فریق ثالث کے خطرے کو کم کرنے کے لیے ایک باہمی تعاون کے ساتھ مکمل نقطہ نظر کی ضرورت ہوتی ہے۔

COMMENTARY

سائبر کرائمینلز کے بڑھتے ہوئے جدید ہتھکنڈوں کے ساتھ ساتھ آنے والے کئی ضابطوں پر غور کرتے وقت فریق ثالث کے خطرے کو کم کرنا مشکل معلوم ہو سکتا ہے۔ تاہم، زیادہ تر تنظیموں کے پاس ان کے خیال سے زیادہ ایجنسی اور لچک ہوتی ہے۔ فریق ثالث کے رسک مینجمنٹ کو موجودہ رسک گورننس کے طریقوں اور سیکیورٹی کنٹرولز کے اوپر بنایا جا سکتا ہے جو فی الحال کمپنی میں نافذ ہیں۔ اس ماڈل کے بارے میں یقین دہانی کرنے والی بات یہ ہے کہ اس کا مطلب ہے کہ تنظیموں کو فریق ثالث کے خطرے کو کامیابی کے ساتھ کم کرنے کے لیے اپنے موجودہ تحفظ کو مکمل طور پر ختم کرنے کی ضرورت نہیں ہے - اور یہ بتدریج، مسلسل بہتری کی ثقافت کی حوصلہ افزائی کرتا ہے۔ 

فریق ثالث کا خطرہ تنظیموں کے لیے ایک منفرد چیلنج پیش کرتا ہے۔ سطح پر، کوئی تیسرا فریق قابل اعتماد ظاہر ہو سکتا ہے۔ لیکن اس تھرڈ پارٹی وینڈر کے اندرونی کاموں میں مکمل شفافیت کے بغیر، کوئی تنظیم یہ کیسے یقینی بنا سکتی ہے کہ ان کے سپرد کردہ ڈیٹا محفوظ ہے؟

اکثر، تنظیمیں اپنے تیسرے فریق کے دکانداروں کے ساتھ دیرینہ تعلقات کی وجہ سے اس اہم سوال کو کم کرتی ہیں۔ چونکہ انہوں نے 15 سالوں سے فریق ثالث فروش کے ساتھ کام کیا ہے، اس لیے انہیں "ہڈ کے نیچے دیکھنے" کا کہہ کر اپنے تعلقات کو خطرے میں ڈالنے کی کوئی وجہ نظر نہیں آئے گی۔ تاہم، سوچ کی یہ لائن خطرناک ہے - سائبر واقعہ اس وقت یا جہاں اس کی کم سے کم توقع کی جاتی ہے حملہ کر سکتا ہے۔

ایک بدلتا ہوا منظر

جب ڈیٹا کی خلاف ورزی ہوتی ہے، تو نہ صرف ادارے پر جرمانہ عائد کیا جا سکتا ہے، بلکہ ذاتی نتائج بھی جاری کیے جا سکتے ہیں۔ آخری سال، ایف ڈی آئی سی نے فریق ثالث کے خطرے سے متعلق اپنے رہنما خطوط کو سخت کر دیا۔، دوسری صنعتوں کو اس کی پیروی کرنے کے لئے اسٹیج ترتیب دینا۔ مصنوعی ذہانت جیسی نئی ٹیکنالوجیز کے ظہور کے ساتھ، کسی تیسرے فریق کی طرف سے ڈیٹا کے غلط انتظام کے نتائج سنگین ہو سکتے ہیں۔ آنے والے ضابطے ان سنگین نتائج کی عکاسی کریں گے جن کے لیے سخت سزائیں جاری کی جائیں گی جنہوں نے مضبوط کنٹرول نہیں بنائے ہیں۔

نئے ضوابط کے علاوہ، چوتھے اور یہاں تک کہ پانچویں پارٹی کے دکانداروں کے ابھرنے سے تنظیموں کو ان کے بیرونی ڈیٹا کو محفوظ بنانے کی ترغیب دینی چاہیے۔ سافٹ ویئر اتنا سادہ، اندرونی عمل نہیں ہے جو 10 سال پہلے تھا — آج، ڈیٹا بہت سے ہاتھوں سے گزرتا ہے، اور ڈیٹا چین میں ہر ایک لنک کے ساتھ، حفاظتی خطرات بڑھ جاتے ہیں جبکہ نگرانی زیادہ مشکل ہو جاتی ہے۔ مثال کے طور پر، فریق ثالث کے وینڈر پر مناسب مستعدی سے کام کرنا بہت کم فائدہ مند ہے اگر جانچ شدہ فریق ثالث نجی کلائنٹ کا ڈیٹا لاپرواہ چوتھے فریق کو دے دیتا ہے اور تنظیم اس سے لاعلم ہے۔

