তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ১ম কিস্তি

তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা । CIO সিরিজ

বছর দুয়েক আগের ঘটনা। আমার এক বন্ধুর প্রতিষ্ঠানের জন্য একটি “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা”র পরিকল্পনা করে দিয়েছিলাম। অনেক সময় দিয়ে ৪টি ধাপের একটি ভাল পরিকল্পনা করেছিলাম। বন্ধুর প্রতিষ্ঠান পরামর্শক হিসেবে সময়মত আমার প্রতিষ্ঠানকে ফিস দিয়ে দিল। তার বোর্ডের সবাই উচ্ছ্বাসিত প্রশংসাও করল। কিন্তু পরিকল্পনাটা আর বাস্তবায়ন করল না। মন মেজাজ দুটোই খারাপ হল। ভাল বন্ধু বলে তারপরেও অনুরোধ করলাম অন্তত ১ম ধাপটি বাস্তবায়ন করতে। তাদের আরও গুরুত্বপূর্ণ কাজের ভিড়ে সেটা হারিয়ে গেল।

 

তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ১ম কিস্তি

 

Table of Contents

তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা

 

মাঝে আমিও আর খোজ নেবার সময় পায়নি। কিছুদিন আগে অনেক রাতে হঠাৎ তার ফোন। কণ্ঠ শুনেই বুঝতে পারলাম – ঘটনা ঘটে গেছে। জানলাম সবগুলো সেবা অচল এবং প্রচুর তথ্য ক্ষতি হয়েছে। হিসেব করে দেখলাম সেবাগুলো সচল করতে সময় লাগবে প্রায় ৩ দিন। আর হারিয়ে যাওয়া তথ্যগুলো পুরো ফিরিয়ে আনতে সময় লাগবে নূন্যতম ২ মাস। সবাই মিলে হাত লাগিয়ে সব কিছু আগের অবস্থায় এলো। কিন্তু পুরো কাজে প্রচুর ব্যয় এবং অকারণ হেনস্থা হল। উল্লেখযোগ্য বিষয় হচ্ছে এই সব মিলিয়ে যে ক্ষতি হল তার অর্থমূল্য দিয়ে দুবছর আগের সেই পরিকল্পনাটি কয়েকবার বাস্তবায়ন করা যেত। তবে চোর পালাবার পরে বুদ্ধি অনেক বেশি হয়েই আর কি লাভ?

ব্যবসায়ে ঝুঁকি বলতে প্রথম দিকে ছিল প্রাকৃতিক দুর্যোগ আর চুরি-ডাকাতি। সেসময় প্রাকৃতিক দুর্যোগ মোকাবেলা ও সাধারণ নিরাপত্তার ব্যবস্থা নিলেই চলেছে। এরপর রাষ্ট্র ব্যবস্থা ক্রমশ শক্তিশালী হয়েছে। যুক্ত হয়েছে বিভিন্ন নিয়ন্ত্রণকারী সংস্থা, কর, আইন ইত্যাদির ব্যবস্থাপনা ঝুঁকি। ব্যবসার স্বার্থে এসকল ঝুঁকিকে প্রাতিষ্ঠানিক ঝুঁকি হিসেবে স্বীকৃতি দিয়ে ব্যবস্থাপনা পরিকল্পনা করতে হয়েছে। গড়ে তুলতে হয়েছে প্রয়োজনীয় জনবল ও অবকাঠামো। আইন সেবা প্রতিষ্ঠান, সিকিউরিটি গার্ড এজেন্সি, বিমা প্রতিষ্ঠানের মত ঝুঁকি ব্যবস্থাপনা সহযোগী প্রতিষ্ঠানগুলো গড়ে উঠেছে।

 

তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ১ম কিস্তি

 

প্রযুক্তির ক্রমবিকাশের কারণে লোক দিয়ে করানো কাজের বেশিরভাগ প্রযুক্তি দিয়ে করা শুরু হল। প্রযুক্তি নির্ভরতার সাথে সাথে প্রযুক্তি বিষয়ক ঝুঁকিও তৈরি হতে থাকল। তবে প্রযুক্তির পরিবর্তন এত দ্রুত যে বেশিরভাগ প্রতিষ্ঠান এক-দুবার বিপদে পড়ার আগে এই ঝুঁকি বুঝে উঠতে পারেনি। ফলে প্রযুক্তিতে এগিয়ে থাকা দেশগুলোর কিছু নামকরা প্রতিষ্ঠানকে বড় প্রাকৃতিক দুর্যোগের চেয়েও বেশি ক্ষতির সম্মুখীন হয়েছে। কিছু প্রতিষ্ঠান ক্ষতি সামলে উঠতে না পেরে বন্ধ হয়ে গেছে। এরকম লোকসান বিনিয়োগকারী ও নিয়ন্ত্রণকারী সংস্থাগুলোকে উদ্বিগ্ন করেছে। তারা এ বিষয়ে অসচেতন প্রতিষ্ঠানগুলোর উপরে চাপ সৃষ্টি শুরু করে।

পর্যায়ক্রমে বেশিরভাগ প্রতিষ্ঠান “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা” র বিষয়টিকে প্রাতিষ্ঠানিক গুরুত্ব দিতে বাধ্য হয়। এখন তাদের দীর্ঘ মেয়াদি পরিকল্পনায় এই বিষয়টি গুরুত্বের সাথে যায়গা পাচ্ছে। সে অনুযায়ী তারা অবকাঠামো, প্রশিক্ষিত জনবল, ইত্যাদির ব্যবস্থা করেছে। এমনকি এই বিষয়ে সবাইকে সাহায্য করার জন্য বিভিন্ন দেশের সরকার, বেসরকারি প্রতিষ্ঠান, পেশাজীবী সংগঠন মিলে তৈরি করেছে তথ্য প্রযুক্তি ঝুঁকি মোকাবেলার মানদণ্ড বা “স্ট্যান্ডার্ড”। . সেগুলো প্রতিনিয়ত অভিজ্ঞতা থেকে সমৃদ্ধ হচ্ছে। নির্দিষ্ট সময় পরপর নতুন সংস্করণ হিসেবে প্রকাশিত হচ্ছে।

