امریکی صدارتی انتخابات کے دوران 500 ملین Yahoo اکاؤنٹس کی خلاف ورزیوں اور سائبر جاسوسی کی مبینہ کارروائیوں کے درمیان، اس محاذ پر ایک بہت مشکل سال میں، IT سیکورٹی کے لیے اطالوی کمپنیوں کی توجہ بڑھ رہی ہے۔ 2016 میں، اٹلی میں انفارمیشن سیکیورٹی سلوشنز کی مارکیٹ 2016 میں 972 ملین یورو تک پہنچ گئی، 5% اوپر 2015 کے مقابلے، a کے ساتھ اخراجات بڑی کمپنیوں میں مرکوز ہیں۔ (کل کا 74%) ٹیکنالوجی (28%)، IT انٹیگریشن سروسز اور کنسلٹنسی (29%)، سافٹ ویئر (28%) اور منظم خدمات (15%) کے درمیان تقسیم۔
یہ بات میلان پولی ٹیکنک کے اسکول آف مینجمنٹ کی انفارمیشن سیکیورٹی اینڈ پرائیویسی آبزرویٹری نے بتائی، جو جمعرات کی صبح کانفرنس میں پیش کی گئی۔سائبر کرائم: دنیا کو بدلنے والا پوشیدہ خطرہ" مطالعہ کے مطابق، اگرچہ آگاہی بڑھ رہی ہے، لیکن کلاؤڈ، بگ ڈیٹا، انٹرنیٹ آف تھنگز، موبائل اور سوشل جیسی ٹیکنالوجیز کی ترقی سے درپیش نئے چیلنجوں کے پیش نظر، سیکیورٹی اور پرائیویسی کے انتظام کے لیے ایک طویل مدتی نقطہ نظر۔ واضح گورننس ڈھانچے کے ساتھ ابھی تک وسیع نہیں ہے: صرف 39% بڑی کمپنیوں کے پاس کثیر سالہ افق کے ساتھ سرمایہ کاری کا منصوبہ ہے۔ اور صرف 46% کے پاس باضابطہ طور پر چیف انفارمیشن سیکیورٹی آفیسر، جو سیکیورٹی کے انچارج مینیجر پروفائل ہیں۔
"سائبر کرائم ایک ٹھوس، اگرچہ اکثر پوشیدہ، خطرہ ہے جو دنیا کو متاثر کرنے کی صلاحیت رکھتا ہے، جیسا کہ روزمرہ کی خبروں سے ظاہر ہوتا ہے، جس سے نمٹنے کے لیے نئے ٹولز اور ماڈلز کی ضرورت ہوتی ہے" - انفارمیشن سیکیورٹی اینڈ سائنسی ڈائریکٹر گیبریل فاگیولی کہتے ہیں۔ رازداری -. کلاؤڈ، بگ ڈیٹا، انٹرنیٹ آف تھنگز، موبائل اور سوشل جیسے نئے ڈیجیٹل جدت کے رجحانات کو نئے جوابات کی ضرورت ہے جو مزید ملتوی نہیں کیے جا سکتے۔ ذاتی ڈیٹا کے تحفظ سے متعلق نیا یورپی ضابطہ حوالہ جاتی فریم ورک تک پہنچنے کے لیے کچھ پیشگی شرائط پیدا کرتا ہے، جنہیں سمجھنے اور لاگو کرنے کی ضرورت ہے۔ انفارمیشن سیکیورٹی اور پرائیویسی مینجمنٹ کا راستہ کمپنیوں کو تبدیلی کا سامنا کرنے کے لیے مناسب گورننس ماڈل، منصوبہ بندی اور حل پیش کرنے کی ضرورت ہے۔
جیسا کہ انفارمیشن سیکیورٹی اینڈ پرائیویسی آبزرویٹری کے ڈائریکٹر الیسانڈرو پیوا بتاتے ہیں، "اگر ہم تحقیقی اعداد و شمار کا زیادہ گہرائی سے تجزیہ کریں، تو درحقیقت، ہمیں احساس ہوتا ہے کہ اطالوی ادارے اب بھی کتنے پیچھے ہیں: آدھے سے زیادہ کے پاس ابھی تک آئی ٹی کے لیے کوڈیفائیڈ انتظامی شخصیت نہیں ہے۔ سیکورٹی مینجمنٹ، دوسرے ممالک کے مقابلے میں ایک اہم خلا کو اجاگر کرنا۔ مزید برآں، ڈیجیٹل جدت کے رجحانات جیسے کہ کلاؤڈ، آئی او ٹی، بگ ڈیٹا، موبائل، سیکیورٹی مینجمنٹ پر اثرات کو سمجھنے میں تاخیر ہوتی ہے۔ موجودہ تناظر میں، زیادہ پختہ اور عبوری طرز حکمرانی کے ماڈلز کی ضرورت ہے، جو تیزی سے پھیلتی ہوئی ٹیکنالوجیز کو سنبھالنے کے لیے مہارتوں کے درست امتزاج کو یقینی بناتا ہے۔ اور یہ ضروری ہے کہ ایک طرف ایسے نظام کو ڈیزائن کیا جائے جو ممکنہ حملوں کی پیشن گوئی کر سکیں، دوسری طرف ذمہ دارانہ رویے کو فروغ دینے کے لیے صارفین کے لیے آگاہی کے پروگرام تیار کیے جائیں۔
