আসসালামু আলাইকুম, কেমন আছেন টেকটিউনস কমিউনিটি? আশা করছি সবাই ভাল আছেন। আমিও ভালো আছি। আজকে আবার হাজির হলাম আপনাদের জন্য নতুন টিউন নিয়ে। তাহলে চলুন শুরু করা যাক।
যদি কোন কোম্পানি ইফেক্টিভ ওয়েতে সিকিউরিটি রিস্ক ম্যানেজ করতে চায় এবং যেকোনো সাইবার এটাক এর ক্ষতি থেকে বাঁচতে চায় তাহলে সেই কোম্পানির জন্য রয়েছে NIST Cybersecurity Framework। আধুনিক নিরাপত্তা ব্যবস্থাপনার বিভিন্ন বিষয় একত্রিত করে NIST Cybersecurity Framework তৈরি করা হয়েছে৷ যাতে আপনি পাবেন সাইবার এটাক হ্রাস করার সুস্পষ্ট দিক নির্দেশনা সহ আরও অনেক কিছু। তো আজকের এই টিউনে আমরা জানব NIST Cybersecurity Framework কী এবং কীভাবে এটি আপনার বিজনেসে ব্যবহার করবেন।
২০১৩ সালে Sony Picture এর মত বড় বড় কয়েকটা অর্গানাইজেশনে সাইবার হামলা হয়ে ব্যাপক ডাটা ব্রিচের ঘটনা ঘটে৷ এর পর থেকে এই ধরনের হুমকি ভাল ভাবে প্রতিহত ও ম্যানেজ করার জন্য একটি সিকিউরিটি গাইডলাইন তৈরির প্রয়োজন দেখা দেয়৷ এবং গাইডলাইনটি এমন হবে যা সহজে বুঝা যাবে।
একই বছর যুক্তরাষ্ট্রের National Institute of Standards and Technology (NIST), প্রাইভেট সেক্টরের সাথে একটি স্ট্যান্ডার্ড সিকিউরিটি প্র্যাকটিস তৈরি করা শুরু করে। এটি তৈরির উদ্দেশ্য ছিল অর্গানাইজেশন গুলো যেন বিভিন্ন সাইবার হামলা সম্পর্কে বুঝতে পারে এবং ক্ষতি কমাতে যথাযথ পদক্ষেপ গ্রহণ করতে পারে। এর এভাবেই Cybersecurity Framework Version 1.0 এর উৎপত্তি।
বিভিন্ন সাইবার এটাক থেকে বাঁচতে একটি কোম্পানির জন্য NIST Cybersecurity Framework খুবই গুরুত্বপূর্ণ একটি টুল। এটির মাধ্যমে কোম্পানি জানাবে কীভাবে সাইবার সিকিউরিটি আরও শক্তিশালী করা যায় এবং সম্ভাব্য ক্ষতি এড়ানো যায়। বিজনেস হোক বড় বা ছোট, NIST Cybersecurity Framework গুরুত্বপূর্ণ অবদান রাখতে পারে।
আসন্ন এবং ক্রমবর্ধমান বিভিন্ন থ্রেডকে প্রতিহত করতে ইন্ডাস্ট্রি জুড়ে একটি সঠিক সিকিউরিটি ষ্ট্যাণ্ডার্ড সেট করতে NIST CSF সাহায্য করতে পারে। NIST Cybersecurity Framework এর স্ট্রাকচার বুঝতে আমরা NIST কে তিনটি পার্টে ভাগ করতে পারি৷
NIST Cybersecurity Framework এর রয়েছে পাঁচটি ফাংশন। নিচে ফাংশন গুলো নিয়ে আলোচনা করা হল,
এই ফাংশন অর্গানাইজেশনকে বুঝতে সহায়তা করবে, কোন এসেট, অপারেশন এবং বিজনেস এনভায়রনমেন্ট এর প্রোটেকশন প্রয়োজন। এটি একটি কোম্পানির অবকাঠামোকে হুমকির মুখে ফেলতে পারে এমন দুর্বলতাগুলি চিহ্নিত করে, সাপ্লাই চেইন রিস্ক ও ঝুঁকি মূল্যায়ন ব্যবস্থাপনায় সহায়তা করে। সিকিউরিটি রিস্ক শনাক্ত ও প্রশমিত করতে এটি কার্যকর নীতি, কৌশল তৈরি করতে সহায়তা করবে৷
এই ফাংশনটি গুরুত্বপূর্ণ অবকাঠামো রক্ষার জন্য সিকিউরিটি পলিসি, স্ট্রেটেজি, বেস্ট প্র্যাকটিস বাস্তবায়নের সাথে জড়িত। অ্যাক্সেস কন্ট্রোল, সিকিউরিটি এওয়ারনেস ট্রেনিং, রক্ষণাবেক্ষণ, ব্যাকআপ এবং অন্যান্য সিকিউরিটি প্রযুক্তি যেমন এনক্রিপশন এই ফাংশনের গুরুত্বপূর্ণ অংশ।