আমাদের দেশের প্রতিষ্ঠানগুলোর ক্রমশ তথ্য প্রযুক্তি নির্ভরতা বাড়ছে। তথ্য প্রযুক্তিকে “খরচ” হিসেবে ভাবার বদলে “বিনিয়োগ” হিসেবে ভাবার চর্চা শুরু হয়েছে। যেসব প্রতিষ্ঠান আগে তাদের মোট আয়ের .০০১% এ খাতে বিনিয়োগের কথা ভাবেনি, আজ তারা মোট বাৎসরিক বিনিয়োগের ১% থেকে ৩% পর্যন্ত ব্যয় করছে। ব্যবসায়ে বাড়তি সুবিধা হবার কারণেই আগ্রহ বাড়ছে। তথ্য প্রযুক্তি সেবা দানকারী প্রতিষ্ঠান ছাড়াও অর্থনৈতিক খাতে বিনিয়োগের পরিমাণ চোখে পড়ার মত। তবে সেই বিনিয়োগের বেশিরভাগ অংশ এখন পর্যন্ত যাচ্ছে শুধুমাত্র অবকাঠামো তৈরি ও জনশক্তির বেতন ভাতায়। সেইসাথে চোখে না পড়লেও পাশাপাশি ছায়ার মত বেড়ে চলেছে তথ্য প্রযুক্তি ঝুঁকির পরিমাণ। যেটা মোকাবেলায় বিনিয়োগ এখনও প্রায় শূন্যের কোঠায়।

বেশিরভাগ প্রতিষ্ঠান এ ক্ষেত্রে গুরুত্ব দিচ্ছে না মূলত সচেতনতার অভাবে। কিছু ক্ষেত্রে কারিগরি কর্মীরা বিষয়টি নিয়ে কথা বললেও প্রাতিষ্ঠানিক গুরুত্ব পাচ্ছে না। যার অন্যতম প্রধান কারণ হচ্ছে খালি চোখে এর কোন লাভ দেখা যায় না। কিন্তু অবহেলা করলে প্রতিষ্ঠানের অস্তিত্বে ঝুঁকির মধ্যে থেকে যায়। বেশিরভাগ সিদ্ধান্ত দাতার কাছে এটা পরিষ্কার না। একসময় বিমা খরচের প্রতি এ ধরনের মানসিকতা থাকলেও এখন তা বাস্তবতা। এক্ষেত্রে সেই বাস্তবতা যত দ্রুত বোঝা যায় ততই মঙ্গল।

 

SufiFaruq.com Logo 252x68 3 তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা । CIO সিরিজ

 

ইতোমধ্যে ছোটখাটো বিপদে পড়া কিছু প্রতিষ্ঠান বিষয়টি নিয়ে ভাবনা শুরু করেছে। কেউ কেউ দু একটি ফাইয়ারওয়াল, আইডিএস, আইপিএস এর মত অবকাঠামোতে বিনিয়োগ করেছে। দু একজন তথ্য প্রযুক্তি নিরাপত্তা কর্মী হিসেবে নিয়োগ দিয়েছে। কিন্তু শুধুমাত্র অবকাঠামো তৈরি বা কর্মী নিয়োগ দিয়ে এই ঝুঁকি শেষ হবে না। যেমন শুধুমাত্র অস্ত্র ও নিরাপত্তা কর্মী দিয়ে দিয়ে পূর্ণ নিরাপত্তা ঝুঁকি সামাল দেয়া সম্ভব না। এসবের পাশাপাশি দরকার – প্রাতিষ্ঠানিক ঝুঁকি মূল্যায়ন, সে অনুযায়ী নিরাপত্তা পরিকল্পনা, প্রয়োজনীয় প্রশিক্ষণ, নেতৃত্ব এবং নিয়মিত চর্চা। দরকার আন্তর্জাতিক মানদণ্ডের সাথে তাল মিলিয়ে নিজেদেরকে এগিয়ে নেয়া। ঝুঁকি ব্যবস্থাপনা মানে এক ধরনের সংস্কৃতির চর্চা। এই চর্চা প্রাতিষ্ঠানিক গুরুত্বের মধ্যে নিয়ে আসতে হবে এবং নিয়মিত করতে হবে।

প্রযুক্তি নির্ভরতা ছাড়া আমাদের এগিয়ে যাওয়া সম্ভব হবে না। তাই প্রযুক্তি নির্ভর প্রতিষ্ঠানের ভবিষ্যৎ নিরাপদ করতে প্রতিষ্ঠানের নির্বাহীদের এই বিষয়ে আরও গুরুত্ব দেবার সময় চলে যাচ্ছে। সেই সাথে অর্থনৈতিক স্বার্থ রক্ষায় প্রতিষ্ঠানগুলোর বিনিয়োগকারীদের উদ্বেগ প্রয়োজন। পাবলিক কোম্পানিগুলোর ক্ষেত্রে জনস্বার্থ রক্ষায় নিয়ন্ত্রণকারী সংস্থাগুলোর পক্ষ থেকে এই বিষয়টিতে গুরুত্ব দেয়া দরকার।

আইটি ঝুঁকি ব্যবস্থাপনা কোনো এককালীন কাজ নয়, এটি একটি সংস্কৃতি। এই ৫ পর্বের সিরিজে আমরা ধাপে ধাপে শিখব কীভাবে একটি প্রতিষ্ঠানকে ডিজিটাল বিপর্যয় থেকে সুরক্ষিত রাখা যায়।

** লেখাটির সারসংক্ষেপ আজ প্রথম আলোয় প্রকাশিত হয়েছে : http://www.prothom-alo.com/detail/date/2012-08-31/news/285249

 

পর্ব ১: ঝুঁকি চিহ্নিতকরণ—বিপদের মানচিত্র তৈরি

তথ্যপ্রযুক্তি ঝুঁকি ব্যবস্থাপনার প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ ধাপ হলো ঝুঁকি চিহ্নিতকরণ (Risk Identification)। আপনি যদি শত্রুর অবস্থান এবং তার শক্তি সম্পর্কে না জানেন, তবে তাকে মোকাবেলা করা অসম্ভব। এটি অনেকটা একটি প্রতিষ্ঠানের ডিজিটাল স্বাস্থ্যের ‘চেক-আপ’ করার মতো।

১. ঝুঁকি চিহ্নিতকরণ কী?