میں پروگیٹی
سیکیورٹی کے شعبے میں اطالوی کمپنیوں کے حفاظتی منصوبے بنیادی طور پر خطرات کی نشاندہی کرنے اور حملوں سے تحفظ فراہم کرنے پر مبنی ہیں، جب کہ واقعہ کی نشاندہی اور پھر ردعمل اور بحالی کے لیے تعاون ابھی تک نادان ہے۔ درحقیقت، بڑی کمپنیوں میں سب سے زیادہ مقبول پروجیکٹ پینیٹریشن ٹیسٹ اور ڈیٹا سیکیورٹی (51%)، نیٹ ورک سیکیورٹی (48%)، ایپلیکیشن سیکیورٹی (45%)، اینڈ پوائنٹ سیکیورٹی (43%)، سیکیورٹی انفارمیشن اینڈ ایونٹ مینجمنٹ (SIEM) ہیں۔ (38%)، میسجنگ سیکیورٹی (38%)، ویب سیکیورٹی (36%)، شناختی نظم و نسق اور انتظامیہ (IGA) (32%)، تھریٹ انٹیلی جنس (20%)، ٹرانزیکشن سیکیورٹی (19%)، سوشل میڈیا سیکیورٹی (16%) %)۔
دوسری طرف سب سے زیادہ موجودہ پالیسیاں بیک اپ (89%)، منطقی رسائی کا انتظام (84%)، آئی ٹی سیکیورٹی پالیسیوں کا ضابطہ (80%)، کمپنی کے آلات کا انتظام اور استعمال (72%)، ڈیٹا لائف سائیکل مینجمنٹ (58%)، سوشل میڈیا اور ویب کا استعمال (57%)، آئی ٹی کے واقعات (52%)، ڈیٹا کی درجہ بندی کی پالیسیاں (52%) اور ان کی خفیہ کاری (39%) کے جواب میں نافذ کیے جانے والے اقدامات )۔
موبائل
تقریباً تمام اطالوی کمپنیاں (97%) اپنے ملازمین کو موبائل ڈیوائسز مہیا کرتی ہیں، بشمول نوٹ بک، اسمارٹ فونز اور ٹیبلٹس اور موبائل بزنس ایپس، جن میں نہ صرف موبائل ڈیوائسز کی ممکنہ چوری یا نقصان کے خطرات ہیں، بلکہ ممکنہ ٹارگٹ سائبر حملوں کے لیے بھی۔ 74% اطالوی کمپنیوں نے موبائل سیکیورٹی سے وابستہ خطرے کو کم کرنے کے لیے مخصوص اقدامات کیے ہیں، جو موبائل آلات کے استعمال کو محدود کرنے کے لیے مخصوص تکنیکی پلیٹ فارمز اور ٹولز جیسے MDM (موبائل ڈیوائس مینجمنٹ) کے حل دونوں کے تعارف سے متعلق ہیں (61%)، اور قواعد کی معیاری اور روایتی تعریف جس پر ڈیوائس استعمال کرنے والوں کو کاروباری نظام اور ڈیٹا تک رسائی حاصل کرنے پر عمل کرنا چاہیے۔ 27% تنظیموں نے ایسے ضابطے قائم کیے ہیں جو کمپنی سے باہر کے نیٹ ورکس سے مخصوص ایپلیکیشنز اور خدمات تک رسائی کو محدود کرتے ہیں اور 61% نے موبائل آلات کے استعمال کے لیے مخصوص پالیسیاں قائم کی ہیں۔
بادل
کلاؤڈ ماحول کے لیے بنیادی خطرات کا انحصار سپلائر کے ساتھ تعلقات پر ہے: 63% کمپنیوں کے لیے سب سے اہم خطرہ سروس فراہم کرنے والے کے کاموں پر کنٹرول کا فقدان ہے، 44% کے لیے سپلائر اور ڈیٹا کی خلاف ورزی، 41 کے لیے فراہم کنندہ کے ساتھ معاہدے کی ذمہ داریوں کے حوالے سے شفافیت کی کمی۔ اس لیے یہ واضح ہے کہ اب وہ تکنیکی خطرات نہیں رہے جو کمپنیوں کو پریشان کرتے ہیں لیکن معاہدے کے مسودے اور فراہم کنندگان کے ساتھ تعلقات کے انتظام پر زیادہ توجہ دی جانی چاہیے۔
