নতুন এসইসি প্রবিধানগুলি পূরণ করতে CISO-কে কী করতে হবে?

প্রশ্ন: সিআইএসও কীভাবে সাইবার নিরাপত্তা প্রবিধান পরিবর্তন করতে পারে?

ইলোনা কোহেন, চিফ লিগ্যাল অ্যান্ড পলিসি অফিসার, হ্যাকারওয়ান: চিফ ইনফরমেশন সিকিউরিটি অফিসার (সিআইএসও) হওয়া কখনই সহজ নয়, তবে গত কয়েক মাস বিশেষভাবে চ্যালেঞ্জিং অনুভব করেছে। কাজের স্বাভাবিক চাপের জন্য — যেমন র্যানসমওয়্যার আক্রমণের চলমান বৃদ্ধি এবং অভ্যন্তরীণ হুমকির ব্যাপকতা — আমরা এখন উচ্চতর নিয়ন্ত্রক প্রয়োগকারী যাচাই-বাছাই যুক্ত করতে পারি।

সাম্প্রতিক মার্কিন নিরাপত্তা এবং বিনিময় কমিশন থেকে চার্জ SolarWinds' CISO-এর বিরুদ্ধে (SEC) এই প্রথম কোনো CISO-কে এজেন্সি দ্বারা এইভাবে সিঙ্গেল করা হয়েছে৷ এটি একটি বৃহত্তর প্রস্তাব বর্ধিত জবাবদিহিতার প্রবণতা সাংগঠনিক নিরাপত্তা প্রোগ্রাম পরিচালনার দায়িত্বে থাকা ব্যক্তিদের জন্য।

উপরন্তু, মার্কিন এক্সচেঞ্জে ব্যবসা করা কোম্পানিগুলিকে অবশ্যই এসইসির নতুন সাইবার নিরাপত্তা প্রকাশ এবং ঘটনা রিপোর্টিং নিয়ম এখন শুরু, এবং যোগ্যতা অর্জনকারী ছোট কোম্পানিগুলিকে 2024 সালের বসন্তে ঘটনা রিপোর্টিং নিয়মগুলি মেনে চলতে হবে৷ এই পরিবর্তনগুলি সাংগঠনিক নিরাপত্তা প্রোগ্রামগুলিকে আরও বেশি নিরীক্ষণের মধ্যে রাখে এবং CISO-কে অবশ্যই ট্র্যাক করতে হবে এমন দায়িত্বের ভার যোগ করে৷

এতে অবাক হওয়ার কিছু নেই যে অনেক সিআইএসও আগের চেয়ে বেশি চাপ অনুভব করছে।

এইগুলো নতুন নিয়ম এবং দায় অগত্যা একটি CISO-এর কাজে বাধা হওয়ার দরকার নেই — আসলে, তারা আসলে CISO-এর জন্য সমর্থনের উৎস হতে পারে। সাইবার সিকিউরিটি ডিসক্লোজার এবং ঘটনা সম্পর্কে এসইসি নিয়মগুলি ঐতিহাসিকভাবে সনাক্ত করা কিছুটা কঠিন ছিল। নিরাপত্তা ঝুঁকি ব্যবস্থাপনা প্রোগ্রাম, শাসন, এবং সাইবার ঘটনা প্রকাশের প্রয়োজনীয়তা স্পষ্ট করে, SEC CISO-কে একটি গাইডবুক প্রদান করছে।

উপরন্তু, ঝুঁকি ব্যবস্থাপনা এবং পরিচালনার জন্য SEC এর বর্ধিত প্রত্যাশা হতে পারে CISO-কে আরও বেশি অবস্থান দিন সেই প্রত্যাশা পূরণের জন্য অভ্যন্তরীণ সংস্থান এবং প্রক্রিয়াগুলির দাবি করা। বিনিয়োগকারীদের কাছে ঝুঁকি ব্যবস্থাপনার চর্চা প্রকাশ করার জন্য পাবলিকলি ট্রেড করা কোম্পানিগুলির জন্য নতুন প্রয়োজনীয়তা সক্রিয় সাইবারসিকিউরিটি প্রতিরক্ষা জোরদার করার জন্য অতিরিক্ত প্রণোদনা তৈরি করে। তারা কার্যকর হওয়ার আগেই, এসইসির নতুন নিয়মগুলি কোম্পানি বোর্ড এবং নন-সিআইএসও কোম্পানির নেতৃত্বের মধ্যে সাইবার নিরাপত্তা অনুশীলন সম্পর্কে সচেতনতা বাড়িয়েছে, যা সম্ভবত আরও বিস্তৃত সাইবার নিরাপত্তা রিসোর্সিং-এ অনুবাদ করবে।

দৃঢ় নিরাপত্তা প্রোগ্রাম সহ পাবলিক কোম্পানিগুলি যাতে ক্রমাগত দুর্বলতাগুলি সনাক্ত করা এবং হ্রাস করা অন্তর্ভুক্ত থাকে ঝুঁকি ব্যবস্থাপনা, নিরাপত্তা পরিপক্কতা এবং কর্পোরেট শাসনের দৃষ্টিকোণ থেকে বিনিয়োগকারীদের কাছে আরও আকর্ষণীয় হতে পারে। একই সময়ে, যে সংস্থাগুলি নিরাপত্তা ঝুঁকি কমাতে সক্রিয় অবস্থান নেয় — উদাহরণস্বরূপ, ISO 27001, 29147, এবং 30111-এর মতো সাইবার নিরাপত্তার সর্বোত্তম অনুশীলনগুলি বাস্তবায়ন এবং যথাযথভাবে রিসোর্স করা — কোম্পানির ব্র্যান্ডের ক্ষতি করে এমন উপাদান সাইবার আক্রমণের শিকার হওয়ার সম্ভাবনা কম। .

