اب وقت آگیا ہے کہ سیکیورٹی کو مطلق میں ماپنا بند کریں۔

COMMENTARY

خطرے کے جائزوں کی رہنمائی کرنے والے سیاق و سباق اور میٹرکس مسلسل بدل رہے ہیں، اور اسی طرح سیکیورٹی ٹیم کے طور پر پیش رفت کیسی نظر آتی ہے اس کے بارے میں ہماری سمجھ میں بھی اضافہ ہو رہا ہے۔ ہر چیز کی پیمائش کرنا ممکن نہیں ہے، اور صرف اس لیے کہ آپ اس کی پیمائش کر سکتے ہیں اس کا مطلب یہ نہیں ہے کہ یہ اہم ہے۔ اس سے تفصیلات میں کھو جانا اور بڑی تصویر سے محروم ہونا آسان ہو جاتا ہے: کیا ہم سمت میں بہتری لا رہے ہیں؟

مسئلہ کا ایک بڑا حصہ معیاری سیکورٹی پالیسی ہے، جس کا مقصد حاصل کرنے کے قابل اہداف کو نظر انداز کرتے ہوئے کمال حاصل کرنا ہے۔ ہماری صنعت میں ہمارے پاس ایسی پالیسیاں ہیں جو کہتی ہیں، مثال کے طور پر، "تمام اعلی خطرے والے خطرات کو 10 دنوں کے اندر حل کیا جانا چاہیے،" یا "صارف کی تمام رسائی کا سہ ماہی جائزہ لیا جانا چاہیے۔" مفروضہ یہ ہے کہ آپ 100% کے لیے کوشش کریں گے، اس بارے میں کوئی بات چیت نہیں ہوگی کہ آیا یہ قابل حصول ہے اور اس مقصد کو حاصل کرنے کے لیے کن وسائل کی ضرورت ہوگی۔

عام طور پر، ایک سیکورٹی ٹیم اس ہدف کو 70% وقت تک پہنچائے گی، جسے ناکامی سمجھا جاتا ہے۔ ایک ٹیم اکثر اس فرق کو ختم کرنے کی کوشش کرتے ہوئے وسائل کی ایک بڑی تعداد خرچ کرتی ہے، مثال کے طور پر، 70% اہم کمزوریوں اور پالیسی کے ہدف 100% کو حل کر کے۔ جب ان وسائل کو کسی اور جگہ بہتر طریقے سے خرچ کیا جا سکتا ہے تو وہ کمال حاصل کرنے کے لیے وسائل کو تنگ کر سکتے ہیں۔

ایک صنعت کے طور پر، ہمیں اپنے پروگراموں کو چلانے والی پالیسیوں اور میٹرکس کا دوبارہ جائزہ لینے کی ضرورت ہے، یہ فیصلہ کرتے ہوئے کہ آیا وہ حقیقت پسندانہ ہیں اور آیا وہ درست پیمائش بھی ہیں۔ اس کو حاصل کرنے کے لیے تین اقدامات یہ ہیں۔

1. اپنی خطرے کی بھوک کا تعین کریں۔

خطرے کے تمام شعبوں میں کمال حاصل کرنا ناممکن ہے۔ سیکیورٹی ٹیمیں ویک-اے-مول کھیلنا ختم کر سکتی ہیں اور مزید لطیف خطرات پر توجہ کھو سکتی ہیں۔ اس بات کی وضاحت کرنے کے لیے کاروباری سطح کی بات چیت کی ضرورت ہے کہ تنظیم کے سب سے بڑے حفاظتی خطرات کہاں ہیں اور وسائل کہاں وقف کیے جائیں، ساتھ ہی ایسے شعبے جن میں اس کے ایگزیکٹوز خطرے کی ایک مخصوص سطح کے ساتھ آرام دہ ہیں۔ مثال کے طور پر، MOVEit جیسی اہم کمزوری، کاروبار کے ایک شعبے میں قابل قبول خطرے کی نمائندگی کر سکتی ہے، لیکن کسی دوسرے شعبے میں نہیں جس میں صفر سے کم سے کم الاؤنس کے ساتھ ٹائر ون سسٹمز پر اثر پڑتا ہے۔ سی آئی اے ٹرائیڈ رازداری، سالمیت، اور دستیابی. دیکھیں کہ آپ کی صنعت میں سب سے بڑی کمزوریاں کہاں ہیں اور حملوں کی وہ اقسام جو عام طور پر آپ کی جگہ میں کاروباروں کو خطرے کا اندازہ لگانے کے لیے نشانہ بناتے ہیں۔

