বক এখানেই থেমে যায়: CISO-এর জন্য বাজি বেশি

ব্যবসায় সুরক্ষা

ভারী কাজের চাপ এবং ঘটনাগুলির জন্য ব্যক্তিগত দায়বদ্ধতার ভীতি নিরাপত্তা নেতাদের উপর এতটাই প্রভাব ফেলে যে তাদের মধ্যে অনেকেই প্রস্থানের দিকে তাকিয়ে থাকে। কর্পোরেট সাইবার-প্রতিরক্ষার জন্য এর অর্থ কী?

ফিল মুনকাস্টার

08 ফেব্রুয়ারী 2024  •  , ২ মিনিট. পড়া

সাইবার সিকিউরিটি অবশেষে একটি বোর্ড স্তরের সমস্যা হয়ে উঠছে. কৌশলগত সিদ্ধান্ত গ্রহণে সাইবার-ঝুঁকি ব্যবস্থাপনা যে ক্রমবর্ধমান গুরুত্বপূর্ণ ভূমিকা পালন করে তার প্রেক্ষিতে এটি হওয়া উচিত। সাইবার-ঝুঁকি মূলত একটি মূল ব্যবসায়িক ঝুঁকি যা তৈরি করার সম্ভাবনা রয়েছে বা একটি সংগঠন ভাঙ্গা. এটা অবশ্যই পিছনে চিন্তা নতুন নিয়ন্ত্রক নিয়ম মার্কিন যুক্তরাষ্ট্রে. 

কিন্তু এর গুরুত্ব স্বীকার করে, বোর্ড এবং নিয়ন্ত্রকগণও সিআইএসও-র উপর আরও চাপ সৃষ্টি করছে, অগত্যা তাদের উপযুক্ত স্বীকৃতি এবং পুরস্কার না দিয়ে। ফলাফল: ক্রমবর্ধমান চাপ, বার্নআউট এবং অসন্তোষ। CISO-এর তিন-চতুর্থাংশ (75%) বলা হয় পরিবর্তনের জন্য উন্মুক্ত, এক বছর আগের তুলনায় আট শতাংশ পয়েন্ট বেড়েছে। এবং 64% তাদের ভূমিকা নিয়ে সন্তুষ্ট, 10% কম।

এই চ্যালেঞ্জগুলির সংগঠনগুলির মধ্যে সাইবার নিরাপত্তার জন্য গুরুতর প্রভাব রয়েছে। তাদের সম্বোধন একটি জরুরী অগ্রাধিকার হওয়া উচিত.

ক্রমবর্ধমান চাপের ভূমিকা

CISO-র সবসময়ই একটা চাপের কাজ আছে। সম্প্রতি চালকদের মধ্যে রয়েছে:

• উথাল সাইবার হুমকির মাত্রা, যা অনেক প্রতিষ্ঠানকে ক্রমাগত অগ্নিনির্বাপণ মোডে রেখে যায়
• শিল্প দক্ষতার ঘাটতি যা মূল দলগুলোকে কম কর্মী রেখে দেয়
• বোর্ডরুমের চাহিদা বৃদ্ধির কারণে অতিরিক্ত কাজের চাপ
• পর্যাপ্ত সম্পদ এবং তহবিলের অভাব
• কাজের চাপ যা CISO-কে দীর্ঘ সময় কাজ করতে এবং ছুটি বাতিল করতে বাধ্য করে
• ডিজিটাল রূপান্তর, যা কর্পোরেটকে প্রসারিত করে চলেছে সাইবার আক্রমণ পৃষ্ঠ
• সম্মতির প্রয়োজনীয়তা যা প্রতি বছর পেরিয়ে যেতে থাকে

এতে অবাক হওয়ার কিছু নেই যে বিশ্বব্যাপী আইটি এবং নিরাপত্তা নেতাদের এক চতুর্থাংশ (24%) স্বীকার করেছেন মানসিক চাপ কমানোর জন্য স্ব-ঔষধ। মাউন্টিং স্ট্রেস লেভেল শুধুমাত্র বার্নআউট এবং/অথবা তাড়াতাড়ি অবসর গ্রহণের সম্ভাবনা বাড়ায় না - তারা খারাপ সিদ্ধান্ত গ্রহণের দিকে নিয়ে যেতে পারে (যেমন দ্বারা উল্লেখ করা হয়েছে এই গবেষণা, উদাহরণস্বরূপ), সেইসাথে জ্ঞানীয় দক্ষতা এবং যুক্তিযুক্তভাবে চিন্তা করার ক্ষমতা প্রভাবিত করে। প্রকৃতপক্ষে, এটি পরামর্শ দেওয়া হয়েছে যে এমনকি সামনের চাপের দিনের প্রত্যাশাও জ্ঞানকে প্রভাবিত করতে পারে। CISO-এর কিছু দুই-তৃতীয়াংশ (65%) সত্য বলিয়া স্বীকার করা যে চাকরি-সম্পর্কিত চাপ তাদের কর্মক্ষেত্রে পারফর্ম করার ক্ষমতাকে আপস করেছে।

