२०२२ मा क्लाउड सुरक्षा खतराहरू
हामी २०२२ मा जाँदै गर्दा, तपाईंको संगठनलाई प्रभाव पार्ने शीर्ष क्लाउड सुरक्षा खतराहरू बारे सचेत हुनु महत्त्वपूर्ण छ। 2023 मा, क्लाउड सुरक्षा खतराहरू विकसित हुन जारी र अधिक परिष्कृत हुनेछ।
यहाँ 2023 मा विचार गर्नुपर्ने चीजहरूको सूची छ:
1. तपाईंको पूर्वाधार कडा गर्दै
तपाइँको क्लाउड पूर्वाधार को रक्षा गर्न को लागी सबै भन्दा राम्रो तरिकाहरु मध्ये एक हमलाहरु को बिरुद्ध कडा कडा छ। यसमा तपाइँको सर्भरहरू र अन्य महत्वपूर्ण कम्पोनेन्टहरू ठीकसँग कन्फिगर र अप टु डेट छन् भन्ने सुनिश्चित गर्न समावेश छ।
तपाईंको अपरेटिङ सिस्टमलाई कडा बनाउन महत्त्वपूर्ण छ किनभने आज धेरै क्लाउड सुरक्षा खतराहरूले पुरानो सफ्टवेयरमा कमजोरीहरूको शोषण गर्दछ। उदाहरणका लागि, 2017 मा WannaCry ransomware आक्रमणले प्याच नगरिएको विन्डोज अपरेटिङ सिस्टममा भएको त्रुटिको फाइदा उठायो।
2021 मा, ransomware आक्रमणहरू 20% ले बढ्यो। धेरै कम्पनीहरू क्लाउडमा सर्दा, यी प्रकारका आक्रमणहरूबाट जोगाउन आफ्नो पूर्वाधारलाई कडा बनाउन महत्त्वपूर्ण छ।
तपाईंको पूर्वाधारलाई कडा बनाउनुले तपाईंलाई धेरै सामान्य आक्रमणहरू कम गर्न मद्दत गर्न सक्छ, जसमा:
- DDoS आक्रमणहरू
- SQL इंजेक्शन आक्रमणहरू
- क्रस-साइट स्क्रिप्टिङ (XSS) आक्रमणहरू
DDoS आक्रमण के हो?
DDoS आक्रमण साइबर आक्रमणको एक प्रकार हो जसले सर्भर वा नेटवर्कलाई ट्राफिकको बाढी वा अनुरोधहरू ओभरलोड गर्नको लागि लक्षित गर्दछ। DDoS आक्रमणहरू धेरै विघटनकारी हुन सक्छ र प्रयोगकर्ताहरूको लागि वेबसाइट वा सेवा अनुपलब्ध हुन सक्छ।
DDos आक्रमण तथ्याङ्क:
- 2018 मा, 300 को तुलनामा DDoS आक्रमणहरूमा 2017% वृद्धि भएको थियो।
- DDoS आक्रमणको औसत लागत $2.5 मिलियन हो।
एक SQL इंजेक्शन आक्रमण के हो?
SQL इंजेक्शन आक्रमणहरू साइबर आक्रमणको एक प्रकार हो जसले डाटाबेसमा दुर्भावनापूर्ण SQL कोड घुसाउनको लागि अनुप्रयोगको कोडमा कमजोरीहरूको फाइदा लिन्छ। यो कोड त्यसपछि संवेदनशील डाटा पहुँच गर्न वा डाटाबेस नियन्त्रण लिन प्रयोग गर्न सकिन्छ।
SQL इंजेक्शन आक्रमणहरू वेबमा आक्रमणहरूको सबैभन्दा सामान्य प्रकारहरू मध्ये एक हो। वास्तवमा, तिनीहरू यति सामान्य छन् कि ओपन वेब अनुप्रयोग सुरक्षा परियोजना (OWASP) ले तिनीहरूलाई शीर्ष 10 वेब अनुप्रयोग सुरक्षा जोखिमहरू मध्ये एकको रूपमा सूचीबद्ध गर्दछ।
SQL इंजेक्शन आक्रमण तथ्याङ्क:
- 2017 मा, SQL इंजेक्शन आक्रमणहरू लगभग 4,000 डाटा उल्लंघनको लागि जिम्मेवार थिए।
- SQL इंजेक्शन आक्रमणको औसत लागत $1.6 मिलियन हो।
क्रस-साइट स्क्रिप्टिङ (XSS) के हो?
क्रस-साइट स्क्रिप्टिङ (XSS) एक प्रकारको साइबर आक्रमण हो जसमा वेब पृष्ठमा मालिसियस कोड इन्जेक्सन गर्ने समावेश हुन्छ। यो कोड त्यसपछि पृष्ठ भ्रमण गर्ने अप्रत्याशित प्रयोगकर्ताहरूद्वारा कार्यान्वयन गरिन्छ, जसको परिणामस्वरूप तिनीहरूको कम्प्युटरमा सम्झौता हुन्छ।
XSS आक्रमणहरू धेरै सामान्य छन् र प्रायः पासवर्ड र क्रेडिट कार्ड नम्बरहरू जस्ता संवेदनशील जानकारी चोरी गर्न प्रयोग गरिन्छ। तिनीहरू पनि पीडितको कम्प्युटरमा मालवेयर स्थापना गर्न वा खराब वेबसाइटमा रिडिरेक्ट गर्न प्रयोग गर्न सकिन्छ।
क्रस-साइट स्क्रिप्टिङ (XSS) तथ्याङ्क:
- 2017 मा, XSS आक्रमणहरू लगभग 3,000 डाटा उल्लंघनका लागि जिम्मेवार थिए।
- XSS आक्रमणको औसत लागत $1.8 मिलियन हो।
2. क्लाउड सुरक्षा खतराहरू
त्यहाँ विभिन्न क्लाउड सुरक्षा खतराहरू छन् जुन तपाईलाई सचेत हुन आवश्यक छ। यसमा सेवा अस्वीकार (DoS) आक्रमणहरू, डाटा उल्लंघनहरू, र यहाँसम्म कि दुर्भावनापूर्ण भित्रीहरू जस्ता चीजहरू समावेश छन्।
सेवा अस्वीकार (DoS) आक्रमणहरूले कसरी काम गर्छ?
