आजकल कई कंपनियां अपने नेटवर्क सर्वर, पीसी, लैपटॉप, मोबाइल डिवाइस या क्लाउड पर संग्रहीत डेटा पर पूरी तरह से निर्भर हैं। इस डेटा में व्यक्तिगत जानकारी और/या कंपनी की गोपनीय जानकारी शामिल हो सकती है।
यहां हम आपके कंप्यूटर सिस्टम की सुरक्षा की समीक्षा करते समय ध्यान रखने योग्य कुछ मुद्दों और डेटा हानि के जोखिम को कम करने के तरीकों पर चर्चा करेंगे। क्लाउड में डेटा रखने वाले या आउटसोर्सिंग का उपयोग करने वालों के लिए कुछ अतिरिक्त बातों को शामिल करते हुए एक संबंधित फैक्टशीट भी उपलब्ध है।
डेटा लीक होने की कई हाई-प्रोफाइल घटनाएं सामने आई हैं, जिनमें बड़ी मात्रा में व्यक्तिगत जानकारी सार्वजनिक हो गई है। इनमें स्वास्थ्य संबंधी रिकॉर्ड, वित्तीय रिकॉर्ड और कर्मचारियों के विवरण शामिल हैं।
एक व्यावसायिक संगठन को प्रतिस्पर्धी के हाथों डेटा खो जाने का अतिरिक्त जोखिम भी झेलना पड़ता है।
जाहिर है, सरकारी विभागों और निगमों से बड़े पैमाने पर डेटा लीक होने की घटनाएं सुर्खियों में छाई हुई हैं। हालांकि, उचित सावधानी न बरतने पर किसी भी कंपनी को, चाहे उसका आकार कुछ भी हो, डेटा लीक का सामना करना पड़ सकता है।
संस्कृति, मीडिया और खेल विभाग (DCMS) द्वारा कराए गए शोध के अनुसार, 2021 के दौरान ब्रिटेन के लगभग 39% व्यवसायों को किसी न किसी प्रकार के सुरक्षा उल्लंघन या साइबर हमले का सामना करना पड़ा। रिपोर्ट https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022 ।
व्यक्तिगत डेटा के उपयोग और भंडारण का ऑडिट करें
अपने व्यवसाय द्वारा संग्रहीत संभावित रूप से संवेदनशील और गोपनीय डेटा पर विचार करें:
- कर्मचारियों के रिकॉर्ड में जन्मतिथि, चिकित्सा संबंधी जानकारी, वेतन और बैंक खाते का विवरण आदि शामिल होना चाहिए।
- बैंक/क्रेडिट कार्ड खाते के विवरण, पिन नंबर, पासवर्ड, लेनदेन की जानकारी, अनुबंध की जानकारी, छूट और मूल्य निर्धारण सहित ग्राहक और आपूर्तिकर्ता के रिकॉर्ड।
- वित्तीय और प्रदर्शन संबंधी आंकड़े और व्यावसायिक योजनाएं
- गोपनीय डेटा को हमेशा 'सुरक्षित' डेटाबेस में आसानी से संग्रहीत नहीं किया जा सकता है। अक्सर कर्मचारियों को तदर्थ रिपोर्ट (स्प्रेडशीट और अन्य दस्तावेज़ों का उपयोग करके) बनाने और प्रसारित करने की आवश्यकता होती है, जो आमतौर पर डेटाबेस में संग्रहीत जानकारी के अंश होते हैं। इस प्रकार की डेटा पुनर्प्राप्ति अक्सर डेटा सुरक्षा की कीमत पर की जाती है - क्योंकि डेटाबेस में हमेशा एक्सेस नियंत्रण होते हैं, लेकिन इन तदर्थ रिपोर्टों में आमतौर पर नहीं होते हैं।
- पता लगाएं कि डेटा के साथ क्या हो रहा है और इस जानकारी के आकस्मिक या जानबूझकर नुकसान को रोकने के लिए कौन से नियंत्रण उपाय लागू हैं।
जोखिम विश्लेषण और जोखिम न्यूनीकरण
सबसे अहम सवाल यह है कि अगर यह सारा या इसका कुछ हिस्सा डेटा के नष्ट हो जाता है तो इससे किसे और कैसे नुकसान हो सकता है?
एक बार उस प्रश्न का उत्तर मिल जाने के बाद, डेटा हानि के जोखिम को कम करने के लिए कदम उठाए जाने चाहिए। डेटा हानि के जोखिम को कम करने के लिए निम्नलिखित कुछ कदम उठाए जाने चाहिए:
- नियमित रूप से बैकअप लें और बैकअप डेटा को सुरक्षित रूप से किसी अन्य स्थान पर संग्रहीत करें।
- यदि उच्च जोखिम वाला डेटा क्लाउड में संग्रहीत है, तो यह समझें कि कौन से सुरक्षा तंत्र लागू हैं और आवश्यकता पड़ने पर आप इस सभी डेटा को कैसे पुनः प्राप्त कर सकते हैं।
- ऑफिस से बाहर उपयोग किए जाने वाले सभी उपकरणों (लैपटॉप, मोबाइल, टैबलेट आदि सहित) पर संग्रहीत जानकारी के प्रकार की समीक्षा करें। यदि ऐसी जानकारी में व्यक्तिगत और/या गोपनीय डेटा शामिल है, तो डेटा को कम से कम करने या उसे गुमनाम बनाने का प्रयास करें। सुनिश्चित करें कि इस डेटा पर डेटा सुरक्षा और डेटा एन्क्रिप्शन के सबसे उपयुक्त स्तर लागू किए गए हैं।
- यदि कंपनी की सुविधाओं का उपयोग करने के लिए मोबाइल उपकरणों की अनुमति है, तो सुनिश्चित करें कि एक सक्रिय 'अपना डिवाइस खुद लाएं' (BYOD) नीति लागू हो। इसके अलावा, ऐसे उपकरणों पर संग्रहीत किए जा सकने वाले डेटा के प्रकार को प्रतिबंधित करने के लिए उचित सुरक्षा नियंत्रण लागू करें।
- यह सुनिश्चित करें कि ऑनलाइन भुगतान संसाधित करने वाली कंपनी की वेबसाइटों में उपलब्ध सुरक्षा के उच्चतम स्तर हों, जैसे कि डेटा ट्रांसमिशन के लिए SSL के नवीनतम संस्करणों का उपयोग करना। यदि आप भुगतान प्रक्रिया को किसी भुगतान गेटवे सेवा को नहीं सौंप रहे हैं, और क्रेडिट कार्ड की जानकारी को अपने स्वयं के सर्वरों पर डिस्क या मेमोरी में संग्रहीत कर रहे हैं, तो आपको पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCI DSS)
- कंपनी के भीतर यूएसबी और अन्य लेखन योग्य मीडिया जैसे ऑप्टिकल उपकरणों के उपयोग/उपलब्धता की समीक्षा करें और उचित सुरक्षा सेटिंग्स, डेटा एन्क्रिप्शन और भौतिक नियंत्रणों के माध्यम से इन उपकरणों तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करने पर विचार करें।
- यह सुनिश्चित करें कि कंपनी की वेबसाइटों और नेटवर्क की हमलों से होने वाली कमजोरियों के लिए जांच की जाए और इन परीक्षणों को आपकी ओर से करने के लिए पेनिट्रेशन टेस्टिंग फर्मों को नियुक्त करने पर विचार करें।
- संवेदनशील जानकारी से निपटने और डेटा की आवश्यकता समाप्त होने के बाद उसके सुरक्षित निपटान के लिए एक प्रक्रिया होनी चाहिए, जिसमें प्रिंट आउट का निपटान भी शामिल होना चाहिए।
- एक ऐसी प्रक्रिया होनी चाहिए जिसके द्वारा मोबाइल उपकरणों पर संग्रहीत किसी भी व्यक्तिगत/कॉर्पोरेट डेटा को हटाया जा सके या उस तक पहुंच को समाप्त किया जा सके।
- कर्मचारियों को उनकी जिम्मेदारियों, कंपनी की डेटा सुरक्षा प्रक्रियाओं और डेटा गुम होने की स्थिति में उन्हें क्या करना चाहिए, इस बारे में प्रशिक्षित करें।
- कर्मचारियों को प्रशिक्षित करें ताकि वे अनधिकृत ईमेल, रैंसमवेयर, मैलवेयर और अन्य संभावित खतरों की पहचान कर सकें और साथ ही उनसे निपटने के लिए अपनाई जाने वाली प्रक्रियाओं के बारे में भी जान सकें।
सुरक्षा का उल्लंघन करना
जोखिम कम करने के साथ-साथ, सुरक्षा उल्लंघन होने की स्थिति में प्रक्रियाओं का होना भी एक अच्छी बात है। इसमें चार मुख्य क्षेत्रों पर ध्यान केंद्रित किया जाना चाहिए:
- क्षतिपूर्ति योजना और नुकसान को सीमित करने के लिए प्रक्रियाएं
- पुनर्प्राप्ति समीक्षा प्रक्रिया का उद्देश्य व्यक्तियों के लिए संभावित प्रतिकूल परिणामों का आकलन करना, उनकी गंभीरता या व्यापकता का पता लगाना और उनके दोबारा होने की संभावना का निर्धारण करना है।
- सूचना देने की प्रक्रिया में न केवल उन व्यक्तियों को सूचित करना शामिल है जो प्रभावित हुए हैं या संभावित रूप से प्रभावित हो सकते हैं। यदि सुरक्षा उल्लंघन में व्यक्तिगत डेटा का नुकसान शामिल है, तो सूचना आयुक्त (ICO) को सूचित किया जाना चाहिए। अन्य नियामक निकाय और पुलिस, बैंक और मीडिया जैसे अन्य तृतीय पक्ष भी हो सकते हैं जिन्हें सूचित करना आवश्यक है।
- उल्लंघन के बाद – यह सुनिश्चित करें कि भविष्य में ऐसी घटना दोबारा न हो, इसके लिए उचित उपाय किए जाएं, प्रक्रियाओं को अद्यतन किया जाए और कर्मचारियों को तदनुसार प्रशिक्षित या पुनः प्रशिक्षित किया जाए।
उपयोगी संसाधन
राष्ट्रीय साइबर सुरक्षा केंद्र (यूके) – www.ncsc.gov.uk/guidance
ब्रिटेन के व्यवसायों के लिए साइबर खतरा – www.ncsc.gov.uk/cyberthreat
