क्रेडेंशियल भेद्यता: पहचान और पहुंच प्रबंधन के लिए सर्वोत्तम अभ्यास। जब पासवर्ड की बात आती है, तो कंपनियों की ऑनलाइन उपस्थिति एक व्यापक डिजिटल हमले की सतह की पेशकश करती है, जिसे साइबर हमलावर कई तरह से तोड़ सकते हैं।
यदि वे किसी खाते के लिए वैध एक्सेस डेटा चुराने में सफल हो जाते हैं, तो वे अपहृत पहचान का उपयोग मूल्यवान डेटा चुराने या कॉर्पोरेट वातावरण में और नुकसान पहुँचाने के लिए कर सकते हैं। एक कामकाजी दुनिया में जो तेजी से दूरस्थ कार्य की विशेषता है, डिजिटल पहचान की सुरक्षा और विश्वसनीयता नई प्रासंगिकता प्राप्त कर रही है। पहचान के भौतिक रूपों की तरह ही, डिजिटल पहचान को भी दुरुपयोग, चोरी और धोखाधड़ी से मज़बूती से सुरक्षित किया जाना चाहिए। हालाँकि, डिजिटल फ़िंगरप्रिंट और सभी निशान जो उपयोगकर्ता और संगठन इंटरनेट पर पीछे छोड़ देते हैं, अत्यधिक व्यक्तिगत और अत्यंत विविध हैं। यह पहचान की सुरक्षा और कॉर्पोरेट डिजिटल संपत्ति को अनधिकृत पहुंच से बेहद जटिल बनाता है।
साख हमेशा जोखिम में हैं
बड़ी मात्रा में ग्राहक डेटा एकत्र और संग्रहीत करने वाली कंपनियों के लिए, डेटा सुरक्षा और ब्रांड प्रतिष्ठा निकट से जुड़ी हुई हैं। एक भरोसेमंद रिश्ता व्यावसायिक रिश्तों का एक अनिवार्य हिस्सा है। डेटा सुरक्षा नियमों द्वारा इस संपत्ति को डिजिटल संदर्भ में भी मजबूत किया जाता है। जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) कंपनियों को व्यक्तिगत डेटा को संभालने के लिए एक सख्त ढांचा निर्धारित करता है और प्रसंस्करण कंपनियों के लिए सूचना और अधिसूचना दायित्वों के साथ निजी व्यक्तियों के अधिकारों की रक्षा करता है। ग्राहक डेटा के संबंध में देखभाल के कर्तव्य का उल्लंघन या इसके नुकसान के लिए कंपनियों पर जुर्माना लगाया जा सकता है। एक अनुभव जो मैरियट होटल श्रृंखला को बनाना था: साइबर अपराधियों ने दो कर्मचारियों के खातों को हैक कर लिया था और इस प्रकार वे होटल के मेहमानों के खातों तक पहुँचने में सक्षम थे। क्योंकि इस सुरक्षा उल्लंघन का वर्षों तक पता नहीं चला, उपभोक्ताओं की संख्या 300 मिलियन से अधिक हो गई। ब्रिटिश सूचना आयुक्त कार्यालय (ICO) ने मूल रूप से 110 मिलियन यूरो से अधिक का जुर्माना लगाया था, जिसे मैरियट की सहयोग करने की व्यापक इच्छा और अन्य निर्णयों को ध्यान में रखते हुए घटाकर 20 मिलियन कर दिया गया था।
वास्तव में, हैकिंग की घटनाओं का एक बड़ा हिस्सा खोई हुई या चोरी की गई साख के कारण होता है। दुर्भाग्य से, नियमित अंतराल पर पासवर्ड बदलने की रणनीति का आमतौर पर सीमित प्रभाव होता है, क्योंकि कई उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं। कई, जटिल पासवर्ड याद रखने में कठिनाई और असुविधा के कारण पासवर्ड का पुन: उपयोग एक सामान्य दुर्व्यवहार बन गया है। हालांकि, इससे हैक होने की स्थिति में नुकसान का खतरा काफी बढ़ जाता है।
पासवर्ड जोखिमों के खिलाफ पहचान और पहुंच प्रबंधन
पासवर्ड हमेशा एक जोखिम होते हैं, चाहे उनका आकार, जटिलता या विशिष्टता कुछ भी हो। कंपनियों को अपनी आईटी सुरक्षा रणनीतियों में इस तथ्य को ध्यान में रखना चाहिए। अपने निजी पासवर्ड की आदतों को अपने काम के माहौल में स्थानांतरित करने वाले कर्मचारियों के विकास को मजबूत प्रमाणीकरण नियंत्रणों के साथ प्रतिकार किया जा सकता है। कुशलता से खतरों को कम करने और डेटा सुरक्षा नियमों का पालन करने के लिए, पहचान और पहुंच प्रबंधन (आईएएम) के माध्यम से लॉगिन प्रक्रिया को और अधिक सुरक्षित बनाया जाना चाहिए। इसमें निम्नलिखित तत्व होने चाहिए:
