প্রতিষ্ঠানের নিরাপত্তা সংস্কৃতি: কেন প্রয়োজন? কিভাবে গড়ে তুলবেন?

by CIRT Team

তথ্য নিরাপত্তা বর্তমানে সংস্থাসমুহের সবচেয়ে গুরুত্বপূর্ন ও চ্যালেন্জিং বিষয় হয়ে দাড়িয়েছে। প্রযুক্তির ব্যবহার ও বিশ্বব্যাপী ব্যপক সংযোগের ফলে সংস্থাসমুহ বিভিন্ন ধরনের সাইবার হুমকি ও হামলার সম্মূখীন হচ্ছে। প্রযুক্তিগত নিয়ন্ত্রন এই হুমকিসমুহ থেকে খানিকটা সুরক্ষা দিলেও শুধুমাত্র নিয়ন্ত্রনের মাধ্যমে সমন্বিত ও সম্পূর্ণ সুরক্ষা প্রত্যাশা করা যায় না।

প্রযুক্তির সীমাবদ্ধতা কিংবা ‍দুর্বলতাকে কাজে লাগিয়ে এক শ্রেণীর মানুষ বিভিন্ন অপকর্ম সাধন করে থাকে, ফলে প্রযুক্তির সীমাবদ্ধতা কিংবা মানুষের ভুলের কারণ ছাড়াও এর অপব্যবহারের ফলে অনেক বেশী ক্ষতি সাধিত হয়। কেবলমাত্র সমস্যা তৈরীতেই নয় পাশাপাশি সমস্যা সমাধানের ক্ষেত্রেও মানুষের অবদান অনবদ্য। যেহেতু সংগঠনের তথ্য নিরাপত্তা প্রদান করা শুধুমাত্র প্রযুক্তিনির্ভর নয়, তাই প্রতিরক্ষা ব্যবস্থায় মানুষও এর অবিচ্ছেদ্য অংশ হয়ে পড়েছে। তথ্যের নিরাপত্তা প্রদান করা শুধুমাত্র নিরাপত্তা পেশাজীবিদেরই দায়িত্ব নয়, উপরন্তু ইহা প্রতিষ্ঠানের সবার সম্মিলিত দায়িত্ব। ব্যবহারকারীদের তথ্য সম্পদ রক্ষায় তাদের ভূমিকা এবং দায়িত্বের পাশাপাশি সম্ভাব্য নিরাপত্তা হুমকি বা সমস্যায় সাড়া দেওয়ার সক্ষমতা ও সে বিষয়ে সচেতনতা অর্জন  করতে হবে।

নিরাপত্তা সচেতনতা:

নিরাপত্তা সচেতনতা কর্মসূচীর মাধ্যমে প্রতিষ্ঠানের সমস্ত কর্মীকে শিক্ষিত করা প্রয়োজন যাতে তারা প্রতিষ্ঠানের তথ্য সম্পদ কার্যকরভাবে রক্ষণাবেক্ষণে সাহায্য করতে পারে।  যদিও বর্তমানে নিরাপত্তা সচেতনতা বৃদ্ধিতে সংস্থাসমুহের অনেক অগ্রগতি হয়েছে, তবুও এই কর্মসূচিতে পরিপক্বতা অর্জনের জন্য আরও কাজ করা প্রয়োজন। সমীক্ষায় দেখা যায় প্রতিষ্ঠানসমুহ গড়ে ৬০ শতাংশ কর্মীকে নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রদান করে যেখানে আরও ৪০ শতাংশের বেশি পরিমাণ প্রশিক্ষনের বাইরে থাকে। যেসব সংগঠনের নিরাপত্তা ব্যবস্থা জোরদার করতে কোন সচেতনতা প্রোগ্রাম নেই তাদের এ বিষয়ে গুরুত্ব সহকারে একটি প্রোগ্রাম শুরু করা উচিত।   কারন শুধুমাত্র প্রযুক্তি দ্বারা একটি সমন্বিত সমাধান প্রদান সম্ভব নয়।

