প্রতিষ্ঠানের নিরাপত্তা সংস্কৃতি: কেন প্রয়োজন? কিভাবে গড়ে তুলবেন?

তথ্য নিরাপত্তা বর্তমানে সংস্থাসমুহের সবচেয়ে গুরুত্বপূর্ন ও চ্যালেন্জিং বিষয় হয়ে দাড়িয়েছে। প্রযুক্তির ব্যবহার ও বিশ্বব্যাপী ব্যপক সংযোগের ফলে সংস্থাসমুহ বিভিন্ন ধরনের সাইবার হুমকি ও হামলার সম্মূখীন হচ্ছে। প্রযুক্তিগত নিয়ন্ত্রন এই হুমকিসমুহ থেকে খানিকটা সুরক্ষা দিলেও শুধুমাত্র নিয়ন্ত্রনের মাধ্যমে সমন্বিত ও সম্পূর্ণ সুরক্ষা প্রত্যাশা করা যায় না।

প্রযুক্তির সীমাবদ্ধতা কিংবা ‍দুর্বলতাকে কাজে লাগিয়ে এক শ্রেণীর মানুষ বিভিন্ন অপকর্ম সাধন করে থাকে, ফলে প্রযুক্তির সীমাবদ্ধতা কিংবা মানুষের ভুলের কারণ ছাড়াও এর অপব্যবহারের ফলে অনেক বেশী ক্ষতি সাধিত হয়। কেবলমাত্র সমস্যা তৈরীতেই নয় পাশাপাশি সমস্যা সমাধানের ক্ষেত্রেও মানুষের অবদান অনবদ্য। যেহেতু সংগঠনের তথ্য নিরাপত্তা প্রদান করা শুধুমাত্র প্রযুক্তিনির্ভর নয়, তাই প্রতিরক্ষা ব্যবস্থায় মানুষও এর অবিচ্ছেদ্য অংশ হয়ে পড়েছে। তথ্যের নিরাপত্তা প্রদান করা শুধুমাত্র নিরাপত্তা পেশাজীবিদেরই দায়িত্ব নয়, উপরন্তু ইহা প্রতিষ্ঠানের সবার সম্মিলিত দায়িত্ব। ব্যবহারকারীদের তথ্য সম্পদ রক্ষায় তাদের ভূমিকা এবং দায়িত্বের পাশাপাশি সম্ভাব্য নিরাপত্তা হুমকি বা সমস্যায় সাড়া দেওয়ার সক্ষমতা ও সে বিষয়ে সচেতনতা অর্জন  করতে হবে।

নিরাপত্তা সচেতনতা:

নিরাপত্তা সচেতনতা কর্মসূচীর মাধ্যমে প্রতিষ্ঠানের সমস্ত কর্মীকে শিক্ষিত করা প্রয়োজন যাতে তারা প্রতিষ্ঠানের তথ্য সম্পদ কার্যকরভাবে রক্ষণাবেক্ষণে সাহায্য করতে পারে।  যদিও বর্তমানে নিরাপত্তা সচেতনতা বৃদ্ধিতে সংস্থাসমুহের অনেক অগ্রগতি হয়েছে, তবুও এই কর্মসূচিতে পরিপক্বতা অর্জনের জন্য আরও কাজ করা প্রয়োজন। সমীক্ষায় দেখা যায় প্রতিষ্ঠানসমুহ গড়ে ৬০ শতাংশ কর্মীকে নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রদান করে যেখানে আরও ৪০ শতাংশের বেশি পরিমাণ প্রশিক্ষনের বাইরে থাকে। যেসব সংগঠনের নিরাপত্তা ব্যবস্থা জোরদার করতে কোন সচেতনতা প্রোগ্রাম নেই তাদের এ বিষয়ে গুরুত্ব সহকারে একটি প্রোগ্রাম শুরু করা উচিত।   কারন শুধুমাত্র প্রযুক্তি দ্বারা একটি সমন্বিত সমাধান প্রদান সম্ভব নয়।

শীর্ষস্থানীয় ব্যবস্থাপনা কর্তৃপক্ষকে জড়িত করে এবং তাদের সমর্থনে একটি শক্তিশালী নিরাপত্তা সচেতনতা কর্মসূচি গ্রহন করা যাতে কর্মচারীরা একে গুরুত্বের সাথে গ্রহণ করে। ব্যবস্থাপনা প্রতিশ্রুতি বৃদ্ধির সাথে নিরাপত্তা সচেতনতার লক্ষ্য এবং সচেতনতা বার্তা একটি নিরাপত্তা সংস্কৃতি তৈরি করতে অগ্রনী ভুমিকা পালন করে।

প্রশিক্ষণ প্রদান:

আক্রমণকারীরা প্রতিরক্ষাকারীদের চেয়ে সবসময় বেশী সুবিধা পেয়ে থাকে। আক্রমণকারী উদ্দেশ্যপ্রণোদিতভাবে তার নির্বাচিত লক্ষ্যমাত্রায় একটি নির্দিষ্ট লক্ষ্যে জালিয়াতি বা অন্য কোন ক্ষতির প্রচেষ্টায় নিবদ্ধ থাকে। পক্ষান্তরে প্রতিরক্ষাকারীরা অজানা আক্রমণকারীর হাত থেকে তাদের সমস্ত সম্পদ রক্ষায় কাজ করে থাকে। প্রশিক্ষণ প্রদান কর্মীদের  জ্ঞান, দক্ষতা, কর্মক্ষমতা বৃদ্ধির পাশাপাশি চলমান কার্যক্রমে অভ্যন্তরীণ নিয়ন্ত্রনসমুহ বজায় রাখতে ও সেইসাথে আইটি কর্মীদের যথাযথ এবং সাংগঠনিক লক্ষ্য অর্জনের প্রয়োজনীয় নিরাপত্তা সচেতনতা অর্জনে সহায়তা করে।