मल्टी-फैक्टर ऑथेंटिकेशन (MFA) और सिंगल साइन-ऑन (SSO) को सक्षम करना
ये सुविधाएँ एक सहज उपयोगकर्ता लॉगिन अनुभव प्रदान करते हुए खाता समझौता के जोखिम को कम करने में मदद करती हैं। MFA सुरक्षा की एक अतिरिक्त परत बनाता है, उदाहरण के लिए पाठ संदेश के माध्यम से भेजे गए एसएमएस टोकन के माध्यम से या Google प्रमाणक जैसे तृतीय-पक्ष ऐप के माध्यम से। प्रमाणीकरण के दूसरे प्रकार के बिना, उपयोगकर्ता को सत्यापित नहीं किया जाएगा और उसे खाते तक पहुंच प्रदान नहीं की जाएगी। SSO उपयोगकर्ताओं को एकल पोर्टल में लॉग इन करके विभिन्न प्रकार के स्वतंत्र क्लाउड संसाधनों तक पहुँचने की अनुमति देता है। उपयोगकर्ताओं को सुरक्षित तरीके से केवल एक पासवर्ड याद रखने की सुविधा प्रदान की जा सकती है। उपयोगकर्ता को स्वचालित रूप से संकेत देकर, यदि आवश्यक हो तो पासवर्ड को नियमित अंतराल पर एक नए से बदल दिया जाना चाहिए।
नेटवर्क गतिविधियों के माध्यम से संदर्भ निर्धारण
यह निर्धारित करने के लिए कि क्या कोई उपयोगकर्ता वास्तव में वही है जो वे कहते हैं कि वे ऑनलाइन हैं, यह महत्वपूर्ण है कि कंपनियां विसंगतियों का पता लगाने के लिए नेटवर्क गतिविधि और अपने कर्मचारियों के व्यवहार की लगातार निगरानी करें। उदाहरण के लिए, यदि कोई कर्मचारी सोमवार से शुक्रवार सुबह 9 बजे अपने घर के आईपी पते से लॉग इन करता है, लेकिन शनिवार की शाम 22 बजे अचानक किसी दूसरे स्थान से लॉग इन करता है, तो यह व्यवहार संदिग्ध माना जाएगा। प्रसंग-आधारित, स्तरीय प्रमाणीकरण संगठनों को स्थान, उपकरण और दैनिक गतिविधियों के आधार पर उपयोगकर्ताओं की पहचान की पुष्टि करने में सक्षम बनाता है। यह कंपनियों को डेटा एक्सेस के लिए अधिक सुरक्षा भी देता है, चाहे वह कहीं भी हो।
जागरूकता लाएं
उपयुक्त तकनीकी समाधानों के बावजूद, शिक्षा और जागरूकता बढ़ाने के बिना एक सुरक्षा रणनीति अधूरी है। कंपनियों को अपने कर्मचारियों को यह समझाने की जरूरत है कि साइबर अपराधियों के लिए कथित रूप से अप्रासंगिक एक्सेस डेटा का क्या मूल्य हो सकता है, वे किस रणनीति का उपयोग करते हैं और कौन सी अनियमितताएं संदेह का आधार हैं। इससे कर्मचारियों के लिए अपने एक्सेस डेटा और डिजिटल पहचान की रक्षा करना आसान हो जाता है - और इस प्रकार, व्यापक अर्थों में, उनके ग्राहक।
कॉर्पोरेट वातावरण में, डिजिटल एक्सेस डेटा की लापरवाही से निपटने के गंभीर परिणाम हो सकते हैं। इन सरल तकनीकी उपायों से कंपनियां संबद्ध जोखिमों को कम कर सकती हैं। साथ ही, वे अपने कर्मचारियों की व्यावहारिकता की इच्छा का सम्मान कर सकते हैं: अब दर्जनों जटिल पासवर्ड याद रखने की आवश्यकता नहीं है। हालांकि, संवेदनशील डेटा को अनधिकृत पहुंच से बचाना एक सामान्य कार्य है: कंपनियों और उनके कार्यबल को हमेशा डिजिटल पहचान के खतरों के बारे में अद्यतन रहना चाहिए और तदनुसार अपने व्यवहार को संयुक्त रूप से विकसित करना चाहिए।
Bitglass.com पर अधिक[स्टारबॉक्स=4]