आकलन

बुनियादी सुरक्षा सुविधा

आपको कैसे पता चलेगा कि आप सुरक्षा की जानकारी देने वाला कार्यक्रम (वीडीपी) शुरू करने के लिए तैयार हैं? वीडीपी लागू करने से पहले आपको कुछ अहम आकलन करने चाहिए. इन आकलनों से आपके इंफ़्रास्ट्रक्चर की कमियों का पता लगाने और टीम को आने वाली गड़बड़ी की रिपोर्ट की स्ट्रीम के लिए तैयार करने में मदद मिलती है. सही तरीके से लागू किए गए वीडीपी से, रिपोर्ट का फ़्लो एक जैसा रहता है. अगर आपकी टीम कुछ और काम करने के लिए तैयार नहीं है, तो सुरक्षा को बेहतर करने के बजाय नए प्रोग्राम का खराब असर हो सकता है. सुरक्षा से जुड़े प्रोग्राम का आकलन करने और कमियों को ठीक करने से, वीडीपी की थ्रूपुट को हैंडल करने की आपकी क्षमता बढ़ सकती है. जिन जोखिम की आशंकाओं की शिकायत की गई है, उन पर तुरंत कार्रवाई करने से हैकिंग समुदाय के साथ आपका रिश्ता बेहतर हो सकता है. ऐसा करने से आपके लिए एक बेहतर कार्यक्रम तैयार हो पाएगा.

बुनियादी सुरक्षा सुविधा

आपके संगठन की सुरक्षा या उपलब्ध संसाधनों के बावजूद, अपनी मौजूदा सुरक्षा से जुड़ी सुविधाओं का आकलन करना, कमियों का पता लगाने का सबसे अच्छा तरीका है. हमने नीचे उन अहम क्षेत्रों में होने वाली संभावित कमियों की पहचान करने पर चर्चा की है जिन पर आम तौर पर ध्यान दिया जाता है. इनमें गड़बड़ियां ढूंढना, गड़बड़ियां ठीक करना, मूल वजह का विश्लेषण करना, समस्या की पहचान करना, उस पर कार्रवाई करना, और सुरक्षा का तरीका शामिल है.

गड़बड़ियां ढूंढना

वीडीपी लॉन्च करते समय, उन तरीकों का आकलन करना ज़रूरी है जिन्हें आपकी टीम आपके आस-पास के जोखिम की आशंकाओं की पहचान करने के लिए इस्तेमाल करती है. वीडीपी को शुरू करने की तैयारी और उसका आकलन करने के दौरान, जोखिम की आशंकाओं का पता लगाने और उन्हें ठीक करने की शुरुआती कोशिश की जानी चाहिए.

ऐसा नहीं करने पर, आपका वीडीपी लॉन्च होने पर सुरक्षा की आशंका वाली रिपोर्ट काफ़ी बढ़ सकती हैं. इससे आपकी टीम को परेशानी हो सकती है. जोखिम की आशंका का पता लगाने और सुरक्षा समीक्षा की बुनियादी प्रोसेस सेट अप करने से, आपका संगठन सुरक्षा से जुड़ी समस्याओं से निपटने के लिए मज़बूत प्रोसेस बना पाएगा. अपना वीडीपी शुरू करने पर, आने वाली जोखिम की आशंका वाली रिपोर्ट को बेहतर तरीके से मैनेज किया जा सकता है.