এই নতুন নিয়ন্ত্রক ল্যান্ডস্কেপ CISO-দের জন্য তাদের অভ্যন্তরীণ রিপোর্টিং পদ্ধতির স্টক নেওয়ার এবং তারা সমতুল্য কিনা তা নিশ্চিত করার একটি সুযোগ উপস্থাপন করে। যদি সর্বজনীনভাবে ব্যবসা করা কোম্পানিগুলির কার্যনির্বাহী ব্যবস্থাপনায় গুরুত্বপূর্ণ নিরাপত্তা সমস্যাগুলিকে বাড়ানোর পদ্ধতি না থাকে, তাহলে এই প্রক্রিয়াগুলি অবিলম্বে প্রতিষ্ঠিত করা উচিত। CISO-এর উচিত কোম্পানির ঝুঁকি ব্যবস্থাপনা প্রক্রিয়া সম্পর্কে প্রকাশ প্রস্তুত করতে এবং নিশ্চিত করতে সাহায্য করা নিরাপত্তা সম্পর্কে কোম্পানির পাবলিক বিবৃতি সঠিক, পূর্ণাঙ্গ এবং বিভ্রান্তিকর নয়।

নতুন SEC নিয়মের অধীনে, পাবলিক কোম্পানিগুলিকে অবশ্যই চার কার্যদিবসের মধ্যে সাইবার নিরাপত্তার ঘটনাকে "উপাদান" বলে গণ্য করতে হবে। কিন্তু অনেক ঘটনার উত্তরদাতারা ভাবছেন যে এটি "বস্তুগত" বলতে কী বোঝায়, বিশেষ করে যখন এসইসি নিয়মে "বস্তুত্ব" এর একটি সাইবারসিকিউরিটি-সম্পর্কিত সংজ্ঞা গ্রহণ করতে অস্বীকার করে এবং বিনিয়োগকারী এবং পাবলিক কোম্পানিগুলির কাছে মানকে পরিচিত রাখে। একটি ঘটনা হল "উপাদান" যদি সেই ঘটনা সম্পর্কে তথ্য এমন কিছু হয় যা একজন যুক্তিসঙ্গত শেয়ারহোল্ডার অবগত বিনিয়োগের সিদ্ধান্ত নেওয়ার জন্য নির্ভর করতেন বা যখন এটি শেয়ারহোল্ডারের কাছে উপলব্ধ তথ্যের "মোট মিশ্রণ" উল্লেখযোগ্যভাবে পরিবর্তন করে।

কার্যত বলতে গেলে, বস্তুগত এবং কি নয় তা নির্ধারণ করা সবসময় স্পষ্ট নয়। যদিও একটি ঘটনার উত্তরদাতা একটি ঘটনার নিরাপত্তার প্রভাব মূল্যায়ন করতে ব্যবহার করা যেতে পারে, যেমন কতগুলি রেকর্ড প্রভাবিত হয়েছে, কতজন অননুমোদিত ব্যবহারকারীর অ্যাক্সেস ছিল, বা কোন ধরনের তথ্য ঝুঁকিতে ছিল, তারা বিস্তৃত বিষয়ে চিন্তা করতে কম অভ্যস্ত হতে পারে কোম্পানির জন্য প্রভাব। এই কারণেই অনেক কোম্পানি প্রোটোকল স্থাপন করছে — যেমন নিরাপত্তা পেশাদার, আইনজীবী এবং সি-স্যুটের সদস্যদের নিয়ে গঠিত একটি অভ্যন্তরীণ কমিটির কাছে রেফারেল — মূল্যায়ন করার জন্য শুধু নিরাপত্তা ঝুঁকি নয় একটি ঘটনা দ্বারা সৃষ্ট, কিন্তু সামগ্রিক কোম্পানির উপর প্রভাব. একটি আন্তঃবিভাগীয় দল মূল্যায়ন করতে সক্ষম হওয়ার সম্ভাবনা বেশি যে ঘটনাটি একটি কোম্পানিকে দায়বদ্ধতার সম্মুখীন করে, কোম্পানির আর্থিক অবস্থানকে প্রভাবিত করে, কোম্পানি এবং তার গ্রাহকদের মধ্যে সম্পর্ককে বিঘ্নিত করে, অথবা অননুমোদিত অ্যাক্সেস বা পরিষেবাতে ব্যাঘাতের কারণে কোম্পানির ক্রিয়াকলাপকে প্রভাবিত করে। যার মধ্যে বস্তুগততা নির্ধারণের সাথে প্রাসঙ্গিক।

স্ট্যান্ডার্ড অপারেটিং পদ্ধতিতে কিছু বিবেকপূর্ণ সামঞ্জস্যের সাথে, CISOs এই নতুন নিয়ন্ত্রক জলবায়ুর সাথে কার্যকরভাবে খাপ খাইয়ে নিতে পারে কঠোরভাবে কাজের চাপ বৃদ্ধি না করে বা ইতিমধ্যেই উচ্চ মাত্রার চাপ বৃদ্ধি না করে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-