किसी व्यवसाय की सुरक्षा मुद्रा को बढ़ाने के कई तरीके हैं। इसमें नेटवर्क को अधिक सुरक्षित बनाना और कर्मचारियों को सोशल इंजीनियरिंग के झांसे में न आने का प्रशिक्षण देना शामिल है। हालांकि, एक प्रकार का जोखिम जिसे अक्सर अनदेखा कर दिया जाता है वह है तृतीय-पक्ष जोखिम।
यदि किसी व्यवसाय को हैक किया जाता है, तो हमलावर अक्सर उससे जुड़े किसी भी व्यवसाय को नुकसान पहुंचा सकता है। इसलिए, यदि आपके किसी तीसरे पक्ष पर हमला करना आसान है, तो आपका व्यवसाय परोक्ष रूप से जोखिम में पड़ सकता है।
तृतीय-पक्ष जोखिम प्रबंधन को इस समस्या को कम करने के लिए डिज़ाइन किया गया है। तो तृतीय-पक्ष जोखिम प्रबंधन क्या है, और इसे कैसे लागू किया जाना चाहिए? आइए नीचे जानें।
थर्ड पार्टी क्या है?
एक तृतीय पक्ष कोई भी इकाई है जिसके साथ आपका व्यवसाय काम करता है। इसमें आपके आपूर्तिकर्ता, आपके विक्रेता, आपके व्यावसायिक भागीदार और आपके द्वारा उपयोग किए जाने वाले सेवा प्रदाता शामिल हैं। ये व्यवसाय आपके व्यवसाय का केवल एक छोटा सा हिस्सा प्रदान कर सकते हैं, लेकिन यह आपको उन पर भरोसा करने से नहीं रोकता है।
कई तृतीय पक्षों को भी अपनी भूमिका निभाने के लिए आपके व्यवसाय के नेटवर्क तक पहुंच की आवश्यकता होती है। इसका मतलब है कि अगर उन्हें हैक किया गया है, तो आपका नेटवर्क भी है।
तृतीय-पक्ष जोखिम प्रबंधन क्या है?
तृतीय-पक्ष जोखिम प्रबंधन तृतीय पक्षों के साथ काम करने से उत्पन्न होने वाले जोखिमों की पहचान करने और उन्हें कम करने का अभ्यास है। इसमें यह देखना शामिल है कि आप वर्तमान में किसके साथ काम कर रहे हैं, यह पता लगाना कि वे किन जोखिमों का सामना करते हैं, और अपने व्यवसाय को उनसे बचाने के लिए सुरक्षा उपाय करना।
हालांकि तीसरे पक्ष के साथ काम करने से बचना संभव नहीं है, तीसरे पक्ष के जोखिम प्रबंधन का उद्देश्य इसे यथासंभव सुरक्षित रूप से करना है। आपके व्यवसाय के आधार पर, इसमें विभिन्न तृतीय पक्षों का उपयोग करना या आपके पास मौजूद लोगों से खुद को अलग करना शामिल हो सकता है।
तृतीय-पक्ष जोखिम प्रबंधन क्यों महत्वपूर्ण है?
