سنبرسٹ جیسی نفیس خلاف ورزیاں (عرف سولر ونڈز ہیک جس نے 2020 کے آخر میں سرخیاں بنائیں) تیسری پارٹی کے پلیٹ فارمز سے وابستہ خطرے کو کافی حد تک واضح کر دیتے ہیں۔ جدید تنظیمیں SaaS کے لیے بہت سے فریق ثالث پر انحصار کر رہی ہیں - فنانس سے لے کر سپلائی چین سے لے کر IT سروس مینجمنٹ (ITSM) تک۔
آپریشن کے نقطہ نظر سے، یہ بہت اچھا ہے. تنظیمیں "لائٹس آن رکھنے" پر کم اور اپنی بنیادی قدر کی تجاویز پر زیادہ توجہ مرکوز کرتی ہیں۔ تاہم، ایک غیر آرام دہ سیکورٹی ٹریڈ آف بھی ہے۔ اگر آپ پلیٹ فارم کو کنٹرول نہیں کرتے ہیں، تو آپ اپنے — یا اپنے گاہک کے — ڈیٹا کو مکمل طور پر کنٹرول نہیں کرتے، جس میں سیکیورٹی اور تعمیل کے مضمرات ہوتے ہیں۔ اسی طرح، اہم کاروباری افعال کی دستیابی اکثر متعدد بیرونی پلیٹ فارمز پر منحصر ہوتی ہے، جن میں سے اکثر ناکامی کا ایک ہی نقطہ ہو سکتے ہیں۔
بہت سی تنظیموں کے لیے، صرف پیچیدہ انحصاروں کو نیویگیٹ کرنا اور خطرے کی بھوک اور تخفیف کو واضح طور پر بیان کرنا حقیقی چیلنجز ہیں۔ تھرڈ پارٹی گورننس اینڈ رسک مینجمنٹ (ٹی پی جی آر ایم) کا مقصد فریق ثالث کے تعلقات سے پیدا ہونے والے خطرات کا تجزیہ کرکے اور اس پر مستعدی سے کام کرکے اس مسئلے کو حل کرنا ہے۔
اگرچہ TPGRM/TPRM ٹولز کی کافی مقدار موجود ہے، مؤثر رسک مینجمنٹ صرف ٹیک سے زیادہ لیتا ہے۔ ٹی پی جی آر ایم کے لیے ڈیلوئٹ کا تین قدمی عمل TPGRM فریم ورک کا فائدہ اٹھانے کے لیے درکار تبدیلی کی حقیقت پسندانہ خرابی فراہم کرتا ہے۔ اقدامات کا خلاصہ کرنے کے لیے:
- خطرے اور حکمرانی کی پوزیشننگ کو تبدیل کریں: یہ قدم کسی تنظیم میں خطرے کی از سر نو تشکیل سے متعلق ہے۔ روایتی طور پر، خطرہ کچھ ایسا رہا ہے۔ کا خاتمہ. اسے ہمیں کچھ بننے کی ضرورت ہے۔ انتظام.