শীর্ষস্থানীয় ব্যবস্থাপনা কর্তৃপক্ষকে জড়িত করে এবং তাদের সমর্থনে একটি শক্তিশালী নিরাপত্তা সচেতনতা কর্মসূচি গ্রহন করা যাতে কর্মচারীরা একে গুরুত্বের সাথে গ্রহণ করে। ব্যবস্থাপনা প্রতিশ্রুতি বৃদ্ধির সাথে নিরাপত্তা সচেতনতার লক্ষ্য এবং সচেতনতা বার্তা একটি নিরাপত্তা সংস্কৃতি তৈরি করতে অগ্রনী ভুমিকা পালন করে।

প্রশিক্ষণ প্রদান:

আক্রমণকারীরা প্রতিরক্ষাকারীদের চেয়ে সবসময় বেশী সুবিধা পেয়ে থাকে। আক্রমণকারী উদ্দেশ্যপ্রণোদিতভাবে তার নির্বাচিত লক্ষ্যমাত্রায় একটি নির্দিষ্ট লক্ষ্যে জালিয়াতি বা অন্য কোন ক্ষতির প্রচেষ্টায় নিবদ্ধ থাকে। পক্ষান্তরে প্রতিরক্ষাকারীরা অজানা আক্রমণকারীর হাত থেকে তাদের সমস্ত সম্পদ রক্ষায় কাজ করে থাকে। প্রশিক্ষণ প্রদান কর্মীদের  জ্ঞান, দক্ষতা, কর্মক্ষমতা বৃদ্ধির পাশাপাশি চলমান কার্যক্রমে অভ্যন্তরীণ নিয়ন্ত্রনসমুহ বজায় রাখতে ও সেইসাথে আইটি কর্মীদের যথাযথ এবং সাংগঠনিক লক্ষ্য অর্জনের প্রয়োজনীয় নিরাপত্তা সচেতনতা অর্জনে সহায়তা করে।

নীতিমালা:

যদিও নিরাপত্তা সচেতনতা প্রশিক্ষণে বহুবিধ নীতিমালা ব্যবহার করা হয় তথাপি ইনসিডেন্ট রিপোর্টিং, তথ্যের প্রাপ্যতা / দুর্যোগে পুনরুদ্ধার এবং সোস্যাল ইন্জিনিয়ারিং সম্পর্কিত নীতিমালাসমুহের আরো উন্নয়ন ও একটি ভিত্তি প্রস্তুত করা প্রয়োজন। এই নীতিমালাসমুহ অত্যন্ত গুরুত্বপূর্ণ। নীতিমালাসমুহ তৈরী করা হলে কর্মচারীদের এই বিষয়গুলিতে প্রশিক্ষণ প্রদান করা গুরুত্বপূর্ণ। ক্রমাগত বৃদ্ধি ও উন্নতিকল্পে নিরাপত্তা সচেতনতা কর্মসূচী এবং প্রশিক্ষণের মূল্যায়ন আরো জোরদার করা উচিত। নিরাপত্তা উন্নীত ও জোরদারকরণ এবং এর বৃদ্ধি, নিরাপত্তা সচেতনতা ও তথ্য নিরাপত্তা প্রোগ্রামসমুহ  একত্রিত করে পূর্ণাঙ্গতা আনয়ন করা প্রয়োজন।

নিরাপত্তা সচেতনতার প্রথম উদ্দেশ্য হলো: অবশ্যই স্পষ্টভাবে যোগাযোগ করা এবং নিরাপত্তা সচেতনতা বার্তাটি বারবার পুনরাবৃত্তি করা। লক্ষ্য অর্জনে অগ্রগতি পরিমাপের প্রয়োজনীয়তা এবং প্রয়োজনীয় প্রতিক্রিয়া প্রাপ্তির জন্য প্রয়োজনীয় পরিবীক্ষণ ও মূল্যায়ণ  প্রয়োজন যা নিরাপত্তা সচেতনতা প্রোগ্রামকে সংশোধন ও উন্নত করতে ব্যবহার করা যেতে পারে। এছাড়াও নির্দিষ্ট সময় অন্তর মূল্যায়ন করা হলে প্রয়োজনীয় পরিবর্তন এবং নতুন নিরাপত্তা সমস্যা মিটমাট করতে সহায়ক হয়।

