বছর দুয়েক আগের ঘটনা। আমার এক বন্ধুর প্রতিষ্ঠানের জন্য একটি “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা”র পরিকল্পনা করে দিয়েছিলাম। অনেক সময় দিয়ে ৪টি ধাপের একটি ভাল পরিকল্পনা করেছিলাম। বন্ধুর প্রতিষ্ঠান পরামর্শক হিসেবে সময়মত আমার প্রতিষ্ঠানকে ফিস দিয়ে দিল। তার বোর্ডের সবাই উচ্ছ্বাসিত প্রশংসাও করল। কিন্তু পরিকল্পনাটা আর বাস্তবায়ন করল না। মন মেজাজ দুটোই খারাপ হল। ভাল বন্ধু বলে তারপরেও অনুরোধ করলাম অন্তত ১ম ধাপটি বাস্তবায়ন করতে। তাদের আরও গুরুত্বপূর্ণ কাজের ভিড়ে সেটা হারিয়ে গেল।
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা
মাঝে আমিও আর খোজ নেবার সময় পায়নি। কিছুদিন আগে অনেক রাতে হঠাৎ তার ফোন। কণ্ঠ শুনেই বুঝতে পারলাম – ঘটনা ঘটে গেছে। জানলাম সবগুলো সেবা অচল এবং প্রচুর তথ্য ক্ষতি হয়েছে। হিসেব করে দেখলাম সেবাগুলো সচল করতে সময় লাগবে প্রায় ৩ দিন। আর হারিয়ে যাওয়া তথ্যগুলো পুরো ফিরিয়ে আনতে সময় লাগবে নূন্যতম ২ মাস। সবাই মিলে হাত লাগিয়ে সব কিছু আগের অবস্থায় এলো। কিন্তু পুরো কাজে প্রচুর ব্যয় এবং অকারণ হেনস্থা হল। উল্লেখযোগ্য বিষয় হচ্ছে এই সব মিলিয়ে যে ক্ষতি হল তার অর্থমূল্য দিয়ে দুবছর আগের সেই পরিকল্পনাটি কয়েকবার বাস্তবায়ন করা যেত। তবে চোর পালাবার পরে বুদ্ধি অনেক বেশি হয়েই আর কি লাভ?
ব্যবসায়ে ঝুঁকি বলতে প্রথম দিকে ছিল প্রাকৃতিক দুর্যোগ আর চুরি-ডাকাতি। সেসময় প্রাকৃতিক দুর্যোগ মোকাবেলা ও সাধারণ নিরাপত্তার ব্যবস্থা নিলেই চলেছে। এরপর রাষ্ট্র ব্যবস্থা ক্রমশ শক্তিশালী হয়েছে। যুক্ত হয়েছে বিভিন্ন নিয়ন্ত্রণকারী সংস্থা, কর, আইন ইত্যাদির ব্যবস্থাপনা ঝুঁকি। ব্যবসার স্বার্থে এসকল ঝুঁকিকে প্রাতিষ্ঠানিক ঝুঁকি হিসেবে স্বীকৃতি দিয়ে ব্যবস্থাপনা পরিকল্পনা করতে হয়েছে। গড়ে তুলতে হয়েছে প্রয়োজনীয় জনবল ও অবকাঠামো। আইন সেবা প্রতিষ্ঠান, সিকিউরিটি গার্ড এজেন্সি, বিমা প্রতিষ্ঠানের মত ঝুঁকি ব্যবস্থাপনা সহযোগী প্রতিষ্ঠানগুলো গড়ে উঠেছে।
প্রযুক্তির ক্রমবিকাশের কারণে লোক দিয়ে করানো কাজের বেশিরভাগ প্রযুক্তি দিয়ে করা শুরু হল। প্রযুক্তি নির্ভরতার সাথে সাথে প্রযুক্তি বিষয়ক ঝুঁকিও তৈরি হতে থাকল। তবে প্রযুক্তির পরিবর্তন এত দ্রুত যে বেশিরভাগ প্রতিষ্ঠান এক-দুবার বিপদে পড়ার আগে এই ঝুঁকি বুঝে উঠতে পারেনি। ফলে প্রযুক্তিতে এগিয়ে থাকা দেশগুলোর কিছু নামকরা প্রতিষ্ঠানকে বড় প্রাকৃতিক দুর্যোগের চেয়েও বেশি ক্ষতির সম্মুখীন হয়েছে। কিছু প্রতিষ্ঠান ক্ষতি সামলে উঠতে না পেরে বন্ধ হয়ে গেছে। এরকম লোকসান বিনিয়োগকারী ও নিয়ন্ত্রণকারী সংস্থাগুলোকে উদ্বিগ্ন করেছে। তারা এ বিষয়ে অসচেতন প্রতিষ্ঠানগুলোর উপরে চাপ সৃষ্টি শুরু করে।
পর্যায়ক্রমে বেশিরভাগ প্রতিষ্ঠান “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা” র বিষয়টিকে প্রাতিষ্ঠানিক গুরুত্ব দিতে বাধ্য হয়। এখন তাদের দীর্ঘ মেয়াদি পরিকল্পনায় এই বিষয়টি গুরুত্বের সাথে যায়গা পাচ্ছে। সে অনুযায়ী তারা অবকাঠামো, প্রশিক্ষিত জনবল, ইত্যাদির ব্যবস্থা করেছে। এমনকি এই বিষয়ে সবাইকে সাহায্য করার জন্য বিভিন্ন দেশের সরকার, বেসরকারি প্রতিষ্ঠান, পেশাজীবী সংগঠন মিলে তৈরি করেছে তথ্য প্রযুক্তি ঝুঁকি মোকাবেলার মানদণ্ড বা “স্ট্যান্ডার্ড”। . সেগুলো প্রতিনিয়ত অভিজ্ঞতা থেকে সমৃদ্ধ হচ্ছে। নির্দিষ্ট সময় পরপর নতুন সংস্করণ হিসেবে প্রকাশিত হচ্ছে।
আমাদের দেশের প্রতিষ্ঠানগুলোর ক্রমশ তথ্য প্রযুক্তি নির্ভরতা বাড়ছে। তথ্য প্রযুক্তিকে “খরচ” হিসেবে ভাবার বদলে “বিনিয়োগ” হিসেবে ভাবার চর্চা শুরু হয়েছে। যেসব প্রতিষ্ঠান আগে তাদের মোট আয়ের .০০১% এ খাতে বিনিয়োগের কথা ভাবেনি, আজ তারা মোট বাৎসরিক বিনিয়োগের ১% থেকে ৩% পর্যন্ত ব্যয় করছে। ব্যবসায়ে বাড়তি সুবিধা হবার কারণেই আগ্রহ বাড়ছে। তথ্য প্রযুক্তি সেবা দানকারী প্রতিষ্ঠান ছাড়াও অর্থনৈতিক খাতে বিনিয়োগের পরিমাণ চোখে পড়ার মত। তবে সেই বিনিয়োগের বেশিরভাগ অংশ এখন পর্যন্ত যাচ্ছে শুধুমাত্র অবকাঠামো তৈরি ও জনশক্তির বেতন ভাতায়। সেইসাথে চোখে না পড়লেও পাশাপাশি ছায়ার মত বেড়ে চলেছে তথ্য প্রযুক্তি ঝুঁকির পরিমাণ। যেটা মোকাবেলায় বিনিয়োগ এখনও প্রায় শূন্যের কোঠায়।
বেশিরভাগ প্রতিষ্ঠান এ ক্ষেত্রে গুরুত্ব দিচ্ছে না মূলত সচেতনতার অভাবে। কিছু ক্ষেত্রে কারিগরি কর্মীরা বিষয়টি নিয়ে কথা বললেও প্রাতিষ্ঠানিক গুরুত্ব পাচ্ছে না। যার অন্যতম প্রধান কারণ হচ্ছে খালি চোখে এর কোন লাভ দেখা যায় না। কিন্তু অবহেলা করলে প্রতিষ্ঠানের অস্তিত্বে ঝুঁকির মধ্যে থেকে যায়। বেশিরভাগ সিদ্ধান্ত দাতার কাছে এটা পরিষ্কার না। একসময় বিমা খরচের প্রতি এ ধরনের মানসিকতা থাকলেও এখন তা বাস্তবতা। এক্ষেত্রে সেই বাস্তবতা যত দ্রুত বোঝা যায় ততই মঙ্গল।
ইতোমধ্যে ছোটখাটো বিপদে পড়া কিছু প্রতিষ্ঠান বিষয়টি নিয়ে ভাবনা শুরু করেছে। কেউ কেউ দু একটি ফাইয়ারওয়াল, আইডিএস, আইপিএস এর মত অবকাঠামোতে বিনিয়োগ করেছে। দু একজন তথ্য প্রযুক্তি নিরাপত্তা কর্মী হিসেবে নিয়োগ দিয়েছে। কিন্তু শুধুমাত্র অবকাঠামো তৈরি বা কর্মী নিয়োগ দিয়ে এই ঝুঁকি শেষ হবে না। যেমন শুধুমাত্র অস্ত্র ও নিরাপত্তা কর্মী দিয়ে দিয়ে পূর্ণ নিরাপত্তা ঝুঁকি সামাল দেয়া সম্ভব না। এসবের পাশাপাশি দরকার – প্রাতিষ্ঠানিক ঝুঁকি মূল্যায়ন, সে অনুযায়ী নিরাপত্তা পরিকল্পনা, প্রয়োজনীয় প্রশিক্ষণ, নেতৃত্ব এবং নিয়মিত চর্চা। দরকার আন্তর্জাতিক মানদণ্ডের সাথে তাল মিলিয়ে নিজেদেরকে এগিয়ে নেয়া। ঝুঁকি ব্যবস্থাপনা মানে এক ধরনের সংস্কৃতির চর্চা। এই চর্চা প্রাতিষ্ঠানিক গুরুত্বের মধ্যে নিয়ে আসতে হবে এবং নিয়মিত করতে হবে।
প্রযুক্তি নির্ভরতা ছাড়া আমাদের এগিয়ে যাওয়া সম্ভব হবে না। তাই প্রযুক্তি নির্ভর প্রতিষ্ঠানের ভবিষ্যৎ নিরাপদ করতে প্রতিষ্ঠানের নির্বাহীদের এই বিষয়ে আরও গুরুত্ব দেবার সময় চলে যাচ্ছে। সেই সাথে অর্থনৈতিক স্বার্থ রক্ষায় প্রতিষ্ঠানগুলোর বিনিয়োগকারীদের উদ্বেগ প্রয়োজন। পাবলিক কোম্পানিগুলোর ক্ষেত্রে জনস্বার্থ রক্ষায় নিয়ন্ত্রণকারী সংস্থাগুলোর পক্ষ থেকে এই বিষয়টিতে গুরুত্ব দেয়া দরকার।
** লেখাটির সারসংক্ষেপ আজ প্রথম আলোয় প্রকাশিত হয়েছে : http://www.prothom-alo.com/detail/date/2012-08-31/news/285249
#ictRiskManagement #ICT #IT #Management
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ২য় কিস্তি (ঝুঁকি মূল্যায়ন ):
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ২য় কিস্তি (ঝুঁকি মূল্যায়ন ) : তথ্যপ্রযুক্তি নির্ভরতা আজ বাস্তবতা। সে কারণেই সেখানে বিনিয়োগ বাড়ছে। আর যেখানে নির্ভরতা আছে, সেখানে কিছু পরিমাণ হলেও ঝুঁকি থাকে। এই ঝুঁকি মোকাবেলার প্রথম কাজটি “ঝুঁকি মূল্যায়ন”। .সঠিক সিদ্ধান্তের জন্য ঝুঁকির সঠিক মূল্যায়ন দরকার। যদি গুরুত্ব দেবার মতো ঝুঁকি থাকে, তবে তার আকার প্রকার বিবেচনা করে, নিয়ন্ত্রণের পরিকল্পনা করা দরকার। তারপর সেটির বাস্তবায়ন নিশ্চিত করতে হবে।