गड़बड़ियां ठीक करना

जोखिम की आशंकाओं को ढूंढने के अलावा, आपको अच्छी तरह से तय की गई प्रोसेस और संसाधनों की ज़रूरत होगी, ताकि यह पक्का किया जा सके कि जोखिम की आशंकाओं को समय से ठीक किया जाए . सिर्फ़ गड़बड़ियों का पता लगाना काफ़ी नहीं है. सुरक्षा सिर्फ़ तब बेहतर होती है, जब गड़बड़ियां ठीक कर दी जाती हैं. क्या आपके पास जोखिम की आशंका को मैनेज करने के लिए प्रोसेस और संसाधन हैं? सुरक्षा के मामले में आपके संगठन में कैसी संस्कृति है? क्या सुरक्षा टीम को इंजीनियर की सोच, ब्लॉकर्स, और अभिनेत्री के तौर पर देखा जाता है? या आपको सहयोगी पार्टनर के तौर पर देखा जाता है? जोखिम की आशंका को दूर करने के लिए, आपकी प्राथमिकता क्या है? क्या आपके पास बीमारी की गंभीरता और उसमें होने वाले सुधार की समय-सीमा को समझने और उसका नाम बताने के तरीके के बारे में आम तौर पर कोई जानकारी है? किसी जोखिम की आशंका को ठीक करने के लिए, मालिक को ढूंढना कितना आसान या मुश्किल है? क्या आप पहचानी गई कमियों से जुड़ी मेट्रिक को ट्रैक करते हैं और उन्हें ठीक करने का समय भी ट्रैक करते हैं? क्या आपके संगठन के पास एसेट इन्वेंट्री है या यह आने वाले समय का सपना है? फिर से, अगर आपको इस बारे में अच्छा लग रहा है और आपको यह अच्छी तरह से समझ आ रहा है कि गंभीर गड़बड़ियां तुरंत ठीक की जा सकती हैं, जोखिम की आशंकाओं को ठीक करने के लिए ज़िम्मेदार टीम और लोगों के साथ अच्छे संबंध हैं, और आपके पास सुरक्षा से जुड़ी गड़बड़ियों को ठीक करने के लिए संसाधन हैं, तो आप बिलकुल सही काम कर सकते हैं. अगर ऐसा नहीं है, तो हम अगले चैप्टर में आपको जोखिम की आशंका को मैनेज करने वाले सफल प्रोग्राम को लागू करने का तरीका बताएंगे. दोनों ही मामलों में, आपको जोखिम की आशंका को मैनेज करने के मज़बूत तरीके लागू करने होंगे, ताकि आप अपने वीडीपी से मिलने वाले बग की नई स्ट्रीम को हैंडल कर सकें. साथ ही, यह पक्का करें कि पहचान किए गए जोखिम की आशंकाओं को समय रहते कार्रवाई कर सकें.

असल वजहों का विश्लेषण

गड़बड़ी ढूंढने और उन्हें एक-एक करके ठीक करने की कार्रवाई के अलावा, क्या आपने समस्याओं का मूल वजह विश्लेषण (आरसीए) किया है और अपने आस-पास में जोखिम की आशंकाओं की शुरुआत करने से जुड़े सिस्टम की वजहों का पता लगाया है? गड़बड़ियों को जल्दी से ढूंढकर ठीक करना बहुत अच्छा होता है. हालांकि, अगर सफल वीडीपी की बात होती है, तो आपको यह पता होना चाहिए कि ये गड़बड़ियां किस तरह दिख रही हैं. यह जानकारी कई तरह से हो सकती है, जैसे:

  • यह पता लगाना कि ऐप्लिकेशन की सुरक्षा में जोखिम की आशंका कैसे पैदा हुई.
    • क्या डेवलपर ऐसी सामान्य लाइब्रेरी और फ़्रेमवर्क का इस्तेमाल कर रहे हैं जो जोखिम की आशंका को कम करते हैं?
  • डेटा का विश्लेषण करना और रुझानों की पहचान करना.
    • क्या आपका ध्यान दे रहा है कि कोई खास टीम जिस इन्फ़्रास्ट्रक्चर को मैनेज करती है उसमें सुरक्षा से जुड़े अपडेट कभी नहीं होते?
  • सुरक्षा से जुड़ी घटनाएं या उल्लंघन.
    • जो भी हुआ, क्यों हुआ, यह समझने के लिए सभी पक्षों की पोस्ट-मॉर्टम करें, और उससे सीखें कि भविष्य में ऐसी गलतियां न हों.

