-
سرمایہ کاروں اور ریگولیٹرز کی طرف سے کمپنیوں کی سائبرسیکیوریٹی اور لچک کی تیزی سے جانچ پڑتال کی جا رہی ہے۔
-
ورلڈ اکنامک فورم کے سائبر رسک اصول صنعتوں میں سائبر لچک پیدا کرنے میں مدد کرتے ہیں۔
-
MIT CAMS سے نقلی امدادی تحقیق سے پتہ چلتا ہے کہ ورلڈ اکنامک فورم کے سائبر رسک اصولوں سے وابستگی اور اپنانے سے سائبر لچک میں نمایاں بہتری آتی ہے۔
-
نتائج یہ بھی ظاہر کرتے ہیں کہ توقعات کے برعکس، سائبر رسک کے ان اصولوں سے وابستگی لاگت میں اضافہ نہیں کرتی ہے۔
ہمارے معاشرے میں بے مثال ڈیجیٹلائزیشن نے بہت سے کاروباری رہنماؤں اور ایگزیکٹوز کو یہ سمجھنے پر مجبور کیا ہے کہ وہ سائبر خطرے کا مناسب اندازہ کیسے لگا سکتے ہیں اور ان پر حکومت کر سکتے ہیں۔ سائبر رسک کو کنٹرول کرنا ایک جامع عمل ہے جس کا مقصد تنظیمی سائبر لچک کو بہتر بنانا ہے۔ اس تناظر میں، حکومتوں کی تعریف سائبر لچک کی ذمہ داریاں، نامزد کریں۔ اہم بنیادی ڈھانچے جس کے لیے لازمی تحفظ اور سرمایہ کاروں کی مدد کی ضرورت ہے۔ بہتر موازنہ ان کی کمپنیوں کی سائبر کوششیں۔
سائبر لچک کا کامیابی سے انتظام ضروری ہے کیونکہ تنظیموں اور ایگزیکٹوز کو جرمانے اور دیگر سنگین نتائج کا سامنا کرنا پڑتا ہے۔ ممکنہ اثرات کا مطلب ہے کہ بورڈ کے اراکین کو سائبر خطرات اور ان کو کم کرنے کے بہترین طریقوں کو سمجھنا چاہیے۔
یہ کام کرنے سے کہیں زیادہ آسان ہے۔ ترانوے فیصد کمپنیاں سائبر خطرات کو کم کرنے کے اپنے بہترین طریقوں پر پراعتماد ہیں، جبکہ 57 فیصد کو امید ہے کہ سائبر حملے کی زد میں. بدقسمتی سے، ان تنظیموں میں سے صرف نصف نے مناسب سائبر اقدامات نافذ کیے ہیں۔
کراس انڈسٹری سائبر لچک کو چلانا
2021 میں، ورلڈ اکنامک فورم اور اس کے شراکت داروں نے، نیشنل ایسوسی ایشن آف کارپوریٹ ڈائریکٹرز (NACD)، انٹرنیٹ سیکیورٹی الائنس (ISA) اور PwC کے ساتھ، سائبر رسک کے بورڈ گورننس کے اصول (فورم کے سائبر رسک اصول)، جو تمام صنعتوں میں لچک پیدا کرنے کے لیے اہم ہیں۔ اس رہنمائی (ابتدائی طور پر کارپوریٹ بورڈ آف ڈائریکٹرز کے لیے تیار کی گئی) کا خلاصہ چھ اصولوں میں کیا گیا ہے:
-
تسلیم کریں کہ سائبرسیکیوریٹی ایک اسٹریٹجک کاروبار کو فعال کرنے والا ہے۔
-
معاشی ڈرائیوروں اور سائبر رسک کے اثرات کو سمجھیں۔
-
سائبر رسک مینجمنٹ کو کاروباری ضروریات کے ساتھ ہم آہنگ کریں۔
-
یقینی بنائیں کہ تنظیمی ڈیزائن سائبر سیکیورٹی کو سپورٹ کرتا ہے۔
-
بورڈ گورننس میں سائبر سیکیورٹی کی مہارت کو شامل کریں۔
-
نظامی لچک اور تعاون کی حوصلہ افزائی کریں۔
اصول کے مقابلے میں لچک کے لئے ایک نمایاں طور پر مختلف نقطہ نظر کی نمائندگی کرتا ہے کس طرح تنظیمیں سائبر سیکیورٹی کو آئی ٹی کو سونپیں، سائبر رسک کی اسٹریٹجک نوعیت کے بارے میں غلط تصور رکھیں اور خلاف ورزیوں کو لپیٹ میں رکھیں۔
سائبر خطرات کی اسٹریٹجک نوعیت کے بارے میں غلط تصور کے بہت بڑے نتائج ہو سکتے ہیں۔ مثال کے طور پر، سافٹ ویئر کمپنی Kasaye تجربہ کار جولائی 2021 میں ایک رینسم ویئر حملہ، جس کی وجہ سے ان کی منصوبہ بند ابتدائی عوامی پیشکش (IPO) کو اگلے نوٹس تک ملتوی کر دیا گیا، جس کی وجہ سے وہ بڑھانے میں ناکام ایک اندازے کے مطابق $875 ملین۔ مزید برآں، 2019 میں خلاف ورزی کرنے والی سولر ونڈز کے پاس اپنی تجارتی کامیابی کی کہانیاں ظاہر کرنے کے لیے مخصوص اشتہاری تکنیکیں تھیں۔ ہائی پروفائل گاہکوں, بالآخر مخالف کے لیے "خریداری کی فہرست" فراہم کرنا۔
فورم کے سائبر رسک اصولوں کو اپنانا یہ ظاہر کرتا ہے کہ انفرادی تنظیمیں لاگت میں اضافہ کیے بغیر اپنی سائبر لچک کو نمایاں طور پر بہتر کر سکتی ہیں۔
"
— Sander Zeijlemaker، MIT Sloan (CAMS) میں سائبرسیکیوریٹی سے وابستہ ریسرچ، مینیجنگ ڈائریکٹر Disem Institute | مائیکل سیگل، پرنسپل ریسرچ سائنٹسٹ، ڈائریکٹر، سائبر سیکیورٹی ایم آئی ٹی سلوان (CAMS) | ڈینیل ڈوبریگوسکی، گورننس اینڈ ٹرسٹ کے سربراہ، ورلڈ اکنامک فورم
تخروپن کے ذریعے سمجھنا
سائبر رسک لیڈروں کے ایجنڈوں میں ایک اہم مسئلہ کے ساتھ، MIT CAMS کے پاس ہے۔ ترقی یافتہ سائبر خطرات کا اندازہ لگانے اور ان کا انتظام کرنے کے لیے رہنماؤں کی صلاحیتوں کو بہتر بنانے کا ایک طریقہ۔ یہ ٹیکنالوجی، جسے سائبر رسک ڈیش بورڈ کہا جاتا ہے، کنٹرول تھیوری اور سسٹم کی حرکیات پر مبنی ہے اور اس شعبے میں اہم تحقیق پر مبنی ہے، بشمول چیف انفارمیشن سیکیورٹی آفیسرز (CISOs) کے انٹرویوز۔ فارچیون 500 کمپنی میں کئی سالوں سے اسٹریٹجک سائبر رسک چیلنجز کی ایک وسیع رینج کا تجزیہ کرکے اس کی توثیق کی گئی ہے۔
ڈیش بورڈ سائبر رسک فیصلہ سازی کے ماحولیاتی نظام کی قریب سے نقل کرتا ہے۔ یہ موجودہ دفاعی کرنسی اور حملے کی حکمت عملیوں کی ترقی، ابھرتے ہوئے سائبر واقعات اور لوگوں، عمل اور ٹیکنالوجی کے لحاظ سے تنظیموں کو تبدیل کرنے پر غور کرتا ہے۔ سائبر رسک ڈیش بورڈ کسی تنظیم کی سائبر سیکیورٹی حکمت عملی کے کارکردگی کے اشارے کے مطابق تخمینہ لگانے کے ذرائع فراہم کرتا ہے۔ اس کام کو دوسرے اسٹریٹجک تجزیوں کے لیے آسانی سے ڈھال لیا جا سکتا ہے۔ MIT CAMs نے فورم کے سائبر رسک اصولوں کو اپناتے وقت تنظیمی رویے کو سمجھنے کے لیے ایک نقلی اضافی نقطہ نظر کا استعمال کیا۔
