سائبرسیکیوریٹی کے نفاذ کے نئے دور میں تشریف لے جانا

COMMENTARY

30 اکتوبر 2023 کو، سیکیورٹیز اینڈ ایکسچینج کمیشن (SEC) نے تمام صنعتوں کے سیکیورٹی لیڈروں کے مفروضوں کو اس وقت ہلا کر رکھ دیا جب اس نے ایک تاریخی مقدمہ دائر کیا کے خلاف سولر ونڈز۔ اور اس کے چیف انفارمیشن سیکیورٹی آفیسر (CISO)۔ بہت سے لوگ اس اقدام کو CISO کے کردار میں کام کرنے والے لوگوں کے لیے ایک بم پھٹنے کے مترادف قرار دیتے ہیں۔ یہ بھی پہلی بار ہے کہ کسی SEC مقدمہ نے کسی کمپنی سے کسی فرد کو اس طریقے سے بلایا ہے۔

اب کیس سامنے آنے کے ساتھ، کیا آپ CISO کے طور پر اپنی ذاتی ذمہ داری کو سمجھتے ہیں؟ ایک چیز واضح ہے: یہ کیس ایک پیغام بھیجتا ہے۔ CISOs کو اب غیرمعمولی ممکنہ ذمہ داری کے خطرات کا سامنا ہے، جس سے سیکیورٹی ایگزیکٹوز کے لیے قانونی نمائش کے لیے ایک فعال نقطہ نظر کی ضرورت ہے۔ اس پیچیدہ مسئلے پر روشنی ڈالنے کے لیے، ہم نے 60 سے زیادہ CISOs، SEC کے سابق اراکین، اور قانونی ماہرین کو ایک پینل بحث کے لیے اکٹھا کیا۔ اس اعلی اسٹیک موضوع پر بحث کرنے کے لیے پینلسٹس کو بھرتی کرنے کے لیے پس منظر اور اعتبار بہت ضروری تھا۔ ہمارا مقصد آسان تھا: CISO کمیونٹی کو ذمہ داری کے انتظام پر مستند رہنمائی اور وضاحت فراہم کرنا۔

پینل نے سولر ونڈز کیس کو الگ کیا، یہ نوٹ کرتے ہوئے کہ SEC کی توجہ سنگین دھوکہ دہی کے بجائے غفلت پر مرکوز دکھائی دیتی ہے۔ جبکہ کیس کو جارحانہ کے طور پر پیش کیا گیا ہے، مادہ اتنا مضبوط نہیں ہوسکتا ہے۔ ماہرین تجویز کرتے ہیں کہ CISOs اس معاملے کو ایک ویک اپ کال کے طور پر لیتے ہیں، فعال اقدامات کی ضرورت پر زور دیتے ہیں اور سائبر سیکیورٹی کے لیے نیک نیتی سے اپروچ کرتے ہیں۔

اس بحث سے حاصل ہونے والی بصیرتیں CISOs کے لیے سائبر سیکیورٹی کے نفاذ کے اس نئے دور کو نیویگیٹ کرنے کے لیے ایک روڈ میپ پیش کرتی ہیں۔ یہاں کچھ اہم ترین مشورے ہیں جو ہم نے پینل سے سیکھے۔

جنرل کونسلر کے ساتھ مضبوط اتحاد بنائیں

پینل ڈسکشن سے سب سے پہلے - اور شاید سب سے اہم - اہم نکات میں سے ایک CISOs کی جنرل کونسل (GC) کے ساتھ مضبوط تعلقات استوار کرنے کی اہمیت ہے۔ ماہرین کے مطابق، GC بحران کے وقت ایک اہم اتحادی ثابت ہوسکتا ہے، قیمتی قانونی رہنمائی اور مدد فراہم کرتا ہے۔ SolarWinds کیس کے تناظر میں، CISOs کو مشورہ دیا جاتا ہے کہ وہ اپنے جی سی کے ساتھ خود کو فعال طور پر سیدھ میں رکھیں، ممکنہ قانونی چیلنجوں کے لیے باہمی تعاون اور اچھی طرح سے تیار ردعمل کو یقینی بنائیں۔

ایف بی آئی کنکشن قائم کریں۔

پینل کی طرف سے ایک اور ضروری مشورہ یہ ہے کہ ایف بی آئی کے مقامی دفتر کے ساتھ جلد از جلد تعلق قائم کیا جائے۔ بحث میں ایف بی آئی کے ایک نمائندے نے ایف بی آئی کے ساتھ پہلے سے موجود تعلقات کی اہمیت پر زور دیا۔ FBI کے اندر رابطہ رکھنا SolarWinds کیس کی طرح کے حالات کو نیویگیٹ کرنے میں مددگار ثابت ہو سکتا ہے۔ پینل کے ایف بی آئی کے نمائندے کے مطابق، یہ سب اعتماد کے عنصر کے بارے میں ہے۔ انہوں نے یہ بھی نوٹ کیا کہ FBI کمپنیوں کو ایسے حالات میں متاثرین کے طور پر دیکھتا ہے، یہی وجہ ہے کہ CISOs کو بحران پیدا ہونے سے بہت پہلے اپنے مقامی FBI فیلڈ آفس کے ساتھ تعلق قائم کرنے کی ترغیب دی جاتی ہے۔

