তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা- ১ম কিস্তি

বছর দুয়েক আগের ঘটনা। আমার এক বন্ধুর প্রতিষ্ঠানের জন্য একটি “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা”র পরিকল্পনা করে দিয়েছিলাম। অনেক সময় দিয়ে ৪টি ধাপের একটি ভাল পরিকল্পনা করেছিলাম। বন্ধুর প্রতিষ্ঠান পরামর্শক হিসেবে সময়মত আমার প্রতিষ্ঠানকে ফিস দিয়ে দিল। তার বোর্ডের সবাই উচ্ছ্বাসিত প্রশংসাও করল। কিন্তু পরিকল্পনাটা আর বাস্তবায়ন করল না। মন মেজাজ দুটোই খারাপ হল। ভাল বন্ধু বলে তারপরেও অনুরোধ করলাম অন্তত ১ম ধাপটি বাস্তবায়ন করতে। তাদের আরও গুরুত্বপূর্ণ কাজের ভিড়ে সেটা হারিয়ে গেল। মাঝে আমিও আর খোজ নেবার সময় পায়নি। কিছুদিন আগে অনেক রাতে হঠাৎ তার ফোন। কণ্ঠ শুনেই বুঝতে পারলাম – ঘটনা ঘটে গেছে। জানলাম সবগুলো সেবা অচল এবং প্রচুর তথ্য ক্ষতি হয়েছে। হিসেব করে দেখলাম সেবাগুলো সচল করতে সময় লাগবে প্রায় ৩ দিন। আর হারিয়ে যাওয়া তথ্যগুলো পুরো ফিরিয়ে আনতে সময় লাগবে নূন্যতম ২ মাস। সবাই মিলে হাত লাগিয়ে সব কিছু আগের অবস্থায় এলো। কিন্তু পুরো কাজে প্রচুর ব্যয় এবং অকারণ হেনস্থা হল। উল্লেখযোগ্য বিষয় হচ্ছে এই সব মিলিয়ে যে ক্ষতি হল তার অর্থমূল্য দিয়ে দুবছর আগের সেই পরিকল্পনাটি কয়েকবার বাস্তবায়ন করা যেত। তবে চোর পালাবার পরে বুদ্ধি অনেক বেশি হয়েই আর কি লাভ?

ব্যবসায়ে ঝুঁকি বলতে প্রথম দিকে ছিল প্রাকৃতিক দুর্যোগ আর চুরি-ডাকাতি। সেসময় প্রাকৃতিক দুর্যোগ মোকাবেলা ও সাধারণ নিরাপত্তার ব্যবস্থা নিলেই চলেছে। এরপর রাষ্ট্র ব্যবস্থা ক্রমশ শক্তিশালী হয়েছে। যুক্ত হয়েছে বিভিন্ন নিয়ন্ত্রণকারী সংস্থা, কর, আইন ইত্যাদির ব্যবস্থাপনা ঝুঁকি। ব্যবসার স্বার্থে এসকল ঝুঁকিকে প্রাতিষ্ঠানিক ঝুঁকি হিসেবে স্বীকৃতি দিয়ে ব্যবস্থাপনা পরিকল্পনা করতে হয়েছে। গড়ে তুলতে হয়েছে প্রয়োজনীয় জনবল ও অবকাঠামো। আইন সেবা প্রতিষ্ঠান, সিকিউরিটি গার্ড এজেন্সি, বিমা প্রতিষ্ঠানের মত ঝুঁকি ব্যবস্থাপনা সহযোগী প্রতিষ্ঠানগুলো গড়ে উঠেছে।

প্রযুক্তির ক্রমবিকাশের কারণে লোক দিয়ে করানো কাজের বেশিরভাগ প্রযুক্তি দিয়ে করা শুরু হল। প্রযুক্তি নির্ভরতার সাথে সাথে প্রযুক্তি বিষয়ক ঝুঁকিও তৈরি হতে থাকল। তবে প্রযুক্তির পরিবর্তন এত দ্রুত যে বেশিরভাগ প্রতিষ্ঠান এক-দুবার বিপদে পড়ার আগে এই ঝুঁকি বুঝে উঠতে পারেনি। ফলে প্রযুক্তিতে এগিয়ে থাকা দেশগুলোর কিছু নামকরা প্রতিষ্ঠানকে বড় প্রাকৃতিক দুর্যোগের চেয়েও বেশি ক্ষতির সম্মুখীন হয়েছে। কিছু প্রতিষ্ঠান ক্ষতি সামলে উঠতে না পেরে বন্ধ হয়ে গেছে। এরকম লোকসান বিনিয়োগকারী ও নিয়ন্ত্রণকারী সংস্থাগুলোকে উদ্বিগ্ন করেছে। তারা এ বিষয়ে অসচেতন প্রতিষ্ঠানগুলোর উপরে চাপ সৃষ্টি শুরু করে। পর্যায়ক্রমে বেশিরভাগ প্রতিষ্ঠান “তথ্য প্রযুক্তি ঝুঁকি ব্যবস্থাপনা” র বিষয়টিকে প্রাতিষ্ঠানিক গুরুত্ব দিতে বাধ্য হয়। এখন তাদের দীর্ঘ মেয়াদি পরিকল্পনায় এই বিষয়টি গুরুত্বের সাথে যায়গা পাচ্ছে। সে অনুযায়ী তারা অবকাঠামো, প্রশিক্ষিত জনবল, ইত্যাদির ব্যবস্থা করেছে। এমনকি এই বিষয়ে সবাইকে সাহায্য করার জন্য বিভিন্ন দেশের সরকার, বেসরকারি প্রতিষ্ঠান, পেশাজীবী সংগঠন মিলে তৈরি করেছে তথ্য প্রযুক্তি ঝুঁকি মোকাবেলার মানদণ্ড বা “স্ট্যান্ডার্ড”। . সেগুলো প্রতিনিয়ত অভিজ্ঞতা থেকে সমৃদ্ধ হচ্ছে। নির্দিষ্ট সময় পরপর নতুন সংস্করণ হিসেবে প্রকাশিত হচ্ছে।

