আসসালামু আলাইকুম, কেমন আছেন টেকটিউনস কমিউনিটি? আশা করছি সবাই ভাল আছেন। আমিও ভালো আছি। আজকে আবার হাজির হলাম আপনাদের জন্য নতুন টিউন নিয়ে। তাহলে চলুন শুরু করা যাক।
যদি কোন কোম্পানি ইফেক্টিভ ওয়েতে সিকিউরিটি রিস্ক ম্যানেজ করতে চায় এবং যেকোনো সাইবার এটাক এর ক্ষতি থেকে বাঁচতে চায় তাহলে সেই কোম্পানির জন্য রয়েছে NIST Cybersecurity Framework। আধুনিক নিরাপত্তা ব্যবস্থাপনার বিভিন্ন বিষয় একত্রিত করে NIST Cybersecurity Framework তৈরি করা হয়েছে৷ যাতে আপনি পাবেন সাইবার এটাক হ্রাস করার সুস্পষ্ট দিক নির্দেশনা সহ আরও অনেক কিছু। তো আজকের এই টিউনে আমরা জানব NIST Cybersecurity Framework কী এবং কীভাবে এটি আপনার বিজনেসে ব্যবহার করবেন।
NIST Cybersecurity Framework এর ইতিহাস
২০১৩ সালে Sony Picture এর মত বড় বড় কয়েকটা অর্গানাইজেশনে সাইবার হামলা হয়ে ব্যাপক ডাটা ব্রিচের ঘটনা ঘটে৷ এর পর থেকে এই ধরনের হুমকি ভাল ভাবে প্রতিহত ও ম্যানেজ করার জন্য একটি সিকিউরিটি গাইডলাইন তৈরির প্রয়োজন দেখা দেয়৷ এবং গাইডলাইনটি এমন হবে যা সহজে বুঝা যাবে।
একই বছর যুক্তরাষ্ট্রের National Institute of Standards and Technology (NIST), প্রাইভেট সেক্টরের সাথে একটি স্ট্যান্ডার্ড সিকিউরিটি প্র্যাকটিস তৈরি করা শুরু করে। এটি তৈরির উদ্দেশ্য ছিল অর্গানাইজেশন গুলো যেন বিভিন্ন সাইবার হামলা সম্পর্কে বুঝতে পারে এবং ক্ষতি কমাতে যথাযথ পদক্ষেপ গ্রহণ করতে পারে। এর এভাবেই Cybersecurity Framework Version 1.0 এর উৎপত্তি।
NIST Cybersecurity Framework প্রকৃতপক্ষে কী?
বিভিন্ন সাইবার এটাক থেকে বাঁচতে একটি কোম্পানির জন্য NIST Cybersecurity Framework খুবই গুরুত্বপূর্ণ একটি টুল। এটির মাধ্যমে কোম্পানি জানাবে কীভাবে সাইবার সিকিউরিটি আরও শক্তিশালী করা যায় এবং সম্ভাব্য ক্ষতি এড়ানো যায়। বিজনেস হোক বড় বা ছোট, NIST Cybersecurity Framework গুরুত্বপূর্ণ অবদান রাখতে পারে।
আসন্ন এবং ক্রমবর্ধমান বিভিন্ন থ্রেডকে প্রতিহত করতে ইন্ডাস্ট্রি জুড়ে একটি সঠিক সিকিউরিটি ষ্ট্যাণ্ডার্ড সেট করতে NIST CSF সাহায্য করতে পারে। NIST Cybersecurity Framework এর স্ট্রাকচার বুঝতে আমরা NIST কে তিনটি পার্টে ভাগ করতে পারি৷
- কোর ফাংশন
- বিভিন্ন স্তর বা Tier
- প্রোফাইল
কোর ফাংশন
NIST Cybersecurity Framework এর রয়েছে পাঁচটি ফাংশন। নিচে ফাংশন গুলো নিয়ে আলোচনা করা হল,
Identify
এই ফাংশন অর্গানাইজেশনকে বুঝতে সহায়তা করবে, কোন এসেট, অপারেশন এবং বিজনেস এনভায়রনমেন্ট এর প্রোটেকশন প্রয়োজন। এটি একটি কোম্পানির অবকাঠামোকে হুমকির মুখে ফেলতে পারে এমন দুর্বলতাগুলি চিহ্নিত করে, সাপ্লাই চেইন রিস্ক ও ঝুঁকি মূল্যায়ন ব্যবস্থাপনায় সহায়তা করে। সিকিউরিটি রিস্ক শনাক্ত ও প্রশমিত করতে এটি কার্যকর নীতি, কৌশল তৈরি করতে সহায়তা করবে৷
Protect
এই ফাংশনটি গুরুত্বপূর্ণ অবকাঠামো রক্ষার জন্য সিকিউরিটি পলিসি, স্ট্রেটেজি, বেস্ট প্র্যাকটিস বাস্তবায়নের সাথে জড়িত। অ্যাক্সেস কন্ট্রোল, সিকিউরিটি এওয়ারনেস ট্রেনিং, রক্ষণাবেক্ষণ, ব্যাকআপ এবং অন্যান্য সিকিউরিটি প্রযুক্তি যেমন এনক্রিপশন এই ফাংশনের গুরুত্বপূর্ণ অংশ।
Detect
এর কাজ হচ্ছে এটি প্রতিনিয়ত সব ধরনের এক্টিভিটি এবং ইভেন্ট মনিটর করবে এবং কোন সিকিউরিটি থ্রেড ডিটেক্ট হলে দক্ষতার সাথে প্রতিহত করবে। এটি ইতিমধ্যে নেয়া পদক্ষেপ ও সাইবার সিকিউরিটি বেস্ট প্র্যাকটিস এর কার্যকারিতা যাচাই করতেও সহায়তা করবে।
Respond
এই ধাপের কাজ হল, সাইবার এটাকে কোম্পানি কীভাবে রেসপন্স করবে, ক্ষতির পরিমাণ কমাতে কী পদক্ষেপ নেবে এটা ঠিক করা। রেসপন্স পরিকল্পনা প্রক্রিয়া, বিশ্লেষণ, দক্ষ যোগাযোগ, কার্যকর প্রশমন কৌশল, এবং ইম্প্রুভমেন্ট এই ফাংশনের গুরুত্বপূর্ণ অংশ।
Recover
এই ফাংশন সাইবার স্থিতিস্থাপকতা বাস্তবায়নের জন্য রিকোভারি পরিকল্পনার সাথে জড়িত। এটি নিশ্চিত করবে কীভাবে বিজনেস দ্রুত সিকিউরিটি এটাক রিকোভার করবে এবং এটাক দ্বারা প্রভাবিত সম্পদ দ্রুত পুনরুদ্ধার করবে।
NIST এর বিভিন্ন Tier বা স্তর
কোম্পানিতে সাইবার সিকিউরিটি ব্যবস্থা কেমন এবং এর অগ্রগতি কত টুকু এটা মূল্যায়নে সাহায্য করবে NIST এর বিভিন্ন Tier। NIST কয়েকটা স্তরে কোম্পানিকে ভাগ করতে পারে।
Tier 1
এ স্তরে সাইবার সিকিউরিটি বেস্ট প্র্যাকটিস নিয়ে অর্গানাইজেশন গুলোর সচেতনতা থাকে সীমিত ৷ যখন থ্রেড দেখা দেয় এবং প্রশমিত করার প্রয়োজন পড়ে তখনই তারা সিকিউরিটি রিস্ক নিয়ে কাজ করে৷
Tier 2
এই পর্যায়ে অর্গানাইজেশনের সিকিউরিটি রিস্ক সম্পর্কে কিছু আইডিয়া থাকে তবে তাদের পুনরাবৃত্তি-যোগ্য রিস্ক ম্যানেজমেন্ট প্রসেস থাকে না।
Tier 3
এই স্তরে, সংস্থার একটি রুটিন অথবা পুনরাবৃত্তি-যোগ্য রিস্ক ম্যানেজমেন্ট প্রসেস থাকে যা দুর্বলতা বা Vulnerability মূল্যায়ন করে সঠিক ব্যবস্থা গ্রহণ করতে পারে। এই স্তরে থাকা কোম্পানি গুলো সাইবার সিকিউরিটি নিয়ে সচেতন থাকে এবং প্রয়োজনীয় ব্যবস্থা গ্রহণ করতে পারে।
Tier 4
এই স্তরের কোম্পানি সাইবার এটাক এর বিপক্ষে রিস্ক ম্যানেজমেন্টে প্রসেস প্রতিনিয়ত উন্নত করতে থাকবে। তারা রিস্ক ম্যানেজমেন্টে প্রসেসে উল্লেখযোগ্য হারে রিসোর্স ব্যয় করবে।
NIST Cybersecurity Framework প্রোফাইল
NIST কত গুলো প্রোফাইল নির্ধারণ করেছে। এই প্রোফাইলের মাধ্যমে কোম্পানি নির্ধারণ করতে পারবে তাদের লক্ষ্য কতটা বাস্তবায়িত হয়েছে এবং তারা কোন পর্যায়ে আছে।
Current Profile
এর মাধ্যমে কোম্পানির বর্তমান অবস্থা সম্পর্কে জানা যাবে। সিকিউরিটি এনালাইসিস এর মাধ্যমে কোম্পানির স্টেইক হোল্ডাররা বুঝতে পারবে এই মুহূর্তে তাদের কোম্পানির ডিফেন্স ব্যবস্থা কেমন।
Target Profile
ভবিষ্যতে সাইবার সিকিউরিটি কেমন হবে এটা জানা যাবে টার্গেট প্রোফাইলে। এর মাধ্যমে আপনি বুঝতে পারবেন লক্ষ্য অর্জনে আর কোন কোন দিক উন্নত করা যায়
Gap Profile
এনালাইসিস এর মাধ্যমে গ্যাপ প্রোফাইল নির্ধারণ করা হয়। বর্তমান প্রোফাইল এবং টার্গেট প্রোফাইলের পার্থক্য হচ্ছে গ্যাপ প্রোফাইল। এই গ্যাপ পূরণ করার জন্য কোম্পানি যথাযথ ব্যবস্থা গ্রহণ করবে।
কীভাবে NIST Framework দিয়ে ভাল ভাবে রিস্ক ম্যানেজ করা যায়
কীভাবে ইফেক্টিভ রিস্ক ম্যানেজমেন্ট প্রোগ্রাম তৈরি করা যায় এবং বিভিন্ন সাইবার হামলা এড়ানো যায় সেই সংক্রান্ত গাইড দিতে পারে NIST। NIST কয়েকটা ধাপে আপনাকে সাহায্য করে। ধাপ গুলো নিচে তুলে ধরা হল,
Prioritize/Scope
প্রথম ধাপে বিজনেসকে অবজেক্টিভ, চাহিদা এবং সিকিউরিটি ডিমান্ড সেট আপ করার জন্য ডাকা হবে। এটি তাদের সাইবার সিকিউরিটি প্রোগ্রাম কেমন হবে সে সম্পর্কে একটি পরিষ্কার ধারণা পেতে এবং গুরুত্বপূর্ণ ক্ষেত্রগুলিকে অগ্রাধিকার দিতে সহায়তা করবে।
Orient
পরের ধাপ অর্গানাইজেশনের রিসোর্স এবং অপারেশন নিয়ে বিস্তারিত এনালাইসিস করা হয়। সে অনুযায়ী সিকিউরিটি থ্রেড প্রতিহত করতে পরবর্তীতে প্রসেস এবং স্ট্রেটেজি ডেভেলপ করা হয়।
Current profile
তৃতীয় ধাপে কোম্পানিকে Current Profile ডেভেলপ করতে বলা হয়। এটি বুঝতে সহায়তা করে কোম্পানির সিকিউরিটি প্র্যাকটিস এবং রিস্ক ম্যানেজমেন্ট কোথায় আছে।
Risk assessment
কারেন্ট প্রোফাইল তৈরি হওয়ার পরে, কোম্পানি গুলোকে ঝুঁকি মূল্যায়ন করতে হবে। যা থ্রেড প্রতিরোধ এবং ম্যানেজমেন্ট সিস্টেমের দক্ষতা মূল্যায়নে সহায়তা করে। এটি বিশ্লেষণ করতে সাহায্য করবে যে সাইবার হুমকি তাদের কার্যক্রমকে কতটা খারাপ ভাবে প্রভাবিত করতে পারে।
Target profile
আগেই আলোচনা করেছি টার্গেট প্রোফাইল কোম্পানিকে নির্দিষ্ট লক্ষ্য নির্ধারণে সাহায্য করবে।
Gap analysis
গ্যাপ এনালাইসিস এর মাধ্যমে কোম্পানি বুঝতে পারবে বর্তমানে তাদের সিকিউরিটি ম্যানেজমেন্ট পলিসি ব্যবস্থা কেমন এবং টার্গেট কতটা ফিলআপ হয়েছে
Action plan
গ্যাপ এনালাইসিস এর পর কোম্পানি একটি ডিটেল একশন প্ল্যান তৈরি করবে যার মাধ্যমে কোম্পানি তার লক্ষ্য অর্জন করতে পারবে৷
NIST Cybersecurity Framework 2.0
২০২৩ সালে NIST 2.0 নামে একটি ড্রাফট ভার্সন তৈরি করেছে। এখানে CSF এর ব্যাপ্তি আরও বেড়েছে যা সব সাইজের এবং সব ধরনের বিজনেসের সাথে কাজ করতে পারে। Govern নামে নতুন একটি ফাংশনও যুক্ত করা হয়েছে। এই ফাংশনটি কোম্পানিকে আরও ভাল নীতি, পদ্ধতি এবং রিস্ক ম্যানেজমেন্ট টেকনিক তৈরিতে সাহায্য করবে।
শেষ কথা
বর্তমান সময়ে সকল কোম্পানিকে সাইবার সিকিউরিটি নিয়ে যথেষ্ট সচেতন থাকা উচিৎ। কারণ সিস্টেমে সিকিউরিটি রিস্ক এবং Vulnerability থাকলে তা ব্যাপক আর্থিক ক্ষতি সাধন করতে পারে৷
সুতরাং রিস্ক ম্যানেজমেন্ট প্রসেস দক্ষতার সাথে পরিচালনা করতে, সাইবার সিকিউরিটি টার্গেট অর্জন করতে এবং সিকিউরিটি থ্রেড থেকে ডেটাকে সফলভাবে রক্ষা করতে আপনিও NIST Cybersecurity Framework ব্যবহার করতে পারেন।
তো আজকে এই পর্যন্তই, কেমন হল আজকের টিউন তা অবশ্যই টিউমেন্টের মাধ্যমে জানাবেন। পরবর্তী টিউন পর্যন্ত ভাল থাকুন, আল্লাহ হাফেজ।
#NIST #Cybersecurity #Framework #ক #কন #এট #যকন #কমপনর #জনয #গরতবপরণ #Techtunes