তৃতীয় পক্ষের ঝুঁকি কমানোর জন্য একটি সহযোগিতামূলক, পুঙ্খানুপুঙ্খ দৃষ্টিভঙ্গি প্রয়োজন

তৃতীয় পক্ষের ঝুঁকি কমানোর জন্য একটি সহযোগিতামূলক, পুঙ্খানুপুঙ্খ দৃষ্টিভঙ্গি প্রয়োজন

সময় স্ট্যাম্প: মার্চ 25, 2024 10:00 এএম
তৃতীয় পক্ষের ঝুঁকি প্রশমিত করার জন্য একটি সহযোগিতামূলক, পুঙ্খানুপুঙ্খ পদ্ধতির প্লাটোব্লকচেন ডেটা বুদ্ধিমত্তা প্রয়োজন। উল্লম্ব অনুসন্ধান. আ.

ধারাভাষ্য

সাইবার অপরাধীদের ক্রমবর্ধমান উন্নত কৌশলগুলির সাথে মিলিত আগত প্রবিধানগুলির একাধিক বিবেচনা করার সময় তৃতীয় পক্ষের ঝুঁকি হ্রাস করা কঠিন বলে মনে হতে পারে। যাইহোক, বেশিরভাগ সংস্থার কাছে তাদের ধারণার চেয়ে বেশি সংস্থা এবং নমনীয়তা রয়েছে। থার্ড-পার্টি রিস্ক ম্যানেজমেন্ট বিদ্যমান ঝুঁকি পরিচালনার অনুশীলন এবং নিরাপত্তা নিয়ন্ত্রণের উপরে তৈরি করা যেতে পারে যা বর্তমানে কোম্পানিতে প্রয়োগ করা হয়। এই মডেলটি সম্পর্কে যা আশ্বাস দেয় তা হল এর অর্থ হল তৃতীয় পক্ষের ঝুঁকি সফলভাবে প্রশমিত করার জন্য সংস্থাগুলিকে তাদের বিদ্যমান সুরক্ষা সম্পূর্ণরূপে স্ক্র্যাপ করতে হবে না - এবং এটি ধীরে ধীরে, ক্রমাগত উন্নতির সংস্কৃতিকে উত্সাহিত করে। 

তৃতীয় পক্ষের ঝুঁকি সংস্থাগুলির জন্য একটি অনন্য চ্যালেঞ্জ উপস্থাপন করে। পৃষ্ঠে, একটি তৃতীয় পক্ষ বিশ্বস্ত প্রদর্শিত হতে পারে. কিন্তু সেই তৃতীয় পক্ষের বিক্রেতার অভ্যন্তরীণ কাজের মধ্যে সম্পূর্ণ স্বচ্ছতা ছাড়াই, কীভাবে একটি সংস্থা নিশ্চিত করতে পারে যে তাদের কাছে অর্পিত ডেটা নিরাপদ?

প্রায়শই, সংস্থাগুলি তাদের তৃতীয় পক্ষের বিক্রেতাদের সাথে তাদের দীর্ঘস্থায়ী সম্পর্কের কারণে এই চাপের প্রশ্নটি কম করে। যেহেতু তারা 15 বছর ধরে তৃতীয় পক্ষের বিক্রেতার সাথে কাজ করেছে, তারা "হুডের নীচে তাকাতে" বলে তাদের সম্পর্ককে বিপদে ফেলার কোন কারণ দেখতে পাবে না। যাইহোক, চিন্তার এই লাইনটি বিপজ্জনক — একটি সাইবার ঘটনা কখন বা যেখানে এটি কম প্রত্যাশিত হয় তা আঘাত করতে পারে।