এর কাজ হচ্ছে এটি প্রতিনিয়ত সব ধরনের এক্টিভিটি এবং ইভেন্ট মনিটর করবে এবং কোন সিকিউরিটি থ্রেড ডিটেক্ট হলে দক্ষতার সাথে প্রতিহত করবে। এটি ইতিমধ্যে নেয়া পদক্ষেপ ও সাইবার সিকিউরিটি বেস্ট প্র্যাকটিস এর কার্যকারিতা যাচাই করতেও সহায়তা করবে।
এই ধাপের কাজ হল, সাইবার এটাকে কোম্পানি কীভাবে রেসপন্স করবে, ক্ষতির পরিমাণ কমাতে কী পদক্ষেপ নেবে এটা ঠিক করা। রেসপন্স পরিকল্পনা প্রক্রিয়া, বিশ্লেষণ, দক্ষ যোগাযোগ, কার্যকর প্রশমন কৌশল, এবং ইম্প্রুভমেন্ট এই ফাংশনের গুরুত্বপূর্ণ অংশ।
এই ফাংশন সাইবার স্থিতিস্থাপকতা বাস্তবায়নের জন্য রিকোভারি পরিকল্পনার সাথে জড়িত। এটি নিশ্চিত করবে কীভাবে বিজনেস দ্রুত সিকিউরিটি এটাক রিকোভার করবে এবং এটাক দ্বারা প্রভাবিত সম্পদ দ্রুত পুনরুদ্ধার করবে।
কোম্পানিতে সাইবার সিকিউরিটি ব্যবস্থা কেমন এবং এর অগ্রগতি কত টুকু এটা মূল্যায়নে সাহায্য করবে NIST এর বিভিন্ন Tier। NIST কয়েকটা স্তরে কোম্পানিকে ভাগ করতে পারে।
এ স্তরে সাইবার সিকিউরিটি বেস্ট প্র্যাকটিস নিয়ে অর্গানাইজেশন গুলোর সচেতনতা থাকে সীমিত ৷ যখন থ্রেড দেখা দেয় এবং প্রশমিত করার প্রয়োজন পড়ে তখনই তারা সিকিউরিটি রিস্ক নিয়ে কাজ করে৷
এই পর্যায়ে অর্গানাইজেশনের সিকিউরিটি রিস্ক সম্পর্কে কিছু আইডিয়া থাকে তবে তাদের পুনরাবৃত্তি-যোগ্য রিস্ক ম্যানেজমেন্ট প্রসেস থাকে না।
এই স্তরে, সংস্থার একটি রুটিন অথবা পুনরাবৃত্তি-যোগ্য রিস্ক ম্যানেজমেন্ট প্রসেস থাকে যা দুর্বলতা বা Vulnerability মূল্যায়ন করে সঠিক ব্যবস্থা গ্রহণ করতে পারে। এই স্তরে থাকা কোম্পানি গুলো সাইবার সিকিউরিটি নিয়ে সচেতন থাকে এবং প্রয়োজনীয় ব্যবস্থা গ্রহণ করতে পারে।
এই স্তরের কোম্পানি সাইবার এটাক এর বিপক্ষে রিস্ক ম্যানেজমেন্টে প্রসেস প্রতিনিয়ত উন্নত করতে থাকবে। তারা রিস্ক ম্যানেজমেন্টে প্রসেসে উল্লেখযোগ্য হারে রিসোর্স ব্যয় করবে।
NIST কত গুলো প্রোফাইল নির্ধারণ করেছে। এই প্রোফাইলের মাধ্যমে কোম্পানি নির্ধারণ করতে পারবে তাদের লক্ষ্য কতটা বাস্তবায়িত হয়েছে এবং তারা কোন পর্যায়ে আছে।
এর মাধ্যমে কোম্পানির বর্তমান অবস্থা সম্পর্কে জানা যাবে। সিকিউরিটি এনালাইসিস এর মাধ্যমে কোম্পানির স্টেইক হোল্ডাররা বুঝতে পারবে এই মুহূর্তে তাদের কোম্পানির ডিফেন্স ব্যবস্থা কেমন।
ভবিষ্যতে সাইবার সিকিউরিটি কেমন হবে এটা জানা যাবে টার্গেট প্রোফাইলে। এর মাধ্যমে আপনি বুঝতে পারবেন লক্ষ্য অর্জনে আর কোন কোন দিক উন্নত করা যায়
এনালাইসিস এর মাধ্যমে গ্যাপ প্রোফাইল নির্ধারণ করা হয়। বর্তমান প্রোফাইল এবং টার্গেট প্রোফাইলের পার্থক্য হচ্ছে গ্যাপ প্রোফাইল। এই গ্যাপ পূরণ করার জন্য কোম্পানি যথাযথ ব্যবস্থা গ্রহণ করবে।
