CISO কর্নার: CIO কনভারজেন্স, 10 ক্রিটিক্যাল সিকিউরিটি মেট্রিক্স, এবং ইভান্তি ফলআউট

সিআইএসও কর্নারে স্বাগতম, ডার্ক রিডিং-এর সাপ্তাহিক নিবন্ধগুলি বিশেষভাবে নিরাপত্তা অপারেশন পাঠক এবং নিরাপত্তা নেতাদের জন্য তৈরি। প্রতি সপ্তাহে, আমরা আমাদের নিউজ অপারেশন, দ্য এজ, ডিআর টেকনোলজি, ডিআর গ্লোবাল, এবং আমাদের মন্তব্য বিভাগ থেকে সংগ্রহ করা নিবন্ধগুলি অফার করব। সাইবার সিকিউরিটি কৌশলগুলি কার্যকর করার কাজকে সমর্থন করার জন্য, সমস্ত আকার এবং আকারের সংগঠনের নেতাদের জন্য আমরা আপনাকে বিভিন্ন দৃষ্টিভঙ্গি নিয়ে আসতে প্রতিশ্রুতিবদ্ধ।

এখনও বিক্রয়ের জন্য:

10 সিকিউরিটি মেট্রিক্স ক্যাটাগরি CISO দের বোর্ডের কাছে উপস্থাপন করা উচিত

এরিকা চিকোস্কি, অবদানকারী লেখক, ডার্ক রিডিং

পরিচালনা পর্ষদ একটি নিরাপত্তা প্রোগ্রামের মিনিট প্রযুক্তিগত বিবরণ সম্পর্কে যত্ন না. তারা দেখতে চায় কিভাবে মূল কর্মক্ষমতা সূচক ট্র্যাক এবং ব্যবহার করা হয়।

সঙ্গে সঙ্গে ইউএস সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশনের সাইবার নিরাপত্তা ঘিরে নতুন নিয়ম এখন জায়গায়, নিরাপত্তা দলগুলিকে আরও কঠোরতা আনতে হবে কীভাবে তারা কী পারফরম্যান্স ইন্ডিকেটর (KPIs) এবং কী রিস্ক ইন্ডিকেটর (KRIs) ট্র্যাক করে — এবং কীভাবে তারা সেই মেট্রিকগুলিকে পরামর্শ দিতে এবং বোর্ডকে রিপোর্ট করতে ব্যবহার করে৷

"পরিচালক বোর্ডের ঝুঁকি বা নিরীক্ষা কমিটির সাথে শেয়ার করা হলে, এই মূল কার্যসম্পাদন সূচকগুলি সংস্থার সাইবার নিরাপত্তা ক্ষমতা এবং সাইবার নিয়ন্ত্রণের দক্ষতাকে আলোকিত করে, পাশাপাশি পরিচালনা পর্ষদকে প্রযুক্তি এবং প্রতিভার বিনিয়োগের পর্যাপ্ততা মূল্যায়ন করতে সহায়তা করে" AKnowledge Partners-এর CEO Homaira Akbari এবং Netskope-এর ক্লাউড কৌশলের প্রধান শামলা নাইডু সাইবার স্যাভি বোর্ডরুম.

টোমের সুপারিশগুলি থেকে সংকেত গ্রহণ করে, ডার্ক রিডিং শীর্ষ নিরাপত্তা অপারেশনাল মেট্রিকগুলি ভেঙে দেয় যা CISO এবং সাইবার নেতাদের বোর্ডকে ঝুঁকির মাত্রা এবং সুরক্ষা কার্যকারিতা সম্পর্কে একটি বিস্তৃত প্রতিবেদন দেওয়ার জন্য সাবলীল হতে হবে এবং কীভাবে একটি ডেটা তৈরি করা যায় তা নিয়ে আলোচনা করে- একটি প্রতিষ্ঠানের প্রোগ্রামের কার্যকারিতা নির্ধারণ এবং সুরক্ষার ফাঁক সনাক্ত করার জন্য সমর্থিত মডেল।

আরও পড়ুন: 10 সিকিউরিটি মেট্রিক্স ক্যাটাগরি CISO দের বোর্ডের কাছে উপস্থাপন করা উচিত

