आईटी के लिए जिम्मेदार होना इस समय सबसे आसान काम नहीं है। जब, बाहरी हमलों के बारे में निरंतर चेतावनी और शून्य विश्वास सिद्धांतों की आवश्यकता के अलावा, आंतरिक अंदरूनी खतरों के बारे में भी चेतावनी दी जाती है, तो एक सीआईएसओ के रूप में आप खुद से पूछ सकते हैं कि आपको और किस पर भरोसा करना चाहिए।
अंदरूनी ख़तरे सभी प्रकार और आकार की कंपनियों के लिए एक वास्तविक समस्या हैं। इसका वर्तमान उदाहरण इलेक्ट्रिक कार निर्माता टेस्ला है: पिछले साल, गीगाफैक्ट्री बर्लिन-ब्रैंडेनबर्ग में, यूरोप भर के हजारों कर्मचारियों से 100 गीगाबाइट से अधिक संवेदनशील डेटा और वेतन जानकारी, साथ ही उत्पादों के साथ खराबी और समस्याओं के बारे में रिपोर्टें, सार्वजनिक किए गए - दो संदिग्ध टेस्ला के पूर्व कर्मचारी थे। उन्होंने डेटा के साथ खुद को समृद्ध करने के लिए ऐसा नहीं किया, बल्कि कंपनी के भीतर शिकायतों और सुरक्षा समस्याओं को इंगित करने के लिए ऐसा किया। फिर भी, व्हिसिलब्लोइंग एक डेटा उल्लंघन है जिसमें कर्मचारियों की जानकारी का प्रतिरूपण या इससे भी बदतर दुरुपयोग किया जा सकता है।
डेटा लीक आपके अस्तित्व के लिए ख़तरा है
ऐसे मामले हमेशा मौजूदा सुरक्षा सावधानियों से संबंधित होते हैं और पहुंच अधिकारों के करीबी प्रबंधन के माध्यम से इन्हें रोका जा सकता है। अन्यथा, आपराधिक ऊर्जा का स्पर्श और साइबर अपराधियों को संवेदनशील जानकारी या उनके एक्सेस डेटा को बेचने की इच्छा रखने वाला एक अलग-थलग कर्मचारी कंपनी के रहस्यों, ग्राहक डेटा और संभवतः पूरी कंपनी के अस्तित्व को खतरे में डालने के लिए पर्याप्त है। मामले को बदतर बनाने के लिए, मास्टरमाइंड की रणनीतियों में डार्कनेट पर सहयोगियों की भर्ती करना भी शामिल है। वे संवेदनशील लॉगिन जानकारी के बदले में दुष्ट या तुच्छ कर्मचारियों को बड़ी रकम की पेशकश करते हैं।
यदि खतरे पर्याप्त नहीं हैं, तो डेटा लीक अविश्वसनीय रूप से महंगा भी हो सकता है। इसमें न केवल कंपनी नेटवर्क में घुसपैठ और उसके बाद भयानक फिरौती की मांग के साथ रैंसमवेयर हमले का जोखिम है। डेटा सुरक्षा उल्लंघन की स्थिति में विधायिका भी शामिल हो जाती है। अधिकारियों को इसकी परवाह नहीं है कि नुकसान के लिए कोई अंदरूनी सूत्र, लापरवाह कर्मचारी या कोई अन्य डेटा लीक जिम्मेदार है: जो कोई भी डेटा खोएगा, उसे भुगतान करने के लिए कहा जाएगा। ईयू जीडीपीआर के अनुसार, इससे कंपनियों को 20 मिलियन यूरो या वैश्विक वार्षिक कारोबार का चार प्रतिशत तक का नुकसान हो सकता है। संविधान की सुरक्षा के लिए संघीय कार्यालय भी स्पष्ट रूप से आंतरिक अपराधियों से खतरे की चेतावनी देता है। प्रत्येक अंदरूनी धमकी जानबूझकर, दुर्भावनापूर्ण कार्यों का परिणाम नहीं है, और प्रत्येक कर्मचारी जो गलत कदम उठाता है वह सीधे तौर पर अपराधी नहीं है। अक्सर यह अनजाने में हुई गलतियाँ या ज्ञान की कमी होती है जो घटनाओं का कारण बनती है। इस समस्या के समाधान के लिए न केवल तकनीकी बल्कि पारस्परिक दृष्टिकोण की भी आवश्यकता है।
भूमिका आधारित अभिगम नियंत्रण
पहचान प्रबंधन का एक मुख्य हिस्सा: जब कर्मचारी अपनी नई नौकरी या नई स्थिति में पहुंचते हैं, तो उन्हें कंपनी में उनकी भूमिका और गतिविधि के आधार पर स्वचालित रूप से आवश्यक पहुंच अधिकार प्राप्त होते हैं। यह सुनिश्चित करता है कि सभी कर्मचारी और प्रबंधक केवल उन सूचनाओं और प्रणालियों तक पहुंच सकते हैं जिनकी उन्हें अपने काम के लिए आवश्यकता है। भूमिकाओं के आधार पर आवश्यक कर्मचारी पहुंच अधिकारों की मात्रा को कम करके, हमलावर की आवाजाही की स्वतंत्रता - तथाकथित विस्फोट त्रिज्या - अनधिकृत पहुंच की स्थिति में महत्वपूर्ण रूप से प्रतिबंधित है। यह हर परिदृश्य में दुष्ट कर्मचारियों को प्रतिबंधित करता है - भले ही वे कंपनी के अंदर या बाहर अपनी साख का दुरुपयोग करने की कोशिश कर रहे हों। एआई-संचालित समाधान आरबीएसी सिस्टम को नई ऊंचाइयों पर ले जा सकते हैं और उन्हें बुद्धिमान, संदर्भ-आधारित आवंटन और स्वचालन के साथ कुशलतापूर्वक प्रबंधित कर सकते हैं।
प्रिविलेज्ड एक्सेस मैनेजमेंट (PAM)
आरबीएसी के समान, पीएएम महत्वपूर्ण प्रणालियों और डेटा तक पहुंच को नियंत्रित करने में मदद करता है। विशेषाधिकार प्राप्त अनुमतियाँ निर्दिष्ट करना, प्रबंधित करना और निगरानी करना यह सुनिश्चित करता है कि केवल सीईओ, डेवलपर्स और नेटवर्क प्रशासक जैसे अधिकृत लोगों के पास ही अत्यधिक संवेदनशील जानकारी तक पहुंच हो। PAM और RBAC का उपयोग तुरंत यह निर्धारित करने के लिए भी किया जा सकता है कि क्या कई उपयोगकर्ताओं के एक्सेस अधिकार अचानक बढ़ गए हैं - उदाहरण के लिए, क्योंकि एक हैकर अपने साथियों को लक्ष्य संगठन के नेटवर्क तक पहुंच प्रदान करने के लिए चुराए गए उपयोगकर्ता खाते का उपयोग करना चाहता है।
जॉइनर-मूवर-लीवर सिस्टम
यह प्रणाली कंपनी में कर्मचारी पहचान के जीवनचक्र को नियंत्रित करती है। यह सुनिश्चित करता है कि जब कोई कर्मचारी शामिल होता है, स्थानांतरण करता है या छोड़ता है तो अनावश्यक सुरक्षा जोखिमों से बचने के लिए एक्सेस अधिकारों को तदनुसार समायोजित किया जाता है। मुख्य आकर्षण: आरबीएसी और पीएएम की तरह, आप बाहरी और आंतरिक दोनों हमलों से खुद को बचाते हैं। एक ओर, तथाकथित अनाथ खातों से बचा जाता है। ये ऐसे उपयोगकर्ता खाते हैं जो अब वास्तव में किसी कर्मचारी को नहीं सौंपे गए हैं, लेकिन दरारों से गुजरते हैं और अभी भी पहुंच अधिकार रखते हैं, कभी-कभी