কীভাবে ইফেক্টিভ রিস্ক ম্যানেজমেন্ট প্রোগ্রাম তৈরি করা যায় এবং বিভিন্ন সাইবার হামলা এড়ানো যায় সেই সংক্রান্ত গাইড দিতে পারে NIST। NIST কয়েকটা ধাপে আপনাকে সাহায্য করে। ধাপ গুলো নিচে তুলে ধরা হল,
প্রথম ধাপে বিজনেসকে অবজেক্টিভ, চাহিদা এবং সিকিউরিটি ডিমান্ড সেট আপ করার জন্য ডাকা হবে। এটি তাদের সাইবার সিকিউরিটি প্রোগ্রাম কেমন হবে সে সম্পর্কে একটি পরিষ্কার ধারণা পেতে এবং গুরুত্বপূর্ণ ক্ষেত্রগুলিকে অগ্রাধিকার দিতে সহায়তা করবে।
পরের ধাপ অর্গানাইজেশনের রিসোর্স এবং অপারেশন নিয়ে বিস্তারিত এনালাইসিস করা হয়। সে অনুযায়ী সিকিউরিটি থ্রেড প্রতিহত করতে পরবর্তীতে প্রসেস এবং স্ট্রেটেজি ডেভেলপ করা হয়।
তৃতীয় ধাপে কোম্পানিকে Current Profile ডেভেলপ করতে বলা হয়। এটি বুঝতে সহায়তা করে কোম্পানির সিকিউরিটি প্র্যাকটিস এবং রিস্ক ম্যানেজমেন্ট কোথায় আছে।
কারেন্ট প্রোফাইল তৈরি হওয়ার পরে, কোম্পানি গুলোকে ঝুঁকি মূল্যায়ন করতে হবে। যা থ্রেড প্রতিরোধ এবং ম্যানেজমেন্ট সিস্টেমের দক্ষতা মূল্যায়নে সহায়তা করে। এটি বিশ্লেষণ করতে সাহায্য করবে যে সাইবার হুমকি তাদের কার্যক্রমকে কতটা খারাপ ভাবে প্রভাবিত করতে পারে।
আগেই আলোচনা করেছি টার্গেট প্রোফাইল কোম্পানিকে নির্দিষ্ট লক্ষ্য নির্ধারণে সাহায্য করবে।
গ্যাপ এনালাইসিস এর মাধ্যমে কোম্পানি বুঝতে পারবে বর্তমানে তাদের সিকিউরিটি ম্যানেজমেন্ট পলিসি ব্যবস্থা কেমন এবং টার্গেট কতটা ফিলআপ হয়েছে
গ্যাপ এনালাইসিস এর পর কোম্পানি একটি ডিটেল একশন প্ল্যান তৈরি করবে যার মাধ্যমে কোম্পানি তার লক্ষ্য অর্জন করতে পারবে৷
২০২৩ সালে NIST 2.0 নামে একটি ড্রাফট ভার্সন তৈরি করেছে। এখানে CSF এর ব্যাপ্তি আরও বেড়েছে যা সব সাইজের এবং সব ধরনের বিজনেসের সাথে কাজ করতে পারে। Govern নামে নতুন একটি ফাংশনও যুক্ত করা হয়েছে। এই ফাংশনটি কোম্পানিকে আরও ভাল নীতি, পদ্ধতি এবং রিস্ক ম্যানেজমেন্ট টেকনিক তৈরিতে সাহায্য করবে।
বর্তমান সময়ে সকল কোম্পানিকে সাইবার সিকিউরিটি নিয়ে যথেষ্ট সচেতন থাকা উচিৎ। কারণ সিস্টেমে সিকিউরিটি রিস্ক এবং Vulnerability থাকলে তা ব্যাপক আর্থিক ক্ষতি সাধন করতে পারে৷
সুতরাং রিস্ক ম্যানেজমেন্ট প্রসেস দক্ষতার সাথে পরিচালনা করতে, সাইবার সিকিউরিটি টার্গেট অর্জন করতে এবং সিকিউরিটি থ্রেড থেকে ডেটাকে সফলভাবে রক্ষা করতে আপনিও NIST Cybersecurity Framework ব্যবহার করতে পারেন।
তো আজকে এই পর্যন্তই, কেমন হল আজকের টিউন তা অবশ্যই টিউমেন্টের মাধ্যমে জানাবেন। পরবর্তী টিউন পর্যন্ত ভাল থাকুন, আল্লাহ হাফেজ।
আমি সোহানুর রহমান। সুপ্রিম টিউনার, টেকটিউনস, ঢাকা। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 2 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 627 টি টিউন ও 200 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 118 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
কখনো কখনো প্রজাপতির ডানা ঝাপটানোর মত ঘটনা পুরো পৃথিবী বদলে দিতে পারে।