आरसीए किए बिना, आपके वीडीपी से मिलती-जुलती कई गड़बड़ी की रिपोर्ट को प्रोसेस करने में बहुत ज़्यादा समय बर्बाद हो सकता है. अगर आने वाले समय में जोखिम की आशंका से जुड़ा इनाम कार्यक्रम शुरू किया जाता है, तो आरसीए में कमी होने से आपके संगठन को भी आर्थिक तौर पर नुकसान होगा. हम अगले सेशन में, आरसीए प्रोसेस और मॉर्टम के बाद की प्रोसेस को लागू करने के बारे में खास सलाह देंगे.

वीडियो की पहचान और उस पर कार्रवाई

अपनी एसेट हैक करने के लिए बाहरी रिसर्चर को न्योता देने से, पहचान करने और जवाब देने के तरीकों पर असर पड़ेगा. अगर आपके पास मैलवेयर गतिविधियों को पहचानने/उन्हें रोकने के लिए सिस्टम मौजूद हैं, तो आपको यह तय करना होगा कि सुरक्षा शोधकर्ताओं को किस तरह की जांच करानी है. क्या आप इन ऑटोमेटेड डिफ़ेंस सिस्टम के " पीछे", जोखिम की आशंकाओं को ढूंढने के लिए उनके लिए अपवाद बनाएंगे? अगर 10 रिसर्चर, शनिवार को रात 2:00 बजे आपकी बाहरी दिखने वाली ऐसेट पर, जोखिम की आशंका से जुड़ा स्कैन चलाना शुरू कर दें, तो क्या आपकी सिक्योरिटी टीम को इसकी सूचना मिलेगी? कैसे पता लगाया जा सकता है कि सुरक्षा रिसर्चर के वैध टेस्टिंग ट्रैफ़िक और आपके सिस्टम पर हुए संभावित हमले की तुलना कैसे की जाती है? क्या आपको पता है कि आपके सिस्टम पर जांच करने वाले सुरक्षा शोधकर्ताओं के जनरेट किए गए डेटा का इस्तेमाल कैसे किया जाता है? अगर सुरक्षा पर रिसर्च करने वाला कोई व्यक्ति उपयोगकर्ता नाम और पासवर्ड का अनुमान लगाने के लिए ज़ोर-शोर से कोशिश करता है, तो क्या वह असली उपयोगकर्ताओं को लॉक कर सकता है? वीडीपी शुरू करने से पहले, आपको इन सभी पहलुओं पर ध्यान देना होगा. आपको यह पक्का करना होगा कि आपने सुरक्षा शोधकर्ताओं को इस बात की साफ़ तौर पर जानकारी दी हो कि किस तरह की टेस्टिंग सही है और कौनसी नहीं. साथ ही, आपको यह भी तय करना होगा कि जांच करने और रिस्पॉन्स देने के मौजूदा तरीकों को कैसे कॉन्फ़िगर किया जाए. अगले चैप्टर में, इस बारे में ज़्यादा जानकारी दी जाएगी.

सुरक्षा का तरीका

एक सफल वीडीपी शुरू करने और उसे बनाए रखने की आपकी क्षमता पर आपके संगठन के काम करने के तरीके का काफ़ी असर पड़ता है. इसलिए, एक कदम पीछे जाकर यह समझना बेहतर होगा कि इस पहल में हिस्सा लेने वाले अहम हिस्सेदारों को किन लोगों को खरीदारी करनी होगी. साथ ही, जानकारी सुरक्षा टीम के साथ उनका मौजूदा संबंध क्या है. कई तरह के हिस्सेदारों और जोखिम की आशंका की जानकारी देने वाले प्रोग्राम को शुरू करने के प्रस्ताव को मैनेज करने के आपके अनुमान के आधार पर, आपको उन तरीकों और मटीरियल की पहचान करनी होगी जिनकी मदद से वे इस प्रोसेस को शुरू करने के लिए तैयार हो सकें. अगर कोई मुख्य हिस्सेदार, वीडियो में शामिल नहीं है, तो हो सकता है कि वह वीडीपी को ब्लॉक कर दे.