DoS आक्रमणहरू साइबर आक्रमणको एक प्रकार हो जहाँ आक्रमणकारीले ट्राफिकमा बाढी गरेर प्रणाली वा नेटवर्कलाई अनुपलब्ध बनाउन खोज्छ। यी आक्रमणहरू धेरै विघटनकारी हुन सक्छन्, र महत्त्वपूर्ण आर्थिक क्षति हुन सक्छ।
सेवा आक्रमण तथ्याङ्क अस्वीकार
- 2019 मा, कुल 34,000 DoS आक्रमणहरू थिए।
- DoS आक्रमणको औसत लागत $2.5 मिलियन हो।
- DoS आक्रमणहरू दिन वा हप्तासम्म पनि रहन सक्छन्।
डाटा उल्लंघन कसरी हुन्छ?
जब संवेदनशील वा गोप्य डेटा प्राधिकरण बिना पहुँच गरिन्छ डाटा उल्लंघन हुन्छ। यो ह्याकिंग, सामाजिक ईन्जिनियरिङ्, र भौतिक चोरी समेत सहित विभिन्न विधिहरू मार्फत हुन सक्छ।
डाटा उल्लंघन तथ्याङ्क
- २०१९ मा कुल ३,८१३ डाटा उल्लंघन भएको थियो।
- डाटा उल्लंघनको औसत लागत $3.92 मिलियन हो।
- डाटा उल्लंघन पहिचान गर्न औसत समय 201 दिन हो।
दुर्भावनापूर्ण भित्रीहरूले कसरी आक्रमण गर्छन्?
मालिसियस इन्साइडरहरू कर्मचारी वा ठेकेदारहरू हुन् जसले जानाजानी कम्पनी डेटामा आफ्नो पहुँचको दुरुपयोग गर्छन्। यो आर्थिक लाभ, बदला, वा केवल किनभने तिनीहरूले क्षति गर्न चाहन्छन् सहित धेरै कारणहरूको लागि हुन सक्छ।
भित्री खतरा तथ्याङ्क
- 2019 मा, दुर्भावनापूर्ण भित्रीहरू 43% डाटा उल्लंघनका लागि जिम्मेवार थिए।
- आन्तरिक आक्रमणको औसत लागत $8.76 मिलियन हो।
- भित्री आक्रमण पत्ता लगाउनको लागि औसत समय 190 दिन हो।
3. तपाईं आफ्नो पूर्वाधार कसरी कडा गर्नुहुन्छ?
सुरक्षा कडाई भनेको तपाईंको पूर्वाधारलाई आक्रमणको प्रतिरोधी बनाउने प्रक्रिया हो। यसले सुरक्षा नियन्त्रणहरू लागू गर्ने, फायरवालहरू प्रयोग गर्ने, र इन्क्रिप्सन प्रयोग गर्ने जस्ता चीजहरू समावेश गर्न सक्छ।
तपाईं कसरी सुरक्षा नियन्त्रणहरू लागू गर्नुहुन्छ?
त्यहाँ विभिन्न सुरक्षा नियन्त्रणहरू छन् जुन तपाईंले आफ्नो पूर्वाधारलाई कडा बनाउन लागू गर्न सक्नुहुन्छ। यसमा फायरवालहरू, पहुँच नियन्त्रण सूचीहरू (ACLs), घुसपैठ पत्ता लगाउने प्रणाली (IDS), र इन्क्रिप्शन जस्ता चीजहरू समावेश छन्।
कसरी पहुँच नियन्त्रण सूची सिर्जना गर्ने:
- संरक्षण गर्न आवश्यक स्रोतहरू परिभाषित गर्नुहोस्।
- ती स्रोतहरूमा पहुँच हुनु पर्ने प्रयोगकर्ताहरू र समूहहरू पहिचान गर्नुहोस्।
- प्रत्येक प्रयोगकर्ता र समूहको लागि अनुमतिहरूको सूची सिर्जना गर्नुहोस्।
- तपाईंको नेटवर्क उपकरणहरूमा ACL हरू लागू गर्नुहोस्।
घुसपैठ पत्ता लगाउने प्रणालीहरू के हुन्?
घुसपैठ पत्ता लगाउने प्रणाली (IDS) तपाईंको नेटवर्कमा खराब गतिविधि पत्ता लगाउन र प्रतिक्रिया दिन डिजाइन गरिएको हो। तिनीहरू प्रयास आक्रमणहरू, डाटा उल्लंघनहरू, र भित्री खतराहरू जस्ता चीजहरू पहिचान गर्न प्रयोग गर्न सकिन्छ।
तपाइँ कसरी एक घुसपैठ पत्ता लगाउने प्रणाली लागू गर्नुहुन्छ?