সম্পর্কিত: সিআইএসও কীভাবে বোর্ডের জন্য আরও ভাল আখ্যান তৈরি করতে পারে

CISO এবং CIO কনভারজেন্স: প্রস্তুত বা না, এখানে এটি আসে

আর্থার লোজিনস্কির ভাষ্য, সিইও এবং সহ-প্রতিষ্ঠাতা, ওমনিৎজা

সাম্প্রতিক পরিবর্তনগুলি সফল ডিজিটাল রূপান্তরের জন্য এই দুই আইটি নেতার মধ্যে সহযোগিতা এবং সারিবদ্ধতার গুরুত্বকে অন্ডারস্কোর করে।

ডিজিটাল ঝুঁকি নিয়ন্ত্রণের জন্য CISO-এর স্টুয়ার্ডশিপ সফল ডিজিটাল রূপান্তরের জন্য এতটাই অপরিহার্য যে তাদের ভূমিকাগুলি ক্রমবর্ধমানভাবে CIO-এর সাথে ওভারল্যাপ হচ্ছে — সার্ভার রুম থেকে বোর্ডরুমে সাইবার নিরাপত্তার অব্যাহত গতিপথকে হাইলাইট করছে।

দুটি ভূমিকা 20 বছর ধরে একত্রিত হয়ে আসছে, কিন্তু এখন সিআইওদের প্রধানত ব্যবসায়িক উদ্ভাবনকে সমর্থন করার জন্য প্রযুক্তি সংগ্রহ এবং ব্যবহার করার দায়িত্ব দেওয়া হয়েছে - এবং ভূমিকাটি আগের তুলনায় উল্লেখযোগ্যভাবে কম কার্যকর।

ইতিমধ্যে CISO এখন একটি মূল অপারেশনাল স্টেকহোল্ডার, সম্মতি আদেশের সম্মুখীন, ডেটা লঙ্ঘন থেকে অপারেশনাল ব্যাঘাত রোধ করে এবং ঝুঁকির স্কোর নির্ধারণ করে উদীয়মান সাইবার নিরাপত্তা হুমকি.

ফলাফল? সিআইও এবং সিআইএসও ক্রমবর্ধমানভাবে লকস্টেপে হাঁটছে — এবং দুটি ভূমিকা যেভাবে বিকশিত হচ্ছে তা নির্বিশেষে, এই পরিবর্তনটি সফল ডিজিটাল রূপান্তরের জন্য এবং এর বাইরেও এই দুই আইটি নেতার মধ্যে সহযোগিতা এবং সারিবদ্ধতার গুরুত্বকে আন্ডারস্কোর করে।

CIO/CISO কনভারজেন্স সম্পর্কে আরও: CISO এবং CIO কনভারজেন্স: প্রস্তুত বা না, এখানে এটি আসে

সম্পর্কিত: 2024-এর জন্য রাজ্যের CIO অগ্রাধিকারের পরিবর্তনগুলি API সুরক্ষায় কীভাবে প্রযোজ্য

PII লঙ্ঘনের রিপোর্ট করার জন্য FCC টেলিকম এবং VoIP প্রদানকারীদের প্রয়োজন

তারা সীল দ্বারা, ব্যবস্থাপনা সম্পাদক, সংবাদ, ডার্ক রিডিং

ভয়েস এবং ওয়্যারলেস প্রদানকারীদের জন্য কমিশনের লঙ্ঘন নিয়ম, 2017 সাল থেকে অস্পর্শিত, অবশেষে আধুনিক যুগের জন্য আপডেট করা হয়েছে।

এগিয়ে যান, এসইসি: শহরে একটি নতুন কমপ্লায়েন্স ম্যান্ডেট রয়েছে।

আগামী মাস থেকে টেলিকম এবং ভিওআইপি প্রদানকারীদের করতে হবে এফসিসিতে ডেটা লঙ্ঘনের প্রতিবেদন করুন, FBI, এবং সিক্রেট সার্ভিস আবিষ্কারের সাত দিনের মধ্যে।

এবং যখনই কোনও সাইবার ঘটনায় ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (PII) ধরা পড়ে তখনই তাদের গ্রাহকদের ডেটা লঙ্ঘনের বিজ্ঞপ্তি জারি করতে হবে।

এফসিসি এই সপ্তাহে তার চূড়ান্ত নিয়ম প্রকাশ করেছে, বাধ্যতামূলক করে যে PII উন্মোচিত হলে ক্যারিয়ার এবং পরিষেবা প্রদানকারীরা আরও স্বচ্ছ হবে। কমিশনের PII-এর সংজ্ঞা বিস্তৃত এবং এতে শুধু নাম, যোগাযোগের তথ্য, জন্ম তারিখ এবং সামাজিক নিরাপত্তা নম্বর নয়, বায়োমেট্রিক্স এবং অন্যান্য ডেটাও রয়েছে।

