বছর দুয়েক আগের ঘটনা। আমার এক বন্ধুর প্রতিষ্ঠানের জন্য একটি “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা”র পরিকল্পনা করে দিয়েছিলাম। অনেক সময় দিয়ে ৪টি ধাপের একটি ভাল পরিকল্পনা করেছিলাম। বন্ধুর প্রতিষ্ঠান পরামর্শক হিসেবে সময়মত আমার প্রতিষ্ঠানকে ফিস দিয়ে দিল। তার বোর্ডের সবাই উচ্ছ্বাসিত প্রশংসাও করল। কিন্তু পরিকল্পনাটা আর বাস্তবায়ন করল না। মন মেজাজ দুটোই খারাপ হল। ভাল বন্ধু বলে তারপরেও অনুরোধ করলাম অন্তত ১ম ধাপটি বাস্তবায়ন করতে। তাদের আরও গুরুত্বপূর্ণ কাজের ভিড়ে সেটা হারিয়ে গেল।
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা
মাঝে আমিও আর খোজ নেবার সময় পায়নি। কিছুদিন আগে অনেক রাতে হঠাৎ তার ফোন। কণ্ঠ শুনেই বুঝতে পারলাম – ঘটনা ঘটে গেছে। জানলাম সবগুলো সেবা অচল এবং প্রচুর তথ্য ক্ষতি হয়েছে। হিসেব করে দেখলাম সেবাগুলো সচল করতে সময় লাগবে প্রায় ৩ দিন। আর হারিয়ে যাওয়া তথ্যগুলো পুরো ফিরিয়ে আনতে সময় লাগবে নূন্যতম ২ মাস। সবাই মিলে হাত লাগিয়ে সব কিছু আগের অবস্থায় এলো। কিন্তু পুরো কাজে প্রচুর ব্যয় এবং অকারণ হেনস্থা হল। উল্লেখযোগ্য বিষয় হচ্ছে এই সব মিলিয়ে যে ক্ষতি হল তার অর্থমূল্য দিয়ে দুবছর আগের সেই পরিকল্পনাটি কয়েকবার বাস্তবায়ন করা যেত। তবে চোর পালাবার পরে বুদ্ধি অনেক বেশি হয়েই আর কি লাভ?
ব্যবসায়ে ঝুঁকি বলতে প্রথম দিকে ছিল প্রাকৃতিক দুর্যোগ আর চুরি-ডাকাতি। সেসময় প্রাকৃতিক দুর্যোগ মোকাবেলা ও সাধারণ নিরাপত্তার ব্যবস্থা নিলেই চলেছে। এরপর রাষ্ট্র ব্যবস্থা ক্রমশ শক্তিশালী হয়েছে। যুক্ত হয়েছে বিভিন্ন নিয়ন্ত্রণকারী সংস্থা, কর, আইন ইত্যাদির ব্যবস্থাপনা ঝুঁকি। ব্যবসার স্বার্থে এসকল ঝুঁকিকে প্রাতিষ্ঠানিক ঝুঁকি হিসেবে স্বীকৃতি দিয়ে ব্যবস্থাপনা পরিকল্পনা করতে হয়েছে। গড়ে তুলতে হয়েছে প্রয়োজনীয় জনবল ও অবকাঠামো। আইন সেবা প্রতিষ্ঠান, সিকিউরিটি গার্ড এজেন্সি, বিমা প্রতিষ্ঠানের মত ঝুঁকি ব্যবস্থাপনা সহযোগী প্রতিষ্ঠানগুলো গড়ে উঠেছে।
প্রযুক্তির ক্রমবিকাশের কারণে লোক দিয়ে করানো কাজের বেশিরভাগ প্রযুক্তি দিয়ে করা শুরু হল। প্রযুক্তি নির্ভরতার সাথে সাথে প্রযুক্তি বিষয়ক ঝুঁকিও তৈরি হতে থাকল। তবে প্রযুক্তির পরিবর্তন এত দ্রুত যে বেশিরভাগ প্রতিষ্ঠান এক-দুবার বিপদে পড়ার আগে এই ঝুঁকি বুঝে উঠতে পারেনি। ফলে প্রযুক্তিতে এগিয়ে থাকা দেশগুলোর কিছু নামকরা প্রতিষ্ঠানকে বড় প্রাকৃতিক দুর্যোগের চেয়েও বেশি ক্ষতির সম্মুখীন হয়েছে। কিছু প্রতিষ্ঠান ক্ষতি সামলে উঠতে না পেরে বন্ধ হয়ে গেছে। এরকম লোকসান বিনিয়োগকারী ও নিয়ন্ত্রণকারী সংস্থাগুলোকে উদ্বিগ্ন করেছে। তারা এ বিষয়ে অসচেতন প্রতিষ্ঠানগুলোর উপরে চাপ সৃষ্টি শুরু করে।
পর্যায়ক্রমে বেশিরভাগ প্রতিষ্ঠান “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা” র বিষয়টিকে প্রাতিষ্ঠানিক গুরুত্ব দিতে বাধ্য হয়। এখন তাদের দীর্ঘ মেয়াদি পরিকল্পনায় এই বিষয়টি গুরুত্বের সাথে যায়গা পাচ্ছে। সে অনুযায়ী তারা অবকাঠামো, প্রশিক্ষিত জনবল, ইত্যাদির ব্যবস্থা করেছে। এমনকি এই বিষয়ে সবাইকে সাহায্য করার জন্য বিভিন্ন দেশের সরকার, বেসরকারি প্রতিষ্ঠান, পেশাজীবী সংগঠন মিলে তৈরি করেছে তথ্য প্রযুক্তি ঝুঁকি মোকাবেলার মানদণ্ড বা “স্ট্যান্ডার্ড”। . সেগুলো প্রতিনিয়ত অভিজ্ঞতা থেকে সমৃদ্ধ হচ্ছে। নির্দিষ্ট সময় পরপর নতুন সংস্করণ হিসেবে প্রকাশিত হচ্ছে।
আমাদের দেশের প্রতিষ্ঠানগুলোর ক্রমশ তথ্য প্রযুক্তি নির্ভরতা বাড়ছে। তথ্য প্রযুক্তিকে “খরচ” হিসেবে ভাবার বদলে “বিনিয়োগ” হিসেবে ভাবার চর্চা শুরু হয়েছে। যেসব প্রতিষ্ঠান আগে তাদের মোট আয়ের .০০১% এ খাতে বিনিয়োগের কথা ভাবেনি, আজ তারা মোট বাৎসরিক বিনিয়োগের ১% থেকে ৩% পর্যন্ত ব্যয় করছে। ব্যবসায়ে বাড়তি সুবিধা হবার কারণেই আগ্রহ বাড়ছে। তথ্য প্রযুক্তি সেবা দানকারী প্রতিষ্ঠান ছাড়াও অর্থনৈতিক খাতে বিনিয়োগের পরিমাণ চোখে পড়ার মত। তবে সেই বিনিয়োগের বেশিরভাগ অংশ এখন পর্যন্ত যাচ্ছে শুধুমাত্র অবকাঠামো তৈরি ও জনশক্তির বেতন ভাতায়। সেইসাথে চোখে না পড়লেও পাশাপাশি ছায়ার মত বেড়ে চলেছে তথ্য প্রযুক্তি ঝুঁকির পরিমাণ। যেটা মোকাবেলায় বিনিয়োগ এখনও প্রায় শূন্যের কোঠায়।
বেশিরভাগ প্রতিষ্ঠান এ ক্ষেত্রে গুরুত্ব দিচ্ছে না মূলত সচেতনতার অভাবে। কিছু ক্ষেত্রে কারিগরি কর্মীরা বিষয়টি নিয়ে কথা বললেও প্রাতিষ্ঠানিক গুরুত্ব পাচ্ছে না। যার অন্যতম প্রধান কারণ হচ্ছে খালি চোখে এর কোন লাভ দেখা যায় না। কিন্তু অবহেলা করলে প্রতিষ্ঠানের অস্তিত্বে ঝুঁকির মধ্যে থেকে যায়। বেশিরভাগ সিদ্ধান্ত দাতার কাছে এটা পরিষ্কার না। একসময় বিমা খরচের প্রতি এ ধরনের মানসিকতা থাকলেও এখন তা বাস্তবতা। এক্ষেত্রে সেই বাস্তবতা যত দ্রুত বোঝা যায় ততই মঙ্গল।
