आईटी सुरक्षा और गृह कार्यालय के क्षेत्र में, बोझ कंपनियों के पक्ष में वितरित नहीं किया जाता है: जबकि उन्हें अपने पूरे आईटी परिदृश्य में खतरे की स्थिति के लिए उपयुक्त सभी सुरक्षा उपाय लगातार करने पड़ते हैं, हमलावरों के लिए एक छोटी भेद्यता हो सकती है भारी क्षति पहुँचाना।
कंपनी में या घर के कार्यालय में असुरक्षित एंड डिवाइस, क्लाउड और IaaS एप्लिकेशन, खराब सुरक्षित नेटवर्क या वर्ल्ड वाइड वेब पर सर्फिंग करने वाले हैकर्स के लिए कंपनियों में घुसपैठ करने और डेटा चोरी करने के कई अवसर खोलते हैं। चूंकि बाद वाले को आसानी से मुद्रीकृत किया जा सकता है, साइबर अपराधियों के पास अपनी हमले की तकनीकों को परिष्कृत करने और जहां तक संभव हो सके उन्हें अपनी लक्षित कंपनियों के अनुरूप बनाने के लिए उच्च प्रेरणा होती है। इन सभी मोर्चों पर संभावित कमजोरियों को बंद करना और उन्हें अभेद्य बनाए रखना संगठनों के लिए एक चुनौतीपूर्ण प्रयास है।
दूरस्थ कार्य या गृह कार्यालय और अंदरूनी गतिविधियों के जोखिम
यह अर्थव्यवस्था में प्रगति कर रहे डिजिटलीकरण से तेज है। यह विकास आय के नुकसान से बचने और प्रतिस्पर्धात्मकता सुनिश्चित करने के लिए सभी परिस्थितियों में डिजिटल व्यापार प्रक्रियाओं को बनाए रखने की आवश्यकता लाता है। कार्य संस्कृति के संदर्भ में डिजिटीकरण ने भी लंबे समय से एक महत्वपूर्ण भूमिका निभाई है: एक अभिनव, रचनात्मक कार्य वातावरण बनाने की आशा में, न्यू वर्क मूवमेंट कर्मचारियों को उनके काम के घंटे और स्थान (घर कार्यालय) पर आत्मनिर्णय देने के लिए डिजिटल उपलब्धियों का उपयोग करता है। विशेष रूप से युवा पीढ़ियों के लिए, कहां और कब काम करना है, यह चुनने में सक्षम होना उनके करियर के फैसलों में महत्वपूर्ण भूमिका निभाता है। मौजूदा महामारी संकट के साथ, जिसमें पूरे कार्यबल को दूरस्थ कार्य पर स्विच करना पड़ा, कई कंपनियों में यह बहस फिर से एक नई तीव्रता पर पहुंच गई है।
गृह कार्यालय सुरक्षा जोखिम
आईटी सुरक्षा के दृष्टिकोण से, हालांकि, यह पता चला है कि कंपनी के स्थान के बाहर हर एक कर्मचारी अपने साथ एक बढ़ा हुआ सुरक्षा जोखिम लाता है, जो तदनुसार गुणा करता है, और अधिक कर्मचारी बाहर से काम करते हैं। अंदरूनी लोगों से सुरक्षा जोखिम किसी भी तरह से कंपनियों के लिए नया नहीं है, न ही उनकी पृष्ठभूमि: औद्योगिक जासूसी या व्यक्तिगत लाभ जैसे दुर्भावनापूर्ण इरादों वाले कर्मचारियों को डिजिटलीकरण से पहले ही कॉर्पोरेट सुरक्षा अवधारणाओं, विशेष रूप से विनियमित उद्योगों में पहले से ही ध्यान में रखा गया था। हालाँकि, डिजिटल युग में, कंपनी के भीतर कंपनी के डेटा को देखने और चोरी करने की संभावनाएँ कहीं अधिक विविध होती जा रही हैं।
तदनुसार, अधिकृत उपयोगकर्ताओं, जैसे कि घर या कार्यालय से काम करने वाले कर्मचारियों के साथ-साथ बाहरी सेवा प्रदाताओं, जिनकी आईटी प्रणाली तक पहुंच है, से भी जोखिम बढ़ गया है। यह माना जा सकता है कि अधिकांश डेटा हानि दुर्भावनापूर्ण मंशा से कम और लापरवाही या असावधानी से अधिक होती है। उदाहरण के लिए, वे असुरक्षित वाईफाई नेटवर्क में डायल कर सकते हैं, अपने असुरक्षित व्यक्तिगत उपकरणों का उपयोग कर सकते हैं, लॉगिन क्रेडेंशियल खो सकते हैं या चलते-फिरते एक्सेस करते समय संदिग्ध लिंक पर क्लिक कर सकते हैं।