সহজ কথায়, ঝুঁকি চিহ্নিতকরণ হলো এমন একটি প্রক্রিয়া যার মাধ্যমে একটি প্রতিষ্ঠানের হার্ডওয়্যার, সফটওয়্যার, নেটওয়ার্ক এবং ডেটাবেসে থাকা সম্ভাব্য হুমকি ও দুর্বলতাগুলো খুঁজে বের করা হয়। এটি আইটি পরিবেশের প্রতিটি কোণা বিশ্লেষণ করে দেখে যে, কোথায় নিরাপত্তার ছিদ্র আছে যা দিয়ে কোনো হ্যাকার ঢুকতে পারে বা কোনো যান্ত্রিক ত্রুটি বড় বিপত্তি ঘটাতে পারে।

২. কেন এটি প্রথম পদক্ষেপ?

ঝুঁকি চিহ্নিতকরণকে ‘রিস্ক ম্যানেজমেন্ট ফ্রেমওয়ার্ক’ (RMF)-এর ভিত্তি বলা হয়। এর গুরুত্ব অপরিসীম:

  • আক্রমণ প্রতিরোধ: হ্যাকাররা সাধারণত পরিচিত দুর্বলতাগুলো ব্যবহার করে আক্রমণ করে। আগেভাগে এগুলো জানলে তা সারিয়ে নেওয়া সম্ভব।
  • আর্থিক সুরক্ষা: ডেটা লিক বা র‍্যানসমওয়্যার আক্রমণে যে পরিমাণ আর্থিক জরিমানা ও ব্যবসায়িক ক্ষতি হয়, ঝুঁকি চিহ্নিতকরণ তার চেয়ে অনেক কম খরচে তা রুখে দিতে পারে।
  • সুনাম রক্ষা: গ্রাহকের তথ্য চুরি হলে প্রতিষ্ঠানের ওপর থেকে মানুষের আস্থা চলে যায়, যা পুনরায় অর্জন করা প্রায় অসম্ভব।

৩. কীভাবে ঝুঁকি চিহ্নিত করবেন? (ধাপসমূহ)

ঝুঁকি চিহ্নিত করার জন্য একটি সুশৃঙ্খল পদ্ধতি অনুসরণ করা প্রয়োজন:

  • সম্পদ তালিকা (Asset Inventory) তৈরি: আপনার কাছে কী কী আছে তা আগে জানুন। ল্যাপটপ, সার্ভার, ইআরপি সফটওয়্যার থেকে শুরু করে গ্রাহকের তথ্য—সবকিছুর একটি তালিকা করুন। যা রক্ষা করতে হবে তার তালিকা না থাকলে সুরক্ষা দেওয়া সম্ভব নয়।
  • হুমকি বিশ্লেষণ (Threat Analysis): বিপদ কোন দিক থেকে আসতে পারে? এটি কি সাইবার আক্রমণ (ফিশিং, ম্যালওয়্যার), অভ্যন্তরীণ কোনো কর্মীর ভুল, নাকি প্রাকৃতিক দুর্যোগ (আগুন বা বন্যা)?
  • দুর্বলতা মূল্যায়ন (Vulnerability Assessment): আপনার সিস্টেমে কী কী দুর্বলতা আছে? সফটওয়্যার কি পুরোনো? পাসওয়ার্ড কি দুর্বল? নেটওয়ার্কের ফায়ারওয়াল কি ঠিকমতো কাজ করছে? পেনিশ্রেটন টেস্টিং বা ভালনারেবিলিটি স্ক্যানিং টুল ব্যবহার করে এগুলো বের করতে হয়।
  • ঐতিহাসিক ডেটা পর্যালোচনা: অতীতে আপনার প্রতিষ্ঠানে বা একই ধরণের অন্য প্রতিষ্ঠানে কী কী দুর্ঘটনা ঘটেছে তা বিশ্লেষণ করুন। ইতিহাস থেকে শিক্ষা নেওয়া ঝুঁকি চিহ্নিতকরণের একটি বড় অংশ।

৪. প্রধান কিছু সরঞ্জাম (Tools)

ঝুঁকি চিহ্নিতকরণ এখন আর কেবল মানুষের চোখের ওপর নির্ভরশীল নয়। আধুনিক আইটি টিমরা বিভিন্ন টুল ব্যবহার করে:

  • স্ক্যানিং টুল: Nessus বা OpenVAS-এর মতো সফটওয়্যার স্বয়ংক্রিয়ভাবে সিস্টেমের ছিদ্র খুঁজে বের করে।
  • SIEM সিস্টেম: Splunk বা LogRhythm-এর মতো সিস্টেমগুলো নেটওয়ার্কের প্রতিটি গতিবিধি পর্যবেক্ষণ করে কোনো অস্বাভাবিক আচরণ দেখলেই সতর্ক করে দেয়।

৫. কর্মীদের ভূমিকা

প্রযুক্তি যত উন্নতই হোক, মানুষই হলো নিরাপত্তার সবচেয়ে দুর্বল লিঙ্ক। তাই কর্মীদের সচেতনতাও ঝুঁকি চিহ্নিতকরণের অংশ। একজন কর্মী যদি সন্দেহজনক ইমেইল চিনতে পারেন, তবে তিনিই বড় একটি ঝুঁকি চিহ্নিতকারী হিসেবে কাজ করেন।

 

তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ২য় কিস্তি (ঝুঁকি মূল্যায়ন )

 

পর্ব ২: ঝুঁকি মূল্যায়ন (Risk Assessment)—বিপদের গভীরতা ও প্রভাব পরিমাপ

আইটি ঝুঁকি ব্যবস্থাপনায় কেবল “ঝুঁকি আছে” জানাই যথেষ্ট নয়, বরং জানতে হবে সেই ঝুঁকির “আকার ও প্রকার” কতটুকু। সব ঝুঁকি সমান গুরুত্বপূর্ণ নয়। আপনার অফিসের কোনো একটি সাধারণ পিসি নষ্ট হওয়া আর প্রতিষ্ঠানের মূল ডেটাবেস সার্ভার হ্যাক হওয়া—দুটোর প্রভাব এক নয়। এই যে ঝুঁকির গুরুত্বের পার্থক্য নির্ধারণ করা, একেই বলা হয় ঝুঁকি মূল্যায়ন (Risk Assessment)। সঠিক সিদ্ধান্তের জন্য ঝুঁকির সঠিক গাণিতিক ও ব্যবসায়িক মূল্যায়ন প্রয়োজন।