- आफ्नो आवश्यकता अनुसार सही IDS छान्नुहोस्।
- आफ्नो नेटवर्कमा IDS प्रयोग गर्नुहोस्।
- खराब गतिविधि पत्ता लगाउन IDS कन्फिगर गर्नुहोस्।
- IDS द्वारा उत्पन्न अलर्टहरूमा प्रतिक्रिया दिनुहोस्।
फायरवाल के हो?
फायरवाल एक नेटवर्क सुरक्षा उपकरण हो जसले नियमहरूको सेटमा आधारित ट्राफिक फिल्टर गर्दछ। फायरवालहरू सुरक्षा नियन्त्रणको एक प्रकार हो जुन तपाईंको पूर्वाधारलाई कडा बनाउन प्रयोग गर्न सकिन्छ। तिनीहरू विभिन्न तरिकामा तैनात गर्न सकिन्छ, जसमा अन-प्रिमाइसेस, क्लाउडमा, र सेवाको रूपमा। फायरवालहरू आगमन ट्राफिक, बाहिर जाने ट्राफिक, वा दुवै रोक्न प्रयोग गर्न सकिन्छ।
अन-प्रिमाइसेस फायरवाल के हो?
एक अन-प्रिमाइसेस फायरवाल एक प्रकारको फायरवाल हो जुन तपाईंको स्थानीय नेटवर्कमा प्रयोग गरिन्छ। अन-प्रिमाइसेस फायरवालहरू सामान्यतया साना र मध्यम आकारका व्यवसायहरूको सुरक्षा गर्न प्रयोग गरिन्छ।
क्लाउड फायरवाल के हो?
क्लाउड फायरवाल एक प्रकारको फायरवाल हो जुन क्लाउडमा तैनात हुन्छ। क्लाउड फायरवालहरू सामान्यतया ठूला उद्यमहरूको सुरक्षा गर्न प्रयोग गरिन्छ।
क्लाउड फायरवालका फाइदाहरू के हुन्?
क्लाउड फायरवालहरूले धेरै फाइदाहरू प्रदान गर्दछ, जसमा:
- सुधारिएको सुरक्षा
- नेटवर्क गतिविधि मा बढेको दृश्यता
- कम जटिलता
- ठूला संस्थाहरूको लागि कम लागत
सेवाको रूपमा फायरवाल के हो?
सेवाको रूपमा फायरवाल (FaaS) क्लाउड-आधारित फायरवालको एक प्रकार हो। FaaS प्रदायकहरूले फायरवालहरू प्रस्ताव गर्छन् जुन क्लाउडमा तैनात गर्न सकिन्छ। यस प्रकारको सेवा सामान्यतया साना र मध्यम आकारका व्यवसायहरू द्वारा प्रयोग गरिन्छ। यदि तपाईंसँग ठूलो वा जटिल नेटवर्क छ भने तपाईंले सेवाको रूपमा फायरवाल प्रयोग गर्नु हुँदैन।
एक FaaS को लाभ
FaaS ले धेरै फाइदाहरू प्रदान गर्दछ, जसमा:
- कम जटिलता
- बढेको लचिलोपन
- भुक्तान-जसरी-तपाईं-जा मूल्य निर्धारण मोडेल
तपाइँ कसरी सेवाको रूपमा फायरवाल लागू गर्नुहुन्छ?
- FaaS प्रदायक छान्नुहोस्।
- क्लाउडमा फायरवाल डिप्लोय गर्नुहोस्।
- तपाईंको आवश्यकताहरू पूरा गर्न फायरवाल कन्फिगर गर्नुहोस्।
के त्यहाँ परम्परागत फायरवालहरूको विकल्पहरू छन्?
हो, त्यहाँ परम्परागत फायरवालहरूको लागि धेरै विकल्पहरू छन्। यसमा अर्को पुस्ताका फायरवालहरू (NGFWs), वेब अनुप्रयोग फायरवालहरू (WAFs), र API गेटवेहरू समावेश छन्।
अर्को पुस्ताको फायरवाल के हो?
अर्को पुस्ताको फायरवाल (NGFW) एक प्रकारको फायरवाल हो जसले परम्परागत फायरवालहरूको तुलनामा सुधारिएको प्रदर्शन र सुविधाहरू प्रदान गर्दछ। NGFWs ले सामान्यतया एप्लिकेसन-स्तर फिल्टरिङ, घुसपैठ रोकथाम, र सामग्री फिल्टरिङ जस्ता चीजहरू प्रस्ताव गर्दछ।
अनुप्रयोग-स्तर फिल्टरिङ तपाईंलाई प्रयोग भइरहेको अनुप्रयोगमा आधारित ट्राफिक नियन्त्रण गर्न अनुमति दिन्छ। उदाहरणका लागि, तपाईंले HTTP ट्राफिकलाई अनुमति दिन सक्नुहुन्छ तर अन्य सबै ट्राफिकहरूलाई रोक्नुहोस्।
घुसपैठ रोकथाम तपाईंलाई आक्रमणहरू हुन अघि पत्ता लगाउन र रोक्न अनुमति दिन्छ।
सामग्री फिल्टरिंग तपाइँलाई तपाइँको नेटवर्कमा कुन प्रकारको सामग्री पहुँच गर्न सकिन्छ भनेर नियन्त्रण गर्न अनुमति दिन्छ। तपाईं सामग्री फिल्टरिङ प्रयोग गरी मालिसियस वेबसाइटहरू, पोर्न, र जुवा साइटहरू जस्ता चीजहरू ब्लक गर्न सक्नुहुन्छ।
वेब अनुप्रयोग फायरवाल के हो?