जीरो ट्रस्ट - लेकिन काम के माहौल की कीमत पर नहीं
इसलिए अंदरूनी लोगों द्वारा उत्पन्न खतरा उनके उपयोगकर्ता गतिविधियों के परिणामस्वरूप होने वाले नुकसान की तुलना में उनके व्यक्तिगत उद्देश्यों में कम है। सामरिक सुरक्षा दृष्टिकोण के रूप में "शून्य विश्वास" की अधिकतम अनुशंसा की जाती है। यह इस विचार पर आधारित है कि अंदरूनी लोगों को नुकसान का वही खतरा होता है, जो बुरे इरादों वाले बाहरी हमलावरों को होता है।
दूसरी ओर, यह धारणा है कि नवाचार को बढ़ावा देने वाली एक भरोसेमंद कार्य संस्कृति द्वारा, अन्य बातों के अलावा, कंपनियों की प्रतिस्पर्धात्मकता सकारात्मक रूप से प्रभावित होती है। IaaS, SaaS या वेब एप्लिकेशन, उदाहरण के लिए, लचीले एक्सेस विकल्पों के लिए एक सुखद कार्य वातावरण में योगदान करते हैं, क्योंकि कर्मचारी अपनी आवश्यकताओं के अनुसार उनका उपयोग कर सकते हैं। सुरक्षा सुनिश्चित करने के लिए कठोर दिशानिर्देशों के माध्यम से उपयोग के व्यवहार को महत्वपूर्ण रूप से प्रतिबंधित करना प्रतिकूल होगा। यदि कर्मचारी लगातार चिंतित रहते हैं कि उनके डिजिटल व्यवहार से नुकसान हो सकता है, तो वे अपनी उत्पादकता में खुद को सीमित कर सकते हैं। इसलिए कंपनियों की उत्पादकता और सुरक्षा के बीच तालमेल बिठाने वाली सही रूपरेखा स्थितियों को बनाने में महत्वपूर्ण रुचि है - यहां तक कि चरम स्थितियों में भी जैसे कि पूरे कार्यबल के लिए दूरस्थ कार्य।
इसलिए चुनौती जीरो ट्रस्ट के सिद्धांतों को प्रभावी ढंग से लागू करने की है। यह स्थान-स्वतंत्र सुरक्षा उपायों के साथ किया जा सकता है जो यह सुनिश्चित करते हैं कि केवल उचित रूप से अधिकृत कर्मचारियों को ही सही समय पर कंपनी संसाधनों तक पहुंच प्रदान की जाती है।
SASE: क्लाउड और नेटवर्क सुरक्षा के लिए लचीली अवधारणा
क्लाउड कंप्यूटिंग और मोबाइल उपकरणों के कारण बदलते उपयोगकर्ता व्यवहार के कारण क्लासिक नेटवर्क सुरक्षा समाधान तेजी से अपनी सीमा तक पहुंच रहे हैं, विशेष रूप से दूरस्थ कार्य में। सार्वजनिक क्लाउड एप्लिकेशन, उदाहरण के लिए, किसी भी उपयोगकर्ता के लिए, किसी भी उपकरण पर और दुनिया में कहीं से भी स्वतंत्र रूप से उपलब्ध हैं। जबकि ऐप प्रदाता अपने बुनियादी ढांचे की सुरक्षा सुनिश्चित करते हैं, यह ग्राहकों पर निर्भर है कि वे संभावित डेटा हानि के विरुद्ध अपने उपयोग की रक्षा करें। दूसरी ओर, कॉर्पोरेट फ़ायरवॉल डेटा के प्रवाह को गंभीर रूप से धीमा कर सकते हैं यदि बड़ी संख्या में उपयोगकर्ता वीपीएन कनेक्शन के माध्यम से नेटवर्क में डायल करते हैं। क्लाउड प्रॉक्सी SWG के लिए ट्रैफ़िक को बैकहॉलिंग करने से विलंबता-प्रवण नेटवर्क हॉप हो सकता है और उपयोगकर्ता की गोपनीयता का उल्लंघन भी हो सकता है क्योंकि सभी उपयोगकर्ता सामग्री का निरीक्षण प्रॉक्सी पर किया जाता है, जिसमें व्यक्तिगत क्रेडेंशियल्स भी शामिल हैं।