একটি পরিবর্তনশীল ল্যান্ডস্কেপ

যখন কোনও ডেটা লঙ্ঘন হয়, তখন শুধুমাত্র সংস্থাটিকে একটি সত্তা হিসাবে জরিমানা করা যায় না, তবে ব্যক্তিগত পরিণতিও জারি করা যেতে পারে। গত বছর, FDIC তৃতীয় পক্ষের ঝুঁকি সম্পর্কে তার নির্দেশিকা কঠোর করেছে, মামলা অনুসরণ করার জন্য অন্যান্য শিল্পের জন্য মঞ্চ সেট. কৃত্রিম বুদ্ধিমত্তার মতো নতুন প্রযুক্তির উত্থানের সাথে, তৃতীয় পক্ষের দ্বারা ডেটা অপব্যবস্থাপনার ফলাফলগুলি ভয়াবহ হতে পারে। আগত প্রবিধানগুলি যারা শক্তিশালী নিয়ন্ত্রণ তৈরি করেনি তাদের কঠোর শাস্তি প্রদান করে এই গুরুতর পরিণতিগুলিকে প্রতিফলিত করবে।

নতুন প্রবিধানের পাশাপাশি, চতুর্থ- এমনকি পঞ্চম-পক্ষের বিক্রেতাদের উত্থান সংস্থাগুলিকে তাদের বাহ্যিক ডেটা সুরক্ষিত করতে উত্সাহিত করা উচিত। সফ্টওয়্যারটি 10 ​​বছর আগে সহজ, অভ্যন্তরীণ অনুশীলন নয় — আজ, ডেটা অনেক হাতের মধ্য দিয়ে যায় এবং ডেটা চেইনের প্রতিটি যোগ করা লিঙ্কের সাথে, নিরাপত্তা হুমকি বৃদ্ধি পায় যখন তদারকি আরও কঠিন হয়ে যায়। উদাহরণ স্বরূপ, তৃতীয় পক্ষের বিক্রেতার উপর যথাযথ যথাযথ অধ্যবসায় করা সামান্য উপকারী যদি পরীক্ষিত তৃতীয় পক্ষ ব্যক্তিগত ক্লায়েন্টের ডেটা একটি অবহেলিত চতুর্থ পক্ষের কাছে আউটসোর্স করে এবং সংস্থাটি এটি সম্পর্কে অবগত না থাকে।

পাঁচটি সহজ আউট-অফ-দ্য-বক্স পদক্ষেপ

সঠিক রোডম্যাপ, সংগঠনের সাথে সফলভাবে তৃতীয় পক্ষের ঝুঁকি কমাতে পারে. আরও ভাল, ব্যয়বহুল এবং বিঘ্নিত প্রযুক্তি বিনিয়োগ সবসময় প্রয়োজন হয় না। শুরুতে, যথাযথ অধ্যবসায় সম্পাদন করার সময় সংস্থাগুলির যা প্রয়োজন তা হল একটি বুদ্ধিমান পরিকল্পনা, কিনতে ইচ্ছুক সক্ষম কর্মী এবং IT, নিরাপত্তা এবং ব্যবসায়িক দলগুলির মধ্যে উচ্চতর যোগাযোগ।

প্রথম ধাপ হল বিক্রেতার ল্যান্ডস্কেপকে ভালোভাবে বোঝা। যদিও এটি সুস্পষ্ট বলে মনে হতে পারে, অনেক সংস্থা, বিশেষ করে আউটসোর্স করার জন্য বাজেট সহ বড় সংস্থাগুলি এই গুরুত্বপূর্ণ পদক্ষেপটিকে অবহেলা করে। তাড়াহুড়ো করে একটি তৃতীয় পক্ষের বিক্রেতা সম্পর্ক স্থাপন করলে স্বল্পমেয়াদে অর্থ সাশ্রয় হতে পারে, যদি ডেটা লঙ্ঘন ঘটে এবং সংস্থাকে মোটা জরিমানা করা হয় তাহলে সেই সমস্ত সঞ্চয় মুছে ফেলা হবে।

