সুচিপত্র:
- কমপ্লায়েন্সের ক্ষতি
- সুরক্ষা?
- একমাত্র সত্য হিসাবে ঝুঁকি
- ঝুঁকির এক সামগ্রিক দৃষ্টিভঙ্গির তিনটি উপাদান
- ঝুঁকি এবং সম্মতিতে নীচের লাইন
আইটি সুরক্ষা পরিচালনা করে এমন মাশরুমিং শিল্প এবং সরকারী আদেশের ফলে একটি অত্যন্ত নিয়ন্ত্রিত পরিবেশ এবং বার্ষিক সম্মতিতে ফায়ার ড্রিল তৈরি হয়েছিল। গড় সংস্থাগুলিকে প্রভাবিত নিয়মাবলীর সংখ্যা সহজেই এক ডজন বা তারও বেশি অতিক্রম করতে পারে এবং দিনে আরও জটিল হয়ে উঠতে পারে। এটি বেশিরভাগ সংস্থাগুলিকে আইটি অগ্রাধিকারগুলির দীর্ঘ তালিকার শীর্ষে শীর্ষস্থানীয় পরিচালনা এবং সম্মতি প্রচেষ্টায় একটি সংখ্যক সংস্থান সংস্থান করতে বাধ্য করছে। এই প্রচেষ্টা কি নিশ্চিত? বা সুরক্ষা সম্পর্কে সম্মতি-চালিত পদ্ধতির অংশ হিসাবে কেবল একটি চেক-বাক্সের প্রয়োজনীয়তা?
তিক্ত সত্যটি হ'ল আপনি একটি নিরীক্ষা নির্ধারণ করতে পারেন, তবে আপনি কোনও সাইবারট্যাকের সময়সূচি করতে পারবেন না। প্রায় প্রতিদিন, লঙ্ঘন শিরোনাম যখন সংবাদ দেয় তখন আমাদের এই বাস্তবতার কথা মনে করিয়ে দেওয়া হয়। ফলস্বরূপ, অনেক সংস্থাগুলি সিদ্ধান্ত নিয়েছে যে তাদের ঝুঁকিপূর্ণ ভঙ্গিমা সম্পর্কে অন্তর্দৃষ্টি পেতে, তাদের অবশ্যই সহজ সম্মতি মূল্যায়নের বাইরে যেতে হবে। ফলস্বরূপ, তারা হুমকী এবং দুর্বলতাগুলি, পাশাপাশি ব্যবসায়ের প্রভাবগুলিও আমলে নিচ্ছে। এই তিনটি কারণের সংমিশ্রণই ঝুঁকির একান্ত দৃষ্টিভঙ্গি নিশ্চিত করে।
কমপ্লায়েন্সের ক্ষতি
যে সংস্থাগুলি একটি চেক-বাক্স অনুসরণ করে, ঝুঁকি ব্যবস্থাপনায় সম্মতি-চালিত পদ্ধতির কেবলমাত্র পয়েন্ট-ইন-সময় সুরক্ষা অর্জন করে। কারণ একটি সংস্থার সুরক্ষা ভঙ্গিটি গতিশীল এবং সময়ের সাথে সাথে পরিবর্তিত হয়। এটি বারবার প্রমাণিত হয়েছে।
সম্প্রতি, প্রগতিশীল সংস্থাগুলি সুরক্ষার জন্য আরও সক্রিয়, ঝুঁকি-ভিত্তিক পদ্ধতির অনুসরণ করা শুরু করেছে। একটি ঝুঁকি-ভিত্তিক মডেলের লক্ষ্য হ'ল কোনও সংস্থার আইটি সুরক্ষা কার্যক্রমের দক্ষতা সর্বাধিক করে তোলা এবং ঝুঁকি এবং সম্মতি ভঙ্গিতে দৃশ্যমানতা সরবরাহ করা। চূড়ান্ত লক্ষ্য হ'ল সম্মতিতে থাকা, ঝুঁকি হ্রাস করা এবং একটানা ভিত্তিতে সুরক্ষা শক্ত করা।
বেশ কয়েকটি কারণ সংগঠনগুলিকে ঝুঁকিভিত্তিক মডেলটিতে যেতে বাধ্য করছে। এর মধ্যে অন্তর্ভুক্ত রয়েছে তবে সীমাবদ্ধ নয়:
- উদীয়মান সাইবার আইন (যেমন, সাইবার ইন্টেলিজেন্স শেয়ারিং এবং সুরক্ষা আইন)
- মুদ্রা নিয়ন্ত্রকের অফিস দ্বারা তদারকি নির্দেশিকা (ওসিসি)
সুরক্ষা?
এটি সাধারণত বিশ্বাস করা হয় যে দুর্বলতা ব্যবস্থা ডেটা লঙ্ঘনের ঝুঁকি হ্রাস করবে। যাইহোক, তাদের সাথে সম্পর্কিত ঝুঁকির প্রসঙ্গে দুর্বলতাগুলি না রেখে, সংস্থাগুলি প্রায়শই তাদের প্রতিকার সংস্থানকে ভুলভাবে চিহ্নিত করে। কেবলমাত্র "লো-ঝুলন্ত ফল" হিসাবে সম্বোধন করার সময় তারা অত্যন্ত জটিল ঝুঁকিকে উপেক্ষা করে।
এটি কেবল অর্থের অপচয় নয়, এটি হ্যাকারদের সমালোচনামূলক দুর্বলতা কাজে লাগানোর সুযোগের দীর্ঘতর উইন্ডো তৈরি করে। চূড়ান্ত লক্ষ্য উইন্ডো আক্রমণকারীদের একটি সফ্টওয়্যার ত্রুটি ব্যবহার করতে হবে। অতএব, দুর্বলতা ব্যবস্থাপনার সুরক্ষা সম্পর্কে একটি সামগ্রিক, ঝুঁকিভিত্তিক পদ্ধতির দ্বারা পরিপূরক করা আবশ্যক, যা হুমকি, পুনঃব্যবহারযোগ্যতা, সংস্থার সম্মতি ভঙ্গি এবং ব্যবসায়িক প্রভাবের মতো বিষয়গুলি বিবেচনা করে। হুমকি যদি দুর্বলতায় পৌঁছতে না পারে তবে সম্পর্কিত ঝুঁকি হয় হ্রাস বা নির্মূল করা হয়।
একমাত্র সত্য হিসাবে ঝুঁকি
কোনও সংস্থার কমপ্লায়েন্সের ভঙ্গি আইটি সুরক্ষায় ক্ষতিপূরণ নিয়ন্ত্রণগুলি সনাক্ত করে একটি অপরিহার্য ভূমিকা নিতে পারে যা হুমকিকে তাদের লক্ষ্যে পৌঁছানো থেকে রোধ করতে ব্যবহার করা যেতে পারে। ২০১৩ সালের ভেরাইজন ডেটা লঙ্ঘন তদন্ত প্রতিবেদন অনুসারে, ভেরাইজন এবং অন্যান্য সংস্থাগুলি বিগত বছরের সময়কালে লঙ্ঘন তদন্ত থেকে প্রাপ্ত তথ্যের একটি বিশ্লেষণ, সুরক্ষা ঘটনাগুলির 97৯ শতাংশ সাধারণ বা মধ্যবর্তী নিয়ন্ত্রণের মাধ্যমে এড়ানো সম্ভব ছিল। তবে, ব্যবসায়িক প্রভাব প্রকৃত ঝুঁকি নির্ধারণের জন্য একটি গুরুত্বপূর্ণ বিষয় factor উদাহরণস্বরূপ, সংবেদনশীল ব্যবসায়িক সম্পদের হুমকি দেয় এমন দুর্বলতাগুলি কম-সমালোচনামূলক লক্ষ্যগুলির সাথে জড়িতদের তুলনায় অনেক বেশি ঝুঁকির প্রতিনিধিত্ব করে।
সম্মতি ভঙ্গি সাধারণত সম্পত্তির ব্যবসায়িক সমালোচনার সাথে আবদ্ধ হয় না। পরিবর্তে, ক্ষতিপূরণ নিয়ন্ত্রণগুলি সাধারণভাবে প্রয়োগ করা হয় এবং সেই অনুযায়ী পরীক্ষা করা হয়। কোনও সম্পদ একটি সংস্থার প্রতিনিধিত্ব করে এমন ব্যবসায়ের সমালোচনার সুস্পষ্ট বোধগম্যতা ছাড়াই কোনও সংস্থা প্রতিকার প্রতিকারের অগ্রাধিকার দিতে অক্ষম। ঝুঁকিভিত্তিক পদ্ধতির মাধ্যমে অপারেশনাল দক্ষতা বৃদ্ধি, মূল্যায়নের যথার্থতা উন্নত করতে, আক্রমণের পৃষ্ঠতল হ্রাস করতে এবং বিনিয়োগের সিদ্ধান্ত গ্রহণের উন্নতি করতে সুরক্ষা ভঙ্গি এবং ব্যবসায়ের প্রভাব উভয়কেই সম্বোধন করা হয়।