পূর্বে, FCC-এর জন্য গ্রাহকের বিজ্ঞপ্তির প্রয়োজন ছিল শুধুমাত্র যখন গ্রাহক মালিকানা নেটওয়ার্ক তথ্য (CPNI) ডেটা প্রভাবিত হয়েছিল, যেমন ফোন বিলের তথ্য যেমন সাবস্ক্রিপশন প্ল্যান ডেটা, ব্যবহারের চার্জ, নম্বরগুলি কল করা বা মেসেজ করা ইত্যাদি।

FCC এর লঙ্ঘন প্রতিবেদনের প্রয়োজনীয়তার সর্বশেষ আপডেটটি ছিল 16 বছর আগে।

আরও পড়ুন: PII লঙ্ঘনের রিপোর্ট করার জন্য FCC টেলিকম এবং VoIP প্রদানকারীদের প্রয়োজন

সম্পর্কিত: প্রুডেন্সিয়াল ফাইল এসইসির সাথে স্বেচ্ছায় লঙ্ঘনের নোটিশ

মধ্যপ্রাচ্য ও আফ্রিকা CISO 2024 সালের বাজেট 10% বৃদ্ধি করার পরিকল্পনা করছে

থেকে ডিআর গ্লোবাল

লেখক রবার্ট লেমোস, অবদানকারী লেখক, ডার্ক রিডিং

নতুন তথ্য AI এবং অন্যান্য কারণের জন্য মধ্যপ্রাচ্য, তুরস্ক এবং আফ্রিকা অঞ্চলে প্রত্যাশিত সাইবার নিরাপত্তা বৃদ্ধি দেখায়।

মধ্যপ্রাচ্য, তুরস্ক এবং আফ্রিকা (META) অঞ্চলে সাইবার নিরাপত্তার বাজার দ্রুত বৃদ্ধি পাবে বলে আশা করা হচ্ছে, 6.5 সালে ব্যয় $2024 বিলিয়ন হতে পারে।

IDC-এর মতে, এই অঞ্চলের তিন-চতুর্থাংশেরও বেশি CISO এই বছর বাজেট অন্তত 10% বৃদ্ধি করার পরিকল্পনা করছে, যা ভূ-রাজনৈতিক হুমকি, জেনারেটিভ এআই-এর বৃদ্ধি এবং সমগ্র অঞ্চল জুড়ে ডেটা সুরক্ষা প্রবিধান বৃদ্ধির দ্বারা বৃহৎ অংশে উদ্বুদ্ধ হয়েছে। .

"সফল সাইবার অপরাধ বৃদ্ধির ফলে নন-কোর দেশগুলিতে পরামর্শ পরিষেবার চাহিদা বেড়েছে যেখানে মূল দেশগুলির তুলনায় সচেতনতা ততটা বেশি নয়," বলেছেন আইডিসি দক্ষিণ আফ্রিকা এবং META-এর আইটি সুরক্ষা ডেটার গবেষণা বিশ্লেষক ইয়োতাশা থাভার৷ "সাইবার নিরাপত্তার উন্নতির জন্য - বিশেষ করে মধ্যপ্রাচ্যে - সরকারগুলি থেকেও একটি চাপ আসছে।"

খরচ অবশ্যই দেশ অনুযায়ী পরিবর্তিত হবে. উদাহরণস্বরূপ, সৌদি আরব এবং সংযুক্ত আরব আমিরাত (ইউএই) উভয়ই সক্রিয়ভাবে জাতীয় কৌশল বিনিয়োগ তাদের নেটওয়ার্ক এবং প্রযুক্তি সুরক্ষিত করার জন্য, তাদের সমবয়সীদের তুলনায় আরো উচ্চ-বৃদ্ধি ব্যয়ের পথে রয়েছে, IDC খুঁজে পেয়েছে।

আরও পড়ুন: মধ্যপ্রাচ্য ও আফ্রিকা CISO 2024 সালের বাজেট 10% বৃদ্ধি করার পরিকল্পনা করছে