ইতোমধ্যে ছোটখাটো বিপদে পড়া কিছু প্রতিষ্ঠান বিষয়টি নিয়ে ভাবনা শুরু করেছে। কেউ কেউ দু একটি ফাইয়ারওয়াল, আইডিএস, আইপিএস এর মত অবকাঠামোতে বিনিয়োগ করেছে। দু একজন তথ্য প্রযুক্তি নিরাপত্তা কর্মী হিসেবে নিয়োগ দিয়েছে। কিন্তু শুধুমাত্র অবকাঠামো তৈরি বা কর্মী নিয়োগ দিয়ে এই ঝুঁকি শেষ হবে না। যেমন শুধুমাত্র অস্ত্র ও নিরাপত্তা কর্মী দিয়ে দিয়ে পূর্ণ নিরাপত্তা ঝুঁকি সামাল দেয়া সম্ভব না। এসবের পাশাপাশি দরকার – প্রাতিষ্ঠানিক ঝুঁকি মূল্যায়ন, সে অনুযায়ী নিরাপত্তা পরিকল্পনা, প্রয়োজনীয় প্রশিক্ষণ, নেতৃত্ব এবং নিয়মিত চর্চা। দরকার আন্তর্জাতিক মানদণ্ডের সাথে তাল মিলিয়ে নিজেদেরকে এগিয়ে নেয়া। ঝুঁকি ব্যবস্থাপনা মানে এক ধরনের সংস্কৃতির চর্চা। এই চর্চা প্রাতিষ্ঠানিক গুরুত্বের মধ্যে নিয়ে আসতে হবে এবং নিয়মিত করতে হবে।
প্রযুক্তি নির্ভরতা ছাড়া আমাদের এগিয়ে যাওয়া সম্ভব হবে না। তাই প্রযুক্তি নির্ভর প্রতিষ্ঠানের ভবিষ্যৎ নিরাপদ করতে প্রতিষ্ঠানের নির্বাহীদের এই বিষয়ে আরও গুরুত্ব দেবার সময় চলে যাচ্ছে। সেই সাথে অর্থনৈতিক স্বার্থ রক্ষায় প্রতিষ্ঠানগুলোর বিনিয়োগকারীদের উদ্বেগ প্রয়োজন। পাবলিক কোম্পানিগুলোর ক্ষেত্রে জনস্বার্থ রক্ষায় নিয়ন্ত্রণকারী সংস্থাগুলোর পক্ষ থেকে এই বিষয়টিতে গুরুত্ব দেয়া দরকার।
** লেখাটির সারসংক্ষেপ আজ প্রথম আলোয় প্রকাশিত হয়েছে : http://www.prothom-alo.com/detail/date/2012-08-31/news/285249
#ictRiskManagement #ICT #IT #Management
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা প্রথম ভাবনা ঝুঁকি চিহ্নিতকরণ (Risk Identificaiton):
একটি শক্তিশালী তথ্য নিরাপত্তা কাঠামো স্থাপন করার সবচেয়ে গুরুত্বপূর্ণ পদক্ষেপগুলির মধ্যে একটি হলো ঝুঁকি চিহ্নিতকরণ। এই মৌলিক প্রক্রিয়া প্রতিষ্ঠানগুলিকে তাদের সিস্টেমে সম্ভাব্য হুমকি এবং দুর্বলতাগুলি চিহ্নিত করতে সহায়তা করে, যার মাধ্যমে তারা ঝুঁকি কার্যকরভাবে মোকাবেলা বা পরিচালনা করতে পারে, যাতে তা ক্ষতির কারণ না হয়।
ঝুঁকি চিহ্নিতকরণ কী?
ঝুঁকি চিহ্নিতকরণ হল একটি প্রক্রিয়া যার মাধ্যমে একটি প্রতিষ্ঠানের তথ্য সিস্টেম, প্রক্রিয়া, এবং অবকাঠামোতে সম্ভাব্য হুমকি, দুর্বলতা এবং দুর্বলতার সংজ্ঞা দেওয়া হয়। এই প্রক্রিয়া প্রতিষ্ঠানটির আইটি পরিবেশের সকল দিককে গভীরভাবে বিশ্লেষণ করে এমন সুরক্ষা ঝুঁকির সম্ভাবনা চিহ্নিত করার জন্য কাজ করে যা সংবেদনশীল ডেটার গোপনীয়তা, অখণ্ডতা, বা উপলব্ধতার উপর প্রভাব ফেলতে পারে।
ঝুঁকি চিহ্নিতকরণ ঝুঁকি ব্যবস্থাপনা কাঠামো (RMF) এর প্রথম পদক্ষেপ, যা সময়ের সাথে সাথে ঝুঁকি মূল্যায়ন, অগ্রাধিকার এবং প্রশমনের জন্য ব্যবহৃত হয়। এটি বিভিন্ন উৎস থেকে তথ্য সংগ্রহ করে, যেমন হুমকি গোয়েন্দা ফিড, দুর্বলতা মূল্যায়ন, সুরক্ষা নিরীক্ষা এবং ঘটনা প্রতিবেদন, যা প্রতিষ্ঠানের সুরক্ষা অবস্থানের একটি ব্যাপক দৃশ্য তৈরি করতে সহায়ক।
ঝুঁকি চিহ্নিতকরণের গুরুত্ব
- সাইবার আক্রমণ প্রতিরোধ: ঝুঁকি প্রাথমিকভাবে চিহ্নিত করলে প্রতিষ্ঠানগুলি ব্যয়বহুল সাইবার আক্রমণ প্রতিরোধ করতে পারে। হ্যাকাররা প্রায়ই পরিচিত দুর্বলতা বা দুর্বলতাগুলি কাজে লাগায়, তাই এগুলিকে আগে চিহ্নিত করা প্রতিষ্ঠানগুলোকে এই এলাকাগুলি প্যাচ বা শক্তিশালী করতে সাহায্য করে।
- আর্থিক ক্ষতি কমানো: সাইবার ঘটনা তথ্য ফাঁস, নিয়ন্ত্রক জরিমানা বা ব্যবসায়িক বিঘ্নের কারণে ব্যাপক আর্থিক ক্ষতির সৃষ্টি করতে পারে। কার্যকর ঝুঁকি চিহ্নিতকরণ প্রতিষ্ঠানগুলোকে এসব ঘটনা অনুমান করতে এবং আর্থিক প্রভাব কমাতে সহায়তা করে।
- প্রতিষ্ঠানের সুনাম রক্ষা: তথ্য সুরক্ষা লঙ্ঘন জনসাধারণের বিশ্বাস হ্রাস করতে পারে। যেসব প্রতিষ্ঠান ঝুঁকি চিহ্নিত করতে বা সুরক্ষিত করতে ব্যর্থ হয়, তারা তাদের ব্র্যান্ডের সুনাম ক্ষতিগ্রস্ত করার ঝুঁকি নিয়ে থাকে, যা পুনর্নির্মাণে বছরের পর বছর সময় নিতে পারে।
- নিয়ন্ত্রক প্রতিশ্রুতি রক্ষা: অনেক শিল্প কঠোর ডেটা সুরক্ষা বিধি দ্বারা নিয়ন্ত্রিত, যেমন GDPR, HIPAA, এবং PCI-DSS। ঝুঁকি চিহ্নিতকরণ এবং পরিচালনা প্রতিষ্ঠানগুলোকে এসব বিধির সাথে সঙ্গতি বজায় রাখতে এবং আইনি পরিণতি এড়াতে সাহায্য করে।
তথ্য নিরাপত্তায় ঝুঁকি চিহ্নিত করার পদ্ধতি
- সম্পদ তালিকা তৈরি: ঝুঁকি চিহ্নিত করার প্রথম পদক্ষেপ হলো প্রতিষ্ঠানটির সকল সম্পদের একটি পূর্ণাঙ্গ তালিকা তৈরি করা। এতে হার্ডওয়্যার, সফটওয়্যার, নেটওয়ার্ক, ডেটাবেস এবং বুদ্ধিজীবী সম্পদ অন্তর্ভুক্ত থাকে। কী কী রক্ষা করতে হবে তা জানলে সম্ভাব্য ঝুঁকির পরিসর চিহ্নিত করা সহজ হয়।
- হুমকি বিশ্লেষণ: প্রতিষ্ঠানের বিরুদ্ধে কী ধরনের হুমকি রয়েছে তা বোঝা অত্যন্ত গুরুত্বপূর্ণ। হুমকিগুলি সাইবার আক্রমণ (যেমন র্যানসমওয়্যার, ফিশিং) থেকে শুরু করে অভ্যন্তরীণ হুমকি, প্রাকৃতিক বিপর্যয় বা এমনকি মানবজনিত ত্রুটি হতে পারে। একটি বিস্তারিত হুমকি বিশ্লেষণ ঝুঁকির জন্য সবচেয়ে দুর্বল এলাকাগুলি চিহ্নিত করতে সহায়ক।
- দুর্বলতা মূল্যায়ন: একবার হুমকিগুলি চিহ্নিত হলে, পরবর্তী পদক্ষেপ হল সিস্টেম, সফটওয়্যার এবং নেটওয়ার্কে বিদ্যমান দুর্বলতা মূল্যায়ন করা। পেনিট্রেশন টেস্টিং, দুর্বলতা স্ক্যানিং এবং ঝুঁকি মূল্যায়নের মতো সরঞ্জামগুলি সাইবার অপরাধীরা যেগুলি কাজে লাগাতে পারে এমন দুর্বলতা শনাক্ত করতে সহায়ক।
