সানবার্স্টের মতো অত্যাধুনিক লঙ্ঘন (ওরফে SolarWinds হ্যাক যা 2020 সালের শেষের দিকে শিরোনাম করেছে) তৃতীয় পক্ষের প্ল্যাটফর্মগুলির সাথে যুক্ত ঝুঁকিকে প্রচুর পরিমাণে পরিষ্কার করে। আধুনিক সংস্থাগুলি SaaS-এর জন্য ক্রমবর্ধমানভাবে বিভিন্ন তৃতীয় পক্ষের উপর নির্ভর করছে — অর্থ থেকে শুরু করে IT পরিষেবা ব্যবস্থাপনা (ITSM) পর্যন্ত সরবরাহ চেইন পর্যন্ত।
একটি অপারেশন দৃষ্টিকোণ থেকে, এটি মহান. সংস্থাগুলি "আলো জ্বালিয়ে রাখার" উপর কম এবং তাদের মূল মূল্য প্রস্তাবের উপর বেশি ফোকাস করে। যাইহোক, একটি অস্বস্তিকর নিরাপত্তা ট্রেডঅফ আছে। আপনি যদি প্ল্যাটফর্মটি নিয়ন্ত্রণ না করেন, তাহলে আপনি সম্পূর্ণরূপে আপনার — বা আপনার গ্রাহকের — ডেটা নিয়ন্ত্রণ করবেন না, যার নিরাপত্তা এবং সম্মতির প্রভাব রয়েছে৷ একইভাবে, সমালোচনামূলক ব্যবসায়িক ফাংশনগুলির প্রাপ্যতা প্রায়শই একাধিক বাহ্যিক প্ল্যাটফর্মের উপর নির্ভর করে, যার মধ্যে অনেকগুলি ব্যর্থতার একক পয়েন্ট হতে পারে।
অনেক প্রতিষ্ঠানের জন্য, সহজভাবে জটিল নির্ভরতা নেভিগেট করা এবং ঝুঁকির ক্ষুধা এবং প্রশমনকে স্পষ্টভাবে সংজ্ঞায়িত করা বাস্তব চ্যালেঞ্জ। থার্ড-পার্টি গভর্নেন্স অ্যান্ড রিস্ক ম্যানেজমেন্ট (টিপিজিআরএম) এর লক্ষ্য হল তৃতীয় পক্ষের সম্পর্ক থেকে উদ্ভূত ঝুঁকির উপর যথাযথ অধ্যবসায় বিশ্লেষণ করে এই সমস্যার সমাধান করা।
যদিও প্রচুর টিপিজিআরএম/টিপিআরএম টুল রয়েছে, কার্যকর ঝুঁকি ব্যবস্থাপনা কেবল প্রযুক্তির চেয়ে বেশি লাগে। TPGRM-এর জন্য Deloitte-এর তিন-পদক্ষেপ প্রক্রিয়া একটি TPGRM ফ্রেমওয়ার্ক লিভারেজ করার জন্য প্রয়োজনীয় রূপান্তরের একটি বাস্তবসম্মত ভাঙ্গন প্রদান করে। পদক্ষেপগুলি সংক্ষিপ্ত করতে:
- ঝুঁকি এবং শাসনের অবস্থান পরিবর্তন করুন: এই পদক্ষেপটি একটি সংস্থায় ঝুঁকির রিফ্রেমিংয়ের সাথে সম্পর্কিত। ঐতিহ্যগতভাবে, ঝুঁকি আমরা কিছু হয়েছে বাছা. এটা আমাদের কিছু হয়ে উঠতে হবে পরিচালনা করা.