IOT
چیزوں کے انٹرنیٹ کی ترقی کے ساتھ، نیٹ ورک سے منسلک آلات کی تعداد اور کارپوریٹ انفارمیشن سسٹم پر حملے کے لیے ممکنہ رسائی پوائنٹس میں اضافہ ہوتا ہے۔ 47% تنظیموں نے ابھی تک اس علاقے میں اپنی حفاظت کے لیے کوئی کارروائی نہیں کی ہے، 41% ممکنہ کارروائیوں کا جائزہ لے رہے ہیں، 13% کو مصنوعات کے ڈیزائن میں ڈیزائن پالیسیوں کے ذریعے تحفظ حاصل ہے (ساتھ کے استعمال کی نگرانی اور پروگرامنگ کے بہتر طریقوں جیسے اقدامات کے ذریعے محفوظ بنانا) 10% مخصوص تکنیکی حل استعمال کرتے ہیں، 9% کے پاس کارپوریٹ دائرہ کار میں ڈیٹا اکٹھا کرنے کی پالیسیاں ہیں اور 5% کے پاس سمارٹ آبجیکٹ کے ذریعے جمع کیے گئے ڈیٹا کے انتظام کے لیے۔
سائبر انٹیلی جنس
سائبر خطرات تیزی سے کارپوریٹ ڈیجیٹل تانے بانے کا ایک لازمی حصہ بنتے جا رہے ہیں اور سیکیورٹی کی خلاف ورزی سے 100 فیصد بچنا ممکن نہیں ہے، اس لیے سسٹمز پروٹیکشن پر مبنی روایتی طریقہ کار کے ساتھ ساتھ کمپنیاں خطرات کی توقع کی منطق کو اپنانا شروع کر رہی ہیں۔ معلومات کی حفاظت کی دنیا سے متعلق ڈیٹا کے تجزیے کی نگرانی 57% تنظیمیں رسمی یا غیر رسمی نگرانی کے ذریعے کرتی ہیں، 8% کے لیے بنیادی معلوماتی حفاظتی سرگرمیوں سے باہر نگرانی ہوتی ہے، 35% میں اس کا انتظام نہیں کیا جاتا۔
32% کمپنیاں اہم مسائل کی تشریح یا ان کی توقع کے لیے ڈیٹا کا استعمال نہیں کرتی ہیں، جبکہ باقی 68% نے اس شعبے میں کارروائیاں شروع کر دی ہیں۔ مختلف ذرائع سے ڈیٹا کا انضمام (دنیا بھر میں واقعہ کا ڈیٹا، آئی پی ایڈریسز، لاگز، صارف کی رپورٹس سے مشتبہ یو آر ایل وغیرہ) خطرے کی نگرانی کرنے والے ماڈلز کو تیار کرنا ممکن بناتا ہے، جو ممکنہ بے ضابطگیوں کو روکنے اور ان کا انتظام کرنے کے قابل بناتا ہے، اس سے پہلے کہ صورت حال واقعی نازک ہو جائے۔ کچھ کمپنیوں میں سیکیورٹی آپریشن سینٹرز کے اندر خصوصی ڈھانچے ہوتے ہیں، جو سائبر انٹیلی جنس کے نقطہ نظر سے ڈیٹا کا تجزیہ کرتے ہیں اور اس کو مربوط کرتے ہیں۔
انشورنس
سائبر رسک انشورنس مارکیٹ اٹلی میں ابھی تک نادان ہے۔ سائبر رسک کوریج کا مقصد براہ راست سبسکرائبر یا فریق ثالث کو ہونے والے نقصانات کا احاطہ کرنا ہے، واقعات کی تحقیقات اور انتظام سے لے کر ابتدائی تحقیقات کے انتظام تک، کوریج کو نقصان پہنچانا۔ صرف 15% کمپنیوں کے پاس پہلے سے ہی انشورنس کوریج فعال ہے، حالانکہ صرف نصف سے زیادہ کیسز میں (8%) یہ پالیسیاں واضح طور پر سائبر رسک کی طرف مرکوز ہیں، جب کہ بقیہ معاملات میں وہ عمومی کوریج ہیں جو اسے بطور شرط پیش کرتی ہیں۔ . 29% انشورنس کوریج کا جائزہ لے رہے ہیں، جبکہ 32% سائبر انشورنس مارکیٹ کو کافی بالغ نہیں سمجھتے یا مسئلہ کو متعلقہ نہیں سمجھتے۔
X فیکٹر
حفاظت میں عنصر X بنیادی ہے، انسانی رویے سے منسلک غیر یقینی صورتحال کا عنصر، جیسے خلفشار یا بیداری کی کمی، جو اکثر سائبر جرائم پیشہ افراد کارپوریٹ سسٹم کی خلاف ورزی کے لیے استعمال کرتے ہیں۔ 95% اطالوی تنظیموں نے پہلے ہی کارپوریٹ صارفین میں بیداری پیدا کرنے کے لیے مخصوص اقدامات شروع کیے ہیں۔ سب سے زیادہ وسیع تر اقدامات ملازمین کو ای میل (77%) کے ذریعے بھیجے جانے والے متواتر مواصلات اور کلاس روم سیشنز یا ای لرننگ (66%) کے ذریعے تربیتی کورسز سے متعلق ہیں۔ 28% معاملات میں، معلوماتی مواد (واؤچرز، کتابچے، پوسٹرز) کی اسپاٹ ڈسٹری بیوشن سے بھی تربیت کی حمایت کی جاتی ہے۔ 28% تنظیموں کے لیے یہ مختلف ٹولز کا استعمال کرتے ہوئے حقیقی ساختہ بیداری کے منصوبے ہیں اور اکثر کئی سال کے افق کا احاطہ کرتے ہیں۔ کمزوری کی تشخیص کی سرگرمیاں کمپنی کے ملازمین (28%) پر بھی کی جاتی ہیں، مثال کے طور پر جعلی فشنگ ای میلز یا کمپیوٹر اٹیک سمیلیشنز بھیج کر، جو ایک طرف ملازمین کی بیداری کی سطح کو ماپنے کے لیے کام کرتے ہیں، تو دوسری طرف اس کی تاثیر کو جانچنے کے لیے۔ پہلے سے کئے گئے اقدامات.
ایس ایم ایز
تقریباً 800 چھوٹے اور درمیانے درجے کے اطالوی اداروں کے درمیان معلومات کے تحفظ کے حل کے پھیلاؤ کے تجزیے سے پتہ چلتا ہے کہ 93% SMEs نے 2016 میں بجٹ وقف کیا، حالانکہ یہ ضروری نہیں کہ یہ بالغ اور شعوری استعمال سے مطابقت رکھتا ہو۔ درحقیقت، سرمایہ کاری کی بنیادی وجوہات ریگولیٹری تعمیل (48%) اور ماضی میں ہونے والے حملوں (35%) ہیں، لیکن بعض اوقات وہ نئی تکنیکی (22%) یا کاروباری (31%) ضروریات کا جواب دینے کی ضرورت کی پیروی کرتے ہیں۔ زیادہ تر SMEs کے پاس بنیادی حفاظتی حل (76%) ہوتے ہیں جیسے اینٹی وائرس اور antispam اور 62% اعلان کرتے ہیں کہ ان کے پاس جدید ترین حل بھی ہیں، جیسے کہ فائر والز یا مداخلت کا پتہ لگانے کے نظام۔ تاہم، چار میں سے ایک تنظیم (25%) کو عقل سے رہنمائی حاصل ہے، بغیر کسی وضاحتی تکنیکی نقطہ نظر کے۔ 46% کے پاس اچھی طرح سے کمپنی کی پالیسیاں ہیں، جبکہ صرف 10% کے پاس تربیتی پروگرام ہیں جن کا مقصد بیداری میں اضافہ کرنا ہے۔ SMEs میں سیکورٹی کا نقطہ نظر بنیادی طور پر شناخت (66%) اور تحفظ (66%) کی طرف ہے، پتہ لگانے کی طرف بہت کم (12%) اور ردعمل (15%)۔ انٹرپرائز کے سائز کے بڑھنے کے ساتھ ہی سروے پر توجہ بڑھتی ہے، جو کہ چھوٹے کاروباری اداروں کے 11% سے درمیانے درجے کے کاروباری اداروں کے 20% تک جا رہی ہے۔
"ایسا لگتا ہے کہ ایس ایم ایز اپنے ملازمین میں خطرے سے متعلق آگاہی کی ترقی کو کم سمجھتے ہیں۔ نوٹ Alessandro Piva -. صرف 9% چھوٹی کمپنیوں (10 اور 49 ملازمین کے درمیان) کے پاس IT خطرات کے بارے میں وسائل سے آگاہی بڑھانے کے لیے مخصوص تربیتی پروگرام ہیں، جب کہ بیداری کے اقدامات کی مطابقت کمپنی کے سائز میں اضافے کے ساتھ بڑھتی ہے، جو درمیانے درجے کی چھوٹی کمپنیوں کے لیے 20% تک پہنچ جاتی ہے (50 کے درمیان۔ اور 99 ملازمین) اور 24% بڑی کمپنیوں کے لیے (100 اور 249 ملازمین کے درمیان)"۔