- প্রভাব বিশ্লেষণ: একবার সম্ভাব্য হুমকি এবং দুর্বলতা চিহ্নিত হলে, প্রতিটি ঝুঁকির সম্ভাব্য প্রভাব মূল্যায়ন করা গুরুত্বপূর্ণ। এটি বিবেচনা করা উচিত কীভাবে একটি লঙ্ঘন প্রতিষ্ঠানের কার্যক্রম, আর্থিক অবস্থা, আইনি অবস্থান এবং সুনামের উপর প্রভাব ফেলতে পারে। এটি ঝুঁকিগুলিকে তাদের সম্ভাব্য তীব্রতার উপর ভিত্তি করে অগ্রাধিকার দেওয়ার জন্য সাহায্য করে।
- ঐতিহাসিক ডেটা পর্যালোচনা: অতীতের সুরক্ষা ঘটনা বা প্রায় ঘটনার মাধ্যমে ঝুঁকি কোথায় থাকতে পারে তা মূল্যায়ন করা যায়। ঐতিহাসিক ডেটা বিশ্লেষণ করে সংগঠনগুলি পুনরাবৃত্ত হুমকি এবং দুর্বলতা চিহ্নিত করতে পারে যেগুলির আরও যত্ন সহকারে মনোযোগ দেওয়া প্রয়োজন।
- কর্মীদের সম্পৃক্ততা: কর্মীরা প্রায়শই সাইবার হুমকির বিরুদ্ধে প্রথম প্রতিরক্ষা ব্যবস্থা। সুরক্ষা সচেতনতা প্রশিক্ষণ প্রদান এবং কর্মীদের তাদের কাজের প্রবাহে ঝুঁকি বা সন্দেহজনক কার্যকলাপ চিহ্নিত করতে যুক্ত করা মানবিক দুর্বলতা যেমন ফিশিং বা সামাজিক প্রকৌশল চিহ্নিত করতে সহায়ক হতে পারে।
- নিরবচ্ছিন্ন পর্যবেক্ষণ: ঝুঁকি চিহ্নিতকরণ একটি এককালীন প্রক্রিয়া নয়। এটি হালনাগাদ হুমকি এবং দুর্বলতাগুলি সনাক্ত করার জন্য অবিরত পর্যবেক্ষণের প্রয়োজন। নিয়মিত নিরীক্ষা, হুমকি গোয়েন্দা ফিড এবং সুরক্ষা পর্যবেক্ষণ সরঞ্জামগুলি সংগঠনগুলিকে যেকোনো নতুন বা পরিবর্তিত ঝুঁকি সম্পর্কে সতর্ক থাকতে সহায়ক।
ঝুঁকি চিহ্নিতকরণের জন্য প্রধান সরঞ্জাম
- ঝুঁকি মূল্যায়ন সরঞ্জাম: ঝুঁকি চিহ্নিতকরণ এবং মূল্যায়নে সহায়ক অনেক সরঞ্জাম পাওয়া যায়, যেমন ঝুঁকি ব্যবস্থাপনা সফটওয়্যার, দুর্বলতা স্ক্যানার (যেমন Nessus, OpenVAS), এবং পেনিট্রেশন টেস্টিং সরঞ্জাম (যেমন Metasploit)। এই সরঞ্জামগুলি নেটওয়ার্ক এবং সিস্টেমগুলি দুর্বলতার জন্য স্বয়ংক্রিয়ভাবে স্ক্যান করার প্রক্রিয়া সহায়ক।
- হুমকি গোয়েন্দা প্ল্যাটফর্ম: হুমকি গোয়েন্দা ফিডগুলি সাইবার পরিসরে ঘুরতে থাকা সর্বশেষ হুমকি এবং দুর্বলতার বিষয়ে তথ্য সরবরাহ করে। ThreatConnect, IBM X-Force, অথবা AlienVault-এর মতো প্ল্যাটফর্মগুলিতে সাবস্ক্রাইব করার মাধ্যমে, প্রতিষ্ঠানগুলি তাদের ঝুঁকি চিহ্নিতকরণের প্রক্রিয়া সর্বদা হালনাগাদ রাখতে পারে।
- সুরক্ষা তথ্য এবং ইভেন্ট ব্যবস্থাপনা (SIEM): SIEM সিস্টেম (যেমন Splunk, SolarWinds, এবং LogRhythm) অবিরত পর্যবেক্ষণ প্রদান করে এবং সুরক্ষা দলকে অস্বাভাবিক আচরণ বা সুরক্ষা ঘটনার ব্যাপারে সতর্ক করে, যা ঝুঁকি দ্রুত চিহ্নিত করতে সহায়ক।