নীতিমালা:

যদিও নিরাপত্তা সচেতনতা প্রশিক্ষণে বহুবিধ নীতিমালা ব্যবহার করা হয় তথাপি ইনসিডেন্ট রিপোর্টিং, তথ্যের প্রাপ্যতা / দুর্যোগে পুনরুদ্ধার এবং সোস্যাল ইন্জিনিয়ারিং সম্পর্কিত নীতিমালাসমুহের আরো উন্নয়ন ও একটি ভিত্তি প্রস্তুত করা প্রয়োজন। এই নীতিমালাসমুহ অত্যন্ত গুরুত্বপূর্ণ। নীতিমালাসমুহ তৈরী করা হলে কর্মচারীদের এই বিষয়গুলিতে প্রশিক্ষণ প্রদান করা গুরুত্বপূর্ণ। ক্রমাগত বৃদ্ধি ও উন্নতিকল্পে নিরাপত্তা সচেতনতা কর্মসূচী এবং প্রশিক্ষণের মূল্যায়ন আরো জোরদার করা উচিত। নিরাপত্তা উন্নীত ও জোরদারকরণ এবং এর বৃদ্ধি, নিরাপত্তা সচেতনতা ও তথ্য নিরাপত্তা প্রোগ্রামসমুহ  একত্রিত করে পূর্ণাঙ্গতা আনয়ন করা প্রয়োজন।

নিরাপত্তা সচেতনতার প্রথম উদ্দেশ্য হলো: অবশ্যই স্পষ্টভাবে যোগাযোগ করা এবং নিরাপত্তা সচেতনতা বার্তাটি বারবার পুনরাবৃত্তি করা। লক্ষ্য অর্জনে অগ্রগতি পরিমাপের প্রয়োজনীয়তা এবং প্রয়োজনীয় প্রতিক্রিয়া প্রাপ্তির জন্য প্রয়োজনীয় পরিবীক্ষণ ও মূল্যায়ণ  প্রয়োজন যা নিরাপত্তা সচেতনতা প্রোগ্রামকে সংশোধন ও উন্নত করতে ব্যবহার করা যেতে পারে। এছাড়াও নির্দিষ্ট সময় অন্তর মূল্যায়ন করা হলে প্রয়োজনীয় পরিবর্তন এবং নতুন নিরাপত্তা সমস্যা মিটমাট করতে সহায়ক হয়।

সম্মতি ও প্রতিপালন:

ব্যবহারকারীদের নিরাপত্তা সচেতনতা বৃদ্ধির সাথে সাথে লক্ষ্যসমূহ পূরণ করা হয়েছে কি না তা নির্ধারণ করা এবং ব্যবহারকারীদের সচেতনতা বৃদ্ধির পরিমাপ করা। ইনফরমেশন সিস্টেম নিরীক্ষা ও নিয়ন্ত্রণ সংঘের নিরাপত্তা সচেতনতা অনুযায়ী, সংস্থাসমুহে সর্বোৎকৃষ্ট নিরাপত্তা পদ্ধতির প্রয়োগ, নিরাপত্তা সংক্রান্ত সর্বশেষ তথ্য সম্পর্কে অবগত থাকা ও আপ্ত জ্ঞান কাজে লাগানো। এছাড়াও বিভিন্ন ধরনের জরিপ, ইন্টারভিউ, পরীক্ষা-নিরীক্ষা ও মূল্যায়ন অগ্রগতি পরিমাপ করতে ব্যবহার করা হয়।

সোস্যাল ইঞ্জিনিয়ারিং টেস্টিং, নিরাপত্তা সচেতনতা কর্মসূচির কার্যকরী ভূমিকা পরিমাপের সফল পদ্ধতির একটি উদাহরণ যা প্রতিষ্ঠানসমুহের জন্য ব্যবহার করা হয়। উপরোক্ত পরিবর্তনসমুহ বাস্তবায়নের মাধ্যমে সংস্থাসমুহ আনুষ্ঠানিক নিরাপত্তা সংক্রান্ত সচেতনতা কর্মসূচিতে প্রাপ্ত উপাদানগুলির কাভারেজ বৃদ্ধিসহ উচ্চমাত্রার নিরাপত্তা সচেতনতা অর্জন করতে পারে এবং প্রতিষ্ঠানসমুহের জন্য একটি শক্তিশালী নিরাপত্তা সংস্কৃতি তৈরী করতে পারে।

উপরিউক্ত আলোচনার পরিসমাপ্তিতে বলা যায়, তথ্য নিরাপত্তায় সচেতনতার পাশাপাশি কর্মীদের প্রশিক্ষন প্রদান করতে হবে। প্রতিষ্ঠানভেদে বিভিন্ন নীতিমালা প্রস্তুত ও সেসবের সাথে সম্মত হয়ে নীতিমালাসমুহ প্রতিপালন করলেই কেবলমাত্র কার্যকরী নিরাপত্তা ব্যবস্থা বাস্তবায়ন ও তার সুফল ভোগ করা যাবে।

—————————————-

মো: বাহাউদ্দীন পলাশ,

ইনফরমেশন সিকিউরিটি স্পেশালিষ্ট,

বিজিডি ই-গভ সার্ট

Recommended Posts

Press release April 2023: Situational Security Alerts from CIRT

21 Apr 2023 - Articles, English articles, News, Notice, Security Advisories & Alerts

US Embassy Officials visited BGD e-GOV CIRT

16 Apr 2023 - Articles, English articles, News

Embassador of the Republic of China to Bangladesh visited BGD e-GOV CIRT

15 Mar 2023 - Articles, English articles, News