সিদ্ধান্ত নেবার জন্য জানা দরকার প্রকৃত ঝুঁকির পরিমাণ। এর পরিমাণ চট করে নির্ণয় প্রায় অসম্ভব। একটি সুশৃঙ্খল কর্মপদ্ধতির মাধ্যমে ঝুঁকির পরিমাণ হিসাব করতে হয়। ঝুঁকি ব্যবস্থাপনার যে সকল মানদণ্ড রয়েছে, সেগুলোর মধ্য থেকে উপযুক্ত কর্মপদ্ধতি বেছে নিতে হবে। এগুলোর মধ্যে – আইএসও, পিসিআই, আইএসএফ, ওপেন গ্রুপ উল্লেখযোগ্য। তাছাড়া এনআইএসটি (ইউএস) ও ব্রিটিশ স্ট্যান্ডার্ডও ব্যবহার হয়। এসকল মানদণ্ডের মধ্যে পরিমাণ বের করার সূত্র রয়েছে। কাজের ধরণ, প্রতিষ্ঠানের ধরণ, বিনিয়োগ, নির্ভরতা, জটিলতা, ইত্যাদির উপরে সেগুলোর প্রয়োগ নির্ভর করে। এই সূত্রগুলো মূলত – সম্পদের মূল্য, সম্ভব্য ক্ষতির ধরণ ও কতবার সেটি ঘটতে পারে, প্রতিটি ঘটনায় ক্ষতি, সেবা পুনরুদ্ধার খরচ, দীর্ঘমেয়াদি ক্ষতির পরিমাণ, ইত্যাদি নিয়ে কাজ করে। প্রতিষ্ঠানের প্রকারভেদে বিভিন্ন মানদণ্ডের অংশবিশেষ নিয়ে নিজেদের জন্য একটি মানদণ্ড তৈরি করা যায়।
পদ্ধতির পাশাপাশি একটি সুগঠিত কর্মীদল দরকার। দলে প্রশিক্ষিত জনশক্তি দরকার। প্রযুক্তি বিভাগের লোক ছাড়াও সেবা গ্রহীতা সকল বিভাগের দায়িত্ববান ব্যক্তিদের থাকতে হবে। প্রথমবার কাজটি ঠিকমতো করার জন্য কোন পরামর্শক প্রতিষ্ঠানের সাহায্য নেয়া যায়, যারা পথ দেখাবে। মূল কাজটি করবে তথ্যপ্রযুক্তি বিভাগের নেতৃত্বে, অন্যান্য বিভাগের প্রতিনিধিগণ।
দলের প্রথম সভায় “ঝুঁকির পরমাণ নির্ণয়” পরিকল্পনা গ্রহণ ও দায়িত্ব বণ্টন করতে হবে। পরিকল্পনায় প্রতিটি বিষয় বিস্তারিত থাকবে। তবে মোটা দাগে বলতে গেলে, প্রতিটি বিভাগে কী কী সেবা রয়েছে? তারা গ্রহীতাকে কী কী সেবা দেন? প্রতিটি সেবা বন্ধ থাকলে আর্থিক ক্ষতির পরিমাণ কোথায় গিয়ে দাঁড়াবে? নির্দিষ্ট সেবাটি বন্ধ থাকলে সম্পৃক্ত কী সেবা বন্ধ থাকে? সেটির মাধ্যমে ক্ষতির পরিমাণ কত? প্রতিটি সেবার গুরুত্ব, দীর্ঘ মেয়াদে ক্ষতির পরিমাণ, ইত্যাদি। প্রতিটি বিভাগের কর্মীরা প্রতিটি সেবার প্রতি মিনিটের ক্ষতির পরিমাণ বের করবে।