باکس سے باہر کے پانچ آسان اقدامات

صحیح روڈ میپ کے ساتھ، تنظیمیں۔ تیسری پارٹی کے خطرے کو کامیابی سے کم کر سکتا ہے۔. اب بھی بہتر، مہنگی اور خلل ڈالنے والی ٹیک سرمایہ کاری ہمیشہ ضروری نہیں ہوتی۔ اس کے ساتھ شروع کرنے کے لیے، مناسب مستعدی کا مظاہرہ کرتے وقت تنظیموں کو جس چیز کی ضرورت ہوتی ہے وہ ہے ایک سمجھدار منصوبہ، قابل عملہ جو خریدنے کے لیے تیار ہو، اور IT، سیکورٹی اور کاروباری ٹیموں کے درمیان رابطے میں اضافہ ہو۔

پہلا قدم وینڈر لینڈ سکیپ کو اچھی طرح سمجھنا ہے۔ اگرچہ یہ واضح نظر آتا ہے، بہت سی تنظیمیں، خاص طور پر بڑی کمپنیاں جن کا بجٹ آؤٹ سورس ہے، اس اہم قدم کو نظر انداز کر دیتے ہیں۔ اگرچہ عجلت میں فریق ثالث کے وینڈر تعلقات قائم کرنے سے قلیل مدت میں رقم کی بچت ہو سکتی ہے، لیکن اگر ڈیٹا کی خلاف ورزی ہوتی ہے اور تنظیم کو بھاری جرمانے کا سامنا کرنا پڑتا ہے تو وہ تمام بچتیں مٹ جائیں گی۔

وینڈر کی زمین کی تزئین کی تحقیق کرنے کے بعد، تنظیموں کو یہ طے کرنا چاہیے کہ فریق ثالث کے کون سے کردار "اہم" ہیں — یہ کردار عملی طور پر اہم ہو سکتے ہیں یا حساس ڈیٹا پر کارروائی کر سکتے ہیں۔ تنقید کی بنیاد پر، وینڈرز کو درجوں کے لحاظ سے گروپ کیا جانا چاہیے، جس سے اس بات میں لچک پیدا ہوتی ہے کہ تنظیم کس طرح وینڈر کا جائزہ، جائزہ اور انتظام کرتی ہے۔

دکانداروں کو ان کی تنقید کے لحاظ سے چھانٹنا اس بات پر روشنی ڈال سکتا ہے کہ ان کے تیسرے فریق کے دکانداروں پر زیادہ انحصار کرنے والی تنظیمیں ہوسکتی ہیں۔ ان تنظیموں کو خود سے پوچھنا چاہیے: اگر یہ رشتہ اچانک ختم ہو جائے تو کیا ہمارے پاس بیک اپ پلان ہے؟ بغیر کسی رکاوٹ کے روزانہ کی کارروائیوں کو جاری رکھتے ہوئے ہم اس فنکشن کو کیسے بدلیں گے؟

تیسرا مرحلہ گورننس کے لیے ایک منصوبہ تیار کرنا ہے۔ مؤثر طریقے سے مستعدی کو انجام دینے اور خطرے کا انتظام کرنے کے لیے کسی تنظیم کے تین اہم بازوؤں کے درمیان ہم آہنگی ہونی چاہیے — سیکیورٹی ٹیم وینڈر کے سیکیورٹی پروگرام میں سوراخوں پر روشنی ڈالتی ہے، قانونی ٹیم قانونی خطرے کا تعین کرتی ہے، اور کاروباری ٹیم منفی جھڑپ کی پیش گوئی کرتی ہے۔ آپریشنز پر اثر اگر ڈیٹا یا آپریشنز سے سمجھوتہ کیا جاتا ہے۔ ٹھوس گورننس بنانے کی کلید کسی تنظیم کی منفرد ضروریات کے مطابق منصوبہ بندی کرنا ہے۔ یہ خاص طور پر کم ریگولیٹڈ صنعتوں میں تنظیموں پر لاگو ہوتا ہے۔