ঝুঁকি চিহ্নিতকরণ একটি শক্তিশালী তথ্য নিরাপত্তা কৌশলের মূল স্তম্ভ। সম্ভাব্য হুমকি এবং দুর্বলতাগুলি প্রাথমিকভাবে চিহ্নিত করে প্রতিষ্ঠানগুলি সক্রিয়ভাবে ঝুঁকি প্রশমিত করতে, সুরক্ষা নিয়ন্ত্রণ বাস্তবায়ন করতে এবং বিধির সাথে সঙ্গতি রাখতে পারে। সাইবার হুমকির একটি সদা পরিবর্তনশীল দুনিয়ায়, প্রতিষ্ঠানগুলির জন্য ঝুঁকি চিহ্নিতকরণে একটি অবিচ্ছিন্ন এবং ব্যাপক পদ্ধতি গ্রহণ করা অপরিহার্য, যা তাদের আক্রমণকারীদের চেয়ে একধাপ এগিয়ে থাকতে এবং তাদের মূল্যবান তথ্য সম্পদ রক্ষা করতে সহায়ক।
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ২য় কিস্তি (ঝুঁকি মূল্যায়ন ):
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ২য় কিস্তি (ঝুঁকি মূল্যায়ন ) : তথ্যপ্রযুক্তি নির্ভরতা আজ বাস্তবতা। সে কারণেই সেখানে বিনিয়োগ বাড়ছে। আর যেখানে নির্ভরতা আছে, সেখানে কিছু পরিমাণ হলেও ঝুঁকি থাকে। এই ঝুঁকি মোকাবেলার প্রথম কাজটি “ঝুঁকি মূল্যায়ন”। .সঠিক সিদ্ধান্তের জন্য ঝুঁকির সঠিক মূল্যায়ন দরকার। যদি গুরুত্ব দেবার মতো ঝুঁকি থাকে, তবে তার আকার প্রকার বিবেচনা করে, নিয়ন্ত্রণের পরিকল্পনা করা দরকার। তারপর সেটির বাস্তবায়ন নিশ্চিত করতে হবে।
সিদ্ধান্ত নেবার জন্য জানা দরকার প্রকৃত ঝুঁকির পরিমাণ। এর পরিমাণ চট করে নির্ণয় প্রায় অসম্ভব। একটি সুশৃঙ্খল কর্মপদ্ধতির মাধ্যমে ঝুঁকির পরিমাণ হিসাব করতে হয়। ঝুঁকি ব্যবস্থাপনার যে সকল মানদণ্ড রয়েছে, সেগুলোর মধ্য থেকে উপযুক্ত কর্মপদ্ধতি বেছে নিতে হবে। এগুলোর মধ্যে – আইএসও, পিসিআই, আইএসএফ, ওপেন গ্রুপ উল্লেখযোগ্য। তাছাড়া এনআইএসটি (ইউএস) ও ব্রিটিশ স্ট্যান্ডার্ডও ব্যবহার হয়। এসকল মানদণ্ডের মধ্যে পরিমাণ বের করার সূত্র রয়েছে। কাজের ধরণ, প্রতিষ্ঠানের ধরণ, বিনিয়োগ, নির্ভরতা, জটিলতা, ইত্যাদির উপরে সেগুলোর প্রয়োগ নির্ভর করে। এই সূত্রগুলো মূলত – সম্পদের মূল্য, সম্ভব্য ক্ষতির ধরণ ও কতবার সেটি ঘটতে পারে, প্রতিটি ঘটনায় ক্ষতি, সেবা পুনরুদ্ধার খরচ, দীর্ঘমেয়াদি ক্ষতির পরিমাণ, ইত্যাদি নিয়ে কাজ করে। প্রতিষ্ঠানের প্রকারভেদে বিভিন্ন মানদণ্ডের অংশবিশেষ নিয়ে নিজেদের জন্য একটি মানদণ্ড তৈরি করা যায়।
পদ্ধতির পাশাপাশি একটি সুগঠিত কর্মীদল দরকার। দলে প্রশিক্ষিত জনশক্তি দরকার। প্রযুক্তি বিভাগের লোক ছাড়াও সেবা গ্রহীতা সকল বিভাগের দায়িত্ববান ব্যক্তিদের থাকতে হবে। প্রথমবার কাজটি ঠিকমতো করার জন্য কোন পরামর্শক প্রতিষ্ঠানের সাহায্য নেয়া যায়, যারা পথ দেখাবে। মূল কাজটি করবে তথ্যপ্রযুক্তি বিভাগের নেতৃত্বে, অন্যান্য বিভাগের প্রতিনিধিগণ।