ধরা যাক একটি ব্যাংকের “কার্ড ডিভিশন” এর কথা। তারা তথ্যপ্রযুক্তির মাধ্যমে গ্রাহকের ব্যক্তিগত ও অর্থনৈতিক তথ্য সংরক্ষণ করে। এই উপর ভিত্তি করে বিলিং বিভাগ বিল করে, গ্রাহকসেবা বিভাগ সেবা দেয়, ক্রেডিট বিভাগ অনাদায়ী সংগ্রহ করে, মার্কেটিং-সেলস ইত্যাদি বিভাগ কাজ করে। গ্রাহক নিজে এটিএম কার্ড ব্যবহারের সময়ও ওই তথ্য কাজে লাগে। সেক্ষেত্রে সফটওয়্যার যদি আলাদা হয়, তবে হার্ডওয়্যার, সফটওয়্যার, নেটওয়ার্ক ইত্যাদির সমস্যার কারণে যেকোনো একটি সেবা বন্ধ থাকতে পারে। তারা যদি একই ডাটাবেইস ও সফটওয়্যার ব্যবহার করে তবে সেটির সমস্যার কারণে সব সেবা বন্ধ থাকতে পারে।
এগুলোর সঙ্গে আরও কিছু বিষয় আসবে। যেমন, তথ্য হারিয়ে বা চুরি হয়ে গেলে কী পরিমাণ ক্ষতি হবে? সে ক্ষতি কীভাবে পূরণ করা হবে? এর জন্য মামলা হলে কত টাকার আর্থিক এবং সুনামের ক্ষতি হবে? কতবার এরকম ঘটলে কত ভাগ গ্রাহক চলে যাবে? কতবার ঘটলে কার্ড ডিভিশন বন্ধ হয়ে যাবে? এসব ভাবলেই একে একে চলে আসবে কার্ড ব্যবসা পরিকল্পনা, স্থাপন, পরিচালনা ব্যয় এবং সম্ভব্য মুনাফার উপর ঝুঁকির পরিমাণ।
একত্রিত করার পরে পুরো ঝুঁকির পরিমাণ বোঝা যাবে। এরপর তথ্যপ্রযুক্তি কর্মীরা ঝুঁকিগুলোর কারিগরি সম্পর্ক খুঁজে বের করবে। সমস্যাগুলোর সম্পর্ক, বিস্তৃতি, নিয়ন্ত্রণ, কারিগরি গুরুত্ব, সীমাবদ্ধতা, ইত্যাদির ভিত্তিতে শ্রেণীবদ্ধ করবেন। এরপর ঝুঁকি মোকাবেলায় কারিগরি পরামর্শ যোগ করে “ঝুঁকি মূল্যায়ন” রিপোর্ট বানাবেন। এরপর কর্তৃপক্ষের সিদ্ধান্তের জন্য উপস্থাপন করবে। কর্তৃপক্ষ যে ঝুঁকিগুলো মোকাবেলার জন্য গুরুত্বপূর্ণ ভাববেন সেগুলো নিয়ে তৈরি হবে “ঝুঁকি প্রশমন” পরিকল্পনা।
কার্যকর “ঝুঁকি মূল্যায়ন” এর জন্য প্রাতিষ্ঠানিক গুরুত্ব প্রয়োজন। কর্মীদলটির অবশ্যই সে কাজের প্রাতিষ্ঠানিক স্বীকৃতি প্রয়োজন। দক্ষ কর্মী, সঠিক কর্মকৌশল ও প্রাতিষ্ঠানিক গুরুত্বের মাধ্যমেই শুধুমাত্র ঝুঁকির প্রকৃত চিত্র পাওয়া সম্ভব।
#ictRiskManagement #ICT #IT #Management
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ৩য় কিস্তি (ঝুঁকি প্রশমন):
