info@cirt.gov.bd
+88-02-550071 83-86
Facebook Page LinkedIn Page Twitter Page

প্রতিষ্ঠানের নিরাপত্তা সংস্কৃতি: কেন প্রয়োজন? কিভাবে গড়ে তুলবেন?

প্রতিষ্ঠানের নিরাপত্তা সংস্কৃতি: কেন প্রয়োজন? কিভাবে গড়ে তুলবেন?
by
21 Jun 2018
in Articles, Bangla Articles, News
No Comments
10054

তথ্য নিরাপত্তা বর্তমানে সংস্থাসমুহের সবচেয়ে গুরুত্বপূর্ন ও চ্যালেন্জিং বিষয় হয়ে দাড়িয়েছে। প্রযুক্তির ব্যবহার ও বিশ্বব্যাপী ব্যপক সংযোগের ফলে সংস্থাসমুহ বিভিন্ন ধরনের সাইবার হুমকি ও হামলার সম্মূখীন হচ্ছে। প্রযুক্তিগত নিয়ন্ত্রন এই হুমকিসমুহ থেকে খানিকটা সুরক্ষা দিলেও শুধুমাত্র নিয়ন্ত্রনের মাধ্যমে সমন্বিত ও সম্পূর্ণ সুরক্ষা প্রত্যাশা করা যায় না।

প্রযুক্তির সীমাবদ্ধতা কিংবা ‍দুর্বলতাকে কাজে লাগিয়ে এক শ্রেণীর মানুষ বিভিন্ন অপকর্ম সাধন করে থাকে, ফলে প্রযুক্তির সীমাবদ্ধতা কিংবা মানুষের ভুলের কারণ ছাড়াও এর অপব্যবহারের ফলে অনেক বেশী ক্ষতি সাধিত হয়। কেবলমাত্র সমস্যা তৈরীতেই নয় পাশাপাশি সমস্যা সমাধানের ক্ষেত্রেও মানুষের অবদান অনবদ্য। যেহেতু সংগঠনের তথ্য নিরাপত্তা প্রদান করা শুধুমাত্র প্রযুক্তিনির্ভর নয়, তাই প্রতিরক্ষা ব্যবস্থায় মানুষও এর অবিচ্ছেদ্য অংশ হয়ে পড়েছে। তথ্যের নিরাপত্তা প্রদান করা শুধুমাত্র নিরাপত্তা পেশাজীবিদেরই দায়িত্ব নয়, উপরন্তু ইহা প্রতিষ্ঠানের সবার সম্মিলিত দায়িত্ব। ব্যবহারকারীদের তথ্য সম্পদ রক্ষায় তাদের ভূমিকা এবং দায়িত্বের পাশাপাশি সম্ভাব্য নিরাপত্তা হুমকি বা সমস্যায় সাড়া দেওয়ার সক্ষমতা ও সে বিষয়ে সচেতনতা অর্জন  করতে হবে।

নিরাপত্তা সচেতনতা:

নিরাপত্তা সচেতনতা কর্মসূচীর মাধ্যমে প্রতিষ্ঠানের সমস্ত কর্মীকে শিক্ষিত করা প্রয়োজন যাতে তারা প্রতিষ্ঠানের তথ্য সম্পদ কার্যকরভাবে রক্ষণাবেক্ষণে সাহায্য করতে পারে।  যদিও বর্তমানে নিরাপত্তা সচেতনতা বৃদ্ধিতে সংস্থাসমুহের অনেক অগ্রগতি হয়েছে, তবুও এই কর্মসূচিতে পরিপক্বতা অর্জনের জন্য আরও কাজ করা প্রয়োজন। সমীক্ষায় দেখা যায় প্রতিষ্ঠানসমুহ গড়ে ৬০ শতাংশ কর্মীকে নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রদান করে যেখানে আরও ৪০ শতাংশের বেশি পরিমাণ প্রশিক্ষনের বাইরে থাকে। যেসব সংগঠনের নিরাপত্তা ব্যবস্থা জোরদার করতে কোন সচেতনতা প্রোগ্রাম নেই তাদের এ বিষয়ে গুরুত্ব সহকারে একটি প্রোগ্রাম শুরু করা উচিত।   কারন শুধুমাত্র প্রযুক্তি দ্বারা একটি সমন্বিত সমাধান প্রদান সম্ভব নয়।

শীর্ষস্থানীয় ব্যবস্থাপনা কর্তৃপক্ষকে জড়িত করে এবং তাদের সমর্থনে একটি শক্তিশালী নিরাপত্তা সচেতনতা কর্মসূচি গ্রহন করা যাতে কর্মচারীরা একে গুরুত্বের সাথে গ্রহণ করে। ব্যবস্থাপনা প্রতিশ্রুতি বৃদ্ধির সাথে নিরাপত্তা সচেতনতার লক্ষ্য এবং সচেতনতা বার্তা একটি নিরাপত্তা সংস্কৃতি তৈরি করতে অগ্রনী ভুমিকা পালন করে।

প্রশিক্ষণ প্রদান:

আক্রমণকারীরা প্রতিরক্ষাকারীদের চেয়ে সবসময় বেশী সুবিধা পেয়ে থাকে। আক্রমণকারী উদ্দেশ্যপ্রণোদিতভাবে তার নির্বাচিত লক্ষ্যমাত্রায় একটি নির্দিষ্ট লক্ষ্যে জালিয়াতি বা অন্য কোন ক্ষতির প্রচেষ্টায় নিবদ্ধ থাকে। পক্ষান্তরে প্রতিরক্ষাকারীরা অজানা আক্রমণকারীর হাত থেকে তাদের সমস্ত সম্পদ রক্ষায় কাজ করে থাকে। প্রশিক্ষণ প্রদান কর্মীদের  জ্ঞান, দক্ষতা, কর্মক্ষমতা বৃদ্ধির পাশাপাশি চলমান কার্যক্রমে অভ্যন্তরীণ নিয়ন্ত্রনসমুহ বজায় রাখতে ও সেইসাথে আইটি কর্মীদের যথাযথ এবং সাংগঠনিক লক্ষ্য অর্জনের প্রয়োজনীয় নিরাপত্তা সচেতনতা অর্জনে সহায়তা করে।