- خطرے کی بھوک اور دفاعی خطوط کو سمجھیں: اگلا مرحلہ مختلف سیاق و سباق میں کسی تنظیم کی خطرے کی بھوک کو کم کرنے اور ان خطرات کے خلاف دفاعی خطوط کی نشاندہی کرنا ہے۔
- ایک TPGRM فریم ورک قائم کریں: یہ وہ جگہ ہے جہاں ربڑ سڑک سے ٹکراتا ہے۔ تنظیموں کو ایسی حکمت عملیوں پر عمل درآمد کرنا چاہیے جو لوگوں، عمل اور ٹیکنالوجی سے فائدہ اٹھائیں تاکہ خطرے کا انتظام کرنے اور قدر کی فراہمی میں مدد ملے۔
واضح طور پر، TPGRM کے ایک بڑے حصے کے لیے انسانوں کی طرف سے کوالٹی ان پٹ کی ضرورت ہوگی، جیسے کہ حکمت عملی تیار کرنا یا تفصیلی آڈٹ کرنا۔ اس نے کہا، ہم جیسے ڈرائیوروں کی بدولت مزید آٹومیشن کی طرف تبدیلی کی توقع کر سکتے ہیں۔ سائبر انشورنس جو سائبر کیوب جیسے تجزیاتی پلیٹ فارمز کے ساتھ خطرے کو کم کرنے کے لیے فعال طور پر معیارات اور قابل پیمائش طریقے تیار کر رہے ہیں۔
TPGRM میٹرکس کی مقدار درست کرنا
اس بات کو ذہن میں رکھتے ہوئے، میں آنے والے سالوں میں حفاظتی پورٹلز اور ڈیش بورڈز کے استعمال کو دیکھنے کی توقع رکھتا ہوں جو TPGRM میٹرکس میں اضافے کی مقدار کو درست کرتے ہیں۔ یہ پورٹل رسک مینجمنٹ کے لیے وہ کام کریں گے جو اپ ٹائم مانیٹرنگ پلیٹ فارمز جیسے اپ ٹائم روبوٹ اور پنگڈم ویب سائٹ کی نگرانی کے لیے کرتے ہیں: انتہائی اہم میٹرکس کو آسانی سے ہضم کرنے والے طریقے سے رول اپ کریں۔ ویب سائٹ کی نگرانی کی دنیا کی طرح، ہم تمام حلوں میں نفاست اور گہرائی کی مختلف سطح دیکھیں گے، لیکن "ٹیبل اسٹیک" میٹرکس کی ایک معیاری بیس لائن سامنے آئے گی۔
ہم پہلے ہی دیکھ رہے ہیں کہ SafeBase جیسے پلیٹ فارمز یہاں سیکورٹی کے سوالناموں کو خودکار بنا کر اور دکانداروں کو متعدد زمروں میں سیکورٹی پوزیشن کا اشتراک کرنے کے قابل بنا کر کافی ترقی کرتے ہیں۔ رسک مینجمنٹ کمپنی پریویلنٹ آئی ٹی حل اور خدمات دونوں کی فراہمی پر توجہ مرکوز کرتے ہوئے اسی طرح کے مسائل حل کر رہی ہے۔
مزید برآں، مخصوص صنعتوں میں ٹی پی جی آر ایم کے مسائل کو حل کرنے کے لیے کم توجہ کے ساتھ حل پہلے ہی آٹومیشن کا فائدہ اٹھا رہے ہیں۔ مثال کے طور پر، SignalX بھارت میں مالی اور قانونی تجزیہ کے مسئلے کو حل کر رہا ہے تاکہ تنظیموں کو دکانداروں کے ساتھ معاہدوں یا شراکت داری میں داخل ہونے سے پہلے بہتر طور پر مستعدی کا مظاہرہ کرنے کے قابل بنایا جا سکے۔
بنیادی طور پر، یہ حل TPGRM اسپیس میں معیاری کاری اور آٹومیشن کی طرف وسیع تر رجحان کو ظاہر کرتے ہیں۔ اکیلے ٹولز تھرڈ پارٹی رسک مینجمنٹ کو حل نہیں کر رہے ہیں، لیکن تھرڈ پارٹی رسک میں خودکار مرئیت کی ابھرتی ہوئی ضرورت ہے، اور یہی وہ جگہ ہے جہاں TPGRM ٹیک حقیقی اثر ڈال سکتی ہے۔
آنے والے سالوں میں، میں توقع کرتا ہوں کہ خلا میں جیتنے والے ایسے ٹولز ہوں گے جو سائبر انشورنس کے لیے درکار TPGRM میٹرکس اور نسبتاً ناپختہ TPGRM فریم ورک کے نفاذ کے ساتھ ساتھ ان تنظیموں کے لیے تعمیل کے لیے ضروری ٹولز ہوں گے جو "جا سکتے ہیں۔ گہری" اور انٹرپرائزز کے لیے AI/ML کا استعمال کرتے ہوئے تفصیلی تجزیہ فراہم کرتا ہے۔
حصہ 1 پڑھیں، جو پوچھتا ہے: کیا EDR کی جگہ لے گا۔.
