• ভাষা:
  • English
  • বাংলা
হোম > নিরাপত্তা বিশ্লেষক প্রতিষ্ঠানের কাছে স্পর্শকাতর তথ্যের নিরাপত্তা যাচাই নিরাপদ কী?
লেখক পরিচিতি
লেখকের নাম: মোহাম্মদ তৌহিদুর রহমান ভূঁইয়া
মোট লেখা:১
লেখা সম্পর্কিত
পাবলিশ:
২০১৬ - মে
তথ্যসূত্র:
কমপিউটার জগৎ
লেখার ধরণ:
সিকিউরিটি
তথ্যসূত্র:
সিকিউরিটি
ভাষা:
বাংলা
স্বত্ত্ব:
কমপিউটার জগৎ
নিরাপত্তা বিশ্লেষক প্রতিষ্ঠানের কাছে স্পর্শকাতর তথ্যের নিরাপত্তা যাচাই নিরাপদ কী?
‘লো-বোলিং’ (Low-balling) শব্দ দুটি অডিটে বহুল প্রচলিত। এর মানে, অডিট সার্ভিসের ফি উল্লেখযোগ্য পরিমাণে কমিয়ে নিয়ে আসা। এর ভালো দিক হলো, কম খরচে ক্লায়েন্টকে ভালো সার্ভিস দেয়া। খারাপ দিক হলো, কার্যকর সেবা দেয়ার ক্ষেত্রে সঠিক মান বজায় রাখতে না পারা। কেননা, মানসম্পন্ন খরচ লো-বোলিংয়ের ক্ষেত্রে বেশিরভাগ সময়ই গুরুত্ব দেয়া হয় না।
আর্থিক নিরীক্ষার ইতিহাস প্রায় তিনশ’ বছরের। এ কারণে এর কাঠামোগত ভিত্তিও খুব শক্তিশালী। এর সুন্দর ও নিয়মতান্ত্রিক অনেকগুলো রেগুলেটরি সংস্থা আছে। অন্যদিকে ইনফরমেশন সিস্টেম/ইনফরমেশন টেকনোলজি নিরীক্ষার কার্যকর কাঠামোগত নির্দিষ্ট কোনো মানদ- ঠিক করা সম্ভব হচ্ছে না। কারণ, টেকনোলজির পরিবর্তন খুব দ্রুতগতিতে চলছে। আজ যেটা নিরাপত্তার নিক্তির মাপে যথার্থ, আগামীকাল তা আবার একই পরিবেশের পরিচালনাকে নির্ভরযোগ্য করতে অনেকাংশে সক্ষম হচ্ছে না। তাই প্রতিষ্ঠানের স্পর্শকাতর তথ্যের নিরাপত্তা যাচাই করার ক্ষেত্রে কিছু বিষয় গুরুত্বে সাথে বিবেচনা করতে হবে।
বর্তমানে আইটি এনাবল সার্ভিসের জন্য বেশিরভাগ ক্ষেত্রে ফিজিক্যাল এবং লজিক্যাল নিরাপত্তা নিশ্চিতের জন্য লেয়ার বেজড নিরাপত্তা পদ্ধতি প্রয়োগ হয়ে থাকে। তাই যেকোনো প্রতিষ্ঠানের নিরাপত্তা নিশ্চিত করার জন্য অপারেশন এবং ডেভেলপমেন্ট ডিভিশনকে ফিজিক্যাল এবং লজিক্যালভাবে আলাদা রাখার ব্যাপারে বিশ্বব্যাপী জোর দেয়া হচ্ছে।
একটি প্রতিষ্ঠান সর্বোচ্চ তিনটি অবস্থার (state) সমন্বয়ে থাকে- ০১. অটোমেটেড, যাকে বলা হয় তথ্যপ্রযুক্তি (IT), ০২. নন-অটোমেটেড (ম্যানুয়াল) এবং ০৩. ট্রানজিশন- অটোমেশনের দিকে প্রক্রিয়াধীন।
৯০-১০ নিয়মে (rule) এই প্রতিষ্ঠানের ১০০ ভাগের ১০ ভাগ থাকে অটোমেটেড (তথ্যপ্রযুক্তি) আর ৯০ ভাগ নন-অটোমেটেড বা ম্যানুয়াল। এই তিনটি অবস্থা সঠিকভাবে পরিচালনা করতে কনসালট্যান্ট, ইনভেস্টিগেটর বা তদন্তকারী ও অডিটরেরা ভূমিকা পালন করেন।
কনসালট্যান্ট : প্রতিষ্ঠানে বিশেষ কোনো কাজে দক্ষ জনশক্তি না থাকলে প্রতিষ্ঠানের বাইরের ডোমেইন স্পেসিফিক দক্ষ স্বতন্ত্র ব্যক্তি বা প্রতিষ্ঠানকে কাজে নিযুক্ত করা হয়। এই বিশেষ সেবাদানকারীদের কনসালট্যান্ট বা পরামর্শক বলা হয়।