১. প্রকৃত ঝুঁকির পরিমাণ নির্ণয়

একটি সুশৃঙ্খল কর্মপদ্ধতি ছাড়া ঝুঁকির পরিমাণ নির্ণয় করা অসম্ভব। এর জন্য আন্তর্জাতিক বিভিন্ন মানদণ্ড বা স্ট্যান্ডার্ড রয়েছে, যেমন—ISO 27001, PCI-DSS, NIST বা ব্রিটিশ স্ট্যান্ডার্ড। এই মানদণ্ডগুলো মূলত একটি সূত্রের ওপর কাজ করে: ঝুঁকির পরিমাণ = সম্পদের মূল্য × বিপদের সম্ভাবনা × সম্ভাব্য ক্ষতির মাত্রা। অর্থাৎ, আপনার ওই সম্পদের দাম কত, সেটি নষ্ট হওয়ার সম্ভাবনা কতটুকু এবং নষ্ট হলে ব্যবসার ওপর তার প্রভাব কী হবে—এই সবকিছুর সম্মিলিত ফলাফলই হলো প্রকৃত ঝুঁকির চিত্র।

২. একটি সুগঠিত কর্মীদলের প্রয়োজনীয়তা

ঝুঁকি মূল্যায়ন কেবল আইটি বিভাগের কাজ নয়। এতে প্রতিষ্ঠানের প্রতিটি গুরুত্বপূর্ণ বিভাগের দায়িত্বশীল ব্যক্তিদের থাকতে হবে। কারণ আইটি কর্মীরা হয়তো কারিগরি দিকটি বুঝবেন, কিন্তু একটি সফটওয়্যার দুই ঘণ্টা বন্ধ থাকলে ব্যবসার কত টাকা লোকসান হবে, তা ফিন্যান্স বা অপারেশনস বিভাগ ভালো বলতে পারবে।

  • পরামর্শ: প্রথমবার এই মূল্যায়ন করার জন্য কোনো বিশেষজ্ঞ কনসালট্যান্টের সাহায্য নেওয়া যেতে পারে, যিনি পুরো পথটি দেখিয়ে দেবেন।

৩. আর্থিক ক্ষতির হিসাব: মিনিটের গণিত

ঝুঁকি মূল্যায়নের সবচেয়ে কার্যকর পদ্ধতি হলো প্রতিটি সেবার বিরতি বা বন্ধ থাকার (Downtime) আর্থিক মূল্য বের করা। ধরা যাক একটি ব্যাংকের কার্ড ডিভিশন-এর কথা। তারা গ্রাহকের ব্যক্তিগত ও অর্থনৈতিক তথ্য সংরক্ষণ করে। যদি কোনো কারণে তাদের সার্ভার ৩ ঘণ্টা বন্ধ থাকে, তবে:

  • কতজন গ্রাহক এটিএম থেকে টাকা তুলতে পারবেন না?
  • ক্রেডিট কার্ডের কতগুলো ট্রানজেকশন ফেইল করবে?
  • এর ফলে ব্যাংকের ফি বা কমিশনের সরাসরি ক্ষতি কত?
  • গ্রাহক অসন্তুষ্টির কারণে দীর্ঘমেয়াদে কতজন গ্রাহক ব্যাংক ছেড়ে চলে যেতে পারেন? এই প্রতিটি মিনিট বা ঘণ্টার ক্ষতির পরিমাণ বের করাই হলো ঝুঁকি মূল্যায়নের মূল কাজ।

৪. কারিগরি ও ব্যবসায়িক সম্পর্কের যোগসূত্র

একবার যখন আপনি আর্থিক ক্ষতির চিত্র পেয়ে যাবেন, তখন আইটি কর্মীরা এর কারিগরি কারণগুলো খুঁজে বের করবেন।

  • সমস্যাটি কি হার্ডওয়্যারের কারণে হতে পারে?
  • নাকি সফটওয়্যারের বাগ বা নেটওয়ার্কের ত্রুটি?
  • ডেটা চুরি বা তথ্য হারিয়ে যাওয়ার ঝুঁকি কতটুকু? এই তথ্যের ভিত্তিতে আইটি কর্মীরা ঝুঁকিগুলোকে শ্রেণীবদ্ধ করবেন—কোনটি ‘অতি জরুরি’ (Critical), কোনটি ‘মাঝারি’ (Medium) আর কোনটি ‘নিম্ন’ (Low) ঝুঁকির।

৫. “ঝুঁকি মূল্যায়ন” রিপোর্ট ও সিদ্ধান্ত গ্রহণ

মূল্যায়ন শেষে একটি বিস্তারিত রিপোর্ট তৈরি করতে হবে। এই রিপোর্টে ঝুঁকির কারিগরি ও ব্যবসায়িক প্রভাবের পাশাপাশি তা মোকাবেলায় প্রাথমিক কারিগরি পরামর্শও থাকবে। রিপোর্টটি কর্তৃপক্ষের (Management/Board) কাছে উপস্থাপন করা হবে। মনে রাখবেন, কর্তৃপক্ষের সিদ্ধান্তের ওপরই নির্ভর করবে কোন ঝুঁকিগুলো মোকাবেলার জন্য টাকা বরাদ্দ করা হবে। এই রিপোর্টের স্বচ্ছতা ও নির্ভুলতার ওপরই নির্ভর করে প্রতিষ্ঠানের ভবিষ্যৎ নিরাপত্তা।