حکمرانی کے مرحلے میں معاہدہ کی ذمہ داریوں کا مسودہ شامل کیا گیا ہے۔ مثال کے طور پر، اکثر کلاؤڈ کمپیوٹنگ میں، کاروباری رہنما غلطی سے معاہدے پر دستخط کرنے میں جلدی کرتے ہیں یہ سمجھے بغیر کہ بعض حفاظتی اقدامات بیس لائن پیکج میں شامل ہو سکتے ہیں یا نہیں۔ معاہدے کی ذمہ داریاں اکثر صنعت پر منحصر ہوتی ہیں، لیکن ایک معیاری حفاظتی شق بھی تیار کی جانی چاہیے۔ مثال کے طور پر، اگر ہم کسی ڈیلیوری کمپنی کا جائزہ لے رہے ہیں، تو ہو سکتا ہے کہ وینڈر کے سافٹ ویئر ڈویلپمنٹ لائف سائیکل (SDLC) کے عمل پر کم توجہ دی جائے اور ان کے لچکدار اقدامات کے بارے میں زیادہ توجہ دی جائے۔ تاہم، اگر ہم کسی سافٹ ویئر کمپنی کا جائزہ لے رہے ہیں، تو ہم وینڈر کے SDLC کے عمل پر توجہ مرکوز کرنا چاہیں گے، جیسے کہ کوڈ کا جائزہ کیسے لیا جاتا ہے اور پروڈکشن کو آگے بڑھانے کے لیے حفاظتی اقدامات کیسا لگتا ہے۔ 

آخر میں، تنظیموں کو باہر نکلنے کی حکمت عملی تیار کرنے کی ضرورت ہے۔ ایک تنظیم کسی تیسرے فریق سے صاف طور پر الگ کیسے ہوتی ہے جبکہ اس بات کو یقینی بناتی ہے کہ ان کے کلائنٹ کے ڈیٹا کو صاف کیا گیا ہے؟ ایسے معاملات ہوئے ہیں جہاں ایک کمپنی کسی وینڈر کے ساتھ تعلقات منقطع کر لیتی ہے تاکہ برسوں بعد انہیں یہ اطلاع دی جائے کہ ان کے سابقہ ​​پارٹنر کو ڈیٹا میں سمجھوتہ ہوا ہے اور ان کے کلائنٹ کا ڈیٹا بے نقاب ہو گیا ہے - اس مفروضے کے تحت ہونے کے باوجود کہ یہ ڈیٹا مٹا دیا گیا ہے۔ کہانی کا اخلاق: فرض نہ کریں۔ حادثاتی ڈیٹا کی خلاف ورزی کے علاوہ، اس بات کا بھی امکان ہے کہ فریق ثالث فروش اندرونی ترقی کے لیے سابق پارٹنر کا ڈیٹا استعمال کریں گے، جیسے کہ اس ڈیٹا کو مشین لرننگ ماڈل بنانے کے لیے استعمال کرنا۔ تنظیموں کو واضح، مخصوص، اور قانونی طور پر پابند شرائط میں یہ بتا کر اس کی روک تھام کرنی چاہیے کہ شراکت داری ختم ہونے کی صورت میں وینڈرز ڈیٹا کو کیسے مٹا دیں گے، اور اگر ایسا نہیں کیا تو اس کے کیا نتائج ہوں گے۔

مشترکہ ذمہ داری اور مسلسل بہتری کا کلچر بنائیں 

مناسب مستعدی کو انجام دینے کے لئے ایک ٹیم کے نقطہ نظر کو اپنانے کا مطلب ہے کہ چیف انفارمیشن سیکیورٹی آفیسر (CISO) کو فریق ثالث فروش کو خطرے سے بچانے کی ذمہ داری پوری طرح سے اٹھانے کی ضرورت نہیں ہے۔ دی SolarWinds کے خلاف SEC کے الزامات ایک متعلقہ نظیر قائم کریں - ایک CISO زوال کو لے سکتا ہے، یہاں تک کہ اگر مسئلہ تنظیمی سطح پر خرابی کی وجہ سے پیدا ہو۔ اگر IT اور کاروباری ٹیمیں فریق ثالث کے دکانداروں کی جانچ کرنے میں CISO کی مدد کرتی ہیں، تو یہ مستقبل میں کراس ٹیم کے تعاون کا مرحلہ طے کرتی ہے، تنظیم کی خریداری کو بڑھاتی ہے، اور جب سیکورٹی کی بات آتی ہے تو بہتر نتائج پیدا کرتی ہے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach