साइबर जोखिम को कम करने के लिए नीतियां
यह अध्याय आपको साइबर जोखिम को कम करने के लिए रखी गई विभिन्न नीतियों के माध्यम से ले जाता है। यह केवल अच्छी तरह से परिभाषित नीतियों के साथ है कि साइबरस्पेस में उत्पन्न खतरों को कम किया जा सकता है।
साइबर सुरक्षा में अनुसंधान और विकास को बढ़ावा देना
इंटरनेट पर लगातार बढ़ती निर्भरता के कारण, आज हमारे सामने सबसे बड़ी चुनौती उपद्रवियों से मिली जानकारी की सुरक्षा है। इसलिए, साइबर सुरक्षा में अनुसंधान और विकास को बढ़ावा देना आवश्यक है ताकि हम साइबर जोखिमों को कम करने के लिए मजबूत समाधानों के साथ आ सकें।
साइबर सुरक्षा अनुसंधान
साइबर सुरक्षा अनुसंधान वह क्षेत्र है जो साइबर अपराधियों से निपटने के लिए समाधान तैयार करने से संबंधित है। इंटरनेट हमलों की बढ़ती मात्रा के साथ, भविष्य में लगातार खतरों और फ़िशिंग, भविष्य में बहुत सारे अनुसंधान और तकनीकी विकास की आवश्यकता होती है।
साइबरस्पेस रिसर्च-इंडियन पर्सपेक्टिव
हाल के वर्षों में, भारत ने साइबर तकनीकों में भारी वृद्धि देखी है। इसलिए यह साइबर सुरक्षा की अनुसंधान और विकास गतिविधियों में निवेश का आह्वान करता है। भारत ने स्थानीय साइबर सुरक्षा कंपनियों के आगमन के माध्यम से कई सफल शोध परिणामों को व्यवसायों में देखा है।
धमकी खुफिया
भारत में पहले से ही साइबर खतरों को कम करने के लिए अनुसंधान कार्य शुरू किया जा रहा है। साइबर खतरों से निपटने के लिए एक सक्रिय प्रतिक्रिया तंत्र है। साइबरस्पेस में खतरों से लड़ने के लिए भारत में विभिन्न अनुसंधान संगठनों में अनुसंधान और विकास गतिविधियां पहले से ही चल रही हैं।
अगली पीढ़ी का फ़ायरवॉल
अगली पीढ़ी की फ़ायरवॉल जैसी बहु-पहचान आधारित विशेषज्ञता जो उद्यमों को सुरक्षा खुफिया प्रदान करती है और उन्हें नेटवर्क परिधि पर सर्वोत्तम अनुकूल सुरक्षा नियंत्रण लागू करने में सक्षम बनाती है।
सुरक्षित प्रोटोकॉल और एल्गोरिदम
प्रोटोकॉल और एल्गोरिदम में अनुसंधान तकनीकी स्तर पर साइबर सुरक्षा के समेकन के लिए एक महत्वपूर्ण चरण है। यह साइबरस्पेस पर सूचना साझा करने और प्रसंस्करण के लिए नियमों को परिभाषित करता है। भारत में, प्रोटोकॉल और एल्गोरिथ्म स्तर के अनुसंधान में शामिल हैं -
- सुरक्षित रूटिंग प्रोटोकॉल
- कुशल प्रमाणीकरण प्रोटोकॉल
- वायरलेस नेटवर्क के लिए बढ़ाया रूटिंग प्रोटोकॉल
- सुरक्षित ट्रांसमिशन कंट्रोल प्रोटोकॉल
- हमला सिमुलेशन एल्गोरिथ्म, आदि।
प्रमाणीकरण तकनीक
मुख्य प्रबंधन, दो कारक प्रमाणीकरण, और स्वचालित कुंजी प्रबंधन जैसी प्रमाणीकरण तकनीक एक केंद्रीकृत कुंजी प्रबंधन प्रणाली और फ़ाइल सुरक्षा के बिना एन्क्रिप्ट और डिक्रिप्ट करने की क्षमता प्रदान करती है। इन प्रमाणीकरण तकनीकों को मजबूत करने के लिए लगातार शोध हो रहा है।
BYOD, बादल और मोबाइल सुरक्षा
विभिन्न प्रकार के मोबाइल उपकरणों को अपनाने के साथ, मोबाइल उपकरणों पर सुरक्षा और गोपनीयता संबंधी कार्यों पर शोध बढ़ गया है। मोबाइल सुरक्षा परीक्षण, क्लाउड सुरक्षा, और BYOD (लाओ योर ओन डिवाइस) जोखिम शमन कुछ ऐसे क्षेत्र हैं जहां बहुत सारे शोध किए जा रहे हैं।
साइबर फोरेंसिक
साइबर फोरेंसिक एक सिस्टम या डिजिटल स्टोरेज मीडिया से डेटा एकत्र करने और पुनर्प्राप्त करने के लिए विश्लेषण तकनीकों का अनुप्रयोग है। भारत में अनुसंधान के कुछ विशिष्ट क्षेत्र हैं -
- डिस्क फोरेंसिक
- नेटवर्क फोरेंसिक
- मोबाइल डिवाइस फोरेंसिक
- मेमोरी फोरेंसिक
- मल्टीमीडिया फोरेंसिक
- इंटरनेट फोरेंसिक
आपूर्ति श्रृंखला जोखिम को कम करना
औपचारिक रूप से, आपूर्ति श्रृंखला जोखिम के रूप में परिभाषित किया जा सकता है -
कोई भी जोखिम जो एक प्रतिद्वंद्वी को नुकसान पहुंचा सकता है, उसके लिए कुछ दुर्भावनापूर्ण फ़ंक्शन लिखें, डिज़ाइन, स्थापना, प्रक्रिया या आपूर्ति आइटम या किसी सिस्टम के रखरखाव को डिक्रिप्ट करें ताकि पूरे फ़ंक्शन को नीचा दिखाया जा सके।
आपूर्ति श्रृंखला के मुद्दे
आपूर्ति श्रृंखला एक वैश्विक मुद्दा है और ग्राहकों और आपूर्तिकर्ताओं के बीच निर्भरता का पता लगाने की आवश्यकता है। आज के परिदृश्य में यह जानना महत्वपूर्ण है - एससीआरएम समस्याएं क्या हैं? और समस्याओं का समाधान कैसे करें?
एक प्रभावी एससीआरएम (आपूर्ति श्रृंखला जोखिम प्रबंधन) दृष्टिकोण के लिए एक मजबूत सार्वजनिक-निजी भागीदारी की आवश्यकता होती है। आपूर्ति श्रृंखला मुद्दों को संभालने के लिए सरकार के पास मजबूत अधिकारी होने चाहिए। यहां तक कि निजी क्षेत्र भी कई क्षेत्रों में महत्वपूर्ण भूमिका निभा सकते हैं।
हम आपूर्ति श्रृंखला जोखिमों के प्रबंधन के लिए एक आकार-फिट-सभी प्रस्ताव प्रदान नहीं कर सकते हैं। उत्पाद और क्षेत्र के आधार पर, जोखिमों को कम करने की लागत अलग-अलग होगी। आपूर्ति श्रृंखला प्रबंधन से जुड़े जोखिमों को हल करने के लिए सार्वजनिक निजी भागीदारी को प्रोत्साहित किया जाना चाहिए।
मानव संसाधन विकास के माध्यम से जोखिम को कम करना
किसी संगठन की साइबर सुरक्षा नीतियां प्रभावी हो सकती हैं, बशर्ते उसके सभी कर्मचारी उनके मूल्य को समझें और उन्हें लागू करने के लिए एक मजबूत प्रतिबद्धता प्रदर्शित करें। मानव संसाधन निदेशक निम्नलिखित कुछ बिंदुओं को लागू करके साइबरस्पेस में संगठनों को सुरक्षित रखने में महत्वपूर्ण भूमिका निभा सकते हैं।
कर्मचारियों द्वारा लगाए गए सुरक्षा जोखिम का स्वामित्व लेना
चूंकि अधिकांश कर्मचारी जोखिम कारक को गंभीरता से नहीं लेते हैं, इसलिए हैकर्स को संगठनों को लक्षित करना आसान लगता है। इस संबंध में, एचआर कर्मचारियों की शिक्षा के बारे में एक महत्वपूर्ण भूमिका निभाता है, जो संगठन के सुरक्षा पर उनके दृष्टिकोण और व्यवहार को प्रभावित करता है।
यह सुनिश्चित करना कि सुरक्षा उपाय व्यावहारिक और नैतिक हैं
एक कंपनी की नीतियां कर्मचारियों के सोचने और व्यवहार करने के तरीके के अनुरूप होनी चाहिए। उदाहरण के लिए, सिस्टम पर पासवर्ड सहेजना एक खतरा है, हालांकि निरंतर निगरानी इसे रोक सकती है। एचआर टीम को यह सलाह देने के लिए सर्वश्रेष्ठ रखा गया है कि क्या नीतियां काम करने की संभावना हैं और क्या वे उपयुक्त हैं।
उन कर्मचारियों की पहचान करना जो एक विशेष जोखिम प्रस्तुत कर सकते हैं
ऐसा भी होता है कि साइबर-अपराधी अपने नेटवर्क को हैक करने के लिए एक कंपनी में अंदरूनी सूत्रों की मदद लेते हैं। इसलिए उन कर्मचारियों की पहचान करना आवश्यक है जो किसी विशेष जोखिम को प्रस्तुत कर सकते हैं और उनके लिए कठोर मानव संसाधन नीतियां बना सकते हैं।
साइबर सुरक्षा जागरूकता पैदा करना
भारत में साइबर सुरक्षा अभी भी अपने विकास के चरण में है। साइबर सुरक्षा से जुड़े मुद्दों पर जागरूकता पैदा करने का यह सबसे अच्छा समय है। उन स्कूलों की तरह जमीनी स्तर से जागरूकता पैदा करना आसान होगा जहां उपयोगकर्ताओं को जागरूक किया जा सकता है कि इंटरनेट कैसे काम करता है और इसके संभावित खतरे क्या हैं।
प्रत्येक साइबर कैफे, घर / व्यक्तिगत कंप्यूटर, और कार्यालय कंप्यूटर को फायरवॉल के माध्यम से संरक्षित किया जाना चाहिए। उपयोगकर्ताओं को उनके सेवा प्रदाताओं या गेटवे के माध्यम से निर्देश दिया जाना चाहिए कि वे अनधिकृत नेटवर्क का उल्लंघन न करें। खतरों को बोल्ड में वर्णित किया जाना चाहिए और प्रभावों को उजागर किया जाना चाहिए।
इसे जारी रखने की प्रक्रिया बनाने के लिए स्कूलों और कॉलेजों में साइबर अवेयरनेस के बारे में जानकारी पेश की जानी चाहिए।
सरकार को साइबर सुरक्षा को लागू करने और टेलीविजन / रेडियो / इंटरनेट विज्ञापनों के माध्यम से समान प्रसारित करके पर्याप्त जागरूकता पैदा करने के लिए मजबूत कानून तैयार करना चाहिए।
जानकारी साझाकरण
संयुक्त राज्य अमेरिका ने एक कानून का प्रस्ताव रखा Cybersecurity Information Sharing Act of 2014 (CISA)साइबर सुरक्षा खतरों के बारे में जानकारी के साझाकरण के माध्यम से देश में साइबर सुरक्षा में सुधार करना। नागरिकों के लिए खतरे की जानकारी साझा करने के लिए हर देश में ऐसे कानूनों की आवश्यकता है।
साइबर सिक्योरिटी ब्रेक्स को एक अनिवार्य रिपोर्टिंग तंत्र की आवश्यकता होती है
जिसका नाम हाल ही में मैलवेयर है Uroburos/Snakeबढ़ती साइबर जासूसी और साइबर युद्ध का एक उदाहरण है। संवेदनशील सूचनाओं की चोरी करना नया चलन है। हालांकि, यह दुर्भाग्यपूर्ण है कि दूरसंचार कंपनियां / इंटरनेट सेवा प्रदाता (आईएसपी) अपने नेटवर्क के खिलाफ साइबर हमलों से संबंधित जानकारी साझा नहीं कर रही हैं। परिणामस्वरूप, साइबर हमलों का मुकाबला करने के लिए एक मजबूत साइबर सुरक्षा रणनीति तैयार नहीं की जा सकती है।
इस समस्या का समाधान एक अच्छा साइबर सुरक्षा कानून बनाकर किया जा सकता है जो दूरसंचार कंपनियों / आईएसपी की ओर से अनिवार्य साइबर सुरक्षा ब्रीच नोटिफिकेशन के लिए एक नियामक व्यवस्था स्थापित कर सकता है।
इन्फ्रास्ट्रक्चर जैसे कि स्वचालित बिजली ग्रिड, थर्मल प्लांट, उपग्रह, आदि साइबर हमलों के विविध रूपों के लिए संवेदनशील हैं और इसलिए एक ब्रीच नोटिफिकेशन कार्यक्रम एजेंसियों को उन पर काम करने के लिए सचेत करेगा।
एक साइबरस्पेस फ्रेमवर्क लागू करना
इस तथ्य के बावजूद कि कंपनियां साइबर सुरक्षा पहल पर खर्च कर रही हैं, डेटा उल्लंघनों का होना जारी है। द वॉल स्ट्रीट जर्नल के अनुसार , "एलाइड बिज़नेस इंटेलिजेंस इंक के अनुसार, एक साल पहले से 10% ऊपर, 2013 में क्रिटिकल इन्फ्रास्ट्रक्चर उद्योगों द्वारा वैश्विक साइबर सुरक्षा खर्च , $ 46 बिलियन का हिट होने की उम्मीद थी।" यह साइबरसिटी फ्रेमवर्क के प्रभावी कार्यान्वयन के लिए कहता है।
साइबर स्पेस फ्रेमवर्क के घटक
फ्रेमवर्क में तीन मुख्य घटक शामिल हैं -
- कोर,
- कार्यान्वयन स्तरों, और
- रूपरेखा प्रोफ़ाइल।
फ्रेमवर्क कोर
फ्रेमवर्क कोर साइबर सुरक्षा गतिविधियों और लागू संदर्भों का एक समूह है जिसमें पांच समकालिक और स्थिर कार्य हैं - पहचानें, सुरक्षित करें, पता लगाएँ, जवाब दें और पुनर्प्राप्त करें। रूपरेखा कोर में निम्नलिखित सुनिश्चित करने के तरीके हैं -
- सबसे महत्वपूर्ण बौद्धिक संपदा और संपत्ति की सुरक्षा के लिए प्रक्रियाओं को विकसित और कार्यान्वित करें।
- किसी भी साइबर सुरक्षा उल्लंघन की पहचान करने के लिए संसाधन रखें।
- ब्रीच से पुनर्प्राप्त करें, यदि और जब कोई होता है।
कार्यान्वयन स्तरों
फ्रेमवर्क इम्प्लीमेंटेशन टियर्स परिष्कार के स्तर को परिभाषित करते हैं और संगति एक संगठन को अपनी साइबर सुरक्षा प्रथाओं को लागू करने में नियुक्त करता है। इसके निम्नलिखित चार स्तर हैं।
Tier 1 (Partial)- इस स्तर में, संगठन के साइबर-जोखिम प्रबंधन प्रोफाइल को परिभाषित नहीं किया गया है। संगठन के स्तर पर संगठन के साइबर सुरक्षा जोखिम की आंशिक चेतना है। साइबर सुरक्षा जोखिम को प्रबंधित करने के लिए संगठन-व्यापी कार्यप्रणाली को मान्यता नहीं दी गई है।
Tier 2 (Risk Informed)- इस स्तर में, संगठन एक साइबर-जोखिम प्रबंधन नीति स्थापित करते हैं जो सीधे वरिष्ठ प्रबंधन द्वारा अनुमोदित होती है। वरिष्ठ प्रबंधन साइबर सुरक्षा से संबंधित जोखिम प्रबंधन उद्देश्यों को स्थापित करने और उन्हें लागू करने के लिए प्रयास करता है।
Tier 3 (Repeatable)- इस स्तर में, संगठन औपचारिक साइबर सुरक्षा उपायों के साथ चलता है, जिन्हें आवश्यकता के आधार पर नियमित रूप से अपडेट किया जाता है। संगठन अपनी निर्भरता और भागीदारों को पहचानता है। यह उनसे जानकारी भी प्राप्त करता है, जो जोखिम आधारित प्रबंधन निर्णय लेने में मदद करता है।
Tier 4 (Adaptive)- इस स्तर में, संगठन अपनी साइबर सुरक्षा प्रथाओं को "वास्तविक समय में" पूर्व और वर्तमान साइबर सुरक्षा गतिविधियों से प्राप्त करता है। उन्नत साइबर सुरक्षा प्रौद्योगिकियों, भागीदारों के साथ वास्तविक समय सहयोग और अपने सिस्टम पर गतिविधियों की निरंतर निगरानी के संयोजन में निरंतर विकास की एक प्रक्रिया के माध्यम से, संगठन की साइबर सुरक्षा प्रथाओं जल्दी से परिष्कृत खतरों का जवाब दे सकती हैं।
रूपरेखा प्रोफ़ाइल
फ्रेमवर्क प्रोफाइल एक ऐसा उपकरण है जो संगठनों को उनके साइबर सुरक्षा कार्यक्रम से संबंधित जानकारी संग्रहीत करने के लिए एक मंच प्रदान करता है। एक प्रोफ़ाइल संगठनों को अपने साइबर सुरक्षा कार्यक्रम के लक्ष्यों को स्पष्ट रूप से व्यक्त करने की अनुमति देता है।
आप फ्रेमवर्क को लागू करने के साथ कहां से शुरू करते हैं?
निर्देशकों सहित वरिष्ठ प्रबंधन को पहले फ्रेमवर्क से परिचित होना चाहिए। जिसके बाद, निर्देशकों को प्रबंधन के साथ संगठन के कार्यान्वयन स्तरों के बारे में विस्तृत चर्चा करनी चाहिए।
फ्रेमवर्क पर प्रबंधकों और कर्मचारियों को शिक्षित करना सुनिश्चित करेगा कि हर कोई इसके महत्व को समझता है। यह एक जोरदार साइबर सुरक्षा कार्यक्रम के सफल कार्यान्वयन की दिशा में एक महत्वपूर्ण कदम है। मौजूदा फ्रेमवर्क कार्यान्वयन के बारे में जानकारी संगठनों को अपने दृष्टिकोण के साथ मदद कर सकती है।