उच्च-स्तरीय होते हैं। ये हैकर्स के बीच लोकप्रिय हैं क्योंकि वे एक अच्छी तरह से सुसज्जित, वैध उपयोगकर्ता खाते के साथ आईटी सुरक्षा के रडार के तहत उड़ान भर सकते हैं। आइडेंटिटी गवर्नेंस एंड एडमिनिस्ट्रेशन (आईजीए) समाधान महत्वपूर्ण अनुकूलन को स्वचालित करते हैं और आरबीएसी और पीएएम फ़ंक्शन भी प्रदान करते हैं जो अनुपालन सुनिश्चित करते हैं और आईटी टीमों पर बोझ कम करते हैं। दूसरी ओर, यह उस स्थिति से बचता है जिसमें एक असंतुष्ट कर्मचारी, कंपनी छोड़ने के बाद, पुराने नियोक्ता को नुकसान पहुंचाने के लिए अपने एक्सेस डेटा का दुरुपयोग करता है या यहां तक कि उन्हें डार्कनेट पर संगठित अपराधियों को आकर्षक तरीके से बेचता है।
सॉफ़्टवेयर की श्वेत-श्याम सूची
स्वीकृत (श्वेतसूची) और अवांछित (ब्लैकलिस्ट) सॉफ़्टवेयर को निर्दिष्ट करने से कॉर्पोरेट नेटवर्क पर मैलवेयर पेश किए जाने या अनधिकृत अनुप्रयोगों के उपयोग की संभावना कम हो जाती है। यह तथाकथित छाया आईटी और उपयोगकर्ता खातों के अनियंत्रित निर्माण पर रोक लगाता है। हालाँकि, कर्मचारियों को अपने दैनिक कार्य को आसान बनाने के लिए नए उपकरण खरीदने के लिए सुझाव प्रस्तुत करने के लिए आमंत्रित किया जाना चाहिए। जो कोई भी अपने स्वयं के कार्यबल को इस तथ्य के प्रति संवेदनशील बनाता है कि उनकी स्वयं की पहल पर डाउनलोड किए गए सॉफ़्टवेयर में दुर्भावनापूर्ण कोड हो सकता है, वह अनजाने अंदरूनी अपराधियों को रोक देगा।
प्रशिक्षण पाठ्यक्रम और कार्यशालाएं
खतरों को शुरुआत में ही ख़त्म करने के लिए, आपको उन्हें जानना और पहचानने में सक्षम होना होगा। साइबर अपराधियों की रणनीति इतनी तेजी से विकसित हो रही है कि किसी भी कर्मचारी से नवीनतम घोटालों के शीर्ष पर बने रहने की उम्मीद नहीं की जा सकती है। कम से कम GenKI की संभावनाओं के लिए धन्यवाद, फ़िशिंग ईमेल अब भरोसेमंद प्रमुख ब्रांडों के ईमेल की ऐसी प्रामाणिक नकल बन गए हैं कि गलती से किसी दूषित लिंक पर क्लिक करना और इस तरह अनजाने में हैकर का सहयोगी बनना बहुत आसान है। आधुनिक फ़िशिंग और सोशल इंजीनियरिंग तरीकों पर नियमित प्रशिक्षण, जैसे आवाज़ों की एआई प्रतिकृति का उपयोग करके वॉयस फ़िशिंग, और खतरे के संकेतकों का पता लगाना, इन जोखिमों के बारे में कर्मचारियों की जागरूकता को मजबूत करता है और उन्हें उन्हें पहचानना सिखाता है। वे एक उपयोगी टीम निर्माण उपाय हैं जो कर्मचारियों के बीच विश्वास को मजबूत कर सकते हैं।
उपयोगकर्ता गतिविधि की निगरानी और शून्य विश्वास