সম্পর্কিত: UAE ব্যাঙ্কগুলি সাইবার ওয়ার গেমস অনুশীলন পরিচালনা করে

GenAI টুলস এন্টারপ্রাইজের সমস্ত এলাকায় প্রবেশ করবে

থেকে গভীর পঠন: ডিআর গবেষণা প্রতিবেদন

অনেক বিভাগ এবং গোষ্ঠী জেনারেটিভ AI সরঞ্জামগুলি ব্যবহার করার সুবিধাগুলি দেখতে পায়, যা ডেটা ফাঁস এবং সম্মতি এবং গোপনীয়তা লঙ্ঘন থেকে এন্টারপ্রাইজকে রক্ষা করার নিরাপত্তা দলগুলির কাজকে জটিল করে তুলবে৷

ব্যবহারে সংস্থাগুলির মধ্যে উল্লেখযোগ্য আগ্রহ রয়েছে generative AI (GenAI) টুলস GenAI সম্বন্ধে ডার্ক রিডিং-এর প্রথম সমীক্ষা অনুসারে, বিস্তৃত ব্যবহারের ক্ষেত্রে। এন্টারপ্রাইজগুলির মধ্যে অনেকগুলি বিভিন্ন গ্রুপ এই প্রযুক্তি ব্যবহার করতে পারে, তবে এই সরঞ্জামগুলি ডেটা বিশ্লেষণ, সাইবারসিকিউরিটি, গবেষণা এবং বিপণন দলগুলির দ্বারা সর্বাধিক ব্যবহৃত হয় বলে মনে হয়।

উত্তরদাতাদের প্রায় এক তৃতীয়াংশ বলেছেন যে তাদের সংস্থাগুলির পাইলট প্রোগ্রাম রয়েছে বা অন্যথায় GenAI সরঞ্জামগুলির ব্যবহার অন্বেষণ করছে, যখন 29% বলেছেন যে তারা এখনও এই সরঞ্জামগুলি ব্যবহার করবেন কিনা তা বিবেচনা করছেন। মাত্র 22% বলেছেন যে তাদের সংস্থাগুলি সক্রিয়ভাবে GenAI সরঞ্জামগুলি ব্যবহার করছে, এবং 17% বলেছেন যে তারা বাস্তবায়নের প্রক্রিয়ায় রয়েছে।

নিরাপত্তা দলগুলি দেখছে যে কীভাবে এই কার্যকলাপগুলি তাদের প্রতিদিনের ক্রিয়াকলাপের সাথে যুক্ত করা যায়, বিশেষত কোড লেখার জন্য, নির্দিষ্ট হুমকি সূচক এবং সমস্যাগুলির সাথে সম্পর্কিত তথ্যের সন্ধান করা এবং তদন্তমূলক কাজগুলি স্বয়ংক্রিয় করার জন্য।

ইতিমধ্যে, বিপণন এবং বিক্রয় গোষ্ঠীগুলি প্রায়শই টেক্সট নথির প্রথম খসড়া তৈরি করতে বা ব্যক্তিগতকৃত বিপণন বার্তাগুলি বিকাশ করতে এবং পাঠ্য নথির সংক্ষিপ্তসার করতে এআই জেনারেটর ব্যবহার করে। পণ্য এবং পরিষেবা গোষ্ঠীগুলি গ্রাহকের চাহিদাগুলির প্রবণতা সনাক্ত করতে এবং নতুন ডিজাইন তৈরি করার জন্য GenAI-এর উপর ঝুঁকতে শুরু করেছে, যখন পরিষেবা গোষ্ঠীগুলি প্রবণতা পূর্বাভাস এবং গ্রাহক-মুখী অ্যাপ্লিকেশনগুলির মধ্যে প্রযুক্তিকে একীভূত করার উপর দৃষ্টি নিবদ্ধ করছে, যেমন চ্যাটবট।

ডার্ক রিডিং পাঠকরা কীভাবে এন্টারপ্রাইজে জেনারেটিভ এআই ব্যবহার করে প্রত্যাশা করে সে সম্পর্কে আরও জানুন বিনামূল্যে ডাউনলোডযোগ্য প্রতিবেদন।

আরও পড়ুন: GenAI টুলস এন্টারপ্রাইজের সমস্ত এলাকায় প্রবেশ করবে

সম্পর্কিত: সৌদি আরব 'সকলের জন্য জেনারেটিভ এআই' প্রোগ্রামে আত্মপ্রকাশ করেছে

সিআইএসওর কি এখনকার জন্য ইভান্তি এড়িয়ে যাওয়া উচিত?