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনায় – ঝুঁকি মূল্যায়নের পরে আসে “ঝুঁকি প্রশমন” পরিকল্পনা। “ঝুঁকি মূল্যায়ন” রিপোর্ট দেখে ব্যবস্থাপনা পরিষদ দিদ্ধান্ত নেন। বেশিরভাগ ক্ষেত্রে ১০০ ভাগ ঝুঁকি মোকাবেলা ব্যয়সাধ্য হয়না। তাই কর্তৃপক্ষ প্রতিষ্ঠানের সামর্থ্যের উপর বিবেচনা করে ঠিক করেন – কোন ঝুঁকিগুলো মোকাবেলার ব্যবস্থা নেয়া জরুরী। এছাড়া প্রতিষ্ঠানের লোকবল, অবকাঠামো লোকবল, স্থানীয় আইন, ইত্যাদির উপরে নির্ভরতা থাকে। যে ঝুঁকিগুলোর আর্থিক ক্ষতির পরিমাণ বড়, সেগুলোকেই প্রথমে প্রশমনের জন্য অনুমোদন দেয়া হয়। তাছাড়া ঝুঁকি বড় হলেও, যদি তা ঘটার পরিমাণ খুব কম থাকে, তবে সেটা বাস্তবায়ন তালিকা থেকে বাদ পড়তে পারে। কিছু ঝুঁকি থাকে যেগুলোর জন্য বিনিয়োগর প্রয়োজন হয়না, তবে প্রতিষ্ঠানিক নীতিমালায় পরিবর্তন প্রয়োজন হতে পারে। এটা কোন কারিগরি সিদ্ধান্ত নয়, পুরোপুরি ব্যবসায়িক সিদ্ধান্ত।
এখানে ব্যবস্থাপনা পরিষদকে কিছু বিষয়ে সতর্ক থাকা দরকার। তথ্য প্রযুক্তি বিভাগের সাথে অন্যান্য বিভাগের সমন্বয়ের অভাব থাকলে রিপোর্টে ঝুঁকির প্রকৃত চেহারা আসবে না। আবার তথ্য প্রযুক্তি বিভাগের লোকজন অত্যাধুনিক প্রযুক্তি ক্রয়ের আশায় তাদের পছন্দসই ক্ষেত্রে অতিরিক্ত ঝুঁকি দেখাতে পারে। সেক্ষেত্রে – রিপোর্ট উপস্থাপনের সময়ে সম্পৃক্ত সব বিভাগের উপস্থিতি নিশ্চিত করতে হবে। বোর্ড মেম্বারদের মধ্যে এ বিষয়ে দক্ষ লোক থাকলে তাকে বিশেষ মনোযোগ দিতে হবে। এছাড়াও বাইরের কোন পরামর্শকের সাহায্য নেয়া যেতে পারে। এসব বিষয় বিবেচনায় নিয়ে কর্তৃপক্ষ আমলযোগ্য ঝুঁকির তালিকা অনুমোদন করেন।
আমলযোগ্য ঝুঁকির তালি অনুমোদনের পরে সেই তালিকা অনুযায়ী “ঝুঁকি প্রশমন” পরিকল্পনা তৈরি করা হবে। সে কাজটিতে কারিগরি লোকজনের পাশাপাশি অন্য বিভাগের লোকের সম্পৃক্ততা আগের মতই প্রয়োজন। প্রশমন পরিকল্পনায় – কারিগরি সামর্থ্য, আর্থিক সামর্থ্য, দেশের আইন, ব্যবসার পরিবেশ, প্রতিষ্ঠানের গ্রাহক ও মালিক, নিয়ন্ত্রণকারী সংস্থা, ইত্যাদি বিষয় বিশেষ গুরুত্বের সাথে বিবেচনা করতে হবে। এগুলোর প্রতিটির সাথে কারিগরি সমন্বয় করতে হবে।
ঝুঁকি মোকাবেলার আন্তর্জাতিকভাবে গ্রহণযোগ্য কিছু উপায় আছে। তবে সেগুলোর চেয়ে জরুরী স্থানীয়ভাবে কোনটা এপ্লিকেবল। ঝুঁকি ব্যবস্থাপনার প্রচলিত উপায়গুলো হল: ১) ঝুঁকি মেনে নেয়া: ঝুঁকি মেনে নিয়ে কাজ চালিয়ে যেতে থাকা। এই পদ্ধতি ছোটখাটো ঝুঁকির জন্য এপ্লিকেবল। ২)ঝুঁকি এভোয়েড করা।
#ictRiskManagement #ICT #IT #Management
আরও দেখুন: