কোম্পানির 2016 ডেটা লঙ্ঘনের রিপোর্ট করতে ব্যর্থ হওয়ার জন্য উবারের প্রধান তথ্য নিরাপত্তা অফিসার (CISO) জো সুলিভানের সাম্প্রতিক দোষী সাব্যস্ত হওয়া কিছুর কাছে একটি অনাকাঙ্খিত বিস্ময় এবং অন্যদের কাছে জনাব সুলিভানের পদক্ষেপের ন্যায়সঙ্গত পরিণতি হিসাবে এসেছিল।
30 বছরেরও বেশি সময় ধরে একজন সহযোগী CISO এবং তথ্য সুরক্ষা নেতা হিসাবে, আমি সুলিভানের বিশিষ্ট কর্মজীবনকে সম্মান করি এবং একই সাথে, সম্পূর্ণ সমর্থন করি রায়. সুলিভান নিজেকে একটি নৈতিক দ্বিধায় পড়েছিলেন যে বেশিরভাগ সিআইএসও শীঘ্রই বা পরে নিজেদের খুঁজে পায়। কিভাবে একটি CISO সেই দ্বিধাকে মোকাবেলা করার সিদ্ধান্ত নেয় যে তাদের ক্যারিয়ার তৈরি বা ভাঙতে পারে।
একটি CISO এর দায়িত্ব কি?
CISO-এর ভূমিকা এবং দায়িত্বগুলি ক্রমাগত বিকশিত হচ্ছে এবং আরও বেশি যাচাই করা হচ্ছে তাই উবারে দেখা যায় এমন বড় লঙ্ঘনের চারপাশে ক্রমবর্ধমান প্রচারের জন্য ধন্যবাদ৷
এই সাম্প্রতিক ঘটনাগুলি তাদের জন্য কী বোঝায় তা বিবেচনা করে CISO-দের জন্য, তিনটি গুরুত্বপূর্ণ প্রশ্ন জিজ্ঞাসা করার উপযুক্ত সময়।
1) CISO হিসাবে, ডেটা লঙ্ঘন হলে আমার দায়িত্ব কী?
যদিও উবার ট্রায়াল CISO-এর ভূমিকাকে তীক্ষ্ণ ফোকাসে নিয়ে এসেছে, আমি মনে করি না যে এটি ভূমিকার সাথে সম্পর্কিত দায়িত্ব বা দায়কে পরিবর্তন করে। লঙ্ঘন ঘটলে, CISO-এর দায়িত্ব স্পষ্ট: স্বচ্ছ হোন এবং সমস্ত প্রয়োজনীয় প্রকাশ প্রদান করুন। কখনও কখনও এই প্রকাশগুলি নিয়ন্ত্রক সংস্থাগুলির দ্বারা বাধ্যতামূলক হয়, এবং কখনও কখনও সেগুলি কোম্পানির দ্বারা তার উপাদানগুলির কাছে একটি দায়িত্বশীল প্রকাশ হিসাবে বিবেচিত হয়৷
আমি জানি না সুলিভানের প্রথম প্রতিক্রিয়াটি ছিল সঠিক পদক্ষেপ নেওয়া এবং আইন অনুসারে লঙ্ঘনের প্রতিবেদন করা। তার দীর্ঘ ক্যারিয়ার বিবেচনা করে, আমি অবশ্যই আশা করি যে ঘটনাটি ছিল। এটি বলেছে, কোম্পানির মধ্যে রিপোর্টিং কাঠামোর উপর নির্ভর করে, কোম্পানি লঙ্ঘন প্রকাশ করবে কিনা সে সম্পর্কে অনেক CISO-এর চূড়ান্ত বক্তব্য নাও থাকতে পারে। যেমনটি প্রায়শই হয়, CISO কে বাতিল করা হতে পারে এবং লঙ্ঘন ছাড়া অন্য কিছু হিসাবে লঙ্ঘনকে পুনরায় ফ্রেম করার উপায় খুঁজে বের করার জন্য চাপ দেওয়া হতে পারে। এই রিফ্রেমিং কোম্পানিকে সম্ভাব্য নেতিবাচক পরিণতিগুলি এড়াতে সাহায্য করতে পারে, যার মধ্যে রয়েছে নিয়ন্ত্রক জরিমানা, প্রতিকার খরচ (উদাহরণস্বরূপ, ক্ষতিগ্রস্ত গ্রাহকদের ক্রেডিট পর্যবেক্ষণ পরিষেবা প্রদান), এবং গ্রাহক বিশ্বাস এবং কোম্পানির সুনামের উপর প্রভাব।