 

 

নীতিমালা:

যদিও নিরাপত্তা সচেতনতা প্রশিক্ষণে বহুবিধ নীতিমালা ব্যবহার করা হয় তথাপি ইনসিডেন্ট রিপোর্টিং, তথ্যের প্রাপ্যতা / দুর্যোগে পুনরুদ্ধার এবং সোস্যাল ইন্জিনিয়ারিং সম্পর্কিত নীতিমালাসমুহের আরো উন্নয়ন ও একটি ভিত্তি প্রস্তুত করা প্রয়োজন। এই নীতিমালাসমুহ অত্যন্ত গুরুত্বপূর্ণ। নীতিমালাসমুহ তৈরী করা হলে কর্মচারীদের এই বিষয়গুলিতে প্রশিক্ষণ প্রদান করা গুরুত্বপূর্ণ। ক্রমাগত বৃদ্ধি ও উন্নতিকল্পে নিরাপত্তা সচেতনতা কর্মসূচী এবং প্রশিক্ষণের মূল্যায়ন আরো জোরদার করা উচিত। নিরাপত্তা উন্নীত ও জোরদারকরণ এবং এর বৃদ্ধি, নিরাপত্তা সচেতনতা ও তথ্য নিরাপত্তা প্রোগ্রামসমুহ  একত্রিত করে পূর্ণাঙ্গতা আনয়ন করা প্রয়োজন।

নিরাপত্তা সচেতনতার প্রথম উদ্দেশ্য হলো: অবশ্যই স্পষ্টভাবে যোগাযোগ করা এবং নিরাপত্তা সচেতনতা বার্তাটি বারবার পুনরাবৃত্তি করা। লক্ষ্য অর্জনে অগ্রগতি পরিমাপের প্রয়োজনীয়তা এবং প্রয়োজনীয় প্রতিক্রিয়া প্রাপ্তির জন্য প্রয়োজনীয় পরিবীক্ষণ ও মূল্যায়ণ  প্রয়োজন যা নিরাপত্তা সচেতনতা প্রোগ্রামকে সংশোধন ও উন্নত করতে ব্যবহার করা যেতে পারে। এছাড়াও নির্দিষ্ট সময় অন্তর মূল্যায়ন করা হলে প্রয়োজনীয় পরিবর্তন এবং নতুন নিরাপত্তা সমস্যা মিটমাট করতে সহায়ক হয়।

সম্মতি ও প্রতিপালন:

ব্যবহারকারীদের নিরাপত্তা সচেতনতা বৃদ্ধির সাথে সাথে লক্ষ্যসমূহ পূরণ করা হয়েছে কি না তা নির্ধারণ করা এবং ব্যবহারকারীদের সচেতনতা বৃদ্ধির পরিমাপ করা। ইনফরমেশন সিস্টেম নিরীক্ষা ও নিয়ন্ত্রণ সংঘের নিরাপত্তা সচেতনতা অনুযায়ী, সংস্থাসমুহে সর্বোৎকৃষ্ট নিরাপত্তা পদ্ধতির প্রয়োগ, নিরাপত্তা সংক্রান্ত সর্বশেষ তথ্য সম্পর্কে অবগত থাকা ও আপ্ত জ্ঞান কাজে লাগানো। এছাড়াও বিভিন্ন ধরনের জরিপ, ইন্টারভিউ, পরীক্ষা-নিরীক্ষা ও মূল্যায়ন অগ্রগতি পরিমাপ করতে ব্যবহার করা হয়।

সোস্যাল ইঞ্জিনিয়ারিং টেস্টিং, নিরাপত্তা সচেতনতা কর্মসূচির কার্যকরী ভূমিকা পরিমাপের সফল পদ্ধতির একটি উদাহরণ যা প্রতিষ্ঠানসমুহের জন্য ব্যবহার করা হয়। উপরোক্ত পরিবর্তনসমুহ বাস্তবায়নের মাধ্যমে সংস্থাসমুহ আনুষ্ঠানিক নিরাপত্তা সংক্রান্ত সচেতনতা কর্মসূচিতে প্রাপ্ত উপাদানগুলির কাভারেজ বৃদ্ধিসহ উচ্চমাত্রার নিরাপত্তা সচেতনতা অর্জন করতে পারে এবং প্রতিষ্ঠানসমুহের জন্য একটি শক্তিশালী নিরাপত্তা সংস্কৃতি তৈরী করতে পারে।

উপরিউক্ত আলোচনার পরিসমাপ্তিতে বলা যায়, তথ্য নিরাপত্তায় সচেতনতার পাশাপাশি কর্মীদের প্রশিক্ষন প্রদান করতে হবে। প্রতিষ্ঠানভেদে বিভিন্ন নীতিমালা প্রস্তুত ও সেসবের সাথে সম্মত হয়ে নীতিমালাসমুহ প্রতিপালন করলেই কেবলমাত্র কার্যকরী নিরাপত্তা ব্যবস্থা বাস্তবায়ন ও তার সুফল ভোগ করা যাবে।

 

—————————————-

মো: বাহাউদ্দীন পলাশ,

ইনফরমেশন সিকিউরিটি স্পেশালিষ্ট,

বিজিডি ই-গভ সার্ট

Share

Recommended Posts