বেকি ব্র্যাকেন, সম্পাদক, ডার্ক রিডিং দ্বারা

ক্যাসকেডিং সমালোচনামূলক CVE, সাইবার আক্রমণ এবং বিলম্বিত প্যাচিং ইভান্তি ভিপিএনগুলিকে জর্জরিত করছে, সাইবার সিকিউরিটি দলগুলিকে সমাধানের জন্য ঝাঁকুনি দিতে বাধ্য করছে৷ গবেষকরা মুগ্ধ নয়।

ইভান্তি 2024 সালে এ পর্যন্ত পাঁচটি VPN ত্রুটি প্রকাশ করেছে, শূন্য-দিন হিসাবে সবচেয়ে বেশি শোষিত — প্যাচগুলি উপলব্ধ হওয়ার কয়েক সপ্তাহ আগে তাদের মধ্যে দুটি প্রকাশ্যে ঘোষণা করেছিল। সাইবার সিকিউরিটি গবেষক জ্যাক উইলিয়ামসের মতো কিছু সমালোচক ইভান্তির দুর্বলতা এবং কোম্পানির ধীর ঘটনা প্রতিক্রিয়াকে ব্যবসার জন্য একটি অস্তিত্বগত হুমকি হিসেবে দেখেন।

উইলিয়ামস ইভান্তির বর্তমান সমস্যার জন্য বছরের পর বছর ধরে নিরাপদ কোডিং এবং নিরাপত্তা পরীক্ষার অবহেলার জন্য দায়ী করেছেন। পুনরুদ্ধার করার জন্য, উইলিয়ামসের মতে, ইভান্তিকে সেই প্রযুক্তিগত ঋণ কাটিয়ে উঠতে হবে, যখন কোনওভাবে তাদের গ্রাহকদের সাথে বিশ্বাস ফিরিয়ে আনতে হবে। এটি একটি টাস্ক উইলিয়ামস যোগ করেছেন যে তিনি সন্দেহজনক ইভান্তি বন্ধ করতে সক্ষম হবেন।

"আমি দেখতে পাচ্ছি না কিভাবে ইভান্তি একটি এন্টারপ্রাইজ ফায়ারওয়াল ব্র্যান্ড হিসেবে টিকে আছে," উইলিয়ামস ডার্ক রিডিংকে বলেছেন, এমন একটি অনুভূতি যা তিনি সোশ্যাল মিডিয়াতে ব্যাপকভাবে পুনরাবৃত্তি করেছেন।

শেষ পর্যন্ত, ইভান্তির দুশ্চিন্তা এন্টারপ্রাইজ সাইবার দলগুলির উপর পড়ে, যেগুলিকে বেছে নিতে হবে। সাইবার দলগুলি CISA-এর পরামর্শ অনুসরণ করতে পারে এবং Ivanti VPN অ্যাপ্লায়েন্সগুলিকে সংযোগ বিচ্ছিন্ন করতে পারে এবং পুনরায় সংযোগ করার আগে আপডেট করতে পারে৷ অথবা, প্যাচিংয়ের জন্য তারা ইতিমধ্যে অফলাইনে থাকাকালীন, তারা সম্পূর্ণরূপে আপডেট করা গিয়ারের সাথে সম্পূর্ণরূপে ইভান্তি অ্যাপ্লায়েন্সগুলি প্রতিস্থাপন করতে পারে।

যাইহোক, কেউ কেউ বলে যে ইভান্তির সাথে লেগে থাকা এমন একটি রস যা চেপে রাখা মূল্যহীন হতে পারে। "এই যন্ত্রগুলির জন্য তাদের সফ্টওয়্যারকে একই ধরণের গুরুতরতার সাথে ইঞ্জিনিয়ার করা দরকার যা এই হুমকির প্রয়োজন," জন ব্যামবেনেক বলেছেন, ব্যামবেনেক কনসাল্টিংয়ের সভাপতি৷ "যদি আমি একজন সিআইএসও হতাম, আমি ইভান্তির উপর কয়েক বছরের জন্য পাস নিতাম যতক্ষণ না তারা আবার নিজেদের প্রমাণ করছে।"

আরও পড়ুন: সাইবার ইনসিডেন্ট রেসপন্সের জন্য ইভান্তি খারাপ নম্বর পায়

সম্পর্কিত: ভোল্ট টাইফুন একাধিক বৈদ্যুতিক ইউটিলিটিকে আঘাত করে, সাইবার কার্যকলাপ প্রসারিত করে

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cybersecurity-operations/ciso-corner-cio-convergence-critical-security-metrics-ivanti-fallout