একটি লঙ্ঘন, বেশ সঠিকভাবে, লঙ্ঘন করা ডেটা রক্ষা করতে কোম্পানির ব্যর্থতা হিসাবে দেখা হয়। এটিকে শেষ পর্যন্ত CISO-এর ব্যর্থতা হিসেবেও দেখা যেতে পারে। এটি পুরানো প্রশ্ন উত্থাপন করে: বক কোথায় থামে? এবং লঙ্ঘনের জন্য চূড়ান্ত দায়ভার কে বহন করে? যাই হোক না কেন, একটি কোম্পানীর পক্ষে স্বীকার করা বা প্রকাশ করা সহজ জিনিস নয়।
CISO-এর নৈতিক দ্বিধা হল: আমি কি আমার ভূমিকার সততা বজায় রাখব এবং আমার দায়িত্ব পালন করব? অথবা আমি কি ঘটনার পুনর্বিন্যাস করার চেষ্টা করি যাতে আমার কোম্পানি এর পরিণতি বহন না করে?
আমি মনে করতে চাই যে আমি যদি সুলিভানের জুতোয় থাকতাম, তবে আমি আমার ভূমিকার সততা এবং সত্যিকার অর্থে, আমার নির্বাচনকারীদের বিশ্বাসের সাথে বিশ্বাসঘাতকতা করার পরিবর্তে আমার পদ থেকে পদত্যাগ করতে ইচ্ছুক। মার্কিন প্রেসিডেন্ট হ্যারি এস. ট্রুম্যানকে ব্যাখ্যা করার জন্য, "সিআইএসও-এর সাথে সাইবার সিকিউরিটি বক বন্ধ হয়ে যায়।"
2) যখন আমরা লঙ্ঘন করি তখন (যদি না হয়) তখন আমার কোম্পানির পরিকল্পনা কী?
একজন নিরাপত্তা বিক্রেতার জন্য CISO হিসাবে, আমি খারাপ অভিনেতা এবং জাতি রাষ্ট্রগুলির প্রেরণা এবং সংকল্প সম্পর্কে খুব ভালভাবে জানি। আমি এটাও বুঝতে পারি যে আক্রমণের শিকার হওয়ার ক্ষেত্রে সংগঠনগুলি যে প্রতিকূলতার সম্মুখীন হয় — সংস্থাগুলিকে অনুমান করতে হবে যে তারা লঙ্ঘন করা হবে. এটা ঘটলে আপনি কি করবেন?
সবচেয়ে খারাপ পরিস্থিতি মোকাবেলা করা এবং লঙ্ঘন হওয়ার আগে একটি আনুষঙ্গিক পরিকল্পনা তৈরি করা আর্থিক এবং অপারেশনাল ফলআউটকে কমিয়ে দিতে পারে যখন আপনি তা করেন। যদি একজন আক্রমণকারী আপনার গ্রাহক সহায়তা বা সরবরাহ চেইন অপারেশন অফলাইনে নিয়ে যায় তবে ডাউনটাইমের খরচ কত? কোথায় আপনার সিস্টেম সবচেয়ে দুর্বল? আপনি কিভাবে ক্ষতি ধারণ করবেন, এবং আপনি কত দ্রুত পুনরুদ্ধার করতে পারবেন? আপনার কর্মচারী, গ্রাহক এবং বোর্ডের সাথে কী ঘটেছে তা আপনি কীভাবে যোগাযোগ করবেন?
সিইও এবং কোম্পানির অন্যান্য কর্মকর্তাদের অবশ্যই সক্রিয়ভাবে CISO এর সাথে এই প্রশ্নগুলির সমাধান করতে হবে এবং একটি ব্যাপক পরিকল্পনা তৈরি করতে হবে যা লঙ্ঘন ঘটলে প্রস্তুত থাকে। অবিলম্বে পদক্ষেপ - এবং সততা - গণনা অন্য সব উপরে। কিন্তু এই ধরনের একটি পরিকল্পনা তখনই সফল হবে যদি এটি তৈরি করা হয়, যাচাই করা হয় এবং আগে থেকেই ভালোভাবে মহড়া করা হয়।
3) পরিচালনা পর্ষদের সাথে আমার ভূমিকা কী?
