कल्पना कीजिए कि आप एक बिक्री व्यक्ति हैं, और जब आप किसी ग्राहक की वेबसाइट पर जाने का प्रयास करते हैं, तो आपको यह कहते हुए एक संदेश मिलता है कि यह अवरुद्ध है क्योंकि यह आपकी कंपनी की श्वेतसूची में नहीं है। या हो सकता है कि आप एक प्रोग्रामर हों, और जब आप एक्लिप्स डेवलपमेंट सॉफ़्टवेयर का नवीनतम संस्करण स्थापित करने के लिए जाते हैं जिसका उपयोग आप कोड लिखने के लिए करते हैं, तो आपका कंप्यूटर (और आपका आईटी विभाग) इसकी अनुमति नहीं देगा। साइबर सुरक्षा को लेकर हर कंपनी चिंतित है, लेकिन बहुत ज्यादा लॉक डाउन होने जैसी बात भी है।
उदाहरण के लिए, एक तरह से आईटी विभाग लापरवाह कर्मचारी व्यवहार को रोकने के लिए कॉर्पोरेट नेटवर्क पर वेबसाइटों और गैर-कार्य-संबंधित ऐप्स को अवरुद्ध करने के माध्यम से देखते हैं। इस साल की शुरुआत में प्रकाशित A10 नेटवर्क्स की एप्लिकेशन इंटेलिजेंस रिपोर्ट में पाया गया कि लगभग दो-तिहाई कर्मचारी (61 प्रतिशत) कहते हैं कि उनकी कंपनियां विशिष्ट साइटों या एप्लिकेशन को ब्लॉक करती हैं।
लेकिन कर्मचारियों को कुछ हद तक तकनीकी स्वतंत्रता प्राप्त करने से रोकना – चाहे वह सॉफ़्टवेयर इंस्टॉल करना हो, ऐप्स डाउनलोड करना हो या कोई भिन्न वेब ब्राउज़र चुनना हो – उनकी उत्पादकता पर नकारात्मक प्रभाव डाल सकता है। कुछ लोगों का तर्क है कि सख्त सुरक्षा नीतियां डिजिटल व्यवधान के मौजूदा माहौल के विपरीत हैं और तेजी से प्रतिस्पर्धी परिदृश्य में नवाचार के लिए व्यवसाय की क्षमता में बाधा उत्पन्न कर सकती हैं।
समस्या तब शुरू होती है जब कर्मचारी, अपनी उंगलियों पर हमेशा आईटी की उपलब्धता से सशक्त होते हैं, कार्यस्थल में अपने स्वयं के लैपटॉप और अन्य व्यक्तिगत उपकरणों का उपयोग करना चाहते हैं, साथ ही सॉफ्टवेयर को डाउनलोड करना चाहते हैं, जो उनका मानना है कि यह उनके काम के जीवन को आसान बना देगा।
यह आईटी टीम पर निर्भर है कि वह उपयोगकर्ताओं की पसंद को किस हद तक प्रतिबंधित करना चाहती है। संगठन को सुरक्षित रखना प्राथमिकता है, और साइबर हमलों की आवृत्ति और जटिलता में वृद्धि के साथ, आईटी विभाग की हर चीज को बंद करने के जबरदस्त आग्रह को समझना आसान है।
उदाहरण के लिए, हाई-प्रोफाइल रैंसमवेयर हमलों ने पिछले कुछ वर्षों में सुर्खियां बटोरीं। अब वे फ़ाइल रहित हमलों में वृद्धि से आगे निकल रहे हैं क्योंकि मैलवेयर डेवलपर्स अपने चोरी के प्रयासों को आगे बढ़ाते हैं। इस बीच, विश्लेषक गार्टनर का अनुमान है कि 2021 तक 25.1 बिलियन इंटरनेट ऑफ थिंग्स (IoT) एंडपॉइंट स्थापित हो जाएंगे, जिससे आईटी टीमों पर कॉर्पोरेट नेटवर्क से जुड़े किसी भी उपकरण को सुरक्षित करने का दबाव बढ़ जाएगा।
समस्या, जैसा कि आईटी देखता है, यह है कि कर्मचारी अक्सर संगठन के भीतर ऐसे सुरक्षा उल्लंघनों का कारण होते हैं। वास्तव में, श्रेड-इट्स 2018 स्टेट ऑफ द इंडस्ट्री: इंफॉर्मेशन सिक्योरिटी रिपोर्ट से पता चलता है कि सी-लेवल के 84 प्रतिशत अधिकारी और 51 प्रतिशत छोटे व्यवसाय के मालिक कर्मचारी की लापरवाही को अमेरिकी व्यवसायों के लिए सबसे बड़े सूचना सुरक्षा जोखिमों में से एक मानते हैं।
जैसे, आईटी विभाग और कर्मचारियों के बीच संघर्ष का एक सबसे बड़ा कारण कार्यस्थल में उपयोग के लिए अनधिकृत ऐप डाउनलोड करना है। A10 नेटवर्क की रिपोर्ट में कहा गया है कि लगभग एक तिहाई (30 प्रतिशत) कर्मचारियों का कहना है कि वे जानबूझकर काम पर या कंपनी के स्वामित्व वाले उपकरणों पर गैर-स्वीकृत ऐप का उपयोग करते हैं। हालांकि, अस्वीकृत ऐप्स डाउनलोड करने वालों में से एक तिहाई का दावा है कि उनका हाथ उनके अपने आईटी विभाग द्वारा मजबूर किया जाता है जो अक्सर उन्हें उन ऐप्स तक पहुंच नहीं देता है जिनकी उन्हें अपना काम करने की आवश्यकता होती है।
“यदि आप [तकनीक] को इतना प्रतिबंधात्मक बनाते हैं कि आपके पास शून्य जोखिम है, तो कोई भी इसका कभी भी उपयोग नहीं करेगा,” डेविड मेयर, जो इनसाइट के कनेक्ट वर्कफोर्स व्यवसाय के प्रमुख हैं, टॉम के हार्डवेयर को बताते हैं।
संतुलन स्ट्राइक करना
सुरक्षा विशेषज्ञ इस बात से सहमत हैं कि कर्मचारी उत्पादकता और खुशी के साथ-साथ एक संगठन की सुरक्षा को संतुलित किया जाना चाहिए।
“कर्मचारियों को उनके इच्छित तरीके से काम करने की अनुमति देना और उन उपकरणों का उपयोग करना जो वे चाहते हैं, अन्यथा सुरक्षित वातावरण में भारी मात्रा में जोखिम का परिचय देते हैं। हालांकि, उन्हें ऐसा करने की अनुमति नहीं देना आपके कर्मचारियों की उत्पादकता को मार सकता है,” रैले के सीईओ, एनसी-आधारित प्रबंधित सुरक्षा सेवा प्रदाता (एमएसएसपी) द टेक, जॉय कोस्टा, टॉम के हार्डवेयर को बताता है।
इसके आसपास का तरीका, कोस्टा कहते हैं, एक व्यवसाय के लिए उपयोगकर्ता अनुभव के आसपास अपने सुरक्षा कार्यक्रम पर ध्यान केंद्रित करना है। वह सलाह देता है “अपने उपयोगकर्ताओं के साथ काम करने के लिए यह समझने के लिए कि वे कैसे काम करना चाहते हैं, वे किस प्रकार के अनुप्रयोगों और ऑपरेटिंग सिस्टम का उपयोग करना चाहते हैं और सक्षमता और विस्तारशीलता के लिए आपके सुरक्षा कार्यक्रम को डिजाइन करना चाहते हैं जो आपको कर्मचारी उत्पादकता और संतुष्टि को बढ़ाने की अनुमति देगा, जबकि अभी भी अपना समग्र रखते हुए जोखिम का स्तर कम।”
हाइव मैनेज्ड होस्टिंग के निदेशक जेक मैडर्स, जिसके लॉस एंजिल्स, बोस्टन और मियामी में डेटा सेंटर हैं, सहमत हैं कि आईटी प्रमुखों को संतुलन बनाने की कोशिश करनी चाहिए।
“व्यवसायों को हर तरह से कर्मचारियों को सशक्त बनाने की कोशिश करनी चाहिए, जिसमें प्रौद्योगिकी की बात भी शामिल है। उपयोगकर्ताओं को अपने सॉफ़्टवेयर में व्यापक परिवर्तन करने से रोकना एक बात है, लेकिन कर्मचारियों पर साधारण परिवर्तन करने पर प्रतिबंध लगाना, जैसे कि एक अलग वेब ब्राउज़र चुनना, जोखिम उठाना और अंततः उन्हें डिमोटिवेट करना, ”वह टॉम के हार्डवेयर को बताता है। “इंटरनेट समय बचाने और नए अनुप्रयोगों के माध्यम से दक्षता बढ़ाने के लिए नए और रचनात्मक तरीकों की खोज के लिए एक महान उपकरण हो सकता है, इसलिए कर्मचारियों को ऐसा करने की स्वतंत्रता की अनुमति देना व्यवसाय को आंतरिक रूप से विकसित करने की कुंजी है।”
मैडर्स का मानना है कि प्रशिक्षण यह सुनिश्चित करने के लिए महत्वपूर्ण है कि कर्मचारी अनजाने में अपनी कंपनी की सुरक्षा को कमजोर न करें।
“यहाँ कुंजी शिक्षा है – टीम के सदस्यों को सिखाना कि कैसे सुरक्षित रहना है, साथ ही कंपनी की सुरक्षा नीतियों को क्या और कैसे लागू किया जाता है,” वे कहते हैं। “आखिरकार, पर्याप्त सुरक्षा जमीन से बनाई गई है – मुख्य भेद्यता से शुरू होती है, जो अक्सर, यकीनन, उपयोगकर्ता स्वयं होते हैं।”
स्वतंत्र उद्योग विश्लेषक रॉब बामफोर्थ आईटी विभागों से सहमत हैं कि अधिकांश सुरक्षा श्रृंखलाओं में कमजोर कड़ी स्वयं कर्मचारी हैं, लेकिन अच्छी सुरक्षा प्रथाओं के साथ कार्यबल को बोर्ड पर लाने का मतलब है ऊपर से शुरू करना।
“उन्हें समझने, खरीदे गए और समग्र रूप से सहायक सुरक्षा कार्यक्रमों और प्रक्रियाओं को समझना महत्वपूर्ण है। ऐसा कहने के बाद, सुरक्षा निर्णय लेने वाले की ओर से आने वाले आदेश जो व्यवसाय की ज़रूरतों के विपरीत लगते हैं, भी अच्छे नहीं हैं, ”वह टॉम के हार्डवेयर को बताता है।
“अच्छे CISO को यह मिलता है। सुरक्षा को व्यवसाय और उपयोगकर्ताओं के साथ और उनके करीब होना चाहिए। सुरक्षा जोखिम और कमजोरियों को सभी को व्यावसायिक संदर्भ में समझने की आवश्यकता है — व्यवसाय पर इसका क्या प्रभाव पड़ता है? व्यापक समझ खरीद में सहायता करती है और संगठन को एक व्यावहारिक सुरक्षा मुद्रा अपनाने में मदद करती है जो व्यवसाय के लिए सही है, उपयोगकर्ताओं के लिए बहुत दर्दनाक नहीं है और पर्याप्त सुरक्षा प्रदान करती है। ”
दिलचस्प बात यह है कि श्रेड-इट रिपोर्ट में कहा गया है कि अधिकांश उत्तरी अमेरिकी व्यवसायों का कहना है कि वे अपने कर्मचारियों के कंपनी डेटा की सुरक्षा के प्रयासों में विश्वास रखते हैं, फिर भी अधिकांश कर्मचारियों को सूचना सुरक्षा प्रक्रियाओं पर नियमित प्रशिक्षण प्रदान नहीं करते हैं।
“विडंबना यह है कि कई व्यवसाय अभी भी अपने कर्मचारियों पर डेटा सुरक्षा की ज़िम्मेदारी रखते हैं,” यह कहता है।
जोखिम को सीमित करना
इनसाइट के मेयर का कहना है कि आज किसी संगठन के लिए अत्यधिक प्रतिबंधात्मक सुरक्षा नीतियों को लागू करने का कोई कारण नहीं है, हालांकि वह स्वीकार करते हैं कि कभी-कभी “यह आसान तरीका है।”
अंततः, किसी व्यवसाय को अपनाने के लिए सबसे अच्छी सुरक्षा मुद्रा वह है जो उपयोगकर्ताओं को प्रतिबंधित करने के बारे में नहीं है, बल्कि जोखिम को सीमित करने के बारे में है।
“ऐसी प्रबंधन तकनीक है जो यह सुनिश्चित करती है कि [अप्रतिबंधित] एप्लिकेशन कॉर्पोरेट नेटवर्क पर भी न आएं; वे केवल उपयोगकर्ता की मशीन पर रहते हैं। क्लाउड एक्सेस सिक्योरिटी ब्रोकर [CASB] समाधान आपको काम पर कुछ साइटों तक पहुँचने से रोक सकते हैं, उदाहरण के लिए, ”वे कहते हैं, यह संतुलन में वापस चला जाता है।
“आप एक जोखिम प्रोफ़ाइल को संतुलित कर रहे हैं। आप किस जोखिम को लेने में सहज हैं? ऐसी लचीली प्रणाली बनाने का कोई तरीका नहीं है जो 100 प्रतिशत सुरक्षित हो। लेकिन अगर आप इसे 97 प्रतिशत सुरक्षित बना सकते हैं, और फिर आप पिछले तीन प्रतिशत को प्रबंधित और ट्रैक कर सकते हैं, तो शायद यह एक जोखिम प्रोफ़ाइल है जिसे आप लेने के इच्छुक हैं।”
इसका उत्तर एक संतुलन खोजने में निहित है जहां आईटी महसूस नहीं करता है कि उसे उपयोगकर्ताओं की गतिविधियों या व्यवहार पर बहुत अधिक दबाव डालना पड़ता है, जो अंततः निराशा और एक संगठन के रूप में विकसित होने में असमर्थता का कारण बन सकता है। सुरक्षा पेशेवरों को कर्मचारियों की जरूरतों और आधुनिक कार्यस्थल की अपेक्षाओं के प्रति लचीला रहते हुए संगठन के लिए जोखिमों का वजन करना चाहिए।