যাচাই-বাছাই আরও CISO চাপ প্রয়োগ করে

স্ট্রেসের এই বেসলাইনের উপরে সাম্প্রতিক মাসগুলিতে অতিরিক্ত নিয়ন্ত্রক, আইনি এবং বোর্ড যাচাই-বাছাই এসেছে। তিনটি সাম্প্রতিক ঘটনা শিক্ষণীয়:

• মে 2023: প্রাক্তন Uber CSO, জো সুলিভানকে সাজা দেওয়া হয় একটি 2016 মেগা-লঙ্ঘনের একটি প্রয়াস ঢাকতে তার ভূমিকা সম্পর্কিত দুটি অপরাধের জন্য দোষী সাব্যস্ত হওয়ার পরে তিন বছরের প্রবেশন। সমর্থকরা দাবি করেন যে তিনি তৎকালীন সিইও ট্র্যাভিস কালানিক এবং ইন-হাউস উবারের আইনজীবী ক্রেগ ক্লার্ক দ্বারা বলির পাঁঠা হয়েছিলেন। সুলিভান ব্যাখ্যা করছেন যে কালানিক হ্যাকারদের কাছে তার বিতর্কিত $100,000 পেমেন্টে স্বাক্ষর করেছিলেন।
• অক্টোবর 2023: একটি প্রথম, এসইসি সোলারউইন্ডস সিআইএসও চার্জ করেছে টিমোথি ব্রাউন ফার্মের নিরাপত্তা অনুশীলনকে অতিবৃদ্ধি করার সময় সাইবার-ঝুঁকি প্রকাশ করতে ব্যর্থ হওয়ার জন্য। অভিযোগটি ব্রাউনের করা বেশ কয়েকটি অভ্যন্তরীণ মন্তব্যের উল্লেখ করে এবং অভিযোগ করে যে তিনি কোম্পানির মধ্যে এই গুরুতর উদ্বেগগুলি সমাধান বা উন্নত করতে ব্যর্থ হয়েছেন।
• ডিসেম্বর 2023: নতুন এসইসি রিপোর্টিং নিয়ম কার্যকর হবে, যাতে সার্বজনীনভাবে তালিকাভুক্ত সংস্থাগুলিকে বস্তুগততা নির্ধারণের চার কার্যদিবসের মধ্যে "বস্তুগত" সাইবার ঘটনা রিপোর্ট করতে হবে। ফার্মগুলিকে ঝুঁকির মূল্যায়ন, সনাক্তকরণ এবং পরিচালনার জন্য এবং যে কোনও ঘটনার প্রভাবের জন্য বার্ষিক তাদের প্রক্রিয়াগুলি বর্ণনা করতে হবে। এবং তাদের সাইবার ঝুঁকির বিস্তারিত বোর্ড তদারকি এবং এই ধরনের ঝুঁকির মূল্যায়ন ও পরিচালনায় এর দক্ষতার প্রয়োজন হবে।

এটি শুধুমাত্র মার্কিন যুক্তরাষ্ট্রে নয় যেখানে নিয়ন্ত্রক তদারকি তৈরি করা হচ্ছে। 2 সালের অক্টোবরের মধ্যে EU সদস্য রাষ্ট্রের আইনে স্থানান্তরিত করা নতুন NIS2024 নির্দেশিকা সাইবার ঝুঁকি ব্যবস্থাপনার ব্যবস্থা অনুমোদন এবং তাদের বাস্তবায়ন তদারকি করার জন্য বোর্ডের উপর সরাসরি দায়িত্ব রাখে। গুরুতর ঘটনার ক্ষেত্রে অবহেলা দেখা গেলে সি-স্যুটের সদস্যদের ব্যক্তিগতভাবে দায়ী করা যেতে পারে।

অনুসারে এন্টারপ্রাইজ স্ট্র্যাটেজি গ্রুপ (ইএসটি) বিশ্লেষক জন ওল্টসিক, CISO-এর উপর এই ধরনের ক্রমবর্ধমান চাপের ফলে হুমকির প্রতি সাড়া দেওয়া এবং সাইবার ঝুঁকি পরিচালনা করা তাদের মূল কাজকে আরও চ্যালেঞ্জিং করে তুলছে। সাম্প্রতিক একটি ESG সমীক্ষা প্রকাশ করে যে বোর্ডের সাথে কাজ করা, নিয়ন্ত্রক সম্মতি তত্ত্বাবধান করা এবং বাজেট পরিচালনা করার মতো কাজগুলি CISO ভূমিকাকে প্রযুক্তিগত থেকে ব্যবসা-ভিত্তিক হয়ে উঠছে। একই সময়ে, ডিজিটাল রূপান্তর এবং ব্যবসায়িক সাফল্য পাওয়ার জন্য আইটি-এর উপর ক্রমবর্ধমান নির্ভরতা অপ্রতিরোধ্য হয়ে উঠেছে। জরিপে দাবি করা হয়েছে যে 65% সিআইএসও মানসিক চাপের কারণে তাদের ভূমিকা ছেড়ে দেওয়ার কথা বিবেচনা করেছে।

CISO এবং বোর্ডের জন্য টেকঅ্যাওয়ে

মূল কথা হল যে যদি সিআইএসওগুলি কাজের চাপ সামলাতে লড়াই করে, এবং নিয়ন্ত্রক প্রতিশোধের ভয়ে এবং এমনকি তাদের কর্মের জন্য অপরাধমূলক দায়বদ্ধতার ভয়ে, তারা সম্ভবত দিনে দিনে আরও খারাপ সিদ্ধান্ত নিতে পারে। এমনকি অনেকে ইন্ডাস্ট্রি ছেড়েও যেতে পারে। এটি ইতিমধ্যে একটি সেক্টরে একটি বিশাল ক্ষতিকর প্রভাব ফেলবে দক্ষতা ঘাটতি সঙ্গে সংগ্রাম.

কিন্তু এটা এভাবে হওয়ার দরকার নেই। পরিস্থিতি উপশম করতে বোর্ড এবং তাদের CISO উভয়ই কিছু করতে পারে। এটির মাধ্যমে একটি উপায় খুঁজে বের করা তাদের উভয়েরই স্বার্থে। নিম্নোক্ত বিবেচনা কর:

• বোর্ডগুলিকে তাদের কার্যকারিতা অপ্টিমাইজ করার জন্য CISO-এর মানসিক স্বাস্থ্য, কাজের চাপ, সংস্থান এবং রিপোর্টিং কাঠামোর মূল্যায়ন করা উচিত। উচ্চ অ্যাট্রিশন রেট ফুল-টাইম CISO ছাড়া দীর্ঘ ব্যবধানের দিকে নিয়ে যেতে পারে, যা দলগুলিকে হ্রাস করে এবং নিরাপত্তা কৌশলকে প্রভাবিত করে।
• বোর্ডের উচিত তাদের CISO-দের পারিশ্রমিক দেওয়া উচিত তাদের ভূমিকা এখন যে উচ্চতর ঝুঁকির মধ্যে রয়েছে তার সাথে সামঞ্জস্যপূর্ণ।
• নিয়মিত বোর্ড-সিআইএসও জড়িত থাকা অপরিহার্য, সম্ভব হলে সিইও-কে সরাসরি রিপোর্টিং লাইন সহ। এটি উভয়ের মধ্যে যোগাযোগ উন্নত করতে এবং তাদের দায়িত্বের সাথে সামঞ্জস্য রেখে CISO-এর অবস্থানকে উন্নত করতে সহায়তা করবে।
• বোর্ড তাদের CISO প্রদান করা উচিত সঙ্গে পরিচালক এবং কর্মকর্তা (D&O) বীমা গুরুতর ঝুঁকি থেকে তাদের নিরোধক সাহায্য করতে.
• CISO-দের উচিত তাদের পছন্দের শিল্পের সাথে লেগে থাকা এবং এটি থেকে পালিয়ে না গিয়ে আরও বেশি দায়িত্ব গ্রহণ করা। তবে তাদের অবশ্যই মনে রাখতে হবে যে তাদের ভূমিকা হল বোর্ডের জন্য পরামর্শ দেওয়া এবং প্রসঙ্গ সরবরাহ করা। অন্যদের বড় কল করতে দিন.
• CISO-দের সর্বদা স্বচ্ছতা এবং উন্মুক্ততাকে অগ্রাধিকার দেওয়া উচিত, বিশেষ করে নিয়ন্ত্রকদের সাথে।
• CISO-দের উচিত তারা অভ্যন্তরীণভাবে কী প্রচার করে সে সম্পর্কে সচেতন হওয়া উচিত এবং নিশ্চিত করা উচিত যে সি-স্যুট থেকে বিতর্কিত সিদ্ধান্ত বা অনুরোধগুলি সর্বদা লিখিতভাবে রেকর্ড করা হয়।

একটি নতুন ভূমিকা খুঁজে বের করার সময়, CISO-দের তাদের সম্ভাব্য চুক্তির বিস্তারিতভাবে চালানোর জন্য একজন ব্যক্তিগত আইনজীবী নিয়োগ করা উচিত।

সাইবার নিরাপত্তা কৌশল অপ্টিমাইজ করার জন্য, বোর্ডগুলিকে CISO ভূমিকা কী হতে চায় তা পুনরায় মূল্যায়ন করে শুরু করা উচিত। পরবর্তী পদক্ষেপ হল সেই ভূমিকায় সাইবার নিরাপত্তা পেশাদারের যথেষ্ট সমর্থন এবং সেখানে থাকতে ইচ্ছুক যথেষ্ট পুরস্কার রয়েছে তা নিশ্চিত করা।