معیارات پر عمل کرنے میں احتیاط کریں۔

پینل نے سائبر سیکیورٹی کے طریقوں کو معروضی معیارات کے ساتھ ترتیب دینے کی اہمیت پر بھی روشنی ڈالی، جیسا کہ نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) کے ذریعہ بیان کردہ۔ SEC، جیسا کہ SolarWinds کیس میں دکھایا گیا ہے، ان معیارات پر عمل کرنے کے ثبوت کا مطالبہ کر سکتا ہے۔ ہمارے SEC کے نمائندوں میں سے ایک نے نوٹ کیا کہ "جب بھی آپ اپنے آپ کو ایک معروضی معیار کے مطابق بنائیں گے، جیسے NIST، SEC اس کا ثبوت چاہے گا۔" لہذا، اگر آپ عوامی طور پر اعلان کرنے جا رہے ہیں کہ آپ معیارات کا ایک سیٹ استعمال کر رہے ہیں، تو یہ بھی یقینی بنائیں کہ آپ اپنے منتخب کردہ معیارات پر عمل پیرا ہیں۔ CISOs کو ضرورت پڑنے پر ثبوت فراہم کرنے کے لیے مکمل دستاویزات کو برقرار رکھنا چاہیے۔

قانونی مشیر اور اندرونی تحقیقات کو مربوط کریں۔

جب قانونی مشاورت کی بات آتی ہے، تو اس موضوع پر کہ آیا کسی CISO کو ان کے اپنے وکیل کی ضرورت ہے یا نہیں، پینل کی طرف سے مختلف آراء سامنے آئیں۔ تو، ایک CISO کو کیا کرنا ہے؟ پینل نے اس بات پر اتفاق کیا کہ ایک ذاتی وکیل، خاص طور پر جب SEC یا محکمہ انصاف (DOJ) کی طرف سے انٹرویو کیا جا رہا ہو، ممکنہ طور پر ضرورت ہے۔ داخلی تحقیقات کے دوران قانونی نمائندگی حاصل کرنا اور اندرون ملک وکیل کے ساتھ بات چیت کرنا بھی ایک ہوشیار اقدام ہوسکتا ہے۔

D&O انشورنس پر غور کریں۔

ڈائریکٹرز اور افسران (D&O) انشورنس کو سمجھنا اور اس میں سرمایہ کاری کرنا ایک اور اہم پہلو تھا جس پر پینل نے زور دیا۔ ممکنہ قانونی کارروائی کے پیش نظر، D&O کوریج کا ہونا CISOs کو مالی تحفظ فراہم کر سکتا ہے۔ ماہرین تجویز کرتے ہیں کہ کوریج سے اپنے آپ کو واقف کرائیں، کسی بھی موجودہ دعوے کی جانچ کریں، اور یہاں تک کہ اضافی تحفظ کے لیے اسٹینڈ تنہا کوریج پر غور کریں۔

تین ستونوں کو گلے لگائیں: سیدھ کریں، واضح کریں، بڑھیں۔

سائبر سیکیورٹی کے نفاذ کے اس نئے دور میں، CISOs کو تین اہم ستونوں پر عمل کرنے کا مشورہ دیا جاتا ہے: سیدھ میں لانا، واضح کرنا اور بڑھانا۔ سائبرسیکیوریٹی کے طریقوں کو تسلیم شدہ معیارات کے ساتھ ہم آہنگ کریں، قانونی اور FBI رابطوں کے ساتھ مواصلت کو واضح کریں، اور خدشات کو چین آف کمانڈ تک بڑھا دیں۔ یہ ستون سائبرسیکیوریٹی ایگزیکٹوز کو درپیش ابھرتے ہوئے چیلنجوں کے لیے ایک فعال اور حفاظتی نقطہ نظر کی بنیاد بناتے ہیں۔

CISOs کو اب فعال اقدامات کرنے چاہئیں

SolarWinds SEC کے مقدمے نے سائبرسیکیوریٹی ایگزیکٹوز کو درپیش ممکنہ خطرات کو روشن کیا ہے۔ CISOs پر زور دیا جاتا ہے کہ وہ اپنے آپ کو قانونی نمائش سے بچانے کے لیے فعال اقدامات کریں۔ جنرل کونسل کے ساتھ مضبوط اتحاد قائم کرنا، ایف بی آئی کے ساتھ روابط قائم کرنا، سائبر سیکیورٹی کے معیارات پر عمل کرنا، D&O انشورنس حاصل کرنا، اور صف بندی، وضاحت اور اضافہ کے تین ستونوں کو اپنانا سائبر سیکیورٹی کے نفاذ کے اس نئے دور کے چیلنجوں سے نمٹنے کے لیے اہم اقدامات ہیں۔ جیسا کہ منظر نامے کا ارتقاء جاری ہے، CISOs کو اپنی تنظیموں کی سلامتی کو یقینی بنانے اور اپنے پیشہ ورانہ مقام کی حفاظت کے لیے چوکس اور اچھی طرح سے تیار رہنا چاہیے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement