भविष्य अब है: मानव जोखिम प्रबंधन का परिचय

मैं उस बाज़ार के लिए अपना तीसरा फ़ॉरेस्टर वेव™ मूल्यांकन शुरू कर रहा हूँ जिसे सुरक्षा जागरूकता और प्रशिक्षण (SA&T) बाज़ार कहा जाता था। पिछले कुछ वर्षों से ग्राहकों को सलाह देते समय हम इसे मानव जोखिम प्रबंधन कहते रहे हैं, लेकिन अंततः SA&T नामकरण को औपचारिक रूप से समाप्त करने के निर्णय पर पहुँचे।

यह ब्लॉग बताता है कि हम (और संपूर्ण उद्योग) SA&T से मानव जोखिम प्रबंधन में परिवर्तन क्यों कर रहे हैं; मानव जोखिम प्रबंधन को परिभाषित करता है; और यथास्थिति को अस्वीकार करने और हमारे सोचने के तरीकों को विकसित करने की जटिलता और अवसर के बारे में जानकारी देता है।

परिवर्तन क्यों?

फॉरेस्टर का अनुमान है कि 2024 में 90% डेटा उल्लंघनों में मानवीय तत्व शामिल होंगे। फिर भी इस महत्वपूर्ण खतरे को समझने और प्रबंधित करने में हमारे प्रयास असफल रहेंगे, एक उम्मीद की किरण के साथ: SA&T। यह एक ऐसा बाज़ार है जो तेजी से बढ़ा है, कुछ रिपोर्टों में 2027 तक सालाना 10 अरब डॉलर का बाज़ार होने की भविष्यवाणी की गई है। इस सभी प्रशिक्षण और पूछताछ के बावजूद, मानव-संबंधी उल्लंघन बढ़ रहे हैं। उदाहरण के लिए, एफबीआई ने बताया कि सफल बिजनेस ईमेल समझौता हमलों से धोखाधड़ी वाले व्यवसाय को होने वाला नुकसान 2017 में 676 मिलियन डॉलर से बढ़कर 2022 में 2.7 बिलियन डॉलर हो गया – जो कि पांच वर्षों में लगभग दस गुना वृद्धि है।

अब क्यों?

सीधे शब्दों में कहें तो, छह साल तक जागरूकता, व्यवहार और संस्कृति के अनुशासन को गहराई से कवर करने के बाद फॉरेस्टर में हम जो कुछ भी जानते हैं, उसके बावजूद यथास्थिति जारी रखना अनुचित लगा। हमारी रिपोर्ट, सुरक्षा जागरूकता और प्रशिक्षण का भविष्य: अनुकूली मानव सुरक्षा की ओर बढ़ते हुए यथास्थिति को बाधित करें, लघु, मध्यम और लंबी अवधि में सुरक्षा जागरूकता और प्रशिक्षण में प्रमुख अपेक्षित परिवर्तनों की जांच करती है:

• दीर्घावधि में, अनुकूली मानव सुरक्षा कर्मचारियों के लिए स्वतंत्रता पैदा करेगी। हम स्पष्ट करते हैं कि अधिकांश लोगों के लिए यह भविष्य वास्तविक रूप से वर्षों (हमारा अनुमान 6-10 वर्ष) है, इसलिए इस बीच, मानव जोखिम प्रबंधन पर ध्यान दें।
• मानव जोखिम प्रबंधन पर मध्यम अवधि का फोकस SA&T की कमियों को दूर करेगा। SA&T की कमियों के कारण, कर्मचारी सुरक्षा व्यवहार को सकारात्मक रूप से प्रभावित करना और सुरक्षा संस्कृति स्थापित करना साक्ष्य-आधारित मानव-जोखिम प्रबंधन द्वारा संचालित होगा।
• तात्कालिक शब्द में हम परिणामों के बजाय उन तरीकों पर ध्यान केंद्रित कर रहे हैं जिनके द्वारा हम लोगों को प्रशिक्षित करते हैं। यह सुरक्षा प्रशिक्षण के लिए नियामक आवश्यकताओं को पूरा करता है लेकिन इसके अलावा कुछ नहीं। हम इसे सुरक्षा जागरूकता और प्रशिक्षण कहते हैं।

क्या हर कोई बदलाव के लिए तैयार है?

मैं आपसे झूठ नहीं बोलूंगा – उद्योग का अधिकांश हिस्सा अभी भी “तत्काल अवधि” में है। मेरे 2023 के कई पूछताछ और मार्गदर्शन सत्र “हम जागरूकता कार्यक्रम स्थापित करने के बुनियादी सिद्धांतों पर अंतर्दृष्टि चाहते हैं” की तर्ज पर थे। फिर भी वे सभी बेहतर करने की आवश्यकता पर एक परिष्कृत चर्चा के साथ समाप्त हुए, और प्रश्न तेजी से विकसित हुए। कई प्रश्न यथास्थिति असंतोष, बेहतर करने की इच्छा और बदलाव से प्रेरित थे। 2023 में, हमने मानव जोखिम प्रबंधन को अवधारणा से वास्तविकता की ओर बढ़ते देखा:

• निराश सीआईएसओ और उनकी टीमें “ऐसे समाधानों पर सिफारिशें चाहती थीं जो निर्णय लेने में मनुष्यों पर निर्भरता को दूर करें,” “इस क्षेत्र में एक कदम बदलाव लाएं,” और “अपेक्षाकृत अद्वितीय पेशकशें।”
• विक्रेता जैसे जीवन सुरक्षा, सुरक्षा बढ़ाएँ (अब माइमकास्ट का हिस्सा), कल्चरएआईऔर कई अन्य लोगों की ब्रांडिंग में अब मानव जोखिम प्रबंधन है।
• SANS संस्थान के पिछले जागरूकता और प्रशिक्षण पाठ्यक्रम को अब कहा जाता है मानव जोखिम का प्रबंधन. SANS ने अपने वार्षिक सुरक्षा जागरूकता शिखर सम्मेलन का नाम भी बदल दिया SANS सुरक्षा जागरूकता: मानव जोखिम शिखर सम्मेलन 2024 का प्रबंधन. विक्रेता घटनाएँ मानव जोखिम शब्दावली से भी भरी हुई हैं, जैसे इग्रेस का मानव जोखिम शिखर सम्मेलन और लिविंग सिक्योरिटी का मानव जोखिम प्रबंधन सम्मेलन.
• लिविंग सिक्योरिटी ने एक सम्मोहक परिपक्वता मॉडल जारी किया, जिसे डब किया गया मानव जोखिम प्रबंधन परिपक्वता मॉडल.
• नौकरी बोर्डों पर पाए गए नौकरी विवरणों में शीर्षक में लोगों और संस्कृति, मानव जोखिम प्रबंधन, साइबर उपयोगकर्ता व्यवहार और सामाजिक-तकनीकी सुरक्षा जैसे शब्दों के साथ वरिष्ठ स्तर के पद शामिल थे। मानव जोखिम का प्रबंधन करना अब किसी कनिष्ठ या अकेले व्यक्ति या साइबर सुरक्षा बॉक्स पर टिक करने के कार्य का क्षेत्र नहीं रह गया है।

वैसे भी मानव जोखिम प्रबंधन क्या है?

यह सिर्फ एक नाम परिवर्तन नहीं है (उर्फ मटन को मेमने के रूप में तैयार किया गया है)! यह मानसिकता, रणनीति, प्रक्रिया और प्रौद्योगिकी में एक महत्वपूर्ण बदलाव है कि हम नई दुनिया में किसी पुरानी समस्या से कैसे निपटते हैं।

फॉरेस्टर में, हम HRM समाधानों को इस प्रकार परिभाषित करते हैं:

ऐसे समाधान जो मनुष्यों द्वारा और उनके लिए उत्पन्न साइबर सुरक्षा जोखिमों को प्रबंधित और कम करते हैं:

1) मानव सुरक्षा व्यवहार का पता लगाना और मापना और मानव जोखिम की मात्रा निर्धारित करना।

2) मानवीय जोखिम के आधार पर नीति और प्रशिक्षण हस्तक्षेप शुरू करना।

3) साइबर हमलों के खिलाफ खुद को और अपने संगठन को बचाने के लिए कार्यबल को शिक्षित और सक्षम करना।

4) एक सकारात्मक सुरक्षा संस्कृति का निर्माण।

सुरक्षा जागरूकता प्रशिक्षण के लिए आवश्यकताओं को पूरा करना मानव जोखिम प्रबंधन समाधानों के लिए एक माध्यमिक उपयोग का मामला है, जबकि ध्यान व्यवहार बदलने और सुरक्षा संस्कृति को बढ़ावा देने पर रहता है।

आइए जुड़ें

फॉरेस्टर सुरक्षा और जोखिम वाले ग्राहक जिनके पास इस महत्वपूर्ण परिवर्तन के बारे में प्रश्न हैं या मानव जोखिम को पहचानने और प्रबंधित करने के लिए खुद को कैसे प्रभावी बनाया जाए, वे पूछताछ या मार्गदर्शन सत्र के माध्यम से मुझसे संपर्क कर सकते हैं।