ইনভেস্টিগেটর : নির্দিষ্ট কোনো ঘটনার প্রকৃত বিষয়বস্ত্ত যিনি উদঘাটন করেন তাকে তদন্তকারী কর্মকর্তা বা ইনভেস্টিগেটর বলা হয়।
অডিটর : ম্যানেজার বা প্রতিদিনকার ব্যবস্থাপনা বা পরিচালনা সঠিক ও যৌক্তিকভাবে হচ্ছে কি না তা যাচাই যারা করেন, তারা অডিটরের ভূমিকা পালন করেন।
এসেসর/অডিটর/পরামর্শকের সেবা : এদের সার্ভিসগুলোর ক্ষেত্রে বর্তমানে Separation of duty মেনে চলা হচ্ছে। একজন কনসালট্যান্ট বা পরামর্শক একজন ব্যক্তি বা প্রতিষ্ঠানের ক্ষেত্রে পাঁজরের হাড়ের মতো কাজ করেন। কোনোক্রমেই তার নিজস্ব/একান্ত নিজের পছন্দের কোনো প্রোডাক্ট/সার্ভিস দেয়া নৈতিকতার বাইরে। এরূপ পরিস্থিতি বর্তমান থাকলে একজন কনসালট্যান্ট বা পরামর্শকের ভূমিকা খর্ব হয়। এ ক্ষেত্রে তিনি পরামর্শকের পরিবর্তে প্রোডাক্ট সরবরাহকারীতে (ভেন্ডর) পরিণত হন। তদ্রুপ একজন অডিটর বা ইনভেস্টিগেটর তার রিপোর্টে কখনই কোনো ব্র্যান্ড উল্লেখ করেন না। যেকোনো পণ্যের কার্যকর ও দক্ষ সার্ভিসের মাধ্যমে ক্লায়েন্টের প্রয়োজন মিটছে কি না সেটাই বড় কথা।
মনে রাখা প্রয়োজন, অডিটর বা ইনভেস্টিগেটরের ভূমিকা খুব নাজুক। তিনি কোনো নির্দিষ্ট/বিশেষ সলিউশন/প্রোডাক্ট বা ব্র্যান্ড উল্লেখ করতে পারেন না। যে মুহূর্তে তিনি তা করবেন, ঠিক সেই মুহূর্ত থেকে তার ভূমিকা কনসালট্যান্ট বা পরামর্শকের ভূমিকায় পরিণত হয়। যাকে বলা হয় Conflict of Interest।
নিরাপত্তা যাচাইয়ে বিশ্লেষক (ব্যক্তি) : কোনো প্রতিষ্ঠানের শুধু ইন্টারনাল কন্ট্রোল এবং কমপ্লায়েন্স ডিপার্টমেন্টে (অভ্যন্তরীণ নিয়ন্ত্রণ ও কমপ্লায়েন্স ডিপার্টমেন্টে) যদি যোগ্য লোকের অভাব থাকে, শুধু সে ক্ষেত্রে চুক্তিভিত্তিক যোগ্য ব্যক্তিকে নিয়োগ দেয়া যেতে পারে।
নিরাপত্তা যাচাইয়ে নামসর্বস্ব কোম্পানির ক্ষেত্রে : কিছু কিছু ব্যক্তি কোনো একটি প্রতিষ্ঠানে পূর্ণকালীন কর্মী বা পরামর্শক হিসেবে কর্মরত থাকাকালীন নামমাত্র একটি ট্রেড লাইসেন্স করেন এবং ব্যক্তিগত কিছু সার্টিফিকেটের ওপর ভর করে অন্য প্রতিষ্ঠানে এক্সটারনাল অডিট বা ইনভেস্টিগেটর প্রতিষ্ঠান হিসেবে কাজ করে আসছেন। এই ধরনের নিরাপত্তা যাচাই প্রতিষ্ঠানের সার্ভিস নেয়া কখনই উচিত নয়।
প্রথমত, নামসর্বস্ব কোম্পানির ব্যক্তি কর্মরত প্রতিষ্ঠানে ও যে প্রতিষ্ঠানে সেবা দিতে চাচ্ছেন, ওই দুই জায়গায় একই সময়ে পূর্ণ মনোনিবেশ করতে পারেন না।
দ্বিতীয়ত, এই ধরনের নামসর্বস্ব কোম্পানির মাধ্যমে প্রতিষ্ঠানের নিরাপত্তা যাচাই বেশিরভাগ ক্ষেত্রে ‘আন্ডার রেটিং’ বা ‘ওভার রেটিং’ হয়, যা ক্লায়েন্টের আত্মবিশ্বাসকে সঠিক সিদ্ধান্ত নিতে বিভ্রান্ত করে।
তৃতীয়ত, যদি নিরাপত্তা বিশ্লেষক বা পরিদর্শক কোনো ধরনের অবৈধ কাজে লিপ্ত হন, তাহলে এই নামসর্বস্ব বিশ্লেষক কোম্পানির বিরুদ্ধে আইন প্রয়োগ করা দুরূহ হয়ে পড়ে।
আন্তর্জাতিকভাবে নিবন্ধিত নিরাপত্তা যাচাই প্রতিষ্ঠান : যেসব প্রতিষ্ঠানের মূল সেবা নিরাপত্তা যাচাই/বিশ্লেষণ এবং যারা আন্তর্জাতিকভাবে নিরাপত্তা যাচাই/বিশ্লেষক প্রতিষ্ঠান হিসেবে নিবন্ধিত তাদেরই শুধু স্পর্শকাতর তথ্যের নিরাপত্তা যাচাইয়ের জন্য নিয়োগ করা উচিত। এ ধরনের কোম্পানির তিনটি উল্লেখযোগ্য উপকারিতা- ০১. প্রথমত, এরা Licensed, Registered এবং একই সাথে Validated, Approval tools ও ব্যক্তি ব্যবহার করে। ০২. আন্তর্জাতিক মান বজায় রাখার লক্ষ্যে বিশেষ Council-এর কঠিন Regulatory নিয়ম মেনে চলে। কোনো কারণে Quality-এর ব্যত্যয় হলে স্বয়ং Regulatory body বিশ্লেষক প্রতিষ্ঠানের পক্ষে এসেসমেন্টে Close Support দেন। এতে সঠিক বিশ্লেষণ সম্ভব। ০৩. এসেসর কোম্পানির কোনো বিশ্লেষক যদি কাজের বাইরে নিজের খারাপ উদ্দেশ্য সাধনে লিপ্ত থাকেন, সে ক্ষেত্রে আন্তর্জাতিকভাবে Insurance Coverage-এর আওতায় নিরাপত্তা বিশ্লেষক কোম্পানি ওই বিশ্লেষকের মাধ্যমে ক্ষতিপূরণের ১০০ ভাগ নিশ্চয়তার বিধান রয়েছে। এক কথায়, পরিস্থিতির নিরিখে এ ধরনের কোম্পানিকে আইনের আওতায় আনা যায়।
আপনি আপনার ব্যবসায় গড়ে তুলতে কঠোর পরিশ্রম করেছেন এবং করছেন। এই পরিশ্রমকে সফল করে তুলতে আপনার নিজের ও আপনার ক্রেতার সংবেদনশীল তথ্যের নিরাপত্তা নিশ্চিত করার দায়িত্ব আপনারই। মালিকপক্ষ এবং আপনার ক্রেতারা তথ্যের নিরাপত্তার জন্য আপনার ওপর বিশ্বাস করে ও নির্ভর করে। এই বিশ্বাসের মর্যাদা দিতে ত্রৈমাসিক ভালনারাবিলিটি অ্যানালাইসিস/এসেসমেন্ট, বার্ষিক (কমপক্ষে) পেনিট্রেশন টেস্টিং এবং ইনফরমেশন সিস্টেম অডিট/ইনফরমেশন টেকনোলজি অডিটের ব্যবস্থা করার দায়িত্ব আপনার ওপরই বর্তায়। তাই আপনার প্রতিষ্ঠানের নিরাপত্তা যাচাই করার জন্য প্রথম পদক্ষেপটি ফেলুন একটি আন্তর্জাতিকভাবে নিবন্ধিত যোগ্যতাসম্পন্ন প্রতিষ্ঠানকে সাথে নিয়ে, যাদের কি না নিরাপত্তা যাচাইয়ের কাজগুলোর জন্য দক্ষ একটি টিম আছে এবং সব কাজ বীমার আওতায় আছে।
তথ্যের নিরাপত্তার বিষয়ে আমার এই গুটিকতক শব্দচয়ন আপাতদৃষ্টিতে বিরক্তিকর মনে হলেও অদূর ভবিষ্যতে আপনার প্রতিষ্ঠানের পুরো ব্যবসায়কে সার্বজনীনভাবে নির্ভরযোগ্য করে তুলবে বলে আমার দৃঢ়বিশ্বাস


পত্রিকায় লেখাটির পাতাগুলো
লেখাটির সহায়ক ভিডিও
২০১৬ - মে সংখ্যার হাইলাইটস
চলতি সংখ্যার হাইলাইটস
অনুরূপ লেখা