“अच्छी और बाधारहित सुरक्षा की कुंजी व्यवसाय की ज़रूरतों और संचालन को समझना है ताकि उनके इर्द-गिर्द कुशलतापूर्वक नियंत्रण स्थापित किए जा सकें। सुरक्षा को मूल रूप से शामिल किया जाना चाहिए, न कि ऊपर से थोपा जाना चाहिए।”
सीनियर सिक्योरिटी इंजीनियर - डैन पेरी
Infosec क्या है?
अक्सर सूचना जोखिम प्रबंधन का एक हिस्सा, सूचना सुरक्षा (Information Security, जिसे अक्सर 'Infosec' कहा जाता है) अनधिकृत पहुँच, उपयोग, प्रकटीकरण, व्यवधान, विलोपन, भ्रष्टाचार, संशोधन, निरीक्षण या रिकॉर्डिंग के जोखिम को कम करने और हटाने की प्रक्रिया है।
सूचना की सुरक्षा के लिए, और आज के माहौल में बहुत सारे व्यक्तिगत डेटा की सुरक्षा के लिए, व्यवसायों को अपने डेटा स्टोरेज को बेहतर ढंग से संभालने के लिए इन सिद्धांतों का पालन करना चाहिए:
गोपनीयता
गोपनीयता सिद्धांत का उद्देश्य यह सुनिश्चित करना है कि निजी जानकारी निजी रहे और इसे केवल उन्हीं व्यक्तियों द्वारा देखा या एक्सेस किया जा सके जिन्हें अपने काम को पूरा करने के लिए उस जानकारी की आवश्यकता है।
अखंडता
अखंडता का सिद्धांत यह सुनिश्चित करने के लिए डिज़ाइन किया गया है कि डेटा के सटीक होने पर भरोसा किया जा सके और इसे अनुचित तरीके से संशोधित नहीं किया गया है।
उपलब्धता
सपोर्ट सिस्टम की कार्यक्षमता की रक्षा करना और यह सुनिश्चित करना कि डेटा उस समय (या आवश्यक अवधि में) पूरी तरह से उपलब्ध हो जब इसके उपयोगकर्ताओं को इसकी आवश्यकता हो। उपलब्धता का उद्देश्य यह सुनिश्चित करना है कि निर्णय लेने के लिए आवश्यकता पड़ने पर डेटा उपयोग के लिए उपलब्ध हो।
इस ब्लॉग के अंत में Purple की सूचना सुरक्षा योग्यताएं देखें!
“प्रतिष्ठा बनाने में 20 साल लगते हैं और एक साइबर घटना इसे कुछ ही मिनटों में बर्बाद कर सकती है।”
सुरक्षा उल्लंघनों के प्रकार
मैन-इन-द-मिडिल (MitM)
MitM हमला तब होता है जब कोई हैकर गुप्त रूप से उन दो पक्षों के बीच संचार को प्रसारित करता है और संभवतः बदल देता है, जो मानते हैं कि वे सीधे एक-दूसरे के साथ संचार कर रहे हैं।
MITM हमले का एक उदाहरण सक्रिय 'ईव्सड्रॉपिंग' (छिपकर बातें सुनना) है, जिसमें हमलावर पीड़ितों के साथ स्वतंत्र कनेक्शन बनाता है और उनके बीच संदेशों को प्रसारित करता है ताकि उन्हें यह विश्वास हो सके कि वे एक निजी कनेक्शन पर सीधे एक-दूसरे से बात कर रहे हैं।
फ़िशिंग
फ़िशिंग वह है जब हमलावर उपयोगकर्ताओं को 'गलत काम' करने के लिए धोखा देने का प्रयास करते हैं, जैसे कि किसी ऐसे खराब लिंक पर क्लिक करना जो मैलवेयर डाउनलोड करेगा, या उन्हें किसी संदिग्ध वेबसाइट पर निर्देशित करेगा।
फ़िशिंग टेक्स्ट संदेश, सोशल मीडिया या फोन के माध्यम से की जा सकती है, लेकिन 'फ़िशिंग' शब्द का उपयोग मुख्य रूप से उन हमलों का वर्णन करने के लिए किया जाता है जो ईमेल द्वारा आते हैं।
डिनायल-ऑफ़-सर्विस (DoS)
डिनायल-ऑफ़-सर्विस (DoS) हमला एक ऐसा हमला है जिसका उद्देश्य किसी मशीन या नेटवर्क को बंद करना है, जिससे यह अपने लक्षित उपयोगकर्ताओं के लिए दुर्गम हो जाए। DoS हमले लक्ष्य को ट्रैफ़िक से भरकर या उसे ऐसी जानकारी भेजकर इसे पूरा करते हैं जो क्रैश का कारण बनती है। दोनों ही मामलों में, DoS हमला वैध उपयोगकर्ताओं (यानी कर्मचारियों, सदस्यों या खाताधारकों) को उस सेवा या संसाधन से वंचित कर देता है जिसकी उन्हें उम्मीद थी।
DoS हमलों के शिकार अक्सर बैंकिंग, वाणिज्य और मीडिया कंपनियों, या सरकारी और व्यापारिक संगठनों जैसे हाई-प्रोफाइल संगठनों के वेब सर्वर होते हैं। हालाँकि DoS हमलों के परिणामस्वरूप आमतौर पर महत्वपूर्ण जानकारी या अन्य संपत्तियों की चोरी या नुकसान नहीं होता है, लेकिन इनसे निपटने में पीड़ित का बहुत समय और पैसा खर्च हो सकता है।
“सुरक्षा कोई ऐसी चीज़ नहीं है जिसे आप खरीदते हैं, यह वह है जो आप करते हैं, और इसे सही ढंग से करने के लिए प्रतिभाशाली लोगों की आवश्यकता होती है।”
सुरक्षा उल्लंघन के परिणाम
राजस्व की हानि
यह परिणाम हैकर द्वारा चुने गए साइबर हमले के प्रकार से काफी प्रभावित हो सकता है, हालाँकि, डेटा लीक होने से अतिरिक्त सुरक्षा लागत, बाज़ार हिस्सेदारी मूल्य में कमी, और प्रभावित ग्राहकों को क्षतिपूर्ति करने की लागत आएगी।
प्रतिष्ठा
हालाँकि किसी व्यवसाय के राजस्व पर अल्पकालिक प्रभाव बहुत अधिक नुकसानदायक नहीं लग सकता है, लेकिन वास्तविक लागत समय के साथ सामने आती है। एक बार सुरक्षा उल्लंघन की बात सामने आने के बाद, भागीदार और संभावित/मौजूदा ग्राहक कंपनी का साथ छोड़ने ("जंपिंग शिप") से पहले दो बार नहीं सोचेंगे, जिससे कंपनी की आय का एक और भी बड़ा हिस्सा छिन जाएगा।
कानूनी कार्रवाई
जुर्माना, जुर्माना, और अधिक जुर्माना।
दुनिया भर में कई नियम हैं जिनका व्यवसायों को पालन करना चाहिए, उदाहरण के लिए:
- यूरोप - GDPR (GDPR एक EU विनियमन है और यह अब UK पर लागू नहीं होता है )
- UK - डेटा संरक्षण अधिनियम
- चीन - व्यक्तिगत सूचना संरक्षण कानून
UK GDPR और DPA के तहत, अधिकतम प्रभार्य जुर्माना £17.5m या वार्षिक वैश्विक टर्नओवर का 4% है - जो भी अधिक हो। हालाँकि EU GDPR और DPA के तहत काम करने वाले व्यवसायों पर अधिकतम €20 (£18m) का जुर्माना लगाया जा सकता है।
संचालन में व्यवधान
किसी भी प्रयास या सफल उल्लंघन के साथ, सभी व्यवसायों को संचालन पर प्रभाव का सामना करना पड़ेगा क्योंकि नुकसान, कारण की रिपोर्ट करने और स्रोत का पता लगाने के लिए व्यापक जांच की जाती है।
कुछ मामलों में, व्यवसाय डैमेज कंट्रोल के लिए पूरी तरह से रुक जाते हैं और एक रिकवरी योजना तैयार करते हैं, और इस दौरान उपरोक्त सभी बिंदु और खराब हो जाते हैं।
21वीं सदी का सबसे बड़ा डेटा उल्लंघन
20 13 में Adobe को हैक कर लिया गया था और एन्क्रिप्टेड आईडी, पासवर्ड और डेबिट व क्रेडिट कार्ड की जानकारी सहित 153 मिलियन से अधिक उपयोगकर्ता रिकॉर्ड प्राप्त किए गए थे।
Adobe को कानूनी शुल्क के रूप में $1.1 मिलियन का भुगतान करना पड़ा और नवंबर 2016 में, ग्राहकों को भुगतान की गई राशि $1 मिलियन बताई गई थी।
https://www.youtube.com/watch?v=zYfx4cdFCVA
“यदि आप सुरक्षा का खर्च नहीं उठ��� सकते, तो आप उल्लंघन का खर्च भी नहीं उठा सकते।”
Purple का इन्फोसेक सर्टिफिकेशन
ISO/IEC 27001
व्यक्तिगत डेटा को संभालने और स्टोर करने के लिए क्लाउड-आधारित WiFi सॉफ़्टवेयर के डिज़ाइन और विकास के लिए Purple ISO/IEC 27001 कंप्लायंट है। हमारा ISO सर्टिफिकेशन एक ऐसी चीज़ है जिसे हमने कई वर्षों से बनाए रखा है और इसने यह सुनिश्चित किया है कि हमारे ग्राहकों और उनके डेटा विषयों के प्रति हमारे दायित्वों के अनुरूप हमारे उत्पाद की सुरक्षित डिलीवरी सुनिश्चित करने के लिए हमारे पास सही प्रक्रियाएं, लोग और तकनीक मौजूद हैं। ISO 27001 ने मानव संसाधनों के प्रबंधन से लेकर क्रिप्टोग्राफी तक पूरे व्यवसाय में फैले नियंत्रणों का एक ढांचा तैयार किया है।
इस आधार रेखा को लेकर और अपने व्यावसायिक लक्ष्यों (आंतरिक आवश्यकताओं) और अपने ग्राहकों की अपेक्षाओं (बाहरी आवश्यकताओं) को पूरा करने के लिए इसका विस्तार करके, हमने संचालन का एक सुरक्षित और दोहराने योग्य तरीका बनाया है जो उद्देश्य के लिए उपयुक्त है।
CyberEssentials+
साइबर एसेंशियल्स योजना UK सरकार और NCSC द्वारा समर्थित एक अपेक्षाकृत नई योजना है, जिसका उद्देश्य SME (लघु से मध्यम उद्यमों) को अपने ग्राहकों के लिए एक सुरक्षा आधार रेखा सुनिश्चित करने के तरीके के रूप में सक्षम बनाना और उन्हें सरकारी खरीद प्रक्रियाओं के लिए आवेदन करने में सक्षम बनाना है।
साइबर एसेंशियल्स सर्टिफिकेशन एक स्व-मूल्यांकन उपकरण है, हालाँकि, हमारे नियंत्रणों में विश्वास के कारण, विशेष रूप से पहले से ही अधिक मजबूत ISO 27001 ढांचे को लागू करने के कारण, हमने इसे एक कदम आगे बढ़ाया और एक स्वतंत्र मान्यता प्राप्त CE+ सुरक्षा भागीदार के खिलाफ अपने नियंत्रणों को मान्य करके साइबर एसेंशियल्स प्लस सर्टिफिकेशन प्राप्त किया।
अधिक जानने के लिए उत्सुक हैं? जानें कि अपने व्यवसाय को ऑनलाइन सुरक्षित कैसे रखें - यहाँ पढ़ें
