COMMENTARY
سائبر کرائمینلز کے بڑھتے ہوئے جدید ہتھکنڈوں کے ساتھ ساتھ آنے والے کئی ضابطوں پر غور کرتے وقت فریق ثالث کے خطرے کو کم کرنا مشکل معلوم ہو سکتا ہے۔ تاہم، زیادہ تر تنظیموں کے پاس ان کے خیال سے زیادہ ایجنسی اور لچک ہوتی ہے۔ فریق ثالث کے رسک مینجمنٹ کو موجودہ رسک گورننس کے طریقوں اور سیکیورٹی کنٹرولز کے اوپر بنایا جا سکتا ہے جو فی الحال کمپنی میں نافذ ہیں۔ اس ماڈل کے بارے میں یقین دہانی کرنے والی بات یہ ہے کہ اس کا مطلب ہے کہ تنظیموں کو فریق ثالث کے خطرے کو کامیابی کے ساتھ کم کرنے کے لیے اپنے موجودہ تحفظ کو مکمل طور پر ختم کرنے کی ضرورت نہیں ہے - اور یہ بتدریج، مسلسل بہتری کی ثقافت کی حوصلہ افزائی کرتا ہے۔
فریق ثالث کا خطرہ تنظیموں کے لیے ایک منفرد چیلنج پیش کرتا ہے۔ سطح پر، کوئی تیسرا فریق قابل اعتماد ظاہر ہو سکتا ہے۔ لیکن اس تھرڈ پارٹی وینڈر کے اندرونی کاموں میں مکمل شفافیت کے بغیر، کوئی تنظیم یہ کیسے یقینی بنا سکتی ہے کہ ان کے سپرد کردہ ڈیٹا محفوظ ہے؟
اکثر، تنظیمیں اپنے تیسرے فریق کے دکانداروں کے ساتھ دیرینہ تعلقات کی وجہ سے اس اہم سوال کو کم کرتی ہیں۔ چونکہ انہوں نے 15 سالوں سے فریق ثالث فروش کے ساتھ کام کیا ہے، اس لیے انہیں "ہڈ کے نیچے دیکھنے" کا کہہ کر اپنے تعلقات کو خطرے میں ڈالنے کی کوئی وجہ نظر نہیں آئے گی۔ تاہم، سوچ کی یہ لائن خطرناک ہے - سائبر واقعہ اس وقت یا جہاں اس کی کم سے کم توقع کی جاتی ہے حملہ کر سکتا ہے۔
ایک بدلتا ہوا منظر
جب ڈیٹا کی خلاف ورزی ہوتی ہے، تو نہ صرف ادارے پر جرمانہ عائد کیا جا سکتا ہے، بلکہ ذاتی نتائج بھی جاری کیے جا سکتے ہیں۔ آخری سال، ایف ڈی آئی سی نے فریق ثالث کے خطرے سے متعلق اپنے رہنما خطوط کو سخت کر دیا۔، دوسری صنعتوں کو اس کی پیروی کرنے کے لئے اسٹیج ترتیب دینا۔ مصنوعی ذہانت جیسی نئی ٹیکنالوجیز کے ظہور کے ساتھ، کسی تیسرے فریق کی طرف سے ڈیٹا کے غلط انتظام کے نتائج سنگین ہو سکتے ہیں۔ آنے والے ضابطے ان سنگین نتائج کی عکاسی کریں گے جن کے لیے سخت سزائیں جاری کی جائیں گی جنہوں نے مضبوط کنٹرول نہیں بنائے ہیں۔
نئے ضوابط کے علاوہ، چوتھے اور یہاں تک کہ پانچویں پارٹی کے دکانداروں کے ابھرنے سے تنظیموں کو ان کے بیرونی ڈیٹا کو محفوظ بنانے کی ترغیب دینی چاہیے۔ سافٹ ویئر اتنا سادہ، اندرونی عمل نہیں ہے جو 10 سال پہلے تھا — آج، ڈیٹا بہت سے ہاتھوں سے گزرتا ہے، اور ڈیٹا چین میں ہر ایک لنک کے ساتھ، حفاظتی خطرات بڑھ جاتے ہیں جبکہ نگرانی زیادہ مشکل ہو جاتی ہے۔ مثال کے طور پر، فریق ثالث کے وینڈر پر مناسب مستعدی سے کام کرنا بہت کم فائدہ مند ہے اگر جانچ شدہ فریق ثالث نجی کلائنٹ کا ڈیٹا لاپرواہ چوتھے فریق کو دے دیتا ہے اور تنظیم اس سے لاعلم ہے۔