यह महत्वपूर्ण है कि तीसरे पक्ष द्वारा उत्पन्न जोखिम को कम करके नहीं आंका जाए। यहां कुछ कारण बताए गए हैं:
व्यवसाय तीसरे पक्ष पर अधिक से अधिक निर्भर हो रहे हैं
आउटसोर्सिंग की बढ़ती आसानी के कारण, कई व्यवसाय अब डेटा संग्रहण से लेकर पेरोल तक हर चीज़ के लिए तीसरे पक्ष पर निर्भर हैं। यदि किसी महत्वपूर्ण तृतीय पक्ष को पर्याप्त गंभीर हमले का सामना करना पड़ा तो अधिकांश कंपनियां ठीक से काम नहीं कर पाएंगी।
तृतीय-पक्ष सुरक्षा व्यापक रूप से भिन्न होती है
तृतीय पक्षों की सुरक्षा प्रथाएं व्यापक रूप से भिन्न होती हैं। यह समझना कि कौन से पक्ष आपके व्यवसाय के लिए जोखिम पैदा करते हैं, अक्सर सावधानीपूर्वक जांच की आवश्यकता होती है। तृतीय-पक्ष जोखिम प्रबंधन यह सुनिश्चित करता है कि आप प्रत्येक पक्ष की सुरक्षा स्थिति को समझें और जहां आवश्यक हो उन्हें बदल दें।
तृतीय-पक्ष अक्सर आपके नेटवर्क तक पहुँचते हैं
तृतीय पक्षों को अक्सर आपके नेटवर्क तक पहुंच की आवश्यकता होती है। इसलिए तृतीय पक्षों के लिए अपने स्वयं के उपयोगकर्ता प्रमाण-पत्र देना आम बात है। अगर वो क्रेडेंशियल चोरी हो जाते हैंहैकर आपके नेटवर्क तक पहुंच सकता है।
आप तृतीय-पक्ष हमलों के लिए उत्तरदायी हैं
तृतीय पक्ष अक्सर गोपनीय जानकारी संग्रहीत करते हैं; इसलिए, यदि तीसरे पक्ष को हैक किया जाता है और वह जानकारी चोरी हो जाती है, तो आपका व्यवसाय उत्तरदायी होगा। यदि आपके ग्राहक की जानकारी लीक होती है, तो आप जिम्मेदार हैं, भले ही यह तीसरे पक्ष की गलती हो। यह न केवल आपके व्यवसाय को प्रतिष्ठित नुकसान के लिए खोलता है, बल्कि आप पर मुकदमा चलाने की संभावना भी छोड़ सकता है।
तृतीय-पक्ष जोखिम प्रबंधन को कैसे लागू करें
तृतीय-पक्ष जोखिम प्रबंधन एक व्यापक गतिविधि है, और उठाए गए विशिष्ट कदम व्यवसाय के आकार और इसके साथ काम करने वाले तृतीय पक्षों के प्रकारों पर निर्भर करते हैं। हालाँकि, अधिकांश कंपनियों को निम्नलिखित चरणों से लाभ होगा:
सूची सभी तृतीय पक्ष
आपके व्यवसाय के लिए उत्पन्न जोखिम को समझने के लिए, आपको उन सभी तृतीय पक्षों की एक सूची की आवश्यकता है जिनके साथ आप वर्तमान में काम कर रहे हैं। इस सूची में आकार की परवाह किए बिना सभी तृतीय पक्षों को शामिल किया जाना चाहिए। आपको यह भी दस्तावेज करना चाहिए कि आपके नेटवर्क के कौन से हिस्से और डेटा प्रत्येक के लिए उपलब्ध हैं।
जोखिम के आधार पर तृतीय पक्षों को वर्गीकृत करें
तीसरे पक्ष जोखिम के मामले में व्यापक रूप से भिन्न होते हैं। इसलिए, एक व्यवसाय को प्रत्येक तीसरे पक्ष को उसके जोखिम स्तर के अनुसार वर्गीकृत करना चाहिए। इसमें यह देखना शामिल है कि अगर उन्हें हैक किया जाता है तो क्या हो सकता है और ऐसा होने की संभावना है। यह महत्वपूर्ण है क्योंकि यह आपको पहले उच्च-जोखिम वाले तृतीय पक्षों पर ध्यान केंद्रित करने देता है।
सभी जोखिमों पर विचार करें
तृतीय-पक्ष जोखिम प्रबंधन केवल साइबर सुरक्षा जोखिम के बारे में नहीं है। वे आपके व्यवसाय को कई तरह से नुकसान पहुंचा सकते हैं, जिसमें उन्हें हैक किया जाना शामिल नहीं है। यदि वे किसी भी कारण से सहमत सेवा प्रदान करना बंद कर देते हैं, तो आपका व्यवसाय मुश्किल में पड़ सकता है। और यदि उनकी प्रतिष्ठा को ठेस पहुँचती है, तो संघ द्वारा आपकी प्रतिष्ठा को भी ठेस पहुँचती है। इसलिए, जोखिम मूल्यांकन में सभी संभावित जोखिम शामिल होने चाहिए, न कि केवल सुरक्षा।