इसके अलावा, प्रत्येक कंपनी की आईटी आवश्यकताएँ अत्यंत विशिष्ट हैं और सुरक्षा उपायों के कार्यान्वयन को हमेशा व्यक्तिगत परिस्थितियों के अनुकूल होना चाहिए। सिक्योर एक्सेस सर्विस एज (एसएएसई) प्लेटफॉर्म इस संबंध में उच्च स्तर का लचीलापन प्रदान करते हैं। भौतिक उपकरणों के विपरीत, जो नेटवर्क परिधि पर ध्यान केंद्रित करते हैं, ये क्लाउड से प्रदान किए जाते हैं और सभी उपयोगकर्ताओं, ऐप्स, वेब लक्ष्य और ऑन-प्रिमाइसेस संरचनाओं में एक समान स्तर की सुरक्षा बनाते हैं। वहाँ कंपनियों के लिए सेवाएँ उपलब्ध हैं, जो अनिवार्य रूप से निम्नलिखित तकनीकों पर आधारित हैं:
CASBs - क्लाउड एक्सेस सिक्योरिटी ब्रोकर्स
क्लाउड एक्सेस सिक्योरिटी ब्रोकर्स (CASBs) यह नियंत्रित करते हैं कि क्लाउड एप्लिकेशन और IaaS प्लेटफॉर्म कैसे साझा किए जाते हैं और उपयोगकर्ता उन्हें कैसे और कब एक्सेस कर सकते हैं। वे डेटा के लिए दृश्यता और नियंत्रण प्रदान करते हैं, साथ ही डेटा के लिए इनलाइन / रीयल-टाइम सुरक्षा प्रदान करते हैं, जबकि इसे एक्सेस किया जा रहा है और क्लाउड पर ट्रांज़िट किया जा रहा है। सीएएसबी तकनीक एसएएसई प्लेटफॉर्म को क्लाउड डेटा को एन्क्रिप्ट करने, संपादन और क्वारंटाइन जैसे डीएलपी कार्यों से लीक को रोकने और अपलोड, डाउनलोड और क्लाउड में आराम करने के दौरान मैलवेयर को ब्लॉक करने में सक्षम बनाती है।
ऑन-डिवाइस सुरक्षित वेब गेटवे
डिवाइस-इंटरनल सिक्योर वेब गेटवे (एसडब्ल्यूजी) के साथ, सभी क्लाउड ट्रैफिक को डिक्रिप्ट किया जाता है और एंडपॉइंट पर चेक किया जाता है। उपयोगकर्ता की गोपनीयता की रक्षा करते हुए, क्लाउड पर केवल सुरक्षा घटनाएं अपलोड की जाती हैं। क्योंकि भौतिक उपकरण या क्लाउड प्रॉक्सी के लिए कोई संक्रमण (नेटवर्क हॉप) नहीं है, विलंबता कम हो जाती है। संदेहास्पद URL और अप्रबंधित एप्लिकेशन तक पहुँचने से पहले उन्हें ब्लॉक कर दिया जाता है, और सामग्री तक कर्मचारी की पहुँच को श्रेणी, लक्ष्य विश्वास, उपयोगकर्ता समूह, डिवाइस प्रकार और स्थान जैसे चर द्वारा नियंत्रित किया जाता है।
जीरो ट्रस्ट नेटवर्क एक्सेस
जीरो ट्रस्ट नेटवर्क एक्सेस (जेडटीएनए) एक ऐसी तकनीक है जो ऑन-प्रिमाइसेस संसाधनों में संवेदनशील डेटा की सुरक्षा के लिए उपयुक्त एक्सेस कंट्रोल को स्वचालित करती है। प्रमुख एसएएसई प्लेटफॉर्म ब्राउज़र अनुप्रयोगों के लिए एजेंट रहित जेडटीएनए की पेशकश करते हैं, साथ ही एसएसएच और रिमोट डेस्कटॉप जैसे मोटे क्लाइंट अनुप्रयोगों को सुरक्षित करने के लिए मानक एजेंट-आधारित जेडटीएनए भी प्रदान करते हैं। एक बार जब उपयोगकर्ता SSO के माध्यम से प्रमाणित हो जाते हैं और उनका ट्रैफ़िक प्रॉक्सी हो जाता है, तो संवेदनशील एप्लिकेशन और फ़ाइलों तक सुरक्षित पहुँच सक्षम हो जाती है। डीएलपी और एटीपी जैसे सुरक्षा तंत्र वास्तविक समय में लागू होते हैं। जो उपयोक्ता प्रमाणित नहीं हैं या जिन पर भरोसा किया जाता है, उन्हें पहुंच से वंचित कर दिया जाता है।
आईटी सुरक्षा के लिए चुनौतियाँ और अंदरूनी खतरों से उत्पन्न जोखिम दूरस्थ कार्य और गृह कार्यालय में वृद्धि के कारण एक नया आयाम ले रहे हैं। कंपनी की प्रक्रियाओं में परिवर्तन और सहयोग के प्रकार में अधिक गतिशील खतरे की स्थिति होती है, जो आईटी वातावरण के डिजाइन पर पुनर्विचार करने पर जोर देती है। एसएएसई प्रौद्योगिकियां आवश्यक सुरक्षा के साथ डिजिटल रूप से आधुनिक कार्य संस्कृति को सक्षम करने के लिए पहले आशाजनक दृष्टिकोण का प्रतिनिधित्व करती हैं।
Bitglass.com पर और जानें[स्टारबॉक्स=4]