paint-brush
यूके की साइबर एसेंशियल्स योजना में परिवर्तन व्यवसायों को जोखिम में डालता हैद्वारा@aferreira
450 रीडिंग
450 रीडिंग

यूके की साइबर एसेंशियल्स योजना में परिवर्तन व्यवसायों को जोखिम में डालता है

द्वारा André Ferreira, MSc6m2023/02/06
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

NCSC CyberEssentials (**CE**), संक्षेप में, ब्रिटेन सरकार समर्थित एक योजना है जिसका उद्देश्य कंपनियों को उनकी सुरक्षा गरीबी से बाहर निकालना है। अगर कंपनी शुरू में असेसमेंट में विफल रहती है, तो इसे सही करने और बिना किसी लागत के फिर से सबमिट करने के लिए कुछ दिनों का समय दिया जाएगा।
featured image - यूके की साइबर एसेंशियल्स योजना में परिवर्तन व्यवसायों को जोखिम में डालता है
André Ferreira, MSc HackerNoon profile picture
0-item

NCSC CyberEssentials ( CE ) संक्षेप में, एक यूके-सरकार समर्थित योजना है जिसका उद्देश्य कंपनियों को उनकी सुरक्षा गरीबी से बाहर निकालना है।


जो लोग इस योजना का पालन करने का विकल्प चुनते हैं, उन्हें सबसे आम साइबर हमलों से सुरक्षा का लाभ मिलता है। टिन के लेबल पर आप यही पढ़ सकते हैं, हालांकि, कैन के अंदर और भी बहुत कुछ है।


योजना के दो स्वाद हैं: CE और CE+


CE एक स्व-मूल्यांकन है, जिसे एक ऑनलाइन प्रश्नावली भरकर किया जाता है, जिसकी बाद में IASME द्वारा समीक्षा की जाती है। यदि प्रतिक्रियाएँ पर्याप्त गुणवत्ता और स्पष्टता की हैं, तो कंपनी को प्रमाणपत्र दिया जाता है। अगर कंपनी शुरू में असेसमेंट में विफल रहती है, तो उसे बिना किसी अतिरिक्त लागत के सही करने और फिर से सबमिट करने के लिए कुछ दिनों का समय दिया जाएगा।


सीई + सीई से अलग तकनीकी सत्यापन भी शामिल है, या दूसरे शब्दों में, सबमिट की गई जानकारी स्वतंत्र रूप से प्रवेश परीक्षण के माध्यम से सत्यापित की जाती है।


एक और प्लस यह है कि ब्रिटेन में 20 मिलियन पाउंड से कम टर्नओवर वाली एक प्रमाणित कंपनी £25,000 तक के मूल्य के साइबर देयता बीमा की भी हकदार है, जबकि विदेशों की कंपनियां प्रमाणीकरण को मान्यता देने वाले दलालों से बीमा छूट से लाभान्वित हो सकती हैं।


यदि आप योजना को एक बाधा के रूप में मानते हैं, जो एक बार दूर हो जाने के बाद, उस विशेष वर्ष के लिए व्यवसाय करने के लिए एक उच्च स्तर के आत्मविश्वास और एक बेहतर प्रतिष्ठा की गारंटी देता है, तो आप सही होंगे।


किसी भी स्वाद में नगण्य अधिग्रहण लागत होती है, लेकिन व्यापार जगत के नेताओं को मूल्यांकन पूरा करने की अनुमति देने के लिए पर्याप्त समय देना चाहिए और आवंटित करना चाहिए, यह गैर तुच्छ है। उन्हें अपने कार्यबल को सांस्कृतिक और परिचालन परिवर्तनों के लिए भी तैयार करना चाहिए क्योंकि प्रमाणन आवश्यकताओं को पूरा करने के लिए उनकी आवश्यकता होगी।


तैयार हो या नहीं, एक बार सुरक्षा सिद्धांत के अपने साहसिक कार्य को शुरू करने के बाद, व्यवसाय इस विषय की गहरी प्रशंसा प्राप्त करेगा और एक बेहतर सुरक्षा मुद्रा के साथ सामने आएगा।

थोड़ी आलोचना


1- उनसे जो ज्यादा चाहते हैं

कुछ सुरक्षा पेशेवर, चाहते हैं कि योजना मूल्यांकन निष्कर्षों के अनुसार ग्रे के विभिन्न रंगों की पेशकश के रूप में विकसित हो, जिसका अर्थ है कि इसे "प्रमाणित" की मुहर की तुलना में बेहतर वर्गीकरण की पेशकश करनी चाहिए।


मैंने सोशल मीडिया में इस आलोचना को देखा है और इसके समर्थकों को उन लोगों के रूप में समूहित किया है जो पहले से ही बाधा के दूसरी तरफ खड़े हैं और अपनी आपूर्ति श्रृंखला सुरक्षा आकलन पर परिश्रम की थकान से पीड़ित हैं। IASME को गेंद पास करने की उनकी उत्सुकता संभावित रूप से उनकी कंपनियों की लागत और प्राप्त की गई समान प्रतिक्रियाओं को कम कर देगी। मुझे आश्चर्य है कि क्या IASME इसके लिए जाएगा।


आगे विचार करने पर, मैंने उन लोगों के बहुत पसंद किए जाने वाले अस्तित्व को भी स्वीकार किया जो अन्य प्रमाणित उद्यमों से खुद को अलग करने की इच्छा रखते हैं। ऐसा इसलिए हो क्योंकि उन्होंने प्रमाणित होने के लिए कोनों में कटौती नहीं की और दूसरों पर विश्वास किया, या इस बात से अवगत होने के कारण कि एक्स को प्राप्त करने के विशेष तरीके वास्तव में पूर्ण मूल्य प्रदान करते हैं या यहां तक कि वे कंपनियों के अनुपालन के बारे में जानते हैं, जब यह मामला नहीं है।


फिर भी, मैं एक के लिए, योजना के इस प्रस्तावित उत्परिवर्तन का समर्थन नहीं करता क्योंकि मेरी राय है कि इसे तब तक बनाए रखा जाना चाहिए जब तक कि प्रमाणित कंपनियों की संख्या इतनी अधिक न हो जाए कि प्रमाणन अब अपनी गरीबी को बदलने के बजाय एक उद्देश्य की पूर्ति नहीं करता है। भुखमरी मिशन मध्य मैराथन।


मेरा तर्क सुरक्षा गरीबी का अनुभव करने और व्यवसाय को इससे ऊपर उठाने के लिए आवश्यक प्रयास के स्तर को पहचानने में सक्षम होने से उपजा है। इस तरह, हालांकि मैं समझता हूं कि हर साल फिर से प्रमाणित करना उतना रोमांचक और परिवर्तनकारी नहीं होगा, जितना कि पहली बार पूरा होने पर, अगर कुछ वर्षों के बाद यह एकमात्र सुरक्षा प्रमाणन रह जाता है, जिसे कंपनी रखती है ...

2- उनसे जिन्हें ज्यादा चाहिए

दूसरी तरफ, और 2014 के बाद से योजना की सफलता के बावजूद, यह अपर्याप्त जानकारी और विषयों की एक श्रृंखला पर और स्पष्टता के लिए अनुरोधों के बारे में शिकायत प्राप्त करना जारी रखता है। मेरे, खुद के पास सवाल थे।


फिर भी, मुझे यह प्रतिक्रिया अपरिहार्य लगती है और योजना के लक्षित व्यापक दर्शकों को देखते हुए अपेक्षित है क्योंकि कोई बहुत कम कर सकता है, लेकिन एक बड़े स्तर की अनुनाद प्राप्त करने की आशा करता है, भले ही केवल एक विविध दर्शकों के लिए एक छोटा संदेश प्रेषित किया जाए।


फिर भी, यह महत्वपूर्ण और बार-बार की जाने वाली आलोचना स्पष्ट रूप से इस बात पर जोर देती है कि गरीब और पथभ्रष्ट लोग मदद के लिए आगे बढ़ रहे हैं और बेहतर करना चाहते हैं! लेकिन यह भी सवाल करता है कि क्या बार उठाना वास्तव में उप-इष्टतम या समय से पहले नहीं है।

3- जो नहीं मानते उनसे

कुछ ऐसे सुरक्षा पेशेवर भी हैं जो योजना की कुछ बारीकियों को चुनौती देते हैं। यहां सावधानी और ठहराव होना चाहिए क्योंकि सभी सुरक्षा पेशेवरों को चुनौती की सामग्री को आसानी से समझना चाहिए। इस प्रकार जब कोई व्यक्ति उन प्रथाओं को बनाए रखने के इरादे से चिल्लाना शुरू करता है जो अनैतिकता के दायरे में पहुंचती हैं, तो अन्य लोग इसके पीछे वास्तविक कारण पर सवाल उठाएंगे, चाहे वह हमेशा एक ही मूल कारण हो: वित्तीय लागत, अनुपस्थिति के बजाय जोखिमों के बारे में ज्ञान।


मेरा मानना है कि यह केवल पहचानी गई लागत के वजन के कारण होता है, जो प्राप्त ट्रेडऑफ़ से शादी नहीं की गई है। बहरहाल, मैं मानता हूं कि यहां, शिक्षित करने के लक्ष्य के साथ एक-एक करके लड़ाइयां लड़ी जानी चाहिए ताकि ज्ञान की एक साझा स्थिति की अनुमति दी जा सके जो एक धीमी प्रक्रिया होगी और किसी से पहले बीस्पोक थ्रेट मॉडलिंग, जोखिम की पहचान और परिमाणीकरण के साथ बेहतर सेवा प्रदान की जाएगी। उपचार (स्वीकृति, स्थानांतरण, शमन, परिहार)।


हालाँकि अभी तक मैंने सामने आने वाली चुनौतियों का समर्थन नहीं किया है, मेरे प्रभाव और दृश्यता के क्षेत्र तक सीमित होने के कारण, मैं इस योजना के लिए अधिक मूल्य की पेशकश करने और उन लोगों की सहायता करने के अवसर को भी पहचानता हूं जो यह प्रमाणित करने के इच्छुक हैं कि कौन से कानूनों का उल्लंघन किया जा सकता है यदि वाई और Z जगह पर नहीं हैं। यद्यपि वे यूके विशिष्ट हो सकते हैं, अंतर्दृष्टि लाभकारी और कम प्रतिरोध साबित हो सकती है।

आगामी परिवर्तन जो आपके व्यवसाय को नुकसान पहुंचा सकते हैं

मैं प्रस्तावित परिवर्तनों में से दो पर सवाल उठाता हूं, क्योंकि अन्य सभी इस समय सुधार की तरह महसूस करते हैं, लेकिन मैं फिर से स्वतंत्र रहना पसंद करता हूं।

1- इस योजना के लिए अब उपयोगकर्ता डिवाइस मॉडल की रिपोर्ट करने की आवश्यकता नहीं होगी।

मैं कल्पना कर सकता हूं कि आईएएसएमई को उन उद्यमों से शिकायतें मिल रही हैं जिनके पास बड़ी संख्या में परिसंपत्तियां हैं कि प्रक्रिया कितनी धीमी और दर्दनाक है। मैं वहां गया हूं, लेकिन यह शिकायत करने वाला कोई भी व्यक्ति इस बात पर तत्काल सवाल उठाता है कि कंपनी उक्त संपत्तियों की निगरानी, नियंत्रण और प्रतिस्थापन कैसे करती है और कंपनी की सुरक्षा में सुधार के लिए सही काम करने का हिस्सा है। इस प्रकार, मैं इसे परिवर्तन के कारण के रूप में स्वीकार नहीं करूँगा।


मेरा मानना है कि यह परिवर्तन IASME और संभवतः CE+ मूल्यांकन करने वाली कंपनियों के पक्ष में है, जो अपने काम के स्तर को कम करना चाह रही हैं और इस तरह अधिक लचीले सबमिशन की अनुमति देते हुए बार को कम करने को तैयार हैं। यह इस अर्थ में वास्तविकता के करीब महसूस होता है कि मूल्यांकन किए जा रहे संगठन के आकार के आधार पर, उनके द्वारा निवेश किया गया समय, लागत को कवर नहीं कर सकता है।


हालांकि मेरे लिए, क्योंकि अलग-अलग मॉडलों में अलग-अलग समर्थन जीवनचक्र हो सकते हैं और अलग-अलग संबद्ध ऑपरेटिंग सिस्टम और फ़र्मवेयर हो सकते हैं, इसलिए, यह एक नकारात्मक बदलाव है।


रिपोर्ट करने के लिए एक उदाहरण होगा: "हम केवल मैक का उपयोग करते हैं" जब विशेष मॉडल पहले से ही विभिन्न सुरक्षा आवश्यकताओं का समर्थन करने में असमर्थ हैं। यह सबमिट की गई जानकारी को अस्पष्ट करता है।

आईएएसएमई कृपया पुनर्विचार करें!

2- स्कीम में केवल राउटर और फायरवॉल फर्मवेयर रिपोर्ट की जरूरत होगी

यह मुझे पहेली करता है। कंपनियों के पास वाईफाई रिपीटर्स हैं और जिनके पास फर्मवेयर है, उनके पास सर्वर हैं जिनमें फर्मवेयर और अन्य सभी डिवाइस हैं ... सभी फर्मवेयर के साथ।


यहां मैं वर्चुअलाइजेशन और क्लाउड प्रदाताओं पर उंगली उठाऊंगा जो ऐसी जानकारी साझा नहीं करते हैं। और अगर मैं करीब हूं, तो मैं IASME से सवाल करूंगा कि क्या मूर्त और अमूर्त संपत्ति के लिए अलग-अलग आवश्यकताएं रखने का कोई मतलब नहीं होगा।


डिवाइस में कौन से फर्मवेयर का उपयोग किया जाता है, यह नहीं जानने से संपत्ति की सुरक्षा के स्तर के संबंध में निर्णय लेने में बाधा आती है। तो यह एक और नकारात्मक बदलाव है जिससे कम सुरक्षा होती है।


आईएएसएमई कृपया पुनर्विचार करें!


कम नियंत्रण बेहतर नहीं है, कम सबसे खराब है। इन दो मामलों में कम से कम।


प्रमाणीकरण के मूल्य को कम करना ठीक नहीं है।



पढ़ने के लिए धन्यवाद। आप इन परिवर्तनों के बारे में क्या सोचते हैं? नीचे टिप्पणी करके हमें बताएं!