৬. প্রাতিষ্ঠানিক গুরুত্ব ও স্বীকৃতির অভাব

দুর্ভাগ্যবশত, অনেক প্রতিষ্ঠানে আইটি কর্মীদের ঝুঁকি মূল্যায়নের এই কাজটিকে বাড়তি কাজ হিসেবে দেখা হয়। সঠিক মূল্যায়ন পেতে হলে এই কাজটির প্রাতিষ্ঠানিক স্বীকৃতি দরকার। দক্ষ কর্মী এবং সঠিক কর্মকৌশল ছাড়া ঝুঁকির প্রকৃত চিত্র পাওয়া সম্ভব নয়। আপনার সেই বন্ধুর মতো “চোর পালালে বুদ্ধি বাড়ে” অবস্থা এড়াতে চাইলে এই মূল্যায়নের কোনো বিকল্প নেই।

 

তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা ৩য় কিস্তি (ঝুঁকি প্রশমন)

 

পর্ব ৩: ঝুঁকি প্রশমন (Risk Mitigation)—প্রতিরোধের দেয়াল তৈরি

ঝুঁকি মূল্যায়নের মাধ্যমে আমরা যখন জানতে পারি কোন বিপদটি প্রতিষ্ঠানের জন্য কতটা ভয়াবহ, তখন আমাদের সামনে বড় প্রশ্ন আসে—আমরা এই ঝুঁকিগুলো কমাতে কী ব্যবস্থা নেব? এই পর্যায়টিকেই বলা হয় ঝুঁকি প্রশমন (Risk Mitigation)। মনে রাখতে হবে, প্রযুক্তির জগতে ১০০ ভাগ ঝুঁকি কোনোদিনই নির্মূল করা সম্ভব নয়। তাই আমাদের লক্ষ্য হওয়া উচিত ঝুঁকিকে এমন এক পর্যায়ে নিয়ে আসা, যা প্রতিষ্ঠানের জন্য সহনীয়।

১. ব্যবসায়িক সিদ্ধান্ত বনাম কারিগরি বাস্তবায়ন

ঝুঁকি প্রশমন পরিকল্পনাটি যতটা না কারিগরি, তার চেয়ে বেশি ব্যবসায়িক। কারণ, সব ঝুঁকি মোকাবিলা করা অনেক সময় ব্যয়বহুল হয়ে পড়ে। ব্যবস্থাপনা পরিষদ বা বোর্ড এই পর্যায়ে সিদ্ধান্ত নেন—কোন ঝুঁকিগুলো মোকাবিলায় টাকা খরচ করা হবে আর কোনগুলো বর্তমানের জন্য মেনে নেওয়া হবে।

  • সতর্কতা: অনেক সময় আইটি বিভাগ দামী প্রযুক্তি কেনার লোভে ঝুঁকির পরিমাণ বাড়িয়ে দেখাতে পারে। আবার অন্য বিভাগগুলো আইটির গুরুত্ব না বুঝে ঝুঁকিকে ছোট করে দেখতে পারে। তাই এখানে সমন্বয় থাকা জরুরি। বাইরের কোনো নিরপেক্ষ পরামর্শক এই ভারসাম্য বজায় রাখতে সাহায্য করতে পারেন।

২. ঝুঁকি মোকাবিলার চারটি প্রচলিত উপায়

আন্তর্জাতিক মানদণ্ড অনুযায়ী ঝুঁকি প্রশমনের চারটি প্রধান কৌশল রয়েছে:

  1. ঝুঁকি কমানো (Reduction/Mitigation): এটি সবচেয়ে সাধারণ উপায়। প্রযুক্তি বা প্রসেস ব্যবহার করে ঝুঁকির মাত্রা কমিয়ে আনা। যেমন—ফায়ারওয়াল লাগানো বা নিয়মিত ডেটা ব্যাকআপ রাখা।
  2. ঝুঁকি স্থানান্তর (Transfer): নিজের ঝুঁকি অন্য কারো কাঁধে তুলে দেওয়া। যেমন—আইটি বিমা (Cyber Insurance) করা অথবা ক্লাউড সার্ভিস প্রোভাইডারের ওপর নিরাপত্তার দায়িত্ব ছেড়ে দেওয়া।
  3. ঝুঁকি এড়ানো (Avoidance): কোনো একটি কাজ করলে যদি ঝুঁকি খুব বেশি হয়, তবে সেই কাজটিই বন্ধ করে দেওয়া। যেমন—যদি দেখা যায় একটি নির্দিষ্ট অনলাইন পেমেন্ট গেটওয়ে খুব বেশি অনিরাপদ, তবে সেটি ব্যবহার করা বন্ধ করে দেওয়া।
  4. ঝুঁকি মেনে নেওয়া (Acceptance): কিছু ঝুঁকি থাকে যা খুব ছোট বা যা মোকাবিলা করার খরচ সম্ভাব্য ক্ষতির চেয়েও বেশি। সেক্ষেত্রে সেই ঝুঁকি মেনেই ব্যবসা চালিয়ে যাওয়া হয়।

৩. প্রশমন পরিকল্পনার স্তম্ভসমূহ

একটি কার্যকর প্রশমন পরিকল্পনায় কেবল ‘ফায়ারওয়াল’ বা ‘অ্যান্টিভাইরাস’ থাকলেই চলে না। এর তিনটি মূল স্তম্ভ থাকে:

  • প্রশাসনিক নিয়ন্ত্রণ (Administrative Controls): শক্তিশালী পাসওয়ার্ড পলিসি তৈরি করা, কর্মীদের অ্যাক্সেস লেভেল ঠিক করা এবং নিয়মিত সিকিউরিটি অডিট করা।
  • কারিগরি নিয়ন্ত্রণ (Technical Controls): এনক্রিপশন ব্যবহার করা, আইডিএস (IDS) ও আইপিএস (IPS) এর মতো হার্ডওয়্যার স্থাপন এবং মাল্টি-ফ্যাক্টর অথেন্টিকেশন (MFA) চালু করা।
  • ভৌত নিয়ন্ত্রণ (Physical Controls): সার্ভার রুমের নিরাপত্তা নিশ্চিত করা, সিসিটিভি ক্যামেরা লাগানো এবং বায়োমেট্রিক প্রবেশাধিকার নিশ্চিত করা।

