کم از کم قابل عمل تعمیل: آپ کو کس چیز کا خیال رکھنا چاہئے اور کیوں

آئی ٹی سیکیورٹی کی جگہ میں، ہمیں ہر چیز کا خیال رکھنا ہوگا۔ کوئی بھی مسئلہ، خواہ کتنا ہی چھوٹا ہو، ریموٹ کوڈ پر عمل درآمد کی گاڑی بن سکتا ہے یا، کم از کم، خطرے سے دوچار اداکاروں کے لیے زمین سے دور رہنے اور ہمارے اپنے آلات کو ہمارے خلاف موڑنے کا ایک مقام بن سکتا ہے۔ یہ حیرت کی بات نہیں ہے کہ آئی ٹی سیکیورٹی کے عملے کو برن آؤٹ اور تناؤ کا سامنا کرنا پڑتا ہے۔ کے مطابق انٹرپرائز اسٹریٹجی گروپ کی تحقیق اور ISSA، تقریباً نصف IT سیکورٹی پروفیشنلز سوچتے ہیں کہ وہ اگلے 12 مہینوں میں اپنی موجودہ نوکری چھوڑ دیں گے۔

سیکیورٹی ٹیمیں پیشہ ورانہ طور پر ذمہ دار ہیں - اور اب، چیف انفارمیشن سیکیورٹی آفیسرز (CISOs) کے لیے، ذاتی طور پر ذمہ دار - ان کی تنظیموں کی حفاظت کے لیے۔ اس کے باوجود آئی ٹی اور ٹیکنالوجی کے دیگر شعبوں میں بالکل مختلف ذہنیت ہے۔ مارک زکربرگ کے منتر سے "تیزی سے حرکت کریں اور چیزوں کو توڑیں۔ایرک ریز تک دبلی پتلی شروعات اور کم از کم قابل عمل پروڈکٹ (MVP) ماڈل، ان علاقوں میں سوچ یہ ہے کہ تیزی سے آگے بڑھنا بلکہ کافی حد تک ڈیلیور کرنا ہے تاکہ تنظیم آگے بڑھے اور بہتر ہو سکے۔

اب، آئی ٹی سیکیورٹی ٹیمیں اس ماڈل کو قبول نہیں کر سکتیں۔ غور کرنے کے لیے بہت سارے ضابطے ہیں۔ لیکن ہم کم از کم قابل عمل تعمیل (MVC) کے ارد گرد ذہنی مشق سے کیا سیکھ سکتے ہیں، اور ہم اس معلومات کو اپنے نقطہ نظر میں ہماری مدد کے لیے کیسے استعمال کر سکتے ہیں؟

MVC میں کیا شامل ہوگا؟

MVC میں مؤثر طریقے سے محفوظ رہنے کے لیے ضروری چیزوں کا احاطہ کرنا شامل ہے۔ اسے حاصل کرنے کے لیے، آپ کو یہ سمجھنا ہوگا کہ آپ کے پاس کیا ہے اور محفوظ رکھنے کے لیے کیا ضروری ہے، اور آپ کو یہ ظاہر کرنا ہوگا کہ آپ کن اصولوں یا ضابطوں کی تعمیل کرتے ہیں۔

اثاثہ جات کے انتظام کے لیے، مثالی طور پر آپ کو ان تمام اثاثوں کو جاننا ہوگا جو آپ نے انسٹال کیے ہیں۔ اس سطح کی نگرانی کے بغیر، آپ اپنے آپ کو محفوظ کیسے کہہ سکتے ہیں؟ MVC اپروچ کے لیے، کیا آپ کو اس کے بارے میں 100% بصیرت درکار ہے جو آپ کے پاس ہے؟

حقیقت میں، کنفیگریشن مینجمنٹ ڈیٹا بیس (سی ایم ڈی بی) جیسے اثاثہ جات کے انتظام کے منصوبوں کا مقصد فراہم کرنا ہے۔ آئی ٹی اثاثوں میں مکمل مرئیت، لیکن وہ کبھی بھی 100٪ درست نہیں ہوتے ہیں۔ ماضی میں، اثاثہ کی درستگی 70% سے 80% کے نشان کے ارد گرد منڈلا رہی تھی، اور یہاں تک کہ آج کی بہترین تعیناتیاں بھی مکمل مرئیت حاصل کرنے اور اسے برقرار رکھنے کے قابل نہیں ہیں۔ تو، کیا ہمیں اپنا MVC بجٹ اس علاقے پر خرچ کرنا چاہیے؟ ہاں، لیکن بالکل اس انداز میں نہیں جس طرح ہم روایتی طور پر سوچ سکتے ہیں۔

ایک نائب CISO نے مجھے بتایا کہ وہ مکمل کوریج کے آئیڈیل کو سمجھتے ہیں، لیکن یہ ممکن نہیں تھا۔ اس کے بجائے، وہ تنظیم کے اہم انفراسٹرکچر کے لیے مکمل اور مسلسل مرئیت کا خیال رکھتا ہے - کل اثاثوں کا تقریباً 2.5% - جب کہ دوسرے کام کے بوجھ کو جتنا ممکن ہو سکے ٹریک کیا گیا۔ لہذا، اگرچہ آئی ٹی سیکیورٹی پروگراموں کے لیے مرئیت اب بھی ایک ضروری عنصر ہے، کوشش سب سے پہلے سب سے زیادہ خطرے والے اثاثوں کی حفاظت میں ہونی چاہیے۔ تاہم، یہ ایک قلیل مدتی مقصد ہے، کیونکہ آپ کم خطرے والے اثاثے کو زیادہ خطرہ بننے سے دور رکھنے کے لیے صرف ایک خطرے کا انکشاف ہے۔ اس عمل سے گزرتے ہوئے، سیکورٹی کے ساتھ تعمیل نہ کریں — وہ ایک جیسی نہیں ہیں۔ ایک تعمیل کاروبار محفوظ نہیں ہوسکتا ہے۔

ریگولیشن کی منصوبہ بندی

MVC کے حصے کے طور پر، ہمیں ضوابط اور ان کی تعمیل کرنے کے بارے میں سوچنا ہوگا۔ سیکورٹی ٹیموں کے لیے چیلنج یہ ہے کہ ان قوانین کے بارے میں آگے کیسے سوچنا ہے۔ عام طریقہ یہ ہے کہ قانون سازی کی جائے، پھر دیکھیں کہ یہ ہماری درخواستوں پر کہاں لاگو ہوتا ہے، اور پھر ضرورت کے مطابق سسٹمز میں تبدیلیاں کریں۔ تاہم، یہ ایک بہت ہی اسٹاپ اسٹارٹ اپروچ ہو سکتا ہے جس میں تبدیلی شامل ہوتی ہے — اور اس لیے خرچ — ہر بار جب کوئی نیا ضابطہ لایا جاتا ہے یا کوئی اہم تبدیلی واقع ہوتی ہے۔

ہم اپنی ٹیموں کے لیے اس عمل کو کیسے آسان بنا سکتے ہیں؟ ہر ایک ضابطے کو الگ الگ دیکھنے کے بجائے، کیا ہم قابل اطلاق ضوابط میں مشترک چیزوں کو دیکھ سکتے ہیں، اور پھر ان سب کی تعمیل میں درکار کام کی مقدار کو کم کرنے کے لیے استعمال کر سکتے ہیں؟ نظام کو تعمیل میں لانے کے لیے ٹیم کو بڑی مشقوں کے ذریعے ڈالنے کے بجائے، ہم یا تو دائرہ کار سے باہر نکل سکتے ہیں یا بنیادی ڈھانچے کو محفوظ طریقے سے فراہم کرنے کے لیے بطور خدمت استعمال کر سکتے ہیں؟ اسی طرح، کیا ہم ہر مسئلے کو انفرادی طور پر دیکھنے کے بجائے، تمام مسائل کو دور کرنے کے لیے کلاؤڈ کنٹرول جیسے عام بہترین طریقوں کا استعمال کرسکتے ہیں؟

اس نقطہ نظر کے مرکز میں، ہمیں سیکورٹی کے ارد گرد اوور ہیڈ کو کم کرنا ہوگا اور اس بات پر توجہ مرکوز کرنی ہوگی کہ ہمارے کاروبار کے لیے سب سے بڑے خطرات کیا ہیں۔ مخصوص ٹکنالوجی کے بارے میں سوچنے کے بجائے، ہم ان مسائل کو عمل اور لوگوں کے مسائل کے طور پر جانچ سکتے ہیں، کیونکہ مارکیٹ کے آگے بڑھنے کے ساتھ ہی ضوابط ہمیشہ تیار اور تبدیل ہوتے رہیں گے۔ اس ذہنیت کو اپنانا سیکیورٹی کی منصوبہ بندی کو آسان بناتا ہے، کیونکہ یہ کچھ ایسی تفصیلات میں الجھا ہوا نہیں ہے جو ہماری ٹیموں کو اس وقت پریشان کر سکتی ہیں جب عملی طور پر جو مسئلہ ہے اس کے ارد گرد عملی خطرے کی شرائط کے بجائے CVEs اور خطرے کے اعداد و شمار کو دیکھنے کے لیے پروسیس بنائے گئے ہیں۔

مارکیٹ کے تقاضوں کو پورا کرنے یا قواعد کے ایک سیٹ کو پاس کرنے کے لیے کم از کم مطلوبہ کام کرنے کا خیال قیمت کے لحاظ سے پرکشش ہو سکتا ہے۔ لیکن MVP کی ذہنیت صرف ایک مخصوص سطح تک پہنچنے اور پھر وہاں آباد ہونے کے بارے میں نہیں ہے۔ اس کے بجائے، یہ اس کم سے کم معیار تک پہنچنے کے بارے میں ہے اور پھر صورتحال کو مزید بہتر بنانے کے لیے جتنی جلدی ممکن ہو اعادہ کرنا ہے۔ سیکیورٹی ٹیموں کے لیے، مسلسل بہتری کی یہ ذہنیت اور خطرے کو کم کرنے کے طریقے تلاش کرنا روایتی IT سیکیورٹی ماڈل کا ایک مفید متبادل ہو سکتا ہے۔ اس بات پر توجہ مرکوز کرکے کہ کم سے کم وقت میں کن بہتریوں کا سب سے زیادہ خطرہ اثر پڑے گا، آپ اپنی تاثیر کو بڑھا سکتے ہیں اور عمومی طور پر خطرے کو کم کر سکتے ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why