शून्य विश्वास दृष्टिकोण हर आधुनिक आईटी सुरक्षा समाधान का मूल सिद्धांत बन गया है और अच्छे कारण के साथ: यह सभी प्रकार के पहुंच दुरुपयोग का विरोधी है। 'किसी पर भरोसा मत करो और अगर करो भी तो पर्याप्त जांच-पड़ताल के बाद ही', यही मूलमंत्र है। हालाँकि, सामान्य और संदिग्ध उपयोग व्यवहार के बीच अंतर करना मुश्किल हो सकता है। इसलिए असामान्य या अनधिकृत पहुंच प्रयासों का शीघ्र पता लगाने के लिए लॉगिन व्यवहार की निगरानी करना और पहचान पहुंच प्रबंधन (आईएएम) सिस्टम और बहु-कारक प्रमाणीकरण (एमएफए) का उपयोग करना महत्वपूर्ण है। ऐसी प्रणालियाँ नुकसान पहुंचाने से पहले अंदरूनी खतरों की पहचान करने में मदद करती हैं और किसी भी संगठन की हमले की सतह को नाटकीय रूप से कम करती हैं।
कर्मचारी कल्याण
सुरक्षा संस्कृति का अक्सर अनदेखा किया जाने वाला पहलू कर्मचारी कल्याण है। नियमित चेक-इन और कर्मचारियों को यह महसूस कराना कि उनकी राय और चिंताओं को गंभीरता से लिया जा रहा है, जानबूझकर या अनजाने में कर्मचारियों के सुरक्षा खतरा बनने के जोखिम को कम करने में मदद कर सकता है। साथ ही, इससे कार्यबल के बीच सुरक्षा उपायों को गंभीरता से लेने और अपनी और अपने कार्य वातावरण की सुरक्षा के लिए सावधान रहने की प्रेरणा बढ़ती है। कर्मचारियों के बीच आंतरिक संघर्ष भी तोड़फोड़ के कृत्यों में एक निर्णायक कारक हो सकता है। खुले संचार, मध्यस्थता और मध्यस्थता के माध्यम से इसे रोकना अंततः न केवल कामकाजी माहौल में मदद करता है, बल्कि अनुपालन में भी मदद करता है। क्योंकि अगर कर्मचारियों के साथ सम्मानपूर्वक व्यवहार किया जाता है और उनकी बात सुनी जाती है तो उन्हें नियोक्ता के खिलाफ क्यों होना चाहिए?
अंदरूनी खतरों के विरुद्ध मानवता और प्रौद्योगिकी
अंदरूनी ख़तरे एक बढ़ता ख़तरा है, लेकिन इसका मतलब यह नहीं है कि एक भरोसेमंद कॉर्पोरेट संस्कृति को एक जासूसी थ्रिलर में बदल दिया जाएगा, जहां हर कोई एक साथ मिलकर काम करता है और कोई भी किसी पर भरोसा नहीं करता है। अंदरूनी खतरे की रोकथाम के लिए बस एक व्यापक दृष्टिकोण की आवश्यकता होती है जिसमें तकनीकी पहुंच प्रबंधन उपाय और सकारात्मक कॉर्पोरेट संस्कृति को बढ़ावा देना दोनों शामिल हैं। पहचान प्रबंधन छाता उन सभी उपकरणों को भी एक साथ लाता है जिनकी सीआईएसओ और आईटी प्रबंधकों को जोखिम के आंतरिक स्रोतों को तुरंत पहचानने और खत्म करने के लिए आवश्यकता होती है। हालाँकि, अनजाने या नियोजित अंदरूनी खतरों से निपटने का सबसे प्रभावी साधन अभी भी वे कर्मचारी हैं जो अपने नियोक्ता के प्रति अच्छे व्यवहार वाले हैं और जिनके पास धोखाधड़ी के लिए प्रशिक्षित नज़र भी है।
Omada.com पर और अधिक
ओमाडा के बारे में
2000 में स्थापित, ओमाडा हमारे सिद्ध सर्वोत्तम अभ्यास प्रक्रिया ढांचे और कार्यान्वयन दृष्टिकोण के आधार पर जटिल हाइब्रिड वातावरण के लिए अभिनव पहचान प्रबंधन प्रदान करता है।
विषय से संबंधित लेख