रिपोर्ट: तृतीय पक्ष जोखिम आकलन में अपेक्षाएँ बनाम वास्तविकता

डेटा सुरक्षा, पहुंच प्रबंधन, क्लाउड सुरक्षा, घटना का पता लगाने और प्रबंधन और व्यापार निरंतरता: साइबरवाडिस अध्ययन संभावित अंतराल को उजागर करता है जो तीसरे पक्ष के जोखिम को बढ़ाता है।

साइबरवाडिस, एक प्रमुख तृतीय-पक्ष साइबर सुरक्षा जोखिम मूल्यांकन कंपनी, ने साइबरवाडिस के साक्ष्य-आधारित आकलन के खिलाफ कंपनियों के घोषित साइबर सुरक्षा उपायों का विश्लेषण करने के लिए एक नया अध्ययन जारी किया है। रिपोर्ट साइबर सुरक्षा के पांच प्रमुख क्षेत्रों - डेटा सुरक्षा, पहुंच प्रबंधन, क्लाउड सुरक्षा, घटना का पता लगाने और प्रतिक्रिया, और व्यापार निरंतरता पर केंद्रित है - संभावित अंतराल को उजागर करने के लिए जो अप्रमाणित आकलन से तीसरे पक्ष के जोखिम को बढ़ा सकता है।

तृतीय-पक्ष साइबर सुरक्षा जोखिम मूल्यांकन

CyberVadis विशेषज्ञों की एक टीम की सटीकता के साथ स्वचालन की गति को जोड़ती है और सीधे साइबर सुरक्षा आकलन में विक्रेताओं को शामिल करती है। CyberVadis सुरक्षा विश्लेषकों की एक टीम के साथ परिणामों की पुष्टि करता है और साइबर सुरक्षा आकलन बनाता है जिसे अन्य कंपनियों के साथ साझा किया जा सकता है, साथ ही आपकी आईटी सुरक्षा को मजबूत करने के लिए एक विस्तृत सुधार योजना भी।

जैसे-जैसे अधिक से अधिक कंपनियां तृतीय-पक्ष सेवाओं का उपयोग करती हैं, संवेदनशील डेटा के लिए जोखिम बढ़ता जाता है। हालांकि, कई लोग अपनी आपूर्ति श्रृंखलाओं की सुरक्षा मुद्रा को ठीक से समझ नहीं पाते हैं या उसकी निगरानी नहीं कर पाते हैं। कम संसाधन या समय की कमी इस कमी के लिए निर्णायक हैं। इस रिपोर्ट के लिए, CyberVadis ने 1.200 से अधिक संगठनों से स्व-घोषित साइबर सुरक्षा नियंत्रण एकत्र किए और उन नियंत्रणों के संपूर्ण, प्रमाणित प्रदर्शन के आधार पर परिणामों की तुलना अपने स्वयं के आकलन से की।

रिपोर्ट के प्रमुख निष्कर्षों में शामिल हैं

डेटा सुरक्षा उचित सावधानी हमेशा खरीद तक ​​नहीं होती है

जबकि अधिकांश संगठन GDPR आवश्यकताओं के बारे में जानते हैं, आंतरिक डेटा प्रोसेसिंग नीतियों पर बहुत अधिक ध्यान केंद्रित करते हैं और तृतीय पक्षों द्वारा उत्पन्न खतरे को नज़रअंदाज़ करते हैं। CyberVadis के विश्लेषकों ने पाया कि तीन कंपनियों में से एक से कम (29%) ने डेटा सुरक्षा नियमों के संभावित गैर-अनुपालन से जुड़े जोखिमों का आकलन किया है। जबकि 49% संगठन अपने कर्मचारियों को उचित गोपनीयता प्रथाओं पर प्रशिक्षित करते हैं, केवल 22% सुनिश्चित करते हैं कि उनकी खरीद प्रक्रिया में अनुपालन और गोपनीयता के लिए समर्पित नियंत्रण शामिल हैं।

संगठन दूरस्थ पहुंच की अनुमति देते हैं, लेकिन हमेशा सुरक्षित रूप से नहीं

जैसे ही COVID-19 महामारी ने रिमोट ऑपरेशंस में बदलाव को गति दी, दो-तिहाई (62%) संगठनों ने कहा कि वे अपने सिस्टम को रिमोट एक्सेस की अनुमति देते हैं। CyberVadis ने पाया कि उनमें से केवल 44% ने सुरक्षित रिमोट एक्सेस समाधान का उपयोग किया। थोड़ी अधिक चिंताजनक बात यह है कि केवल 37% ने उच्च-विशेषाधिकार वाले खातों के लिए उन्नत प्रमाणीकरण विधियों को लागू किया है, और मूल्यांकन किए गए संगठनों में से केवल 25% ने तृतीय-पक्ष पहुँच प्रबंधन को परिभाषित किया है।

क्लाउड प्रदाताओं की खरीद और प्रबंधन में सुधार की गुंजाइश है

क्लाउड में तेजी से प्रवासन के एक और प्रदर्शन के रूप में, 81% संगठनों ने कहा कि वे वर्तमान में क्लाउड मॉडल का उपयोग कर रहे हैं। हालाँकि, गलत कॉन्फ़िगर किए गए बादलों से दुर्भावनापूर्ण सुरक्षा उल्लंघनों का एक गंभीर खतरा है, और रिपोर्ट में पाया गया कि यह वह क्षेत्र है जहाँ सबसे अधिक सुधार की आवश्यकता है। CyberVadis के आकलन से पता चला है कि केवल 26% संगठन अपने क्लाउड प्रदाताओं से जुड़े जोखिमों का प्रबंधन करते हैं, 30% सुनिश्चित करते हैं कि उनके क्लाउड प्रदाताओं के पास एक घटना प्रतिक्रिया रणनीति है, और 34% सुनिश्चित करते हैं कि उनके क्लाउड प्रदाताओं के पास व्यवसाय निरंतरता योजना है।

घटना प्रबंधन प्रक्रियाओं में एसआईईएम शामिल नहीं हैं या पुनरावृत्ति को रोकते हैं

आज के संगठनों के लिए, डेटा उल्लंघन "कब?" का सवाल है "अगर?" का नहीं, इसलिए उन्हें उचित तैयारी करने की जरूरत है। इसके केंद्र में मजबूत घटना का पता लगाने और प्रतिक्रिया क्षमताएं हैं जो स्थायी क्षति होने से पहले साइबर हमलों को जल्दी रोकने की अनुमति देती हैं। उत्साहजनक रूप से, मूल्यांकन किए गए 75% संगठनों ने एक घटना प्रबंधन प्रक्रिया को परिभाषित किया है, हालांकि केवल 32% ने सुरक्षा सूचना और घटना प्रबंधन (एसआईईएम) समाधान लागू किया है और केवल 32% के पास घटनाओं के मूल कारण की पहचान करने के लिए "सीखने वाली" प्रक्रिया है। पुनरावृत्ति की संभावना को पहचानें और कम करें।

संकट प्रबंधन पूरे बोर्ड में गायब है, लेकिन संगठन इसके साथ खड़े हैं

2020 ने अनियोजित घटनाओं की आशंका और एक महत्वपूर्ण स्थिति से निपटने के लिए आवश्यक कार्रवाई करने के महत्व को दिखाया है। बहरहाल, रिपोर्ट में मूल्यांकन किए गए संगठनों में संकट प्रबंधन में विभिन्न कमियों का पता चलता है। अपने पहले स्व-मूल्यांकन में, कंपनी के 95% प्रबंधकों ने इसे सुधार की संभावना के रूप में उल्लेख किया है। CyberVadis की समीक्षा इसकी पुष्टि करती है, क्योंकि मूल्यांकन की गई कंपनियों में से केवल 44% ने व्यवसाय निरंतरता योजना को परिभाषित किया है और 22% नियमित रूप से अपनी योजना का परीक्षण करती हैं। CyberVadis के विश्लेषकों ने यह भी पाया कि मूल्यांकन की गई कंपनियों में से केवल 24% ने संकट प्रबंधन को परिभाषित किया है और केवल 4% नियमित संकट अभ्यास करती हैं। यह चिंताजनक है क्योंकि एक अच्छी संकट प्रबंधन योजना के लिए आवश्यक है कि समर्पित टीम अच्छी तरह से प्रशिक्षित हो और किसी बड़ी घटना की स्थिति में तुरंत प्रतिक्रिया देने के लिए तैयार हो।

रिपोर्ट की पद्धति

CyberVadis ने US, EMEA और APAC में 1.289 संगठनों द्वारा घोषित साइबर सुरक्षा नियंत्रणों पर डेटा एकत्र किया और CyberVadis प्लेटफॉर्म के माध्यम से मानकीकृत, विश्लेषक-सत्यापित ऑडिट का उपयोग करके उनका मूल्यांकन किया। पूरी रिपोर्ट ऑनलाइन पढ़ी जा सकती है और डाउनलोड भी की जा सकती है।

CyberVadis.com पर अधिक

 

---

साइबरवाडिस के बारे में

CyberVadis कंपनियों को तृतीय-पक्ष साइबर सुरक्षा जोखिम आकलन के लिए लागत प्रभावी और स्केलेबल समाधान प्रदान करता है। एक निश्चित वार्षिक शुल्क के लिए, हम साइबरवाडिस प्लेटफॉर्म के माध्यम से असीमित संख्या में साक्ष्य-आधारित आकलन करते हैं। हमारा सहज और उपयोगकर्ता के अनुकूल मंच एक ऐसी पद्धति पर आधारित है जो NIST, ISO 27001, GDPR और कई अन्य गोपनीयता और सुरक्षा कानूनों सहित सभी प्रमुख अंतरराष्ट्रीय अनुपालन मानकों के अनुरूप है। CyberVadis समाधान हमारे विशेषज्ञों की टीम की सटीकता और प्रभावशीलता के साथ स्वचालन की गति को जोड़ता है।

---

 

विषय से संबंधित लेख