باکس سے باہر کے پانچ آسان اقدامات
صحیح روڈ میپ کے ساتھ، تنظیمیں۔ تیسری پارٹی کے خطرے کو کامیابی سے کم کر سکتا ہے۔. اب بھی بہتر، مہنگی اور خلل ڈالنے والی ٹیک سرمایہ کاری ہمیشہ ضروری نہیں ہوتی۔ اس کے ساتھ شروع کرنے کے لیے، مناسب مستعدی کا مظاہرہ کرتے وقت تنظیموں کو جس چیز کی ضرورت ہوتی ہے وہ ہے ایک سمجھدار منصوبہ، قابل عملہ جو خریدنے کے لیے تیار ہو، اور IT، سیکورٹی اور کاروباری ٹیموں کے درمیان رابطے میں اضافہ ہو۔
پہلا قدم وینڈر لینڈ سکیپ کو اچھی طرح سمجھنا ہے۔ اگرچہ یہ واضح نظر آتا ہے، بہت سی تنظیمیں، خاص طور پر بڑی کمپنیاں جن کا بجٹ آؤٹ سورس ہے، اس اہم قدم کو نظر انداز کر دیتے ہیں۔ اگرچہ عجلت میں فریق ثالث کے وینڈر تعلقات قائم کرنے سے قلیل مدت میں رقم کی بچت ہو سکتی ہے، لیکن اگر ڈیٹا کی خلاف ورزی ہوتی ہے اور تنظیم کو بھاری جرمانے کا سامنا کرنا پڑتا ہے تو وہ تمام بچتیں مٹ جائیں گی۔
وینڈر کی زمین کی تزئین کی تحقیق کرنے کے بعد، تنظیموں کو یہ طے کرنا چاہیے کہ فریق ثالث کے کون سے کردار "اہم" ہیں — یہ کردار عملی طور پر اہم ہو سکتے ہیں یا حساس ڈیٹا پر کارروائی کر سکتے ہیں۔ تنقید کی بنیاد پر، وینڈرز کو درجوں کے لحاظ سے گروپ کیا جانا چاہیے، جس سے اس بات میں لچک پیدا ہوتی ہے کہ تنظیم کس طرح وینڈر کا جائزہ، جائزہ اور انتظام کرتی ہے۔
دکانداروں کو ان کی تنقید کے لحاظ سے چھانٹنا اس بات پر روشنی ڈال سکتا ہے کہ ان کے تیسرے فریق کے دکانداروں پر زیادہ انحصار کرنے والی تنظیمیں ہوسکتی ہیں۔ ان تنظیموں کو خود سے پوچھنا چاہیے: اگر یہ رشتہ اچانک ختم ہو جائے تو کیا ہمارے پاس بیک اپ پلان ہے؟ بغیر کسی رکاوٹ کے روزانہ کی کارروائیوں کو جاری رکھتے ہوئے ہم اس فنکشن کو کیسے بدلیں گے؟
تیسرا مرحلہ گورننس کے لیے ایک منصوبہ تیار کرنا ہے۔ مؤثر طریقے سے مستعدی کو انجام دینے اور خطرے کا انتظام کرنے کے لیے کسی تنظیم کے تین اہم بازوؤں کے درمیان ہم آہنگی ہونی چاہیے — سیکیورٹی ٹیم وینڈر کے سیکیورٹی پروگرام میں سوراخوں پر روشنی ڈالتی ہے، قانونی ٹیم قانونی خطرے کا تعین کرتی ہے، اور کاروباری ٹیم منفی جھڑپ کی پیش گوئی کرتی ہے۔ آپریشنز پر اثر اگر ڈیٹا یا آپریشنز سے سمجھوتہ کیا جاتا ہے۔ ٹھوس گورننس بنانے کی کلید کسی تنظیم کی منفرد ضروریات کے مطابق منصوبہ بندی کرنا ہے۔ یہ خاص طور پر کم ریگولیٹڈ صنعتوں میں تنظیموں پر لاگو ہوتا ہے۔