- ঝুঁকির ক্ষুধা এবং প্রতিরক্ষার লাইনগুলি বুঝুন: পরবর্তী পদক্ষেপটি বিভিন্ন প্রেক্ষাপটে একটি সংস্থার ঝুঁকির ক্ষুধা পরিমাপ করা এবং সেই ঝুঁকিগুলির বিরুদ্ধে প্রতিরক্ষার লাইনগুলি চিহ্নিত করা।
- একটি TPGRM ফ্রেমওয়ার্ক স্থাপন করুন: এখানেই রাবার সড়কে আঘাত হানে। সংস্থাগুলিকে অবশ্যই এমন কৌশলগুলি প্রয়োগ করতে হবে যা ঝুঁকি পরিচালনা করতে এবং মান সরবরাহ করতে লোকেদের, প্রক্রিয়াগুলি এবং প্রযুক্তিকে সুবিধা দেয়।
স্পষ্টতই, TPGRM-এর একটি বড় অংশের জন্য মানুষের কাছ থেকে গুণগত ইনপুট প্রয়োজন হবে, যেমন কৌশল তৈরি করা বা বিস্তারিত অডিট পরিচালনা করা। এটি বলেছে, আমরা আরও অটোমেশনের দিকে পরিবর্তন আশা করতে পারি এর মতো ড্রাইভারদের ধন্যবাদ সাইবার বীমা যেগুলি সাইবারকিউবের মতো অ্যানালিটিক্স প্ল্যাটফর্মগুলির সাথে ঝুঁকির পরিমাপ করার মান এবং পরিমাপযোগ্য উপায়গুলি সক্রিয়ভাবে বিকাশ করছে৷
TPGRM মেট্রিক্স পরিমাপ করা
সেই কথা মাথায় রেখে, আমি নিরাপত্তা পোর্টাল এবং ড্যাশবোর্ডের ব্যবহার দেখতে আশা করি যা আগামী বছরগুলিতে TPGRM মেট্রিক্স স্পাইককে পরিমাপ করে। আপটাইম রোবট এবং পিংডমের মতো আপটাইম মনিটরিং প্ল্যাটফর্মগুলি ওয়েবসাইট মনিটরিংয়ের জন্য এই পোর্টালগুলি ঝুঁকি ব্যবস্থাপনার জন্য করবে: সহজে হজমযোগ্য উপায়ে সবচেয়ে গুরুত্বপূর্ণ মেট্রিকগুলি রোল আপ করে৷ ওয়েবসাইট মনিটরিং ওয়ার্ল্ডের মতো, আমরা সমাধান জুড়ে পরিশীলিততা এবং গভীরতার বিভিন্ন স্তর দেখতে পাব, তবে "টেবিল স্টেক" মেট্রিক্সের একটি আদর্শ বেসলাইন আবির্ভূত হবে।
আমরা ইতিমধ্যেই দেখছি যে SafeBase-এর মতো প্ল্যাটফর্মগুলি এখানে নিরাপত্তা প্রশ্নাবলী স্বয়ংক্রিয় করে এবং বিক্রেতাদের একাধিক বিভাগে নিরাপত্তা ভঙ্গি ভাগ করে নেওয়ার মাধ্যমে যথেষ্ট অগ্রগতি করছে৷ রিস্ক ম্যানেজমেন্ট কোম্পানী প্রিভালেন্ট আইটি সমাধান এবং পরিষেবা উভয়ই প্রদানের উপর ফোকাস দিয়ে অনুরূপ সমস্যার সমাধান করছে।
উপরন্তু, একটি সংকীর্ণ ফোকাস সহ সমাধানগুলি ইতিমধ্যে নির্দিষ্ট শিল্পে TPGRM সমস্যা সমাধানের জন্য স্বয়ংক্রিয়তা ব্যবহার করছে। উদাহরণস্বরূপ, বিক্রেতাদের সাথে চুক্তি বা অংশীদারিত্বে প্রবেশ করার আগে সংস্থাগুলিকে আরও ভাল যথাযথ অধ্যবসায় সম্পাদন করতে সক্ষম করার জন্য সিগন্যালএক্স ভারতে আর্থিক এবং আইনি বিশ্লেষণের সমস্যা সমাধান করছে।
মৌলিকভাবে, এই সমাধানগুলি TPGRM স্পেসে প্রমিতকরণ এবং অটোমেশনের দিকে বিস্তৃত প্রবণতা প্রদর্শন করে। একা টুলগুলি তৃতীয়-পক্ষের ঝুঁকি ব্যবস্থাপনার সমাধান করতে যাচ্ছে না, তবে তৃতীয় পক্ষের ঝুঁকিতে স্বয়ংক্রিয় দৃশ্যমানতার একটি উদীয়মান প্রয়োজন রয়েছে এবং সেখানেই TPGRM প্রযুক্তি একটি বাস্তব প্রভাব ফেলতে পারে।
আগামী বছরগুলিতে, আমি আশা করি যে মহাকাশের বিজয়ীরা এমন সরঞ্জাম হবে যা সাইবার বীমার জন্য প্রয়োজনীয় "শিরোনাম" TPGRM মেট্রিক্সের দৃশ্যমানতা প্রদান করে এবং তুলনামূলকভাবে অপরিণত TPGRM ফ্রেমওয়ার্ক বাস্তবায়ন সহ সংস্থাগুলির জন্য কমপ্লায়েন্স এবং সেইসাথে যারা "যাতে পারে" গভীর" এবং এন্টারপ্রাইজের জন্য AI/ML ব্যবহার করে বিস্তারিত বিশ্লেষণ প্রদান করে।
অংশ 1 পড়ুন, যা জিজ্ঞাসা করে: কি প্রতিস্থাপন করবে EDR.
