যেহেতু সাইবার নিরাপত্তা কর্পোরেট সিদ্ধান্ত গ্রহণের ক্ষেত্রে একটি ক্রমবর্ধমান গুরুত্বপূর্ণ বিবেচ্য বিষয় হয়ে উঠেছে, তাই প্রধান তথ্য নিরাপত্তা অফিসার (CISO) এর ভূমিকাকে নির্বাহী শ্রেণীবিন্যাসে উচ্চতর স্থানে উন্নীত করার জন্য একটি অনুরূপ পদক্ষেপ নেওয়া হয়েছে৷ যুক্তিটি বলে মনে হচ্ছে, "সাইবার গুরুত্বপূর্ণ হলে, সিআইএসওগুলি অবশ্যই গুরুত্বপূর্ণ।" যাইহোক, ভূমিকাটি উন্নীত করা সিআইএসওকে মরুভূমিতে "নিরাপত্তা" বলে ডাকা একক কণ্ঠে পরিণত করে, আইটি, প্রকৌশল বা পণ্যের দৈনন্দিন সিদ্ধান্ত গ্রহণকারীদের সাথে সামান্য সংযোগের সাথে।
এটি কিছু অবাঞ্ছিত পরিণতির দিকে নিয়ে গেছে, যেমন Facebook exec যারা ভেবেছিল যে কোম্পানির নিরাপত্তা ব্যবস্থা ঠিক আছে ঘণ্টাব্যাপী বিলম্বের কারণ এর 4 অক্টোবর, 2021, বিভ্রাট, বা Uber exec কে প্রতিক্রিয়া জানাতে হ্যাকারদের অর্থ প্রদান করে যারা তার সিস্টেম লঙ্ঘন করেছে, লঙ্ঘন স্বীকার করার পরিবর্তে, অথবা অসংখ্য CISO যারা "অতিরিক্ত নিরাপত্তা স্তর" এ বিনিয়োগ করেছে স্বীকার করার পরিবর্তে তারা প্রাথমিকভাবে দুর্বল নির্বাচন করেছে। এই সমস্ত ক্ষেত্রে, কার্যকরী ব্যবসায়িক ইউনিট থেকে CISO-এর বিচ্ছিন্নতা নিঃসন্দেহে এই সিদ্ধান্তগুলিকে প্রতিফলিত করে ভেবে সুড়ঙ্গে ভূমিকা পালন করেছে।
সাংগঠনিক প্রভাব
সম্ভবত এটি সিআইএসওর ভূমিকা পুনর্বিবেচনা করার সময়। হয়তো সাংগঠনিক অবস্থার চেয়ে সাংগঠনিক প্রভাবে CISO-এর গুরুত্ব প্রতিফলিত হওয়া ভাল। সম্ভবত কার্যকরী ইউনিটগুলিতে নিরাপত্তা এমবেড করার ফলে আরও ভাল নিরাপত্তা হবে।
আইটি সংস্থা ইকোসিস্টেমের একটি অংশ হিসাবে CISO কে কল্পনা করুন৷ তারা অবকাঠামো সম্পর্কে প্রতিটি সিদ্ধান্তের সাথে জড়িত থাকবে এবং নিরাপত্তার উদ্বেগগুলি সেই সিদ্ধান্তগুলির সাথে অবিচ্ছেদ্য হবে বাস্তবতার পরে মোকাবিলা করার পরিবর্তে। এটি একটি বহিরাগত গোষ্ঠীর দ্বারা পরিকাঠামোতে ঢোকানো বিশেষ সুরক্ষা ক্ষমতার পরিবর্তে নেটওয়ার্কটি কীভাবে কাঠামোগত এবং পরিচালিত হয় তার উপর ভিত্তি করে "নিরাপত্তা" সমাধানগুলির একটি সেটের অনুমতি দেবে।
সফ্টওয়্যার উন্নয়ন সংস্থায় এমবেড করা একজন নিরাপত্তা বিশেষজ্ঞের কল্পনা করুন। তারা ডেভেলপারদেরকে তাদের জন্য বিদেশী প্রসেস দিয়ে আটকে না রেখে কোড লিখিত এবং নিরাপত্তার দিকে নজর রেখে পরীক্ষা করা হয়েছে তা নিশ্চিত করার জন্য ডেভেলপমেন্ট প্রক্রিয়াটিকে পরিমার্জিত করতে সক্ষম হবে, যার ফলে কোম্পানির কোডে দুর্বলতা হ্রাস পাবে। পণ্য লাইনে এমবেড করা একজন নিরাপত্তা বিশেষজ্ঞ কল্পনা করুন। তারা নিশ্চিত করতে সক্ষম হবে যে কর্পোরেট অবকাঠামো তাদের আইপি রক্ষা করে এবং তাদের উন্নয়ন প্রক্রিয়া তাদের পণ্যের দুর্বলতাগুলিকে হ্রাস করে।
এই সমস্ত ক্ষেত্রে, কর্পোরেট অপারেশনের বাস্তবতার ভিত্তিতে কর্পোরেট সিদ্ধান্তে নিরাপত্তা একটি ফ্যাক্টর হয়ে ওঠে। সিআইএসও-এর প্রযুক্তিগত দক্ষতা প্রতিদিনের কাজের সাথে অবিচ্ছেদ্য হয়ে ওঠে, এর উপর আরোপিত সীমাবদ্ধতার পরিবর্তে। একইভাবে, নিরাপত্তা এবং সম্মতি নির্বিঘ্নে কাজ করতে হবে যাতে অংশীদার এবং বিক্রেতাদের সাথে আর্থিক ব্যবস্থা এবং যোগাযোগ সুরক্ষিত থাকে। এটি টেলিকম সিস্টেম এবং অন্যান্য হার্ডওয়্যার পর্যন্ত প্রসারিত।
ঝুঁকি ফ্যাক্টর
এটি নিরাপত্তার প্রযুক্তিগত মাত্রাকে কোম্পানির কার্য সম্পাদনে একটি শক্তিশালী ভয়েস করার একটি আরও কার্যকর উপায় বলে মনে হচ্ছে। যাইহোক, কেউ ভাবতে পারে যে এটি নীতির মাত্রাকে হ্রাস করবে, এটি পৃথক কার্যকরী ইউনিটগুলির বিশেষ স্বার্থকে মোকাবেলায় বালকানাইজ করবে। বর্তমানে CISO দ্বারা পরিচালিত নিরাপত্তা নীতি কার্যাবলী অন্তর্ভুক্ত করার জন্য প্রধান ঝুঁকি কর্মকর্তার ভূমিকা সম্প্রসারিত করে এই উদ্বেগের সমাধান করা যেতে পারে।
এটি সি-লেভেলে নিরাপত্তা নীতি রাখার সুবিধা রয়েছে, যেখানে এটি প্রয়োজনীয় মনোযোগ পায়। অন্যান্য ঝুঁকির পরিপ্রেক্ষিতে সাইবার নিরাপত্তা ঝুঁকি বিবেচনা করার আরও সুবিধা রয়েছে (উপলভ্যতার ঝুঁকি, খ্যাতির ঝুঁকি, উপরের ক্ষেত্রে মোকাবেলা করার জন্য)। নিরাপত্তা আর নিজের মধ্যে শেষ হবে না, কিন্তু ব্যবসা করার একটি মাত্রা। এর মানে এই নয় যে নিরাপত্তাকে অন্যান্য উদ্বেগের সাথে লড়াই করতে হবে এবং সংস্থার নিরাপত্তা ভঙ্গিতে আপস করে এমন ব্যবস্থা করতে হবে। বরং, এটি এমন একটি পরিবেশ স্থাপন করে যা হয়/অথবা মানসিকতার ব্যবসা করে যে সমস্ত প্রয়োজনীয়তা পূরণ করতে চায়।
এমন অসংখ্য অ্যাক্সেস কন্ট্রোল প্রযুক্তি রয়েছে যা ফেসবুককে তার নিজস্ব কর্মীদের লক আউট না করে কার্যকরভাবে সুরক্ষিত করতে পারে। যখন প্রাপ্যতার ঝুঁকির সাথে নিরাপত্তা ঝুঁকি বিবেচনা করা হয়, তখন সেই আরও বাস্তবসম্মত সমাধান বেরিয়ে আসবে।