حکمرانی کے مرحلے میں معاہدہ کی ذمہ داریوں کا مسودہ شامل کیا گیا ہے۔ مثال کے طور پر، اکثر کلاؤڈ کمپیوٹنگ میں، کاروباری رہنما غلطی سے معاہدے پر دستخط کرنے میں جلدی کرتے ہیں یہ سمجھے بغیر کہ بعض حفاظتی اقدامات بیس لائن پیکج میں شامل ہو سکتے ہیں یا نہیں۔ معاہدے کی ذمہ داریاں اکثر صنعت پر منحصر ہوتی ہیں، لیکن ایک معیاری حفاظتی شق بھی تیار کی جانی چاہیے۔ مثال کے طور پر، اگر ہم کسی ڈیلیوری کمپنی کا جائزہ لے رہے ہیں، تو ہو سکتا ہے کہ وینڈر کے سافٹ ویئر ڈویلپمنٹ لائف سائیکل (SDLC) کے عمل پر کم توجہ دی جائے اور ان کے لچکدار اقدامات کے بارے میں زیادہ توجہ دی جائے۔ تاہم، اگر ہم کسی سافٹ ویئر کمپنی کا جائزہ لے رہے ہیں، تو ہم وینڈر کے SDLC کے عمل پر توجہ مرکوز کرنا چاہیں گے، جیسے کہ کوڈ کا جائزہ کیسے لیا جاتا ہے اور پروڈکشن کو آگے بڑھانے کے لیے حفاظتی اقدامات کیسا لگتا ہے۔
آخر میں، تنظیموں کو باہر نکلنے کی حکمت عملی تیار کرنے کی ضرورت ہے۔ ایک تنظیم کسی تیسرے فریق سے صاف طور پر الگ کیسے ہوتی ہے جبکہ اس بات کو یقینی بناتی ہے کہ ان کے کلائنٹ کے ڈیٹا کو صاف کیا گیا ہے؟ ایسے معاملات ہوئے ہیں جہاں ایک کمپنی کسی وینڈر کے ساتھ تعلقات منقطع کر لیتی ہے تاکہ برسوں بعد انہیں یہ اطلاع دی جائے کہ ان کے سابقہ پارٹنر کو ڈیٹا میں سمجھوتہ ہوا ہے اور ان کے کلائنٹ کا ڈیٹا بے نقاب ہو گیا ہے - اس مفروضے کے تحت ہونے کے باوجود کہ یہ ڈیٹا مٹا دیا گیا ہے۔ کہانی کا اخلاق: فرض نہ کریں۔ حادثاتی ڈیٹا کی خلاف ورزی کے علاوہ، اس بات کا بھی امکان ہے کہ فریق ثالث فروش اندرونی ترقی کے لیے سابق پارٹنر کا ڈیٹا استعمال کریں گے، جیسے کہ اس ڈیٹا کو مشین لرننگ ماڈل بنانے کے لیے استعمال کرنا۔ تنظیموں کو واضح، مخصوص، اور قانونی طور پر پابند شرائط میں یہ بتا کر اس کی روک تھام کرنی چاہیے کہ شراکت داری ختم ہونے کی صورت میں وینڈرز ڈیٹا کو کیسے مٹا دیں گے، اور اگر ایسا نہیں کیا تو اس کے کیا نتائج ہوں گے۔
مشترکہ ذمہ داری اور مسلسل بہتری کا کلچر بنائیں
مناسب مستعدی کو انجام دینے کے لئے ایک ٹیم کے نقطہ نظر کو اپنانے کا مطلب ہے کہ چیف انفارمیشن سیکیورٹی آفیسر (CISO) کو فریق ثالث فروش کو خطرے سے بچانے کی ذمہ داری پوری طرح سے اٹھانے کی ضرورت نہیں ہے۔ دی SolarWinds کے خلاف SEC کے الزامات ایک متعلقہ نظیر قائم کریں - ایک CISO زوال کو لے سکتا ہے، یہاں تک کہ اگر مسئلہ تنظیمی سطح پر خرابی کی وجہ سے پیدا ہو۔ اگر IT اور کاروباری ٹیمیں فریق ثالث کے دکانداروں کی جانچ کرنے میں CISO کی مدد کرتی ہیں، تو یہ مستقبل میں کراس ٹیم کے تعاون کا مرحلہ طے کرتی ہے، تنظیم کی خریداری کو بڑھاتی ہے، اور جب سیکورٹی کی بات آتی ہے تو بہتر نتائج پیدا کرتی ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- : ہے
- : نہیں
- :کہاں