کا استعمال personas - مخصوص خصوصیات کے ساتھ مصنوعی فیصلہ ساز پروفائلز جو ان کی سائبر رسک مینجمنٹ کی حکمت عملی کو آگے بڑھاتے ہیں - سائبر رسک مینجمنٹ کے رویے کے پہلو کو تلاش کرنے کے لیے سائنسی بنیادوں پر مبنی نقطہ نظر ہے۔ اسٹریٹجک فیصلہ سازی کو چلانے کے لیے مختلف تنظیموں کے افراد کا استعمال کرتے ہوئے، یہ نقلی ٹیکنالوجی ان کی حکمت عملی کے مستقبل کے اثرات کا اندازہ لگا سکتی ہے۔ اس تجزیے میں، ہم Smart Wealth Management Inc کہلانے والی Fortune-500 کمپنی میں اپنے گمنام کیس اسٹڈی کے ڈیٹا کو بھی دوبارہ استعمال کرتے ہیں۔ اس طرح، ہم تسلیم کرتے ہیں:
سائبر سے آگاہ سی ای او (CC-CEO)
یہ سی ای او اصولوں سے واقف ہو سکتا ہے لیکن انہیں ابھی تک اپنانا ہے (ابھی تک)۔ یہ CEO حفاظتی معیارات کی معقول تعمیل پر توجہ دیتا ہے اور حفاظتی اخراجات کو کنٹرول کرتا ہے۔ کام کا بوجھ بڑھنا اور حفاظتی وسائل کی کمی سائبر رسک کے لیے زیادہ رد عمل کا باعث بنتی ہے۔
WEF لچکدار سی ای او (WEF-CEO)
یہ سی ای او سائبر کے بارے میں شعور رکھتا ہے لیکن لچک کو فروغ دینے کے لیے فورم کے سائبر رسک اصولوں کو اپنا کر مزید آگے بڑھا ہے۔ وہ فورم کے دستخط کنندہ ہو سکتا ہے۔ سائبر لچک کا عہد. یہ CEO خطرات کے لیے ایک فعال اور متوقع نقطہ نظر رکھتا ہے، جانتا ہے کہ کس طرح ان کی ٹیکنالوجی ان کے کاروبار کو آگے بڑھاتی ہے اور کاروباری کارکردگی کو برقرار رکھنے اور سائبر خطرے کی لاگت کی پیشین گوئیوں پر توجہ مرکوز کرتی ہے۔
اسٹریٹجک بیداری سائبر لچک کو فروغ دیتی ہے۔
حفاظتی واقعات/ سمجھوتہ کیے گئے اثاثوں کی تعداد سے ظاہر ہونے والی دفاعی کرنسی کی طاقت کا موازنہ کرتے وقت ہم ایک اہم فرق دیکھتے ہیں۔ سی ای او جو فورم کے سائبر رسک اصولوں (WEF-CEO) کی پیروی کرتا ہے اس کے لیے CC-CEO کے مقابلے میں 85% تک کم سائبر واقعات (شکل 1 دیکھیں) کی پیش گوئی کی جاتی ہے۔
تصویر 1. CC-CEO اور WEF-CEO کی سائبر رسک مینجمنٹ حکمت عملی کے لیے 60 ماہ سے زیادہ کے مجموعی واقعات۔ تصویر: MIT CAMS
WEF-CEO کی سائبر رسک کی کوششیں اور کام کی ترجیح ابتدائی مداخلت کی اجازت دیتی ہے جو مخالفانہ رویے کو محدود کرتی ہے، جب کہ CC-CEO کی ٹیم اکثر سست جواب دیتی ہے، جس سے بالآخر مخالف کو فائدہ ہوتا ہے۔
