NIS2 पहचान सुरक्षा के अनुरूप है

NIS2 अनुपालन प्राप्त करने के लिए, पहचान सुरक्षा एक महत्वपूर्ण भूमिका निभाती है। इससे दस में से पांच आवश्यकताओं का समाधान किया जा सकता है। इसलिए पहचान सुरक्षा को यूरोपीय संघ द्वारा निर्धारित सर्वोत्तम प्रथाओं में एक महत्वपूर्ण उपकरण के रूप में भी उल्लेख किया गया है। सेलप्वाइंट।

17 अक्टूबर, 2024 NIS2 नीति के लिए प्रभावी तिथि है। यदि कंपनियों ने अभी तक इसे लागू करना शुरू नहीं किया है, तो अब समय आ गया है।

सूचना प्रणालियों के लिए जोखिम विश्लेषण और सुरक्षा

सूचना प्रणालियों के लिए सुरक्षा अवधारणा में पहचान के लिए नियम शामिल होने चाहिए, जैसे

• सामान्य खातों के विपरीत नामित खातों का उपयोग;
• विशेषाधिकार प्राप्त खातों को नियंत्रित करना;
• न्यूनतम विशेषाधिकार और शून्य विश्वास के सिद्धांतों को लागू करना;
• सक्रिय रूप से जोखिम भरी पहुंच वाले व्यक्तियों की पहचान करना जो संगठन के लिए खतरा पैदा करते हैं।

कर्तव्यों का पृथक्करण (एसओडी) भी व्यावसायिक जोखिमों को नियंत्रित करने और रोकने में महत्वपूर्ण भूमिका निभाता है। इन नियमों की प्रभावशीलता को जोखिम में कमी के संदर्भ में मापा जाना चाहिए। पहचान सुरक्षा आईटी पहुंच की वास्तविकता और नीति विचलन का पता लगाने और सही करने के लिए उपकरणों की अंतर्दृष्टि प्रदान करती है।

आपूर्ति श्रृंखला सुरक्षा

NIS2 का एक अन्य महत्वपूर्ण पहलू आपूर्ति श्रृंखला सुरक्षा है। आपूर्तिकर्ताओं, विक्रेताओं, भागीदारों, ठेकेदारों और अन्य जैसे गैर-कर्मचारियों की पहचान पर हमलों से कंपनियों को अप्रत्यक्ष रूप से खतरा बढ़ रहा है। आपूर्तिकर्ता पर एक सफल हमले के परिणामस्वरूप कंपनी स्वयं समझौता कर सकती है और, कुछ मामलों में, कार्य करने में सक्षम नहीं रह सकती है। इस प्रकार का आपूर्ति श्रृंखला हमला मैलवेयर या रैंसमवेयर हमलों की तुलना में अधिक आम होता जा रहा है और इसे बहुत गंभीरता से लिया जाना चाहिए। सेवा प्रदाताओं, आपूर्तिकर्ताओं, सलाहकारों या भागीदारों सहित सभी पहचानों को प्रबंधित और संरक्षित करना महत्वपूर्ण है। यह सुनिश्चित करना हमेशा महत्वपूर्ण होता है कि आपको केवल उन संसाधनों तक पहुंच प्राप्त हो जिनकी आपको सही समय पर आवश्यकता है।

जोखिम प्रबंधन उपायों की प्रभावशीलता

संगठनों को अक्सर अपने सुरक्षा उपायों की प्रभावशीलता का मूल्यांकन करने या इन उपायों के बावजूद बनी रहने वाली कमजोरियों की पहचान करने में कठिनाई होती है। बहुत से लोगों को अपने कर्मचारियों की भूमिका बदलने या कंपनी छोड़ने पर तुरंत उन तक पहुंच रद्द करना मुश्किल लगता है। यूरोपीय आयोग अनुशंसा करता है कि महत्वपूर्ण बुनियादी ढांचा ऑपरेटर शून्य विश्वास रणनीतियों और पहचान और पहुंच प्रबंधन को लागू करें। इस तरह के दृष्टिकोण का अर्थ है कि अधिकृत पार्टियों के पास केवल सबसे आवश्यक प्रणालियों तक पहुंच है - और सबसे कम संभव अधिकारों के साथ। यह भागीदार और ठेकेदार पहुंच के प्रबंधन के लिए आवश्यक हो सकता है।