বিক্রেতা ল্যান্ডস্কেপ গবেষণা করার পরে, সংস্থাগুলিকে নির্ধারণ করা উচিত কোন তৃতীয় পক্ষের ভূমিকাগুলি "গুরুত্বপূর্ণ" - এই ভূমিকাগুলি কার্যকরীভাবে সমালোচনামূলক হতে পারে বা সংবেদনশীল ডেটা প্রক্রিয়া করতে পারে৷ সমালোচনার উপর ভিত্তি করে, বিক্রেতাদের স্তর অনুসারে গোষ্ঠীবদ্ধ করা উচিত, যা সংস্থা কীভাবে বিক্রেতাকে মূল্যায়ন, পর্যালোচনা এবং পরিচালনা করে তাতে নমনীয়তার অনুমতি দেয়।

বিক্রেতাদের তাদের সমালোচনার ভিত্তিতে বাছাই করা তাদের তৃতীয় পক্ষের বিক্রেতাদের উপর অত্যধিক নির্ভরশীলতা সংস্থাগুলির উপর আলোকপাত করতে পারে। এই সংস্থাগুলিকে অবশ্যই নিজেদেরকে জিজ্ঞাসা করতে হবে: যদি এই সম্পর্কটি হঠাৎ বন্ধ হয়ে যায় তবে আমাদের কি একটি ব্যাকআপ পরিকল্পনা আছে? নির্বিঘ্নে প্রতিদিনের ক্রিয়াকলাপ চালিয়ে যাওয়ার সময় আমরা কীভাবে এই ফাংশনটি প্রতিস্থাপন করব?

তৃতীয় ধাপ হল শাসনের জন্য একটি পরিকল্পনা তৈরি করা। কার্যকরভাবে যথাযথ অধ্যবসায় সম্পাদন করতে এবং ঝুঁকি পরিচালনা করার জন্য একটি সংস্থার তিনটি প্রধান হাতের মধ্যে সমন্বয় থাকতে হবে—নিরাপত্তা দল বিক্রেতার নিরাপত্তা কর্মসূচির ছিদ্রগুলির উপর আলোকপাত করে, আইনি দল আইনি ঝুঁকি নির্ধারণ করে, এবং ব্যবসায়িক দল নেতিবাচক ক্যাসকেডিংয়ের পূর্বাভাস দেয়। ডেটা বা অপারেশন আপস করা হলে অপারেশনের উপর প্রভাব। দৃঢ় শাসনব্যবস্থা তৈরির চাবিকাঠি হল একটি প্রতিষ্ঠানের অনন্য চাহিদা অনুসারে পরিকল্পনা তৈরি করা। এটি বিশেষত কম নিয়ন্ত্রিত শিল্পে সংস্থাগুলির জন্য প্রযোজ্য।

শাসন ​​পদক্ষেপ চুক্তিবদ্ধ বাধ্যবাধকতা খসড়া অন্তর্ভুক্ত. উদাহরণস্বরূপ, প্রায়শই ক্লাউড কম্পিউটিং-এ, ব্যবসায়িক নেতারা ভুলবশত একটি চুক্তি স্বাক্ষর করার জন্য তাড়াহুড়ো করে না বুঝেই যে কিছু নিরাপত্তা ব্যবস্থা বেসলাইন প্যাকেজে অন্তর্ভুক্ত হতে পারে বা নাও থাকতে পারে। চুক্তিভিত্তিক বাধ্যবাধকতাগুলি প্রায়শই শিল্প নির্ভর, তবে একটি মানসম্মত সুরক্ষা ধারাও তৈরি করা উচিত। উদাহরণ স্বরূপ, যদি আমরা কোনো ডেলিভারি কোম্পানির মূল্যায়ন করি, তাহলে সেখানে একজন বিক্রেতার সফটওয়্যার ডেভেলপমেন্ট লাইফসাইকেল (SDLC) প্রক্রিয়ার উপর কম ফোকাস এবং তাদের স্থিতিস্থাপকতার ব্যবস্থা সম্পর্কে আরও বেশি কিছু হতে পারে। যাইহোক, যদি আমরা একটি সফ্টওয়্যার কোম্পানির মূল্যায়ন করছি, আমরা বিক্রেতার SDLC-এর প্রক্রিয়াগুলিতে ফোকাস করতে চাই, যেমন কোড কীভাবে পর্যালোচনা করা হয় এবং উৎপাদনে ঠেলে দেওয়ার সুরক্ষাগুলি কেমন দেখাচ্ছে। 

অবশেষে, সংস্থাগুলিকে একটি প্রস্থান কৌশল বিকাশ করতে হবে। কিভাবে একটি প্রতিষ্ঠান তাদের ক্লায়েন্ট ডেটা স্ক্রাব করা হয়েছে তা নিশ্চিত করার সময় একটি তৃতীয় পক্ষ থেকে পরিষ্কারভাবে আলাদা করে? এমন কিছু ঘটনা ঘটেছে যেখানে একটি কোম্পানী শুধুমাত্র একটি বিক্রেতার সাথে সম্পর্ক ছিন্ন করে বছরের পর বছর পরে একটি কল পাওয়ার জন্য তাদের জানিয়ে দেয় যে তাদের প্রাক্তন অংশীদার একটি ডেটা আপস করেছে এবং তাদের ক্লায়েন্ট ডেটা উন্মুক্ত করা হয়েছে - যদিও এই ধারণাটি মুছে ফেলা হয়েছে। গল্পের নৈতিকতা: অনুমান করবেন না। দুর্ঘটনাজনিত ডেটা লঙ্ঘনের পাশাপাশি, তৃতীয় পক্ষের বিক্রেতারা অভ্যন্তরীণ উন্নয়নের জন্য প্রাক্তন অংশীদারের ডেটা ব্যবহার করবে, যেমন মেশিন লার্নিং মডেলগুলি তৈরি করতে সেই ডেটা ব্যবহার করার সম্ভাবনাও রয়েছে। অংশীদারিত্বের সমাপ্তি ঘটলে বিক্রেতারা কীভাবে ডেটা মুছে ফেলবে এবং তা না করলে কী পরিণতি হবে তা স্পষ্ট, সুনির্দিষ্ট এবং আইনগতভাবে বাধ্যতামূলকভাবে উল্লেখ করে সংস্থাগুলিকে অবশ্যই এটি প্রতিরোধ করতে হবে।

ভাগ করা দায়িত্ব এবং ক্রমাগত উন্নতির একটি সংস্কৃতি তৈরি করুন 

যথাযথ অধ্যবসায় সম্পাদনের জন্য একটি দলের দৃষ্টিভঙ্গি গ্রহণের অর্থ হল প্রধান তথ্য নিরাপত্তা কর্মকর্তা (CISO) কে তৃতীয় পক্ষের বিক্রেতাকে ঝুঁকিমুক্ত করার দায়িত্ব সম্পূর্ণভাবে নিতে হবে না। দ্য SolarWinds বিরুদ্ধে SEC এর অভিযোগ একটি সম্পর্কিত নজির স্থাপন করুন - একটি CISO পতন নিতে পারে, এমনকি যদি সমস্যাটি সংগঠনব্যাপী কর্মহীনতার কারণে হয়। যদি আইটি এবং ব্যবসায়িক দলগুলি CISO-কে তৃতীয়-পক্ষের বিক্রেতাদের যাচাই করার জন্য সমর্থন করে, তাহলে এটি ভবিষ্যতে ক্রস-টিম সহযোগিতার জন্য মঞ্চ তৈরি করে, সংস্থার কেনাকাটা বাড়ায় এবং নিরাপত্তার ক্ষেত্রে আরও ভাল ফলাফল তৈরি করে।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া