2. لچکدار، قابل حصول اہداف طے کریں۔

اگلا مرحلہ آپ کے خطرے کی تشخیص کی بنیاد پر قابل حصول سیکورٹی پالیسیاں ترتیب دینا ہے، جو کہ بڑھتی ہوئی پیش رفت پر توجہ مرکوز کرتی ہیں۔ آپ راتوں رات 50% خطرات سے 95% تک کود نہیں سکتے۔ یہ سمجھنا ضروری ہے کہ آپ کے ہدف کو حاصل کرنے کے لیے جو وسائل درکار ہوں گے اور 85% کے مقابلے کل پیچنگ کا ہدف بنا کر آپ کن مواقع کو ترک کر دیں گے۔ ان آخری چند نکات کو بند کرنا سرمایہ کاری کے قابل نہیں ہوسکتا ہے۔

ایک مستحکم ہدف طے کرنے اور کمال حاصل کرنے کی بجائے، پروگرام کو بہتر بنانے پر توجہ دیں جہاں آپ پہلے تھے۔ آپ کو جو سوالات پوچھنے چاہئیں وہ ہیں: کیا ہم صحیح سمت میں آگے بڑھ رہے ہیں؟ کیا پروگرام بہتر ہو رہا ہے؟ کیا ہم مجموعی طور پر خطرے کو کم کر رہے ہیں؟

3. باقاعدگی سے دوبارہ جائزہ لیں۔

چونکہ کمزوریاں اور حملے کے طریقے ہمیشہ بدلتے رہتے ہیں، اس لیے سیکیورٹی رہنماؤں کو خطرے کی بھوک اور سیکیورٹی کی پالیسیوں کا دوبارہ جائزہ لینے کے لیے وسیع تر کاروبار کے ساتھ باقاعدگی سے بات چیت کرنی چاہیے۔ کم از کم، یہ ہر سال کیا جانا چاہئے. اس بات کا دوبارہ جائزہ لیں کہ آیا اہداف معلوم خطرات اور خطرے کی رواداری کے ساتھ ہم آہنگ ہیں، اور تجارت کے بارے میں شعوری فیصلے کریں۔

مثال کے طور پر، آپ اس بات کا تعین کر سکتے ہیں کہ 85 دنوں کے اندر 10% اہم خطرات کو دور کرنا ممکن ہے۔ 90 فیصد تک پہنچنے کے لیے، X وسائل کی مقدار، جیسے الفاظ میں بیان کی گئی ہے۔ مالیاتی سرمایہ کاری، وقت، یا لوگ، کی ضرورت ہو گی. ان اضافی وسائل کے مقابلے میں آپ کو 85% خطرے کی قابل قبول سطح معلوم ہو سکتی ہے۔

ترقی کا مقصد، کمال نہیں۔

خطرے کے بارے میں فیصلے خلا میں نہیں کیے جانے چاہئیں۔ یہی وجہ ہے کہ سیکورٹی لیڈروں کو یہ ہونا ضروری ہے۔ دوسرے کاروباری رہنماؤں اور بورڈ کے ساتھ بات چیت. پایان لائن: اس صنعت میں کمال شاذ و نادر ہی حاصل کیا جا سکتا ہے، اور اس مطلق کا مقصد اچھے سے زیادہ نقصان پہنچا سکتا ہے۔ اس کے بجائے، ترقی کرنے پر توجہ مرکوز کریں. حقیقت پسندانہ اہداف طے کریں، وہاں پہنچنے کے لیے چھوٹے قدم اٹھائیں، اور اس وقت تک بار کو بڑھاتے رہیں جب تک کہ آپ خطرے میں کمی کی بہترین سطح پر نہ پہنچ جائیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes