکتی ہے۔ یہی وجہ ہے کہ یہ بہت اہم ہے کہ IT اور سیکورٹی ٹیمیں ہمیشہ تنظیم کے کاروباری پہلو کے ساتھ مربوط رہیں۔ اس کے حصے کے طور پر، ایگزیکٹیو لیڈرز، بورڈ اور سیکورٹی لیڈرز کے درمیان جاری مواصلت اور تعاون کو یقینی بنائیں۔ جب انتظامیہ سائبرسیکیوریٹی کے خطرات سے لاحق کاروباری خطرات کو سمجھتی ہے، تو وہ توجہ دینے اور حفاظتی کوششوں میں حصہ لینے کے لیے زیادہ موزوں ہوں گے۔
پہلے 90 دنوں کے اختتام پر، ایک CISO کو سوالات کا جواب دینے کے قابل ہونا چاہیے جیسے: تنظیم کتنی اچھی طرح سے محفوظ ہے؟ صنعت کے معیاری فریم ورک کے خلاف ہماری صلاحیت کی پختگی کیا ہے؟ ہماری سب سے اہم کمزوریاں اور سائبر خطرے کے منظرنامے کیا ہیں؟ تنظیم کے لیے کون سا ڈیٹا سب سے اہم ہے؟ کون سے اعداد و شمار کے خطرات تنظیم پر سب سے اہم منفی اثر ڈال سکتے ہیں؟ اور تنظیم کی حفاظتی پوزیشن کو بہتر بنانے کے لیے کیا کرنا پڑے گا، اور کیا ہمارے پاس روڈ میپ ہے؟
اگرچہ یہ تین ماہ کی مدت میں پایہ تک پہنچنے کے لیے بہت کچھ لگتا ہے، لیکن ان چھ مراحل پر عمل کرنے سے آپ کی کمپنی کو مختصر اور طویل مدتی سیکیورٹی اور کاروباری کامیابی دونوں کے لیے ترتیب دیا جائے گا۔