দলের প্রথম সভায় “ঝুঁকির পরমাণ নির্ণয়” পরিকল্পনা গ্রহণ ও দায়িত্ব বণ্টন করতে হবে। পরিকল্পনায় প্রতিটি বিষয় বিস্তারিত থাকবে। তবে মোটা দাগে বলতে গেলে, প্রতিটি বিভাগে কী কী সেবা রয়েছে? তারা গ্রহীতাকে কী কী সেবা দেন? প্রতিটি সেবা বন্ধ থাকলে আর্থিক ক্ষতির পরিমাণ কোথায় গিয়ে দাঁড়াবে? নির্দিষ্ট সেবাটি বন্ধ থাকলে সম্পৃক্ত কী সেবা বন্ধ থাকে? সেটির মাধ্যমে ক্ষতির পরিমাণ কত? প্রতিটি সেবার গুরুত্ব, দীর্ঘ মেয়াদে ক্ষতির পরিমাণ, ইত্যাদি। প্রতিটি বিভাগের কর্মীরা প্রতিটি সেবার প্রতি মিনিটের ক্ষতির পরিমাণ বের করবে।
ধরা যাক একটি ব্যাংকের “কার্ড ডিভিশন” এর কথা। তারা তথ্যপ্রযুক্তির মাধ্যমে গ্রাহকের ব্যক্তিগত ও অর্থনৈতিক তথ্য সংরক্ষণ করে। এই উপর ভিত্তি করে বিলিং বিভাগ বিল করে, গ্রাহকসেবা বিভাগ সেবা দেয়, ক্রেডিট বিভাগ অনাদায়ী সংগ্রহ করে, মার্কেটিং-সেলস ইত্যাদি বিভাগ কাজ করে। গ্রাহক নিজে এটিএম কার্ড ব্যবহারের সময়ও ওই তথ্য কাজে লাগে। সেক্ষেত্রে সফটওয়্যার যদি আলাদা হয়, তবে হার্ডওয়্যার, সফটওয়্যার, নেটওয়ার্ক ইত্যাদির সমস্যার কারণে যেকোনো একটি সেবা বন্ধ থাকতে পারে। তারা যদি একই ডাটাবেইস ও সফটওয়্যার ব্যবহার করে তবে সেটির সমস্যার কারণে সব সেবা বন্ধ থাকতে পারে।
এগুলোর সঙ্গে আরও কিছু বিষয় আসবে। যেমন, তথ্য হারিয়ে বা চুরি হয়ে গেলে কী পরিমাণ ক্ষতি হবে? সে ক্ষতি কীভাবে পূরণ করা হবে? এর জন্য মামলা হলে কত টাকার আর্থিক এবং সুনামের ক্ষতি হবে? কতবার এরকম ঘটলে কত ভাগ গ্রাহক চলে যাবে? কতবার ঘটলে কার্ড ডিভিশন বন্ধ হয়ে যাবে? এসব ভাবলেই একে একে চলে আসবে কার্ড ব্যবসা পরিকল্পনা, স্থাপন, পরিচালনা ব্যয় এবং সম্ভব্য মুনাফার উপর ঝুঁকির পরিমাণ।
একত্রিত করার পরে পুরো ঝুঁকির পরিমাণ বোঝা যাবে। এরপর তথ্যপ্রযুক্তি কর্মীরা ঝুঁকিগুলোর কারিগরি সম্পর্ক খুঁজে বের করবে। সমস্যাগুলোর সম্পর্ক, বিস্তৃতি, নিয়ন্ত্রণ, কারিগরি গুরুত্ব, সীমাবদ্ধতা, ইত্যাদির ভিত্তিতে শ্রেণীবদ্ধ করবেন। এরপর ঝুঁকি মোকাবেলায় কারিগরি পরামর্শ যোগ করে “ঝুঁকি মূল্যায়ন” রিপোর্ট বানাবেন। এরপর কর্তৃপক্ষের সিদ্ধান্তের জন্য উপস্থাপন করবে। কর্তৃপক্ষ যে ঝুঁকিগুলো মোকাবেলার জন্য গুরুত্বপূর্ণ ভাববেন সেগুলো নিয়ে তৈরি হবে “ঝুঁকি প্রশমন” পরিকল্পনা।
কার্যকর “ঝুঁকি মূল্যায়ন” এর জন্য প্রাতিষ্ঠানিক গুরুত্ব প্রয়োজন। কর্মীদলটির অবশ্যই সে কাজের প্রাতিষ্ঠানিক স্বীকৃতি প্রয়োজন। দক্ষ কর্মী, সঠিক কর্মকৌশল ও প্রাতিষ্ঠানিক গুরুত্বের মাধ্যমেই শুধুমাত্র ঝুঁকির প্রকৃত চিত্র পাওয়া সম্ভব।
#ictRiskManagement #ICT #IT #Management
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ৩য় কিস্তি (ঝুঁকি প্রশমন):
তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনায় – ঝুঁকি মূল্যায়নের পরে আসে “ঝুঁকি প্রশমন” পরিকল্পনা। “ঝুঁকি মূল্যায়ন” রিপোর্ট দেখে ব্যবস্থাপনা পরিষদ দিদ্ধান্ত নেন। বেশিরভাগ ক্ষেত্রে ১০০ ভাগ ঝুঁকি মোকাবেলা ব্যয়সাধ্য হয়না। তাই কর্তৃপক্ষ প্রতিষ্ঠানের সামর্থ্যের উপর বিবেচনা করে ঠিক করেন – কোন ঝুঁকিগুলো মোকাবেলার ব্যবস্থা নেয়া জরুরী। এছাড়া প্রতিষ্ঠানের লোকবল, অবকাঠামো লোকবল, স্থানীয় আইন, ইত্যাদির উপরে নির্ভরতা থাকে। যে ঝুঁকিগুলোর আর্থিক ক্ষতির পরিমাণ বড়, সেগুলোকেই প্রথমে প্রশমনের জন্য অনুমোদন দেয়া হয়। তাছাড়া ঝুঁকি বড় হলেও, যদি তা ঘটার পরিমাণ খুব কম থাকে, তবে সেটা বাস্তবায়ন তালিকা থেকে বাদ পড়তে পারে। কিছু ঝুঁকি থাকে যেগুলোর জন্য বিনিয়োগর প্রয়োজন হয়না, তবে প্রতিষ্ঠানিক নীতিমালায় পরিবর্তন প্রয়োজন হতে পারে। এটা কোন কারিগরি সিদ্ধান্ত নয়, পুরোপুরি ব্যবসায়িক সিদ্ধান্ত।
এখানে ব্যবস্থাপনা পরিষদকে কিছু বিষয়ে সতর্ক থাকা দরকার। তথ্য প্রযুক্তি বিভাগের সাথে অন্যান্য বিভাগের সমন্বয়ের অভাব থাকলে রিপোর্টে ঝুঁকির প্রকৃত চেহারা আসবে না। আবার তথ্য প্রযুক্তি বিভাগের লোকজন অত্যাধুনিক প্রযুক্তি ক্রয়ের আশায় তাদের পছন্দসই ক্ষেত্রে অতিরিক্ত ঝুঁকি দেখাতে পারে। সেক্ষেত্রে – রিপোর্ট উপস্থাপনের সময়ে সম্পৃক্ত সব বিভাগের উপস্থিতি নিশ্চিত করতে হবে। বোর্ড মেম্বারদের মধ্যে এ বিষয়ে দক্ষ লোক থাকলে তাকে বিশেষ মনোযোগ দিতে হবে। এছাড়াও বাইরের কোন পরামর্শকের সাহায্য নেয়া যেতে পারে। এসব বিষয় বিবেচনায় নিয়ে কর্তৃপক্ষ আমলযোগ্য ঝুঁকির তালিকা অনুমোদন করেন।
আমলযোগ্য ঝুঁকির তালি অনুমোদনের পরে সেই তালিকা অনুযায়ী “ঝুঁকি প্রশমন” পরিকল্পনা তৈরি করা হবে। সে কাজটিতে কারিগরি লোকজনের পাশাপাশি অন্য বিভাগের লোকের সম্পৃক্ততা আগের মতই প্রয়োজন। প্রশমন পরিকল্পনায় – কারিগরি সামর্থ্য, আর্থিক সামর্থ্য, দেশের আইন, ব্যবসার পরিবেশ, প্রতিষ্ঠানের গ্রাহক ও মালিক, নিয়ন্ত্রণকারী সংস্থা, ইত্যাদি বিষয় বিশেষ গুরুত্বের সাথে বিবেচনা করতে হবে। এগুলোর প্রতিটির সাথে কারিগরি সমন্বয় করতে হবে।
ঝুঁকি মোকাবেলার আন্তর্জাতিকভাবে গ্রহণযোগ্য কিছু উপায় আছে। তবে সেগুলোর চেয়ে জরুরী স্থানীয়ভাবে কোনটা এপ্লিকেবল। ঝুঁকি ব্যবস্থাপনার প্রচলিত উপায়গুলো হল: ১) ঝুঁকি মেনে নেয়া: ঝুঁকি মেনে নিয়ে কাজ চালিয়ে যেতে থাকা। এই পদ্ধতি ছোটখাটো ঝুঁকির জন্য এপ্লিকেবল। ২)ঝুঁকি এভোয়েড করা।
#ictRiskManagement #ICT #IT #Management
আরও দেখুন: