काम करने के मौजूदा हाइब्रिड तरीके से जुड़े नए जोखिमों का मुकाबला करने के लिए, कई साइबर सुरक्षा अधिकारियों और विक्रेताओं ने अब "ज़ीरो ट्रस्ट" की खोज की है: इस ढांचे का उद्देश्य आईटी वातावरण में सुरक्षा को लागू करना है, साथ ही साथ पूरी कंपनी की उत्पादकता में वृद्धि करना है। बढ़ोतरी।
लोगों के काम करने का तरीका पिछले एक दशक में नाटकीय रूप से बदल गया है। क्लाउड में कॉर्पोरेट संसाधनों तक पहुंचने के लिए एंटरप्राइज़ कर्मचारी आज कहीं से भी काम करते हैं, उपकरणों और नेटवर्क का उपयोग करते हुए जो सीधे उनके नियंत्रण में नहीं हैं। जबकि इससे उत्पादकता में बहुत वृद्धि हुई है, इसने व्यवसायों की सुरक्षा करना और भी कठिन बना दिया है। इसे व्यवहार में लाना इसकी समस्याओं के बिना नहीं है, हालाँकि, शून्य विश्वास की एक भी परिभाषा नहीं है।
वर्तमान सुरक्षा दृष्टिकोण
कुछ हलकों से सुनने में आया है कि बहु-कारक प्रमाणीकरण (एमएफए) पर्याप्त होना चाहिए, जबकि अन्य समाधान एक कदम आगे बढ़ते हैं और "कम से कम विशेषाधिकार प्राप्त पहुंच" की आवश्यकता होती है।
मोटे तौर पर, शून्य विश्वास यह विचार है कि किसी भी वस्तु, आंतरिक या बाहरी, को समय-समय पर प्रमाणित और मूल्यांकन किया जाना चाहिए, इससे पहले कि उन्हें पहुंच प्रदान की जाए। जब अधिकांश उपयोगकर्ता, डिवाइस, एप्लिकेशन और डेटा किसी दिए गए सुरक्षा परिधि के भीतर नहीं होते हैं, तो अब कोई दृढ़ धारणा नहीं हो सकती है कि उपयोगकर्ता या उनके डिवाइस पर भरोसा किया जाना चाहिए।
क्लाउड जैसी तकनीकों को अपनाने और कहीं से भी काम करने में आने वाली जटिलताओं के बीच, सुरक्षा अधिकारियों के लिए यह पता लगाना जटिल है कि कहां से शुरू करें - और इसमें जीरो ट्रस्ट भी शामिल है। लेकिन आपको पहले यह सोचना चाहिए कि आपकी अपनी कंपनी के लिए क्या महत्वपूर्ण है। समापन बिंदु पहचान और प्रतिक्रिया समाधान का उपयोग करना आपके डेटा को समापन बिंदु जोखिमों से बचाता है। क्लाउड सुरक्षा पर भी यही बात लागू होती है: आप क्लाउड में अपने डेटा को जोखिम भरे या दुर्भावनापूर्ण एक्सेस और हमलों से सुरक्षित करते हैं। दूसरे शब्दों में, ज़ीरो ट्रस्ट को प्रभावी ढंग से उपयोग करने के लिए, आपको उन सभी वैक्टरों पर ध्यान देना चाहिए जिनमें आपका डेटा एम्बेडेड है।
प्रारंभिक बिंदु के रूप में डेटा
जब अधिकांश संगठन पहले ज़ीरो ट्रस्ट को अपनाते हैं, तो वे इस बात पर ध्यान केंद्रित करने की कोशिश करते हैं कि कर्मचारियों को अपना काम कैसे पूरा करना है, जैसे कर्मचारियों को कंपनी के संसाधनों तक पहुँचने के दौरान प्रमाणीकरण के दूसरे कारक के साथ वर्चुअल प्राइवेट नेटवर्क (वीपीएन) का उपयोग करने की आवश्यकता होती है। इसके विपरीत, हालांकि, मेरा मानना है कि ध्यान इस बात पर नहीं होना चाहिए कि किसी को क्या करना चाहिए (नहीं), बल्कि डेटा पर होना चाहिए।
कर्मचारी लगातार डेटा बना रहे हैं और संपादित कर रहे हैं। चूंकि कॉर्पोरेट आईटी पर एक हमलावर का अंतिम लक्ष्य डेटा चोरी करना है, इसलिए एक्सेस के समय उपयोगकर्ता को प्रमाणित करना अब पर्याप्त नहीं है। इसके बजाय, आपको इस बात पर ध्यान देने की आवश्यकता है कि आप किस प्रकार के डेटा के स्वामी हैं, उन्हें कैसे एक्सेस किया जाता है, और उनका उपयोग कैसे किया जाता है। उपयोगकर्ताओं और उनके द्वारा उपयोग किए जाने वाले उपकरणों के लगातार बदलते जोखिम स्तरों को ध्यान में रखना भी महत्वपूर्ण है।
प्राथमिकताएँ निर्धारित करें
डेटा हर जगह है। कर्मचारी हर दिन डेटा बनाते हैं, चाहे वह ईमेल के माध्यम से इसका आदान-प्रदान कर रहा हो, सामग्री को मैसेजिंग एप्लिकेशन में कॉपी और पेस्ट कर रहा हो, नया दस्तावेज़ बना रहा हो, या इसे अपने स्मार्टफोन में डाउनलोड कर रहा हो। ये सभी गतिविधियाँ डेटा का निर्माण और हेरफेर करती हैं, और प्रत्येक का अपना जीवन चक्र होता है। इस सभी डेटा के स्थानों और इसे कैसे संभाला जा रहा है, इस पर नज़र रखना बेहद थकाऊ होगा।
जीरो ट्रस्ट सिक्योरिटी को लागू करने में पहला कदम संवेदनशीलता के स्तर से आपके डेटा को रैंक करना है ताकि आप प्राथमिकता दे सकें कि किस डेटा को अतिरिक्त सुरक्षा की आवश्यकता है। जीरो ट्रस्ट एक कभी न खत्म होने वाली प्रक्रिया हो सकती है क्योंकि आप इसे किसी भी चीज़ पर लागू कर सकते हैं। सभी डेटा के लिए एक उद्यम-व्यापी शून्य विश्वास रणनीति बनाने की कोशिश करने के बजाय, उन सबसे महत्वपूर्ण अनुप्रयोगों पर ध्यान केंद्रित करें जिनमें सबसे संवेदनशील डेटा होता है।
डेटा प्राप्त करना
देखने वाली अगली बात यह है कि संगठन में डेटा कैसे साझा किया जाता है और इसे कैसे एक्सेस किया जाता है। क्या कर्मचारी मुख्यतः क्लाउड के माध्यम से डेटा साझा करते हैं? या दस्तावेज़ और जानकारी ईमेल या स्लैक के माध्यम से भेजी जाती है?
यह समझना महत्वपूर्ण है कि संगठन में जानकारी कैसे चलती है। यदि आप पहले यह नहीं समझते हैं कि डेटा कैसे चलता है, तो आप इसे प्रभावी ढंग से सुरक्षित नहीं रख सकते। उदाहरण के लिए, यदि कंपनी के क्लाउड में एक सामान्य फ़ोल्डर में कई सबफ़ोल्डर हैं, जिनमें से कुछ सुरक्षित हैं, तो यह एक सुरक्षित तरीका लगता है। और यह तब तक है जब तक कोई मुख्य फ़ोल्डर को किसी अन्य कार्यसमूह के साथ साझा नहीं करता है और यह महसूस नहीं करता है कि ऐसा करने से निजी सबफ़ोल्डर्स के लिए एक्सेस सेटिंग्स बदल जाती हैं। नतीजतन, आपका निजी डेटा अब बहुत से लोगों के लिए सुलभ है, जिनकी उस तक पहुंच नहीं होनी चाहिए।
कोई ऑफ-द-शेल्फ समाधान नहीं
सभी ने शायद वाक्यांश सुना है: "उसके लिए एक ऐप है!"। और सामान्य तौर पर यह सच है। ऐसा लगता है कि इन दिनों हर आधुनिक समस्या के लिए एक ऐप या सॉफ्टवेयर समाधान मौजूद है। दूसरी ओर, आप देख सकते हैं कि जीरो ट्रस्ट के मामले में ऐसा नहीं है। हालांकि, ऐसे कई विक्रेता हैं जो जीरो ट्रस्ट डेटा सुरक्षा को लागू करने के लिए अपने उत्पादों को तथाकथित "समाधान" के रूप में बेचना चाहते हैं। लेकिन यह बहाना तरीका काम नहीं करता है।
संक्षेप में, जीरो ट्रस्ट एक मानसिकता और दर्शन है, लेकिन इसे ऐसी समस्या के साथ भ्रमित नहीं होना चाहिए जिसे सॉफ्टवेयर द्वारा हल किया जा सकता है। यदि आप अपने संगठन में सुरक्षा के लिए एक विधि के रूप में ज़ीरो ट्रस्ट को अपनाने का इरादा रखते हैं, तो आपको यह समझने की आवश्यकता है कि यह दृष्टिकोण कैसे काम करता है और इसे अपने संगठन में कैसे मज़बूती से लागू किया जाए।
कर्मचारियों की भूमिका
जीरो ट्रस्ट डेटा को लागू करने का दूसरा भाग आपके कर्मचारियों को बोर्ड पर ला रहा है। आप मौजूदा सॉफ़्टवेयर और समाधान खरीद सकते हैं और नियम निर्धारित कर सकते हैं, लेकिन यदि आपके कर्मचारी यह नहीं समझते हैं कि आप क्या कर रहे हैं या आपको किसी चीज़ का उपयोग क्यों करना चाहिए, तो आप अपनी प्रगति और सफलता को ख़तरे में डाल रहे हैं और अपने डेटा को कुछ जोखिमों के लिए उजागर कर रहे हैं।
RSA 2022 सम्मेलन में, मेरे एक सहयोगी ने एक सर्वेक्षण किया और पाया कि 80 प्रतिशत उपस्थित लोग अभी भी अपने डेटा को रिकॉर्ड करने और उसकी गणना करने के लिए एक पारंपरिक स्प्रेडशीट का उपयोग करते हैं। और 2021 के एक सर्वेक्षण के अनुसार, केवल 22 प्रतिशत Microsoft Azure उपयोगकर्ता ही MFA का उपयोग करते हैं। ये नंबर बताते हैं कि आपको शुरुआत से ही अपने कर्मचारियों के साथ शुरुआत करनी चाहिए। और आपको उन्हें डेटा सुरक्षा के महत्व के बारे में बताना चाहिए और यह भी बताना चाहिए कि इसे अपने डिवाइस पर कैसे व्यवहार में लाया जाए।
जीरो ट्रस्ट कोई उत्पाद नहीं है
आपके संगठन में जीरो ट्रस्ट सिक्योरिटी को लागू करते समय याद रखने वाली सबसे महत्वपूर्ण चीजों में से एक यह है कि यह एक दर्शन है, सरल समाधान नहीं। जीरो ट्रस्ट ऐसा कुछ नहीं है जिसे आप लापरवाही से रातोंरात स्थापित कर सकते हैं। और यह कोई बना-बनाया सॉफ्टवेयर नहीं है जिसे आप एक ही बार में सभी समस्याओं को हल करने के लिए कहीं खरीद सकते हैं। जीरो ट्रस्ट एक मौलिक विचार है जिसे दीर्घावधि में लागू करने की आवश्यकता है।
इससे पहले कि आप एक आकार-फिट-सभी समाधान में निवेश करें जो काम नहीं करता है, यह महत्वपूर्ण है कि आप अपने मौजूदा डेटा को बेहतर तरीके से जानें और समझें कि किस विशेष रूप से संवेदनशील डेटा को प्राथमिकता और संरक्षित करने की आवश्यकता है। यह इस बारे में भी है कि उन्हें अपने कर्मचारियों के प्रशिक्षण और आगे की शिक्षा पर ध्यान केंद्रित करने के लिए कैसे विस्तार से संभाला जाना चाहिए। "ज़ीरो ट्रस्ट" एक महान विचार की तरह लगता है, लेकिन इसे लागू करना केवल तभी काम करता है जब आप समझते हैं कि यह किसी प्रकार का दर्शन या ढांचा है जिसे चरणों में स्थापित करने और लगातार सुधार करने की आवश्यकता है - न कि केवल एक बार, निश्चित समाधान।
लुकआउट डॉट कॉम पर अधिक
लुकआउट के बारे में लुकआउट के सह-संस्थापक जॉन हेरिंग, केविन महाफ़ी और जेम्स बर्गेस 2007 में तेजी से जुड़ी हुई दुनिया द्वारा उत्पन्न सुरक्षा और गोपनीयता जोखिमों से लोगों की रक्षा करने के लक्ष्य के साथ एक साथ आए। स्मार्टफोन हर किसी की जेब में होने से पहले ही, उन्होंने महसूस किया कि गतिशीलता का हमारे काम करने और जीने के तरीके पर गहरा प्रभाव पड़ेगा।
विषय से संबंधित लेख