- 10
- 15 سال
- 15٪
- 7
- a
- ہمارے بارے میں
- حادثاتی
- شامل کیا
- اعلی درجے کی
- کے خلاف
- ایجنسی
- پہلے
- تمام
- کی اجازت دیتا ہے
- بھی
- ہمیشہ
- an
- اور
- ظاہر
- قابل اطلاق
- نقطہ نظر
- کیا
- ہتھیار
- مصنوعی
- مصنوعی ذہانت
- AS
- پوچھنا
- سے پوچھ
- تشخیص
- فرض کرو
- مفروضہ
- At
- بیک اپ
- کی بنیاد پر
- بیس لائن
- BE
- کیونکہ
- ہو جاتا ہے
- رہا
- کیا جا رہا ہے
- فائدہ
- اس کے علاوہ
- بہتر
- کے درمیان
- بائنڈنگ
- فروغ دیتا ہے
- خلاف ورزی
- بجٹ
- تعمیر
- تعمیر
- کاروبار
- کاروباری قائدین
- لیکن
- خرید
- by
- فون
- کر سکتے ہیں
- صلاحیت رکھتا
- مقدمات
- بند کرو
- کچھ
- چین
- چیلنج
- تبدیل کرنے
- بوجھ
- چیف
- CISO
- واضح
- کلائنٹ
- بادل
- کلاؤڈ کمپیوٹنگ
- کوڈ
- تعاون
- باہمی تعاون کے ساتھ
- آتا ہے
- مواصلات
- کمپنیاں
- کمپنی کے
- مکمل
- سمجھوتہ
- سمجھوتہ کیا
- کمپیوٹنگ
- بارہ
- نتائج
- پر غور
- جاری
- مسلسل
- کنٹریکٹ
- معاہدہ
- کنٹرول
- مہنگی
- مل کر
- تخلیق
- تخلیق
- اہم
- تنقید
- اہم
- ثقافت
- اس وقت
- سائبر
- cybercriminals
- خطرناک
- اعداد و شمار
- ڈیٹا کی خلاف ورزی
- دن بہ دن
- ترسیل
- انحصار
- کے باوجود
- اس بات کا تعین
- یہ تعین
- ترقی
- ترقی یافتہ
- ترقی
- مشکل
- محتاج
- سنگین
- خلل ڈالنے والا
- do
- کرتا
- نہیں
- کر
- ڈان
- دو
- ہر ایک
- اثر
- مؤثر طریقے
- خروج
- حوصلہ افزائی
- ختم ہونے
- کو یقینی بنانے کے
- کو یقینی بنانے ہے
- ہستی
- سپرد
- خاص طور پر
- قیام
- کا جائزہ لینے
- بھی
- واقعہ
- مثال کے طور پر
- موجودہ
- باہر نکلیں
- ترکیب، حکمت عملی سے باہر نکلیں
- توقع
- ظاہر
- بیرونی
- چہرے
- گر
- fdic
- جرمانہ
- سروں
- پہلا
- پانچ
- لچک
- توجہ مرکوز
- پر عمل کریں
- کے لئے
- سابق
- چوتھے نمبر پر
- سے
- مکمل طور پر
- تقریب
- مستقبل
- گورننس
- بتدریج
- ہدایات
- ہاتھوں
- ہے
- جنت
- اونچا
- اونچائی
- سوراخ
- ہڈ
- کس طرح
- تاہم
- HTTPS
- if
- عملدرآمد
- بہتری
- in
- حوصلہ افزائی
- واقعہ
- شامل
- موصولہ
- شامل
- اضافہ
- دن بدن
- صنعتوں
- صنعت
- معلومات
- انفارمیشن سیکورٹی
- اندرونی
- مثال کے طور پر
- انٹیلی جنس
- اندرونی
- میں
- سرمایہ کاری
- نہیں
- جاری
- جاری
- IT
- میں
- خطرے میں ڈالنا
- فوٹو
- کلیدی
- زمین کی تزئین کی
- بڑے
- آخری
- آخری سال
- بعد
- رہنماؤں
- سیکھنے
- کم سے کم
- قانونی
- قانونی ٹیم
- قانونی طور پر
- کم
- زندگی کا دورانیہ
- روشنی
- کی طرح
- لائن
- LINK
- تھوڑا
- ll
- دیرینہ
- دیکھو
- دیکھنا
- مشین
- مشین لرننگ
- مین
- انتظام
- انتظام
- انتظام کرتا ہے
- بہت سے
- مئی..