৪. স্থানীয় বাস্তবতা ও আইনি বাধ্যবাধকতা

ঝুঁকি প্রশমনের ক্ষেত্রে কেবল গ্লোবাল স্ট্যান্ডার্ড দেখলেই হবে না, দেশের আইন ও ব্যবসার পরিবেশ বিবেচনা করতে হবে। যেমন—আমাদের দেশে ইন্টারনেটের অনিশ্চয়তা বা বিদ্যুতের সমস্যার কথা মাথায় রেখে ব্যাকআপ পাওয়ার ও অফলাইন ডেটা স্টোরেজের পরিকল্পনা রাখতে হবে। এছাড়া দেশের প্রচলিত আইসিটি আইন ও নিয়ন্ত্রণকারী সংস্থার নির্দেশনাসমূহ মেনে চলা বাধ্যতামূলক।

৫. বিনিয়োগের অগ্রাধিকার (ROI in Mitigation)

আপনার সেই বন্ধুর প্রতিষ্ঠানের মতো পরিস্থিতি এড়াতে বাজেটের সঠিক ব্যবহার জরুরি। যে ঝুঁকির কারণে ৫ কোটি টাকার ক্ষতি হতে পারে, সেটি ঠেকাতে ৫০ লাখ টাকা খরচ করা যৌক্তিক। কিন্তু যে ঝুঁকির কারণে মাত্র ১০ হাজার টাকা ক্ষতি হবে, সেটি ঠেকাতে ৫ লাখ টাকার ফায়ারওয়াল কেনা বোকামি। প্রশমন পরিকল্পনাটি হতে হবে লাভ-ক্ষতির অংকের ওপর ভিত্তি করে।

৬. প্রশমন কি শেষ সমাধান?

অনেকে মনে করেন একবার ফায়ারওয়াল বা ব্যাকআপ সিস্টেম বসিয়ে দিলেই কাজ শেষ। আসলে প্রশমন হলো একটি চলমান যুদ্ধের শুরু মাত্র। আপনি আজ যে দেয়াল তুললেন, হ্যাকাররা কাল তা ভাঙার নতুন অস্ত্র তৈরি করবে। তাই প্রশমন পরিকল্পনায় প্রতিনিয়ত আপডেট এবং নিয়মিত ড্রিল বা মহড়া রাখার ব্যবস্থা থাকতে হবে।

 

 

পর্ব ৪: অবকাঠামো ও মানবসম্পদ—সঠিক সরঞ্জাম ও প্রশিক্ষিত দল গঠন

আপনার প্রতিষ্ঠানে ঝুঁকি চিহ্নিত করা হয়েছে, তার মূল্যায়ন হয়েছে এবং প্রশমনের পরিকল্পনাও তৈরি হয়েছে। কিন্তু এই পরিকল্পনা বাস্তবায়ন করবে কে? আর কোন যন্ত্রপাতির সাহায্যেই বা এটি সম্ভব হবে? অনেক উদ্যোক্তা মনে করেন, দামী কিছু ফায়ারওয়াল বা সফটওয়্যার কিনে নিলেই আইটি ঝুঁকি শেষ। কিন্তু বাস্তবতা হলো, শুধুমাত্র উন্নত অস্ত্র দিয়ে যুদ্ধ জেতা যায় না, যদি না সেই অস্ত্র চালানোর মতো দক্ষ সৈনিক আপনার থাকে। চতুর্থ পর্বের মূল লক্ষ্য হলো—সঠিক কারিগরি পরিকাঠামো এবং একটি নিবেদিতপ্রাণ চৌকস দল গঠন।

১. অবকাঠামো: নিরাপত্তার দুর্গ তৈরি

ঝুঁকি প্রশমন পরিকল্পনায় যে কারিগরি নিয়ন্ত্রণের কথা বলা হয়েছে, তা বাস্তবায়নে কিছু মৌলিক অবকাঠামো প্রয়োজন:

  • নিরাপত্তা সরঞ্জাম (Security Appliances): কেবল রাউটার নয়, নেটওয়ার্কের প্রবেশপথে শক্তিশালী ফায়ারওয়াল (Firewall), ইনট্রুশন ডিটেকশন সিস্টেম (IDS) এবং ইনট্রুশন প্রিভেনশন সিস্টেম (IPS) থাকতে হবে। এগুলো আপনার নেটওয়ার্কের অতন্দ্র প্রহরী হিসেবে কাজ করবে।
  • ডেটা ব্যাকআপ রিকভারি সেন্টার: আপনার মূল ডেটার একটি কপি সবসময় অফ-সাইটে বা ক্লাউডে থাকতে হবে। দুর্যোগের সময় যেন দ্রুত কাজ শুরু করা যায়, সেজন্য একটি ‘ডিজাস্টার রিকভারি (DR) সাইট’ থাকা এখন বিলাসিতা নয়, বরং আবশ্যকতা।
  • এনক্রিপশন অথেন্টিকেশন টুলস: তথ্য আদান-প্রদানের সময় তা যেন অন্য কেউ পড়তে না পারে সেজন্য এনক্রিপশন এবং ব্যবহারকারী শনাক্ত করতে মাল্টি-ফ্যাক্টর অথেন্টিকেশন (MFA) এর মতো প্রযুক্তি ব্যবহার করতে হবে।

২. মানবসম্পদ: প্রযুক্তির পেছনের মানুষ

প্রযুক্তি যত উন্নতই হোক, তার নিয়ন্ত্রণ থাকে মানুষের হাতে। আপনার আইটি টিমে এমন লোক থাকা প্রয়োজন যারা শুধু কম্পিউটার চালাতে জানে না, বরং ঝুঁকির ভাষা বোঝে।

  • নিবেদিত সিকিউরিটি টিম: বড় প্রতিষ্ঠানের ক্ষেত্রে একজন ‘চিফ ইনফরমেশন সিকিউরিটি অফিসার’ (CISO) এবং একটি ডেডিকেটেড সিকিউরিটি টিম থাকা দরকার। ছোট প্রতিষ্ঠানের ক্ষেত্রে অন্তত একজন দক্ষ আইটি অ্যাডমিন থাকা চাই, যার মূল দায়িত্ব হবে প্রতিদিনের নিরাপত্তা পর্যবেক্ষণ করা।
  • দক্ষতা উন্নয়ন: আইটি ঝুঁকি প্রতিনিয়ত বদলাচ্ছে। আপনার কর্মীদের নতুন নতুন ম্যালওয়্যার বা হ্যাকিং কৌশল সম্পর্কে আপ-টু-ডেট রাখতে হবে। তাদের নিয়মিত প্রশিক্ষণের ব্যবস্থা না করলে দামী যন্ত্রপাতিগুলো অকেজো হয়ে পড়বে।

৩. সচেতন কর্মী বাহিনী: প্রথম প্রতিরক্ষা দেয়াল

আইটি ঝুঁকি ব্যবস্থাপনায় সবচেয়ে বড় সম্পদ বা সবচেয়ে বড় দুর্বলতা হলো সাধারণ কর্মীরা। একজন সচেতন কর্মী যেমন একটি ফিশিং ইমেইল চিনে বড় বিপদ রুখে দিতে পারেন, তেমনি একজন অসচেতন কর্মীর সামান্য ভুলে পুরো সিস্টেম হ্যাক হতে পারে।

  • সচেতনতা কর্মসূচি: প্রতিষ্ঠানের প্রতিটি কর্মীকে বেসিক সাইবার হাইজিন শেখাতে হবে। কোন লিংকে ক্লিক করা যাবে না, পাসওয়ার্ড কেমন হতে হবে, আর অপরিচিত পেনড্রাইভ ব্যবহার করলে কী হতে পারে—এই বিষয়গুলো নিয়মিত মনে করিয়ে দিতে হবে।

৪. আউটসোর্সিং ও বিশেষজ্ঞ পরামর্শ

সব প্রতিষ্ঠানের পক্ষে বিশাল আইটি সিকিউরিটি টিম রাখা সম্ভব নয়। সেক্ষেত্রে আপনি থার্ড-পার্টি সিকিউরিটি সার্ভিস বা এমএসএসপি (MSSP) এর সাহায্য নিতে পারেন। তবে মনে রাখবেন, দায়িত্ব আউটসোর্স করা গেলেও জবাবদিহিতা আপনার নিজেরই থাকবে। নির্দিষ্ট সময় পরপর বাইরের বিশেষজ্ঞ দিয়ে ‘পেনিট্রেসশন টেস্টিং’ বা সিস্টেমের সক্ষমতা যাচাই করিয়ে নেওয়া একটি সেরা প্রাকটিস।

৫. কাজের পদ্ধতি বা প্রসেস (Process)

অবকাঠামো আর মানুষ থাকলেই হবে না, তাদের কাজ করার একটি সুনির্দিষ্ট পদ্ধতি থাকতে হবে।

  • কোনো ঘটনা ঘটলে কে কাকে জানাবে?
  • কার অনুমতি নিয়ে সিস্টেমে পরিবর্তন করা হবে?
  • ব্যাকআপ কতক্ষণ পরপর নেওয়া হবে? এই বিষয়গুলো ‘স্ট্যান্ডার্ড অপারেটিং প্রসিডিউর’ (SOP) আকারে লিখিত থাকতে হবে। পদ্ধতিহীন নিরাপত্তা ব্যবস্থা তাসের ঘরের মতো ভেঙে পড়তে পারে।

৬. নেতৃত্বের ভূমিকা

সবশেষে, প্রতিষ্ঠানের শীর্ষ নির্বাহীদের সমর্থন ছাড়া কোনো অবকাঠামোই টেকসই হবে না। আইটি ঝুঁকি ব্যবস্থাপনার জন্য প্রয়োজনীয় বাজেট এবং লোকবল নিয়োগের সিদ্ধান্ত আসে ওপর থেকে। নেতৃত্বের পক্ষ থেকে যদি এই বিষয়টিকে গুরুত্ব দেওয়া হয়, তবেই কর্মীরা একে সিরিয়াসলি নেবে।

 

পর্ব : নিয়মিত চর্চা সংস্কৃতিআন্তর্জাতিক মানদণ্ডে নিজেদের টিকিয়ে রাখা

আমরা সিরিজের আগের পর্বগুলোতে ঝুঁকি চিহ্নিত করা থেকে শুরু করে অবকাঠামো গঠন পর্যন্ত সব কারিগরি ও ব্যবসায়িক ধাপ নিয়ে আলোচনা করেছি। কিন্তু আইটি ঝুঁকি ব্যবস্থাপনার সবচেয়ে কঠিন চ্যালেঞ্জটি হলো এর ‘ধারাবাহিকতা’ বজায় রাখা। অনেক প্রতিষ্ঠান শুরুতে খুব উৎসাহ নিয়ে কাজ শুরু করে, কিছু দামী যন্ত্রপাতি কেনে, কিন্তু কয়েক মাস পর সব আবার ঢিলেঢালা হয়ে যায়। আপনার সেই বন্ধুর প্রতিষ্ঠানের মতো বড় কোনো বিপদে পড়ার আগে আমাদের বুঝতে হবে যে, আইটি নিরাপত্তা কোনো গন্তব্য নয়, এটি একটি নিরন্তর যাত্রা।

. একটি নিরাপত্তা সংস্কৃতি (Security Culture) গড়ে তোলা

প্রযুক্তিগত নিরাপত্তার চেয়েও শক্তিশালী হলো প্রাতিষ্ঠানিক সচেতনতা। ঝুঁকি ব্যবস্থাপনাকে কেবল আইটি বিভাগের মাথাব্যথা মনে না করে একে প্রতিষ্ঠানের প্রতিটি স্তরে ছড়িয়ে দিতে হবে।

  • অভ্যাস পরিবর্তন: অফিসের পিসি লক করে ওঠা, অপরিচিত ইমেইল অ্যাটাচমেন্ট না খোলা বা পাসওয়ার্ড কারো সাথে শেয়ার না করা—এই বিষয়গুলো যেন কর্মীদের সহজাত অভ্যাসে পরিণত হয়।
  • দায়বদ্ধতা: প্রতিষ্ঠানের পিয়ন থেকে শুরু করে সিইও পর্যন্ত সবাই যেন বোঝেন যে, তথ্য সুরক্ষার দায়িত্ব সবার। যখন নিরাপত্তা প্রতিষ্ঠানের সংস্কৃতির অংশ হয়, তখন ভুলের সম্ভাবনা ন্যূনতম পর্যায়ে নেমে আসে।

. নিয়মিত মহড়া টেস্টিং (Security Drills)

অগ্নি নির্বাপক মহড়া যেমন আমরা নিয়মিত করি, আইটি ঝুঁকির ক্ষেত্রেও তেমন মহড়া প্রয়োজন।

  • ব্যাকআপ রিকভারি টেস্ট: আপনার ব্যাকআপ সিস্টেম সচল আছে কি না তা মাসে অন্তত একবার যাচাই করুন। অনেক সময় বিপদের দিনে দেখা যায় ব্যাকআপ ফাইলটি নষ্ট বা অকেজো।
  • ফিশিং সিমুলেশন: কর্মীদের ছদ্মবেশী ক্ষতিকর মেইল পাঠিয়ে দেখুন তারা সচেতন কি না। যারা ভুল করবে, তাদের আবার প্রশিক্ষণের আওতায় আনুন।
  • ইনসিডেন্ট রেসপন্স ড্রিল: যদি আজ সার্ভার হ্যাক হয়, তবে কার কী ভূমিকা হবে—তা নিয়ে নিয়মিত মহড়া দিন। এতে আসল বিপদের সময় কেউ আতঙ্কিত হবে না।

. আন্তর্জাতিক মানদণ্ড (ISO, NIST) অনুসরণ

নিজেদের মতো করে পরিকল্পনা করার চেয়ে আন্তর্জাতিকভাবে স্বীকৃত মানদণ্ড অনুসরণ করা অনেক বেশি নিরাপদ।

  • ISO 27001: এটি তথ্য নিরাপত্তা ব্যবস্থাপনার সবচেয়ে জনপ্রিয় মানদণ্ড। এই স্ট্যান্ডার্ড অনুসরণ করলে আপনার সিস্টেম একটি বৈশ্বিক কাঠামো পায়।
  • নিয়মিত অডিট: বছরে অন্তত একবার অভ্যন্তরীণ এবং বাইরের অডিটর দিয়ে সিস্টেমের নিরাপত্তা ছিদ্রগুলো পরীক্ষা করান। অডিট মানে ভয় পাওয়া নয়, বরং নিজেদের ভুলগুলো শুধরে নেওয়ার একটি সুযোগ।

. বিনিয়োগের ধারাবাহিকতা

আইটি ঝুঁকি প্রতিনিয়ত বিবর্তিত হচ্ছে। দুই বছর আগে যা নিরাপদ ছিল, আজ তা চরম ঝুঁকিপূর্ণ হতে পারে।

  • বাজেট বরাদ্দ: আপনার প্রতিষ্ঠানের বাৎসরিক আয়ের একটি নির্দিষ্ট অংশ (যেমন ১% থেকে ৩%) আইটি নিরাপত্তা ও ঝুঁকি ব্যবস্থাপনার জন্য স্থায়ীভাবে বরাদ্দ রাখুন। প্রযুক্তি হালনাগাদ করা এবং লাইসেন্স রিনিউ করার ক্ষেত্রে কোনো আপস করবেন না। মনে রাখবেন, আজকের এই সামান্য বিনিয়োগ ভবিষ্যতের কোটি টাকার ক্ষতি রুখে দেবে।

. বোর্ড মিটিংয়ের এজেন্ডায় আইটি ঝুঁকি

প্রতিষ্ঠানের নীতিনির্ধারক বা বোর্ড মেম্বারদের কাছে আইটি ঝুঁকির রিপোর্ট নিয়মিত উপস্থাপন করতে হবে। যখন ঊর্ধ্বতন কর্তৃপক্ষ প্রতি মাসে এই বিষয়ে আপডেট চাইবেন, তখন পুরো প্রতিষ্ঠান এটি গুরুত্বের সাথে নেবে। এটি আর কেবল আইটি ম্যানেজারের টেকনিক্যাল রিপোর্ট থাকবে না, বরং এটি হয়ে উঠবে একটি ব্যবসায়িক সাফল্যের মাপকাঠি।

. চোর পালাবার আগে বুদ্ধি অর্জন

আপনার গল্পের সেই সারমর্মটিই এখানে প্রধান—চোর পালাবার পরে বুদ্ধি হওয়াতে কোনো লাভ নেই। আইটি ঝুঁকি ব্যবস্থাপনা মানে হলো সম্ভাব্য ক্ষতিকে আগেভাগে অনুমান করা এবং তা রোধে প্রয়োজনীয় অর্থ ও সময় ব্যয় করা। এটি অনেকটা বিমা (Insurance) করার মতো; যখন কিছু ঘটে না, তখন একে খরচ মনে হয়, কিন্তু বিপদ ঘটলে এটিই হয় একমাত্র রক্ষাকবচ।

 

SufiFaruq.com, Logo - 252x68 (1)

 

তথ্যপ্রযুক্তি ছাড়া আধুনিক ব্যবসা কল্পনা করাও অসম্ভব। আর যেখানে প্রযুক্তি আছে, সেখানে ঝুঁকিও ছায়ার মতো পাশে থাকবে। আমরা আমাদের আলোচনা শেষ করছি এই আহ্বান জানিয়ে যে—আপনার প্রতিষ্ঠানকে ডিজিটাল যুগে নিরাপদ রাখতে আজই উদ্যোগ নিন।

আইটি ঝুঁকি ব্যবস্থাপনাকে ‘খরচ’ হিসেবে না দেখে প্রতিষ্ঠানের ‘অস্তিত্ব রক্ষার রক্ষাকবচ’ হিসেবে গ্রহণ করুন। একটি শক্তিশালী পরিকল্পনা, দক্ষ জনবল এবং নিয়মিত চর্চাই পারে আপনার বিনিয়োগকারী ও গ্রাহকদের আস্থা রক্ষা করতে। মনে রাখবেন, সাইবার হামলার দুনিয়ায় “আমি আক্রান্ত হব কি না” এই প্রশ্ন এখন আর প্রাসঙ্গিক নয়, বরং প্রশ্ন হলো “কখন আক্রান্ত হব এবং আমার তা ঠেকানোর প্রস্তুতি কতটা?”

সচেতন হোন, নিরাপদ থাকুন।

Leave a Comment