वेब अनुप्रयोग फायरवाल (WAF) एक प्रकारको फायरवाल हो जुन वेब अनुप्रयोगहरूलाई आक्रमणहरूबाट जोगाउन डिजाइन गरिएको हो। WAFs ले सामान्यतया घुसपैठ पत्ता लगाउने, अनुप्रयोग-स्तर फिल्टरिङ, र सामग्री फिल्टरिङ जस्ता सुविधाहरू प्रदान गर्दछ।
एपीआई गेटवे के हो?
API गेटवे एक प्रकारको फायरवाल हो जुन API लाई आक्रमणबाट जोगाउन डिजाइन गरिएको हो। API गेटवेहरूले सामान्यतया प्रमाणीकरण, प्राधिकरण, र दर सीमित गर्ने जस्ता सुविधाहरू प्रदान गर्दछ।
प्रमाणीकरण एक महत्त्वपूर्ण सुरक्षा सुविधा हो किनभने यसले सुनिश्चित गर्दछ कि केवल अधिकृत प्रयोगकर्ताहरूले API पहुँच गर्न सक्छन्।
प्राधिकरण एक महत्त्वपूर्ण सुरक्षा सुविधा हो किनभने यसले सुनिश्चित गर्दछ कि केवल अधिकृत प्रयोगकर्ताहरूले निश्चित कार्यहरू गर्न सक्छन्।
दर सीमित एक महत्त्वपूर्ण सुरक्षा सुविधा हो किनभने यसले सेवा आक्रमणहरूको अस्वीकार रोक्न मद्दत गर्दछ।
तपाइँ कसरी ईन्क्रिप्शन प्रयोग गर्नुहुन्छ?
एन्क्रिप्शन एक प्रकारको सुरक्षा उपाय हो जुन तपाईंको पूर्वाधारलाई कडा बनाउन प्रयोग गर्न सकिन्छ। यसले डेटालाई एक फारममा रूपान्तरण गर्न समावेश गर्दछ जुन आधिकारिक प्रयोगकर्ताहरूले मात्र पढ्न सक्छन्।
इन्क्रिप्सन विधिहरू समावेश छन्:
- सिमेट्रिक-कुञ्जी एन्क्रिप्शन
- असममित कुञ्जी एन्क्रिप्शन
- सार्वजनिक कुञ्जी इन्क्रिप्सन
सिमेट्रिक-कुञ्जी इन्क्रिप्सन इन्क्रिप्शनको एक प्रकार हो जहाँ एउटै कुञ्जी डेटा इन्क्रिप्ट र डिक्रिप्ट गर्न प्रयोग गरिन्छ।
असममित-कुञ्जी इन्क्रिप्सन इन्क्रिप्शनको एक प्रकार हो जहाँ डेटा इन्क्रिप्ट र डिक्रिप्ट गर्न विभिन्न कुञ्जीहरू प्रयोग गरिन्छ।
सार्वजनिक कुञ्जी इन्क्रिप्सन गुप्तिकरणको एक प्रकार हो जहाँ कुञ्जी सबैलाई उपलब्ध गराइन्छ।
4. क्लाउड मार्केटप्लेसबाट कडा पूर्वाधार कसरी प्रयोग गर्ने
तपाईंको पूर्वाधारलाई कडा बनाउने सबैभन्दा राम्रो तरिका भनेको AWS जस्ता प्रदायकबाट कडा पूर्वाधार खरिद गर्नु हो। यस प्रकारको पूर्वाधार आक्रमणको लागि थप प्रतिरोधी हुन डिजाइन गरिएको हो, र तपाईंलाई आफ्नो सुरक्षा अनुपालन आवश्यकताहरू पूरा गर्न मद्दत गर्न सक्छ। तथापि, AWS मा सबै उदाहरणहरू समान रूपमा सिर्जना गरिएका छैनन्। AWS ले गैर-कठोर छविहरू पनि प्रदान गर्दछ जुन कठोर छविहरू जस्तै आक्रमण गर्न प्रतिरोधी छैन। AMI आक्रमण गर्न प्रतिरोधी छ कि छैन भनी बताउनको लागि सबैभन्दा राम्रो तरिका भनेको संस्करण अप टु डेट छ भनी सुनिश्चित गर्नु हो कि यसमा नवीनतम सुरक्षा सुविधाहरू छन्।
कठोर पूर्वाधार खरिद गर्नु तपाईको आफ्नै पूर्वाधारलाई कडा बनाउने प्रक्रियामा जानु भन्दा धेरै सरल छ। यो अधिक लागत-प्रभावी पनि हुन सक्छ, किनकि तपाईंले आफ्नो पूर्वाधार आफैंलाई कडा बनाउन आवश्यक उपकरण र स्रोतहरूमा लगानी गर्न आवश्यक पर्दैन।
कडा पूर्वाधार खरिद गर्दा, तपाईंले सुरक्षा नियन्त्रणहरूको विस्तृत दायरा प्रदान गर्ने प्रदायक खोज्नुपर्छ। यसले तपाईंलाई सबै प्रकारका आक्रमणहरू विरुद्ध तपाईंको पूर्वाधारलाई कडा बनाउने उत्तम मौका दिनेछ।
कडा पूर्वाधार खरिद गर्दा थप फाइदाहरू:
- बढेको सुरक्षा
- सुधारिएको अनुपालन
- कम लागत
- बढेको सरलता
तपाईको क्लाउड इन्फ्रास्ट्रक्चरमा बढ्दो सरलतालाई उच्च मूल्याङ्कन गरिएको छ! प्रतिष्ठित विक्रेताबाट कडा पूर्वाधारको बारेमा सुविधाजनक कुरा यो हो कि यो वर्तमान सुरक्षा मापदण्डहरू पूरा गर्न लगातार अपडेट हुनेछ।
पुरानो भएको क्लाउड पूर्वाधार आक्रमणको लागि बढी जोखिममा छ। यसैले तपाईंको पूर्वाधारलाई अप-टु-डेट राख्न महत्त्वपूर्ण छ।
पुरानो सफ्टवेयर आज संगठनहरूको सामना गर्ने सबैभन्दा ठूलो सुरक्षा खतराहरू मध्ये एक हो। कडा पूर्वाधार खरिद गरेर, तपाईं यस समस्याबाट पूर्ण रूपमा बच्न सक्नुहुन्छ।
तपाईंको आफ्नै पूर्वाधारलाई कडा बनाउँदा, सम्भावित सुरक्षा खतराहरूलाई विचार गर्न महत्त्वपूर्ण छ। यो एक चुनौतीपूर्ण कार्य हुन सक्छ, तर यो सुनिश्चित गर्न आवश्यक छ कि तपाइँको कडा प्रयासहरू प्रभावकारी छन्।
5. सुरक्षा अनुपालन
तपाईंको पूर्वाधारलाई कडा बनाउनुले तपाईंलाई सुरक्षा अनुपालनमा पनि मद्दत गर्न सक्छ। यो किनभने धेरै अनुपालन मापदण्डहरू आवश्यक छ कि तपाईंले आफ्नो डेटा र प्रणालीहरूलाई आक्रमणबाट जोगाउन कदम चाल्नु पर्छ।
शीर्ष क्लाउड सुरक्षा खतराहरू बारे सचेत भएर, तपाईंले आफ्नो संगठनलाई तिनीहरूबाट जोगाउन कदमहरू चाल्न सक्नुहुन्छ। आफ्नो पूर्वाधारलाई कडा बनाएर र सुरक्षा सुविधाहरू प्रयोग गरेर, तपाईं आक्रमणकारीहरूलाई तपाईंको प्रणालीहरूसँग सम्झौता गर्न धेरै गाह्रो बनाउन सक्नुहुन्छ।
तपाइँ तपाइँको सुरक्षा प्रक्रियाहरु लाई मार्गदर्शन गर्न र तपाइँको पूर्वाधार कडा बनाउन CIS बेन्चमार्क प्रयोग गरेर तपाइँको अनुपालन मुद्रा बलियो बनाउन सक्नुहुन्छ। तपाईं आफ्नो प्रणालीलाई कडा बनाउन र तिनीहरूलाई अनुरूप राख्न मद्दत गर्न स्वचालन पनि प्रयोग गर्न सक्नुहुन्छ।
2022 मा तपाईले कस्तो प्रकारको अनुपालन सुरक्षा नियमहरू दिमागमा राख्नु पर्छ?
- GDPR
- PCI DSS
- HIPAA
- SOX
- HITRUST
GDPR अनुरूप कसरी रहने
जनरल डाटा प्रोटेक्शन रेगुलेसन (GDPR) व्यक्तिगत डाटा कसरी सङ्कलन, प्रयोग र सुरक्षित गर्नुपर्छ भन्ने नियमहरूको सेट हो। EU नागरिकहरूको व्यक्तिगत डेटा सङ्कलन, प्रयोग वा भण्डारण गर्ने संस्थाहरूले GDPR पालना गर्नुपर्छ।
GDPR अनुरूप रहन, तपाईंले आफ्नो पूर्वाधारलाई कडा बनाउन र EU नागरिकहरूको व्यक्तिगत डेटाको सुरक्षा गर्न कदम चाल्नुपर्छ। यसमा डेटा इन्क्रिप्ट गर्ने, फायरवालहरू प्रयोग गर्ने र पहुँच नियन्त्रण सूचीहरू प्रयोग गर्ने जस्ता चीजहरू समावेश छन्।
GDPR अनुपालनमा तथ्याङ्क:
यहाँ GDPR मा केही तथ्याङ्कहरू छन्:
- 92% संस्थाहरूले GDPR पेश गरेदेखि व्यक्तिगत डेटा सङ्कलन र प्रयोग गर्ने तरिकामा परिवर्तन गरेका छन्।
- 61% संगठनहरूले GDPR पालना गर्न गाह्रो भएको बताएका छन्
- 58% संगठनहरूले GDPR पेश गरेदेखि डाटा उल्लङ्घनको अनुभव गरेका छन्
चुनौतीहरूको बावजुद, संगठनहरूले GDPR पालना गर्न कदम चाल्नु महत्त्वपूर्ण छ। यसमा तिनीहरूको पूर्वाधार कडा बनाउने र EU नागरिकहरूको व्यक्तिगत डेटाको सुरक्षा समावेश छ।
GDPR अनुरूप रहन, तपाईंले आफ्नो पूर्वाधारलाई कडा बनाउन र EU नागरिकहरूको व्यक्तिगत डेटाको सुरक्षा गर्न कदम चाल्नुपर्छ। यसमा डेटा इन्क्रिप्ट गर्ने, फायरवालहरू प्रयोग गर्ने र पहुँच नियन्त्रण सूचीहरू प्रयोग गर्ने जस्ता चीजहरू समावेश छन्।
PCI DSS अनुरूप कसरी रहने
भुक्तानी कार्ड उद्योग डाटा सुरक्षा मानक (PCI DSS) क्रेडिट कार्ड जानकारी कसरी सङ्कलन, प्रयोग, र सुरक्षित गरिनुपर्छ भनेर नियन्त्रण गर्ने दिशानिर्देशहरूको सेट हो। क्रेडिट कार्ड भुक्तानीहरू प्रशोधन गर्ने संस्थाहरूले PCI DSS को पालना गर्नुपर्छ।
PCI DSS अनुरूप रहनको लागि, तपाईंले आफ्नो पूर्वाधारलाई कडा बनाउन र क्रेडिट कार्ड जानकारी सुरक्षित गर्न कदम चाल्नुपर्छ। यसमा डेटा इन्क्रिप्ट गर्ने, फायरवालहरू प्रयोग गर्ने र पहुँच नियन्त्रण सूचीहरू प्रयोग गर्ने जस्ता चीजहरू समावेश छन्।
PCI DSS मा तथ्याङ्क
PCI DSS मा तथ्याङ्क:
- 83% संस्थाहरूले PCI DSS पेश गरेदेखि क्रेडिट कार्ड भुक्तानीहरू प्रशोधन गर्ने तरिकामा परिवर्तन गरेका छन्।
- 61% संस्थाहरूले PCI DSS को पालना गर्न गाह्रो भएको बताएका छन्
- 58% संस्थाहरूले PCI DSS पेश गरेदेखि डाटा उल्लंघनको अनुभव गरेका छन्
संगठनहरूले PCI DSS को पालना गर्न कदम चाल्नु महत्त्वपूर्ण छ। यसमा तिनीहरूको पूर्वाधार कडा र क्रेडिट कार्ड जानकारीको सुरक्षा समावेश छ।
HIPAA अनुरूप कसरी रहने
स्वास्थ्य बीमा पोर्टेबिलिटी र एकाउन्टेबिलिटी ऐन (HIPAA) व्यक्तिगत स्वास्थ्य जानकारी कसरी सङ्कलन, प्रयोग र सुरक्षित गर्नुपर्छ भन्ने नियमहरूको सेट हो। बिरामीहरूको व्यक्तिगत स्वास्थ्य जानकारी सङ्कलन, प्रयोग वा भण्डारण गर्ने संस्थाहरूले HIPAA पालना गर्नुपर्छ।
HIPAA अनुरूप रहनको लागि, तपाईंले आफ्नो पूर्वाधारलाई कडा बनाउन र बिरामीहरूको व्यक्तिगत स्वास्थ्य जानकारीको सुरक्षा गर्न कदम चाल्नुपर्छ। यसमा डेटा इन्क्रिप्ट गर्ने, फायरवालहरू प्रयोग गर्ने र पहुँच नियन्त्रण सूचीहरू प्रयोग गर्ने जस्ता चीजहरू समावेश छन्।
HIPAA मा तथ्याङ्क
HIPAA मा तथ्याङ्क:
- 91% संस्थाहरूले HIPAA पेश गरेदेखि व्यक्तिगत स्वास्थ्य जानकारी सङ्कलन र प्रयोग गर्ने तरिकामा परिवर्तन गरेका छन्।
- 63% संगठनहरूले HIPAA को पालना गर्न गाह्रो भएको बताएका छन्
- 60% संगठनहरूले HIPAA पेश गरेदेखि डाटा उल्लंघनको अनुभव गरेका छन्
संगठनहरूले HIPAA को पालना गर्न कदमहरू चाल्नु महत्त्वपूर्ण छ। यसमा तिनीहरूको पूर्वाधार कडा बनाउने र बिरामीहरूको व्यक्तिगत स्वास्थ्य जानकारीको सुरक्षा समावेश छ।
कसरी SOX अनुरूप रहने
Sarbanes-Oxley Act (SOX) वित्तीय जानकारी कसरी सङ्कलन, प्रयोग र सुरक्षित गर्नुपर्छ भन्ने नियमहरूको सेट हो। वित्तीय जानकारी सङ्कलन, प्रयोग वा भण्डारण गर्ने संस्थाहरूले SOX को पालना गर्नुपर्छ।
SOX अनुरूप रहनको लागि, तपाईंले आफ्नो पूर्वाधारलाई कडा बनाउन र वित्तीय जानकारीको सुरक्षा गर्न कदम चाल्नुपर्छ। यसमा डेटा इन्क्रिप्ट गर्ने, फायरवालहरू प्रयोग गर्ने र पहुँच नियन्त्रण सूचीहरू प्रयोग गर्ने जस्ता चीजहरू समावेश छन्।
SOX मा तथ्याङ्क
SOX मा तथ्याङ्क:
- ९४% संस्थाहरूले SOX पेश गरेदेखि वित्तीय जानकारी सङ्कलन र प्रयोग गर्ने तरिकामा परिवर्तन गरेका छन्
- संस्थाहरूको 65% भन्छन् कि SOX को पालना गर्न गाह्रो भएको छ
- SOX पेश गरेदेखि 61% संस्थाहरूले डाटा उल्लंघनको अनुभव गरेका छन्
संगठनहरूले SOX को पालना गर्न कदम चाल्नु महत्त्वपूर्ण छ। यसमा उनीहरूको पूर्वाधारलाई कडा बनाउने र वित्तीय जानकारीको सुरक्षा समावेश छ।
HITRUST प्रमाणीकरण कसरी प्राप्त गर्ने
HITRUST प्रमाणीकरण प्राप्त गर्नु एक बहु-चरण प्रक्रिया हो जसमा आत्म-मूल्याङ्कन पूरा गर्ने, स्वतन्त्र मूल्याङ्कन गर्ने, र त्यसपछि HITRUST द्वारा प्रमाणित हुने समावेश छ।
आत्म-मूल्याङ्कन प्रक्रियाको पहिलो चरण हो र प्रमाणीकरणको लागि संगठनको तयारी निर्धारण गर्न प्रयोग गरिन्छ। यस मूल्याङ्कनमा संगठनको सुरक्षा कार्यक्रम र कागजातहरूको समीक्षा, साथै प्रमुख कर्मचारीहरूसँग साइटमा अन्तर्वार्ताहरू समावेश छन्।
एक पटक आत्म-मूल्याङ्कन पूरा भएपछि, एक स्वतन्त्र मूल्याङ्कनकर्ताले संगठनको सुरक्षा कार्यक्रमको थप गहिरो मूल्याङ्कन गर्नेछ। यस मूल्याङ्कनमा संगठनको सुरक्षा नियन्त्रणहरूको समीक्षा, साथै ती नियन्त्रणहरूको प्रभावकारिता प्रमाणित गर्न साइटमा परीक्षण समावेश हुनेछ।
एक पटक स्वतन्त्र मूल्याङ्कनकर्ताले संगठनको सुरक्षा कार्यक्रमले HITRUST CSF का सबै आवश्यकताहरू पूरा गरेको प्रमाणित गरेपछि, संगठन HITRUST द्वारा प्रमाणित हुनेछ। HITRUST CSF लाई प्रमाणित गरिएका संगठनहरूले संवेदनशील डेटाको सुरक्षा गर्न आफ्नो प्रतिबद्धता देखाउन HITRUST छाप प्रयोग गर्न सक्छन्।
HITRUST मा तथ्याङ्क:
- जुन 2019 सम्म, HITRUST CSF लाई प्रमाणित 2,700 भन्दा बढी संस्थाहरू छन्।
- स्वास्थ्य सेवा उद्योगसँग 1,000 भन्दा बढी प्रमाणित संस्थाहरू छन्।
- 500 भन्दा बढी प्रमाणित संस्थाहरूसँग वित्त र बीमा उद्योग दोस्रो हो।
- खुद्रा उद्योग तेस्रो हो, 400 प्रमाणित संस्थाहरूसँग।
के सुरक्षा जागरूकता प्रशिक्षणले सुरक्षा अनुपालनमा मद्दत गर्छ?
, हो सुरक्षा जागरूकता तालिमले पालना गर्न मद्दत गर्न सक्छ। यो किनभने धेरै अनुपालन मापदण्डहरूले तपाईंलाई आफ्नो डेटा र प्रणालीहरूलाई आक्रमणबाट जोगाउन कदमहरू चाल्न आवश्यक छ। को खतराहरु बारे सचेत भएर साइबर आक्रमण, तपाईं तिनीहरूबाट आफ्नो संगठन जोगाउन कदम चाल्न सक्नुहुन्छ।
मेरो संगठनमा सुरक्षा जागरूकता प्रशिक्षण लागू गर्ने केही तरिकाहरू के हुन्?
तपाईंको संगठनमा सुरक्षा सचेतना तालिम लागू गर्ने धेरै तरिकाहरू छन्। एउटा तरिका भनेको तेस्रो-पक्ष सेवा प्रदायक प्रयोग गर्नु हो जसले सुरक्षा जागरूकता प्रशिक्षण प्रदान गर्दछ। अर्को तरिका तपाईको आफ्नै सुरक्षा जागरूकता प्रशिक्षण कार्यक्रम विकास गर्नु हो।
यो स्पष्ट हुन सक्छ, तर तपाइँका विकासकर्ताहरूलाई अनुप्रयोग सुरक्षा उत्तम अभ्यासहरूमा प्रशिक्षण दिनु सुरु गर्नको लागि उत्तम ठाउँहरू मध्ये एक हो। निश्चित गर्नुहोस् कि उनीहरूलाई कसरी राम्ररी कोड, डिजाइन, र परीक्षण अनुप्रयोगहरू थाहा छ। यसले तपाइँको अनुप्रयोगहरूमा कमजोरीहरूको संख्या कम गर्न मद्दत गर्नेछ। एपसेक प्रशिक्षणले परियोजनाहरू पूरा गर्ने गतिमा पनि सुधार गर्नेछ।
तपाईंले सामाजिक ईन्जिनियरिङ् र जस्ता कुराहरूमा प्रशिक्षण पनि प्रदान गर्नुपर्छ फिसिङ आक्रमणहरू। आक्रमणकारीहरूले प्रणाली र डेटामा पहुँच प्राप्त गर्ने यी सामान्य तरिकाहरू हुन्। यी आक्रमणहरू बारे सचेत भएर, तपाईंका कर्मचारीहरूले आफू र तपाईंको संगठनको सुरक्षा गर्न कदमहरू चाल्न सक्छन्।
सुरक्षा सचेतना तालिमको प्रयोगले अनुपालनमा मद्दत गर्न सक्छ किनभने यसले तपाइँका कर्मचारीहरूलाई तपाइँको डाटा र प्रणालीहरूलाई आक्रमणबाट कसरी जोगाउने भन्ने बारे शिक्षित गर्न मद्दत गर्दछ।
क्लाउडमा फिसिङ सिमुलेशन सर्भर डिप्लोय गर्नुहोस्
तपाईंको सुरक्षा जागरूकता प्रशिक्षणको प्रभावकारिता परीक्षण गर्ने एउटा तरिका क्लाउडमा फिसिङ सिमुलेशन सर्भर प्रयोग गर्नु हो। यसले तपाईंलाई आफ्ना कर्मचारीहरूलाई सिमुलेटेड फिसिङ इमेलहरू पठाउन र उनीहरूले कसरी प्रतिक्रिया दिन्छन् भनी हेर्न अनुमति दिनेछ।
यदि तपाईंले फेला पार्नुभयो कि तपाईंका कर्मचारीहरू सिमुलेटेड फिसिङ आक्रमणहरूको लागि गिरिरहेका छन्, तब तपाईंलाई थाहा छ कि तपाईंले थप प्रशिक्षण प्रदान गर्न आवश्यक छ। यसले तपाईंलाई वास्तविक फिसिङ आक्रमणहरू विरुद्ध आफ्नो संगठनलाई कडा बनाउन मद्दत गर्नेछ।
क्लाउडमा सञ्चारका सबै विधिहरू सुरक्षित गर्नुहोस्
क्लाउडमा तपाईंको सुरक्षा सुधार गर्ने अर्को तरिका सञ्चारका सबै विधिहरू सुरक्षित गर्नु हो। यसमा इमेल, तत्काल सन्देश, र फाइल साझेदारी जस्ता चीजहरू समावेश छन्।
यी संचारहरू सुरक्षित गर्ने धेरै तरिकाहरू छन्, डेटा इन्क्रिप्ट गर्ने, डिजिटल हस्ताक्षरहरू प्रयोग गर्ने, र फायरवालहरू प्रयोग गर्ने सहित। यी कदमहरू चालेर, तपाईंले आफ्नो डाटा र प्रणालीहरूलाई आक्रमणबाट जोगाउन मद्दत गर्न सक्नुहुन्छ।
सञ्चार समावेश गर्ने कुनै पनि क्लाउड उदाहरण प्रयोगको लागि कडा हुनुपर्छ।
सुरक्षा जागरूकता प्रशिक्षण गर्न तेस्रो-पक्ष प्रयोग गर्ने फाइदाहरू:
- तपाइँ प्रशिक्षण कार्यक्रमको विकास र वितरण आउटसोर्स गर्न सक्नुहुन्छ।
- प्रदायकसँग विशेषज्ञहरूको टोली हुनेछ जसले तपाईंको संगठनको लागि उत्तम सम्भावित प्रशिक्षण कार्यक्रम विकास गर्न र डेलिभर गर्न सक्छ।
- प्रदायक नवीनतम अनुपालन आवश्यकताहरूमा अद्यावधिक हुनेछ।
सुरक्षा जागरूकता प्रशिक्षण गर्न तेस्रो-पक्ष प्रयोग गर्ने कमजोरीहरू:
- तेस्रो-पक्ष प्रयोगको लागत उच्च हुन सक्छ।
- तपाईंले प्रशिक्षण कार्यक्रम कसरी प्रयोग गर्ने भनेर आफ्ना कर्मचारीहरूलाई तालिम दिनुपर्नेछ।
- प्रदायकले तपाइँको संगठनको विशेष आवश्यकताहरू पूरा गर्न प्रशिक्षण कार्यक्रम अनुकूलन गर्न सक्षम नहुन सक्छ।
तपाईंको आफ्नै सुरक्षा जागरूकता प्रशिक्षण कार्यक्रम विकास गर्ने फाइदाहरू:
- तपाइँ तपाइँको संगठन को विशेष आवश्यकताहरु लाई पूरा गर्न को लागी प्रशिक्षण कार्यक्रम को अनुकूलित गर्न सक्नुहुन्छ।
- प्रशिक्षण कार्यक्रमको विकास र वितरणको लागत तेस्रो-पक्ष प्रदायक प्रयोग गर्नु भन्दा कम हुनेछ।
- तपाइँसँग प्रशिक्षण कार्यक्रमको सामग्रीमा थप नियन्त्रण हुनेछ।
तपाइँको आफ्नै सुरक्षा जागरूकता प्रशिक्षण कार्यक्रम को विकास को कमिहरु:
- तालिम कार्यक्रमको विकास र वितरण गर्न समय र स्रोत लाग्नेछ।
- तपाईंसँग कर्मचारीहरूमा विशेषज्ञहरू हुन आवश्यक छ जसले प्रशिक्षण कार्यक्रम विकास गर्न र डेलिभर गर्न सक्छ।
- कार्यक्रम नवीनतम अनुपालन आवश्यकताहरूमा अद्यावधिक नहुन सक्छ।