WEF-CEO کے حق میں ممکنہ سائبر واقعے کی فریکوئنسی تقسیم کے حوالے سے خطرے کے پروفائل (شکل 2 دیکھیں) میں اسی طرح کی بصیرت دیکھی جا سکتی ہے، خاص طور پر جب سائبر واقعات کی بڑی تعداد میں آئی ٹی ٹیموں کو سیکیورٹی ٹیموں کی مدد کی ضرورت پڑ سکتی ہے۔ یہ حالات، جنہیں اسپل اوور اثرات کے نام سے جانا جاتا ہے، IT ٹاسک کو دوبارہ ترجیح دینے کی ضرورت ہوتی ہے، عام طور پر IT پروجیکٹ کی ترسیل کی قیمت پر۔
شکل 2۔ سائبر رسک پروفائل CC-CEO اور WEF-CEO کی سائبر رسک مینجمنٹ حکمت عملی کے لیے 60 مہینوں کے دوران ممکنہ سیکیورٹی واقعات کی تقسیم پر مبنی ہے۔ حساسیت کا تجزیہ 95% یقینی حد کے ساتھ کیا جاتا ہے۔ فورم کے سائبر رسک اصولوں کو اپنانا یہ ظاہر کرتا ہے کہ انفرادی تنظیمیں لاگت میں اضافہ کیے بغیر اپنی سائبر لچک کو نمایاں طور پر بہتر کر سکتی ہیں۔ تصویر: MIT CAMS
ایک لچکدار نقطہ نظر اخراجات میں اضافہ نہیں کرتا ہے۔
WEF-CEO کی ممکنہ طور پر CC-CEO سے کم لاگت ہے (شکل 3 دیکھیں)۔ ان دونوں منظرناموں کے درمیان بڑا فرق کام کی ترجیحات اور سیکیورٹی عملے کی سائبر رسک کوششوں کی تقسیم میں ہے۔ CC-CEO کی مسلسل کوششیں ہیں جن کے لیے عملے کے اضافی وسائل درکار ہیں تاکہ ردعمل اور بحالی کے عمل میں مدد ملے، پوسٹ مارٹم کی تحقیق کو انجام دیا جائے اور اس کے مطابق سیکیورٹی کی صلاحیتوں کو ایڈجسٹ اور بہتر بنایا جائے۔ ڈیزائن کے لحاظ سے WEF-CEO کے ذریعے نافذ کردہ سیکیورٹی میں ایک مسلسل فعال صلاحیت کی ایڈجسٹمنٹ اور بہتری ہے (بشمول مسلسل آٹومیشن) اور اس نے باقاعدہ بورڈ کی سطح پر سائبر رسک ڈیش بورڈنگ اور رپورٹنگ کو نافذ کیا ہے۔
تصویر 3. CC-CEO اور WEF-CEO کی سائبر رسک مینجمنٹ حکمت عملی کے لیے ریسورسنگ (FTE) 60 ماہ۔ تصویر: MIT CAMS
فورم کے سائبر رسک اصولوں کو اپنانا یہ ظاہر کرتا ہے کہ انفرادی تنظیمیں لاگت میں اضافہ کیے بغیر اپنی سائبر لچک کو نمایاں طور پر بہتر کر سکتی ہیں۔ ان نقالی میں، اصولوں کو اپنانا قیمتی ثابت ہوا۔ عملی طور پر، تنظیموں کے درمیان باہمی ربط اور رابطے نئے باہمی انحصار کو متعارف کراتے ہیں، جن کو مزید تحقیق اور نقالی کے ذریعے تلاش کیا جائے گا۔ تاہم، موجودہ نتائج اپنے آپ میں تنظیموں کے لیے فورم کے سائبر رسک اصولوں کو اپنانے کے لیے ایک مضبوط کیس بناتے ہیں۔
لنک: https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