बुनियादी साइबर स्वच्छता

ठोस साइबर स्वच्छता सुनिश्चित करने के लिए, कंपनियों को अपने सभी हार्डवेयर और सॉफ़्टवेयर का अवलोकन करना चाहिए - और इसे कौन एक्सेस कर सकता है। इसमें पासवर्ड स्वच्छता भी शामिल है. सभी खातों के लिए समान पासवर्ड का उपयोग करने वाले कर्मचारियों से बचने के लिए, कंपनियां पहचान प्रशासन पर भरोसा कर सकती हैं: यह संभावित सुरक्षा और अनुपालन जोखिमों को कम करते हुए लगातार बढ़ते और बदलते आईटी वातावरण तक स्वचालित पहुंच सुनिश्चित करता है।

NIS2 नीति के लिए कर्मचारियों, भागीदारों और कंपनी के भीतर सभी को साइबर सुरक्षा पर प्रशिक्षित और संवेदनशील बनाने की भी आवश्यकता है। NIS2 कार्यान्वयन पर IDC की रिपोर्ट के अनुसार, तीन चौथाई यूरोपीय कंपनियों (72 प्रतिशत) को अभी भी अपने साइबर सुरक्षा प्रशिक्षण की पेशकश पर काम करने की आवश्यकता है।

अभिगम नियंत्रण और परिसंपत्ति प्रबंधन

NIS2 दिशानिर्देश "कर्मियों की सुरक्षा" को भी संदर्भित करता है। यह एक बहुत व्यापक क्षेत्र है, लेकिन यह यह भी दर्शाता है कि उपयोगकर्ताओं को प्रबंधित करना साइबर सुरक्षा का एक महत्वपूर्ण पहलू है। उपयोगकर्ताओं को लक्षित करना साइबर अपराधियों के लिए एक केंद्रीय तरीका है। भूमिका-आधारित पहुंच नियंत्रण - मानव और मशीन की पहचान - संबंधित उपयोगकर्ता की भूमिका के लिए विभिन्न संसाधनों और प्राधिकरण स्तरों का उपयोग करता है। यह कंपनियों को एक पहचान प्रशासन दृष्टिकोण अपनाने की अनुमति देता है जहां एआई और एमएल का उपयोग करके नीतियों को सक्रिय रूप से विकसित और कार्यान्वित किया जाता है। साथ ही, उपयोगकर्ता और एक्सेस किए जा रहे संसाधन दोनों के संदर्भ को भी शामिल किया जा सकता है। यह आईटी और सुरक्षा टीमों के लिए प्रबंधन बोझ को सरल बनाता है और यह सुनिश्चित कर सकता है कि साइबर अपराधियों द्वारा उनका शोषण करने से पहले कमजोरियों को कम किया जाए।

“उपयोगकर्ता पहुंच में वास्तविक समय की अंतर्दृष्टि पहचान सुरक्षा स्थिति के उन्नत संकेतक बना सकती है। यह विशेष रूप से स्वामित्व रहित या साझा खातों, गैर-निष्क्रिय खातों या उच्च विशेषाधिकार वाले खातों के लिए सच है। यह अप्रयुक्त अधिकारों और एक्सेस अधिकारों के संचय में भी मदद करता है जो कंपनी के लिए हानिकारक हो सकते हैं, ”सेलप्वाइंट के प्रमुख पहचान रणनीतिकार क्लाउस हिल्ड कहते हैं। “इससे उच्च जोखिम वाली स्थितियों की पहचान की जा सकती है और उपचारात्मक कार्रवाई को प्राथमिकता दी जा सकती है। और एआई का उपयोग उपचारात्मक कार्रवाई के लिए अतिरिक्त अंतर्दृष्टि और विशिष्ट सुझाव उत्पन्न करने में मदद करता है। परिणामस्वरुप प्रतिक्रिया समय काफी कम हो जाता है और समग्र रूप से उच्च स्तर की सुरक्षा प्राप्त होती है। यदि पहुंच की वास्तविकता के बारे में अधिक जानकारी हो तो बेहतर आईटी सुरक्षा निर्णय लिए जा सकते हैं।''

SailPoint.com पर और अधिक

 

---

सेलपॉइंट के बारे में

SailPoint आधुनिक उद्यम के लिए पहचान सुरक्षा में अग्रणी है। उद्यम सुरक्षा पहचान और उन तक पहुंच के साथ शुरू और समाप्त होती है, लेकिन पहचान को प्रबंधित करने और सुरक्षित करने की क्षमता अब मानवीय क्षमताओं से परे है। आर्टिफिशियल इंटेलिजेंस और मशीन लर्निंग द्वारा संचालित, सेलपॉइंट आइडेंटिटी सिक्योरिटी प्लेटफॉर्म सही समय पर सही पहचान और संसाधनों तक पहुंच का सही स्तर प्रदान करता है।

---

विषय से संबंधित लेख