तृतीय पक्षों से अतिरिक्त जानकारी प्राप्त करें
तृतीय-पक्ष जोखिम प्रबंधन के लिए तृतीय पक्षों के बारे में बहुत सारी जानकारी की आवश्यकता होती है, जो आमतौर पर प्रश्नावली भेजकर प्राप्त की जाती है। यह एक सामान्य प्रथा है, और आप इस उद्देश्य के लिए डिज़ाइन की गई मानकीकृत प्रश्नावली खरीद सकते हैं। बेशक, आप भी कर सकते हैं अपनी खुद की प्रश्नावली बनाओ, लेकिन इस मार्ग पर जाने से पहले आपको यह समझना होगा कि कौन से प्रश्न पूछने हैं।
जोखिम कम करें
एक बार जब आप सभी तृतीय पक्षों और उनके जोखिमों की सूची बना लेते हैं, तो आप जोखिमों को कम करने का प्रयास कर सकते हैं। इसमें आपके नेटवर्क में बदलाव करना शामिल हो सकता है, जैसे पहुंच को प्रतिबंधित करना या अनुरोध करना कि तृतीय पक्ष अतिरिक्त सुरक्षा नीतियों को लागू करें। कभी-कभी, इसमें आपके साथ काम करने वाले तीसरे पक्ष को बदलना भी शामिल हो सकता है।
तृतीय-पक्ष निगरानी सेट करें
तृतीय-पक्ष जोखिम प्रबंधन एक सतत प्रक्रिया है जिसके लिए नियमित निगरानी की आवश्यकता होती है। आप नियमित रूप से आकलन करके तृतीय पक्षों की मैन्युअल रूप से निगरानी कर सकते हैं। या आप ऐसे सॉफ़्टवेयर का उपयोग कर सकते हैं जो स्वचालित रूप से तृतीय पक्षों की निगरानी करता है। तीसरे पक्ष अपना व्यवहार बदल सकते हैं, और जिन खतरों का वे सामना कर रहे हैं वे लगातार बदल रहे हैं।
नए तृतीय-पक्षों के लिए दोहराएं
जब भी आप कोई नया तृतीय-पक्ष संबंध प्रारंभ करें तो आपको उपरोक्त चरणों को दोहराना चाहिए। सभी अतिरिक्त तृतीय पक्षों की सावधानीपूर्वक जांच की जानी चाहिए और उनके द्वारा उत्पन्न जोखिम के अनुसार उनका चयन किया जाना चाहिए। आपको उनमें से प्रत्येक को केवल उनके उद्देश्य को पूरा करने के लिए आवश्यक नेटवर्क का स्तर और डेटा एक्सेस प्रदान करना चाहिए।
एक घटना प्रतिक्रिया योजना है
घटना प्रतिक्रिया योजना प्रक्रियाओं को बनाने की प्रक्रिया है जिसे आप सुरक्षा घटना की स्थिति में कर सकते हैं। तृतीय-पक्ष जोखिम प्रबंधन आवश्यक रूप से तृतीय-पक्ष की घटनाओं को रोकता नहीं है, लेकिन इसका उपयोग उन घटनाओं की बेहतर भविष्यवाणी करने के लिए किया जा सकता है जिनके होने की सबसे अधिक संभावना है। घटना प्रतिक्रिया योजना तो उन घटनाओं के लिए तैयार करने के लिए आयोजित किया जाना चाहिए।
तृतीय-पक्ष जोखिम प्रबंधन किसी भी व्यवसाय के लिए महत्वपूर्ण है
व्यवसाय अब सेवाओं की एक विस्तृत श्रृंखला के लिए तीसरे पक्ष पर निर्भर हैं। उनके लिए सुरक्षित नेटवर्क तक पहुंच प्रदान करना और निजी ग्राहक जानकारी संग्रहीत करने के लिए जिम्मेदार होना भी असामान्य नहीं है। इस परिदृश्य में, ऐसी पार्टी पर हमले के महत्वपूर्ण परिणाम हो सकते हैं।
तृतीय-पक्ष जोखिम प्रबंधन व्यवसाय को सुरक्षित करने का एक महत्वपूर्ण हिस्सा है। सभी व्यवसायों को स्पष्ट रूप से समझना चाहिए कि वे किसके साथ काम करते हैं, उनमें कौन से जोखिम शामिल हैं, और वे उन जोखिमों को कैसे कम कर सकते हैं।