বেশিরভাগ স্থিতিস্থাপক কোম্পানি শীর্ষে নিরাপত্তা প্রতিশ্রুতিবদ্ধ এবং সংগঠনের প্রতিটি স্তরের মাধ্যমে এটি নিচে চালিত করুন। এর অর্থ হল বোর্ডের পাশাপাশি কর্মচারীদের সাথে একটি শক্তিশালী সাইবার নিরাপত্তা সংস্কৃতি প্রতিষ্ঠা করা। অনেক CISO-কে বোর্ডের পক্ষপাতিত্বের সাথে লড়াই করতে হতে পারে যেগুলি বলে, "এটি আমাদের সাথে কখনই ঘটবে না" বা "এটি যাইহোক ঘটবে, তাই কেন সাইবার নিরাপত্তায় বিনিয়োগ করবেন।"
ব্যবসায়িক সম্পর্কের মতো CISO সম্পর্ক পরিচালনা করুন
CISO-এর বোর্ডের সাথে তাদের সম্পর্ক বাড়ানোর একটি উপায় হল প্রযুক্তি এবং ব্যবসার মধ্যে সেতু হিসেবে কাজ করা। আমাদের বোর্ডকে দেখাতে হবে যে আমরা ব্যবসায়িক ঝুঁকি হিসাবে সাইবার নিরাপত্তা পরিচালনা করি এবং প্রতিষ্ঠানের কর্মক্ষমতা, বৃদ্ধি এবং অন্যান্য ব্যবসায়িক লক্ষ্যগুলির সাথে সারিবদ্ধ। ব্যবসার শর্তাবলী এবং ফলাফল ব্যবহার করতে ভুলবেন না, শুধু প্রযুক্তিগত সংক্ষিপ্ত শব্দ এবং ধারণা নয়। "কেন আমি এটি সম্পর্কে যত্ন নেব?" প্রশ্নের উত্তর দিতে সাহায্য করুন। এবং আপনি যদি বোর্ডের দ্বারা সংস্থানগুলি মঞ্জুর করতে সফল হন, তাহলে একটি প্রতিবেদন অনুসরণ করা গুরুত্বপূর্ণ যা আপনার অনুরোধ করা সংস্থানগুলিকে ব্যবসার ফলাফল এবং পরবর্তী ফলাফলগুলির সাথে সংযুক্ত করে৷
আমার নিজের অভিজ্ঞতায়, সবচেয়ে কার্যকর হওয়ার জন্য, CISO-এর জন্য নিয়মিত নির্ধারিত মিটিংয়ের বাইরে তাদের বোর্ড সদস্যদের সাথে সম্পর্ক গড়ে তোলা গুরুত্বপূর্ণ। এটি আমাদের CISO থেকে আমাদের বোর্ডের সদস্যরা কী আশা করছে তা আরও ভালভাবে বোঝার সুযোগ দেয় এবং একইভাবে, বোর্ডকে শিক্ষা দেওয়া শুরু করে। শেষ পর্যন্ত, সাইবার সিকিউরিটির অনুশীলন ঝুঁকি ব্যবস্থাপনার বিষয়ে, কিন্তু সত্য যে আমরা কখনই ঝুঁকি সম্পূর্ণভাবে দূর করতে পারি না। দৈনিক লঙ্ঘনের শিরোনাম প্রতিটি সিআইএসওকে হট সিটে রেখেছে। CISO-এর একটি কঠিন কাজ রয়েছে: তাদের অবশ্যই তাদের সংস্থার প্রতিদিনের প্রতিরক্ষা পরিচালনা করতে হবে, একই সাথে সেই অনিবার্য ভবিষ্যতের আক্রমণের জন্য একটি কর্ম পরিকল্পনা তৈরি করতে হবে। আজকে এই চ্যালেঞ্জিং এবং সমালোচনামূলক ভূমিকায় একজন CISO-এর সফলভাবে নেতৃত্ব দিতে এবং উন্নতি করতে সততা এবং সততার প্রয়োজন।