- کا مطلب ہے کہ
- اقدامات
- شاید
- تخفیف کریں
- تخفیف کرنا
- ماڈل
- ماڈل
- قیمت
- اخلاقی
- زیادہ
- سب سے زیادہ
- ضروری
- ضروری
- ضرورت ہے
- ضروریات
- منفی
- نئی
- نئی ٹیکنالوجی
- نہیں
- فرائض
- واضح
- of
- اکثر
- on
- صرف
- آپریشنز
- or
- تنظیم
- تنظیمیں
- دیگر
- نتائج
- آؤٹ لک
- نگرانی
- پیکج
- پارٹنر
- شراکت داری
- پارٹی
- گزرتا ہے
- جرمانے
- انجام دیں
- کارکردگی کا مظاہرہ
- ذاتی
- کارمک
- منصوبہ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- امکان
- پریکٹس
- طریقوں
- مثال۔
- پیش گوئیاں
- تحفہ
- دبانے
- کی روک تھام
- نجی
- مسئلہ
- عمل
- عمل
- پیدا کرتا ہے
- پیداوار
- پروگرام
- مناسب
- تحفظ
- پش
- سوال
- RE
- وجہ
- یقین دہانی کرائی
- وصول
- کی عکاسی
- باضابطہ
- ریگولیٹڈ صنعتیں
- ضابطے
- تعلقات
- تعلقات
- کی جگہ
- کی ضرورت ہے
- ذمہ داری
- نتائج کی نمائش
- -جائزہ لیا
- جائزہ
- ٹھیک ہے
- رسک
- رسک مینجمنٹ
- سڑک موڈ
- کردار
- اچانک حملہ کرنا
- s
- تحفظات
- محفوظ کریں
- بچت
- بغیر کسی رکاوٹ کے
- SEC
- محفوظ بنانے
- سیکورٹی
- حفاظتی اقدامات
- سیکیورٹی کے خطرات
- دیکھنا
- لگتا ہے
- حساس
- علیحدہ
- سنگین
- مقرر
- سیٹ
- قائم کرنے
- مشترکہ
- بہانے
- چمکتا ہے
- مختصر مدت کے
- ہونا چاہئے
- دستخط کی
- سادہ
- سافٹ ویئر کی
- سوفٹ ویئر کی نشوونما
- ٹھوس
- مخصوص
- اسٹیج
- شروع کریں
- جس میں لکھا
- تنوں
- مرحلہ
- مراحل
- ابھی تک
- کہانی
- حکمت عملی
- ہڑتال
- ہڑتالیں
- مضبوط
- کامیابی کے ساتھ
- اس طرح
- کا سامنا
- سوٹ
- حمایت
- سطح
- مطابقت
- حکمت عملی
- درزی
- لے لو
- ٹیم
- ٹیموں
- ٹیک
- ٹیکنالوجی
- شرائط
- سے
- کہ
- ۔
- ان
- ان
- خود
- وہاں.
- یہ
- وہ
- لگتا ہے کہ
- سوچنا
- تھرڈ
- تیسری پارٹی
- اس
- مکمل
- اچھی طرح سے
- ان
- خطرات
- تین
- کے ذریعے
- تعلقات
- کرنے کے لئے
- آج
- سب سے اوپر
- شفافیت
- قابل اعتماد
- بے خبر
- کے تحت
- سمجھ
- افہام و تفہیم
- منفرد
- استعمال کی شرائط
- کا استعمال کرتے ہوئے
- Ve
- وینڈر
- دکانداروں
- جانچ پڑتال
- چاہتے ہیں
- تھا
- we
- اچھا ہے
- تھے
- کیا
- جب
- جس
- جبکہ
- ڈبلیو
- گے
- تیار
- ساتھ
- بغیر
- کام کیا
- کام
- گا
- سال
- سال
- زیفیرنیٹ