সম্মতি ও প্রতিপালন:

ব্যবহারকারীদের নিরাপত্তা সচেতনতা বৃদ্ধির সাথে সাথে লক্ষ্যসমূহ পূরণ করা হয়েছে কি না তা নির্ধারণ করা এবং ব্যবহারকারীদের সচেতনতা বৃদ্ধির পরিমাপ করা। ইনফরমেশন সিস্টেম নিরীক্ষা ও নিয়ন্ত্রণ সংঘের নিরাপত্তা সচেতনতা অনুযায়ী, সংস্থাসমুহে সর্বোৎকৃষ্ট নিরাপত্তা পদ্ধতির প্রয়োগ, নিরাপত্তা সংক্রান্ত সর্বশেষ তথ্য সম্পর্কে অবগত থাকা ও আপ্ত জ্ঞান কাজে লাগানো। এছাড়াও বিভিন্ন ধরনের জরিপ, ইন্টারভিউ, পরীক্ষা-নিরীক্ষা ও মূল্যায়ন অগ্রগতি পরিমাপ করতে ব্যবহার করা হয়।

সোস্যাল ইঞ্জিনিয়ারিং টেস্টিং, নিরাপত্তা সচেতনতা কর্মসূচির কার্যকরী ভূমিকা পরিমাপের সফল পদ্ধতির একটি উদাহরণ যা প্রতিষ্ঠানসমুহের জন্য ব্যবহার করা হয়। উপরোক্ত পরিবর্তনসমুহ বাস্তবায়নের মাধ্যমে সংস্থাসমুহ আনুষ্ঠানিক নিরাপত্তা সংক্রান্ত সচেতনতা কর্মসূচিতে প্রাপ্ত উপাদানগুলির কাভারেজ বৃদ্ধিসহ উচ্চমাত্রার নিরাপত্তা সচেতনতা অর্জন করতে পারে এবং প্রতিষ্ঠানসমুহের জন্য একটি শক্তিশালী নিরাপত্তা সংস্কৃতি তৈরী করতে পারে।

উপরিউক্ত আলোচনার পরিসমাপ্তিতে বলা যায়, তথ্য নিরাপত্তায় সচেতনতার পাশাপাশি কর্মীদের প্রশিক্ষন প্রদান করতে হবে। প্রতিষ্ঠানভেদে বিভিন্ন নীতিমালা প্রস্তুত ও সেসবের সাথে সম্মত হয়ে নীতিমালাসমুহ প্রতিপালন করলেই কেবলমাত্র কার্যকরী নিরাপত্তা ব্যবস্থা বাস্তবায়ন ও তার সুফল ভোগ করা যাবে।

—————————————-

মো: বাহাউদ্দীন পলাশ,

ইনফরমেশন সিকিউরিটি স্পেশালিষ্ট,

বিজিডি ই-গভ সার্ট

CIRT Team

Recommended Posts

Cyber Threat Alert: Surge in Attacks via Compromised Third-Party Service Providers

08 Feb 2024 - Articles, English articles, Security Advisories & Alerts

বাংলাদেশের আইটি কাঠামোয় তথ্য চুরির ম্যালওয়ারের বিস্তার সম্পর্কে সতর্কতা

18 Jan 2024 - Articles, Bangla Articles, News, Security Advisories & Alerts

সাইবার থ্রেট এলার্টঃ বাংলাদেশকে লক্ষ্য করে চলমান ফিশিং ক্যাম্পেইন

04 Jan 2024 - News, Security Advisories & Alerts