পূর্বে উল্লিখিত হিসাবে, ঝুঁকি তিনটি মূল কারণ দ্বারা প্রভাবিত হয়: সম্মতি ভঙ্গিমা, হুমকি এবং দুর্বলতা এবং ব্যবসায়িক প্রভাব। ফলস্বরূপ, ব্যবসায়ের ক্রিয়াকলাপের উপর প্রভাবগুলি গণনা করতে এবং প্রতিকারের ক্রিয়াকে অগ্রাধিকার দেওয়ার জন্য বর্তমান, নতুন এবং উদীয়মান হুমকির তথ্যের সাথে ঝুঁকি এবং সম্মতি ভঙ্গি সম্পর্কিত সমালোচনা বুদ্ধি একত্রিত করা অপরিহার্য।
ঝুঁকির এক সামগ্রিক দৃষ্টিভঙ্গির তিনটি উপাদান
সুরক্ষায় ঝুঁকি-ভিত্তিক পদ্ধতির প্রয়োগের জন্য প্রধানত তিনটি উপাদান রয়েছে:- অবিচ্ছিন্নভাবে মেনে চলার মধ্যে সম্পদের পুনর্মিলন এবং ডেটা শ্রেণিবদ্ধকরণের অটোমেশন, প্রযুক্তিগত নিয়ন্ত্রণগুলির প্রান্তিককরণ, সম্মতি পরীক্ষার অটোমেশন, মূল্যায়ন জরিপ স্থাপনা এবং ডেটা একীকরণের অটোমেশন অন্তর্ভুক্ত। অবিচ্ছিন্নভাবে মেনে চলার সাথে সংস্থাগুলি তথ্য সংগ্রহ এবং ডেটা বিশ্লেষণে নির্ভুলতা বাড়াতে এবং নিয়ন্ত্রণহীন, পাশাপাশি ম্যানুয়াল, শ্রম-নিবিড় প্রচেষ্টাগুলি 75 শতাংশ পর্যন্ত কমিয়ে আনার জন্য একটি সাধারণ নিয়ন্ত্রণ কাঠামোটি ব্যবহার করে ওভারল্যাপ হ্রাস করতে পারে।
- অবিচ্ছিন্ন পর্যবেক্ষণ ডেটা মূল্যায়নের বর্ধিত ফ্রিকোয়েন্সি বোঝায় এবং সুরক্ষা তথ্য এবং ইভেন্ট ম্যানেজমেন্ট (এসআইইএম), সম্পদ পরিচালন, হুমকি ফিড এবং দুর্বলতা স্ক্যানারগুলির মতো বিভিন্ন উত্স থেকে ডেটা একত্রিত ও স্বাভাবিক করার মাধ্যমে সুরক্ষা ডেটা অটোমেশন প্রয়োজন। পরিবর্তে, সংস্থাগুলি সমাধানগুলিকে একত্রিত করে, প্রক্রিয়াগুলিকে সহজলভ্য করে, যথাসময়ে শোষণ এবং হুমকির প্রকাশ করতে পরিস্থিতিগত সচেতনতা তৈরি করে এবং historicতিহাসিক ট্রেন্ডের ডেটা সংগ্রহ করে, যা ভবিষ্যদ্বাণীমূলক সুরক্ষায় সহায়তা করতে পারে।
- ঝুঁকিপূর্ণ-লুপ, ঝুঁকি-ভিত্তিক প্রতিকারের ঝুঁকি তালিকাভুক্তি এবং ঝুঁকি সহনশীলতা সংজ্ঞায়িত করার জন্য ব্যবসায় ইউনিটগুলির মধ্যে বিষয় বিশেষজ্ঞদের উপার্জন করে। ব্যবসায়ের সমালোচনা সংজ্ঞা, ঝুঁকি-ভিত্তিক অগ্রাধিকার সক্ষম করার জন্য অবিচ্ছিন্ন স্কোরিং এবং ক্লোজড লুপ ট্র্যাকিং এবং পরিমাপের জন্য এই প্রক্রিয়াটি সম্পদ শ্রেণিবিন্যাসকে অন্তর্ভুক্ত করে। বিদ্যমান সম্পদ, জনগণ, প্রক্রিয়াগুলি, সম্ভাব্য ঝুঁকি এবং সম্ভাব্য হুমকির একটি অবিচ্ছিন্ন পর্যালোচনা লুপ স্থাপন করে, সংস্থাগুলি নাটকীয়ভাবে অপারেশন দক্ষতা বাড়াতে পারে, যখন ব্যবসা, সুরক্ষা এবং আইটি অপারেশনগুলির মধ্যে সহযোগিতা উন্নত করে। এটি সুরক্ষার প্রচেষ্টাগুলিকে সক্ষম করে - যেমন-সময়-রেজোলিউশন, সুরক্ষা ক্রিয়াকলাপগুলিতে বিনিয়োগ, অতিরিক্ত সুরক্ষা সরঞ্জামাদি ক্রয় - পরিমাপ এবং স্পষ্ট করে তোলা।