আমাদের দেশের প্রতিষ্ঠানগুলোর ক্রমশ তথ্য প্রযুক্তি নির্ভরতা বাড়ছে। তথ্য প্রযুক্তিকে “খরচ” হিসেবে ভাবার বদলে “বিনিয়োগ” হিসেবে ভাবার চর্চা শুরু হয়েছে। যেসব প্রতিষ্ঠান আগে তাদের মোট আয়ের .০০১% এ খাতে বিনিয়োগের কথা ভাবেনি, আজ তারা মোট বাৎসরিক বিনিয়োগের ১% থেকে ৩% পর্যন্ত ব্যয় করছে। ব্যবসায়ে বাড়তি সুবিধা হবার কারণেই আগ্রহ বাড়ছে। তথ্য প্রযুক্তি সেবা দানকারী প্রতিষ্ঠান ছাড়াও অর্থনৈতিক খাতে বিনিয়োগের পরিমাণ চোখে পড়ার মত। তবে সেই বিনিয়োগের বেশিরভাগ অংশ এখন পর্যন্ত যাচ্ছে শুধুমাত্র অবকাঠামো তৈরি ও জনশক্তির বেতন ভাতায়। সেইসাথে চোখে না পড়লেও পাশাপাশি ছায়ার মত বেড়ে চলেছে তথ্য প্রযুক্তি ঝুঁকির পরিমাণ। যেটা মোকাবেলায় বিনিয়োগ এখনও প্রায় শূন্যের কোঠায়। বেশিরভাগ প্রতিষ্ঠান এ ক্ষেত্রে গুরুত্ব দিচ্ছে না মূলত সচেতনতার অভাবে। কিছু ক্ষেত্রে কারিগরি কর্মীরা বিষয়টি নিয়ে কথা বললেও প্রাতিষ্ঠানিক গুরুত্ব পাচ্ছে না। যার অন্যতম প্রধান কারণ হচ্ছে খালি চোখে এর কোন লাভ দেখা যায় না। কিন্তু অবহেলা করলে প্রতিষ্ঠানের অস্তিত্বে ঝুঁকির মধ্যে থেকে যায়। বেশিরভাগ সিদ্ধান্ত দাতার কাছে এটা পরিষ্কার না। একসময় বিমা খরচের প্রতি এ ধরনের মানসিকতা থাকলেও এখন তা বাস্তবতা। এক্ষেত্রে সেই বাস্তবতা যত দ্রুত বোঝা যায় ততই মঙ্গল।

ইতোমধ্যে ছোটখাটো বিপদে পড়া কিছু প্রতিষ্ঠান বিষয়টি নিয়ে ভাবনা শুরু করেছে। কেউ কেউ দু একটি ফাইয়ারওয়াল, আইডিএস, আইপিএস এর মত অবকাঠামোতে বিনিয়োগ করেছে। দু একজন তথ্য প্রযুক্তি নিরাপত্তা কর্মী হিসেবে নিয়োগ দিয়েছে। কিন্তু শুধুমাত্র অবকাঠামো তৈরি বা কর্মী নিয়োগ দিয়ে এই ঝুঁকি শেষ হবে না। যেমন শুধুমাত্র অস্ত্র ও নিরাপত্তা কর্মী দিয়ে দিয়ে পূর্ণ নিরাপত্তা ঝুঁকি সামাল দেয়া সম্ভব না। এসবের পাশাপাশি দরকার – প্রাতিষ্ঠানিক ঝুঁকি মূল্যায়ন, সে অনুযায়ী নিরাপত্তা পরিকল্পনা, প্রয়োজনীয় প্রশিক্ষণ, নেতৃত্ব এবং নিয়মিত চর্চা। দরকার আন্তর্জাতিক মানদণ্ডের সাথে তাল মিলিয়ে নিজেদেরকে এগিয়ে নেয়া। ঝুঁকি ব্যবস্থাপনা মানে এক ধরনের সংস্কৃতির চর্চা। এই চর্চা প্রাতিষ্ঠানিক গুরুত্বের মধ্যে নিয়ে আসতে হবে এবং নিয়মিত করতে হবে।

প্রযুক্তি নির্ভরতা ছাড়া আমাদের এগিয়ে যাওয়া সম্ভব হবে না। তাই প্রযুক্তি নির্ভর প্রতিষ্ঠানের ভবিষ্যৎ নিরাপদ করতে প্রতিষ্ঠানের নির্বাহীদের এই বিষয়ে আরও গুরুত্ব দেবার সময় চলে যাচ্ছে। সেই সাথে অর্থনৈতিক স্বার্থ রক্ষায় প্রতিষ্ঠানগুলোর বিনিয়োগকারীদের উদ্বেগ প্রয়োজন। পাবলিক কোম্পানিগুলোর ক্ষেত্রে জনস্বার্থ রক্ষায় নিয়ন্ত্রণকারী সংস্থাগুলোর পক্ষ থেকে এই বিষয়টিতে গুরুত্ব দেয়া দরকার।

** লেখাটির সারসংক্ষেপ আজ প্রথম আলোয় প্রকাশিত হয়েছে : http://www.prothom-alo.com/detail/date/2012-08-31/news/285249

#ictRiskManagement #ICT #IT #Management

 

 

এডিট- এসএস

মন্তব্য করুন