নিরাপত্তা সংস্কৃতি: একটি ওটি বেঁচে থাকার গল্প

সময় স্ট্যাম্প: 30 আগস্ট, 2022 1:00 অপরাহ্ন
উত্স নোড: 1660750

নিরাপত্তা সম্প্রদায়ের অধিকাংশ সদস্য একটি উন্নত নিরাপত্তা সংস্কৃতির প্রয়োজনীয়তা স্বীকার করে — যার অর্থ সামগ্রিক ঝুঁকি কমাতে সাইবার নিরাপত্তার উন্নতির জন্য পদ্ধতিগত কর্পোরেট সচেতনতা, পরিমাপ এবং পর্যবেক্ষণ। শুধু তাকান কিম জেটারের ব্ল্যাক হ্যাট ইউএসএ 2022 মূল বক্তব্য, যা গুরুত্বপূর্ণ অবকাঠামো জুড়ে গুরুত্বপূর্ণ নিরাপত্তা উন্নতির আহ্বান জানিয়েছে।

অনেক সময়, কার্যকর নিরাপত্তার প্রতিবন্ধকতা অগত্যা প্রযুক্তিগত নয়, বরং একটি সাংস্কৃতিক সমস্যা। অনেকেই প্রায়শই ভুলবশত ব্যবহারকারীর শিক্ষা এবং প্রশিক্ষণের সাথে সমতুল্য করে একটি নিরাপত্তা সংস্কৃতির সৃষ্টি. ব্যবহারকারী শিক্ষা বিষয় এবং বাধ্যবাধকতা সম্পর্কে তথ্য ভাগ করে নেওয়ার বিষয়ে - যেখানে নিরাপত্তা সংস্কৃতি নিরাপত্তার সমর্থনে আচরণগত পরিবর্তন সম্পর্কে।

ব্যবহারকারী সচেতনতার মাধ্যমে নিরাপত্তা সংস্কৃতি গড়ে তোলা

যদিও ব্যবহারকারীর সচেতনতা এবং নিরাপত্তা সংস্কৃতি গড়ে তোলা ভিন্ন ভিন্ন ব্যায়াম যার ভিন্ন ভিন্ন চ্যালেঞ্জ, তারা একটি সাধারণতা ভাগ করে নেয়: তাদের গুরুতর মনোযোগ এবং সমর্থন প্রয়োজন। মনে রেখে, এই দুটি ব্যায়াম আসলে একে অপরের পরিপূরক।

এটি বিবেচনা করুন: যদিও CISO রিপোর্টিং কাঠামো নিয়ে অনেক বিতর্ক রয়েছে, নিরাপত্তা সংস্কৃতি চালানোর জন্য প্রয়োজনীয় সমর্থন এই শ্রেণিবিন্যাসের উপর নির্ভরশীল নয়; এটি সাধারণভাবে স্বীকৃত ব্যবসায়িক ক্রিয়াকলাপের মাধ্যমে ব্যবহারকারীর আচরণের পরিবর্তনের উপর নির্ভরশীল। এই সামগ্রিক ব্যবসায়িক প্রক্রিয়া পরিবর্তনের কারণেই নিরাপত্তা সংস্কৃতিকে ওপর থেকে নিচের দিকে চালিত করা দরকার।

ব্যবহারকারীর সচেতনতা একটি প্রতিষ্ঠানের নিরাপত্তা সরঞ্জামগুলিতে বেক করা উচিত এবং আপোষের ইঙ্গিতগুলির জন্য সিস্টেমগুলি অনুসন্ধান করার মতো ধারাবাহিকভাবে সঞ্চালিত হওয়া উচিত। ব্যবহারকারীর সচেতনতা একটি নিরাপত্তা সংস্কৃতি তৈরির জায়গা নেয় না এবং একই রকম নয় - বরং, এটি কোনো কার্যকর নিরাপত্তা সংস্কৃতির একটি প্রয়োজনীয় উপাদান।

বোর্ডে উঠছে

নিরাপত্তা সংস্কৃতি তৈরির জন্য মালিকানা এবং সমর্থন বোর্ড পর্যায়ে চালিত হতে হবে। এর কারণ হল যখন অনেক শোষণ এবং আক্রমণ পরিচালনা করার জন্য অন্য নিরাপত্তা সতর্কতা ছাড়া আর কিছু নয়, যখন একজন দক্ষ প্রতিপক্ষ জড়িত হয়, তখন গুরুতর ঝুঁকি দেখা দেয়। আমি সবসময় বলি: অপেশাদাররা সিস্টেম হ্যাক করে; পেশাদাররা মানুষকে হ্যাক করে। নিরাপত্তা ঝুঁকির শ্রেণী হিসেবে মানুষের হ্যাকিং সাফল্যের উচ্চ ফলন এবং প্রযুক্তিগত সুরক্ষার সীমা অতিক্রম করে।

কৌশলটি হ'ল আচরণ নিয়ন্ত্রণ এবং ভাস্কর্যের মাধ্যমে মানব অপারেটরকে মানব প্রকৃতির ক্ষতি থেকে রক্ষা করা। এর জন্য প্রায়শই অন্তর্নিহিত ব্যবসায়িক অনুশীলন সম্পর্কে সমালোচনামূলক চিন্তার প্রয়োজন হয়। প্রয়োজনীয় পরিবর্তনগুলি উপলব্ধির জন্য সমর্থন টপ-ডাউন প্রভাবের উপর নির্ভর করবে।

ওটি পরিবেশে নিরাপত্তা সংস্কৃতি

OT পরিবেশগুলি তাদের নিরাপত্তা সংস্কৃতি পরীক্ষা এবং চাষ করার ক্ষেত্রে আরও বেশি উল্লেখযোগ্য চ্যালেঞ্জের সাথে জড়িত। শুধুমাত্র ব্যবসায়িক ব্যবহারকারীরা একটি অবিচ্ছেদ্য ভূমিকা পালন করে না, কিন্তু OT প্রকৌশলীরা নিরাপত্তা ইভেন্ট প্রতিরোধ এবং প্রতিক্রিয়া জানানোর জন্য ঠিক ততটাই গুরুত্বপূর্ণ।

IT এবং OT এর মধ্যে সম্পর্ক যেখানে একটি সামগ্রিক নিরাপত্তা সংস্কৃতি তৈরির জন্য সামগ্রিক ব্যবসা এবং অপারেশনাল প্রক্রিয়াগুলিকে সমালোচনামূলকভাবে দেখার জন্য টপ-ডাউন সমর্থনের প্রয়োজন হবে। যে জিনিসগুলি একটি নিরাপত্তা প্রচেষ্টাকে সংকুচিত করার জন্য সবচেয়ে আন্তরিক প্রচেষ্টাকে টর্পেডো করতে পারে সেগুলি পৃথক অবস্থান জুড়ে বাজেট প্রয়োগের জন্য অ্যাকাউন্টিং প্রক্রিয়া বা নিরাপত্তার জন্য মালিকানার ধারণার মতো সন্দেহজনক হতে পারে।

এই উদাহরণগুলি আইসবার্গের অগ্রভাগের হলেও, "কীভাবে আমাদের নিরাপত্তা সংস্কৃতি উন্নত করা যেতে পারে?"

আইটি পরিবেশে নিরাপত্তা সংস্কৃতি

OT এর বিপরীতে, প্রযুক্তির প্রয়োজনীয়তার স্বীকৃতি আইটি-তে ভালভাবে সংজ্ঞায়িত করা হয়েছে। উদাহরণস্বরূপ, সম্পদের তালিকা এবং দৃশ্যমানতা হল আইটি-এর জন্য একটি পণ্যের সেট। অনেক অ্যাসেট ম্যানেজমেন্ট ভেন্ডর আছে যেখান থেকে বেছে নিতে হবে এবং একটি দক্ষ আইটি টিম দ্রুত এই টুলগুলি গ্রহণ করতে পারে। প্রযুক্তি নির্বাচনের প্রক্রিয়া আইটি-কেন্দ্রিক প্রক্রিয়া দ্বারা প্রভাবিত হতে পারে। সাংস্কৃতিক পরিবর্তনগুলি পাওয়া যেতে পারে যা নির্বাচনের সাথে আরও ভাল মাপসই হবে OT পাশে পরিপূরক পণ্য.

প্রযুক্তি এবং টপোলজির প্রকৃতির কারণে OT-তে সম্পদের তালিকা, দুর্বলতা এবং ঝুঁকি ব্যবস্থাপনা আরও চ্যালেঞ্জিং। কর্মীরা সাধারণত প্রকৌশলী হয় যারা প্রক্রিয়ায় বিশেষজ্ঞ এবং অগত্যা সরঞ্জাম (সিস্টেম) নয় যে তারা চলমান অণুর ক্রিয়াকলাপের সাথে কীভাবে যোগাযোগ করে। OT সম্পদের মালিকদের আইটি মালিকদের থেকে আলাদা মিশন ফোকাস থাকে, এবং তাদের প্রশিক্ষণে নিরাপত্তা অন্তর্ভুক্ত করা হয় না। একটি নিরাপত্তা সংস্কৃতি তৈরির জন্য অবশ্যই এই বিভিন্ন মানসিকতাকে বিবেচনায় নিতে হবে এবং আচরণ পরিবর্তনের জন্য সম্পর্কিত কৌশল ব্যবহার করতে হবে।

ব্লেন্ডিং কালচার: আইটি এবং ওটি

একটি ঝুঁকি-ভিত্তিক পদ্ধতি IT এবং OT পেশাদারদের জীবন, স্বাস্থ্য, নিরাপত্তার মতো মূল মেট্রিকগুলিকে মানক করে সাহায্য করবে, উৎপাদন ক্ষমতা এবং দক্ষতার উপর প্রভাবের কথা উল্লেখ না করে। এই পদ্ধতিতে সর্বাধিক সহনীয় ডাউনটাইম (MTD) এবং পুনরুদ্ধারের জন্য গড় সময় (MTR) অন্তর্ভুক্ত করা উচিত।

এটি কেন কর্মীদের নিরাপত্তা সম্পর্কে যত্ন নেওয়া উচিত তার উত্তর চালিত করবে। সংগঠনগুলো যৌথ দলকে সাফল্যের সুযোগ দিতে চাইবে। গ্রুপ জুড়ে কাজগুলি বরাদ্দ করার জন্য ব্যবসায়িক প্রক্রিয়াগুলি দেখার সময়, সুরক্ষা লেন্সের মাধ্যমে দেখা হলে সূক্ষ্ম পরিবর্তনগুলি স্পষ্ট হয়ে উঠতে পারে। যদিও সিস্টেমের মালিকানা অন্তর্নিহিত, কর্মক্ষমভাবে চালিত প্রয়োজনের কারণে বিভক্ত থাকতে হবে, আইটি/নিরাপত্তা/ওটি টিমগুলিকে অবশ্যই গুরুত্বপূর্ণ দুর্বলতা, সম্ভাব্য নিরাপত্তা ইভেন্ট এবং ঘটনার প্রতিক্রিয়া/পুনরুদ্ধার মোকাবেলায় লকস্টেপে কাজ করতে হবে। গতি এবং দক্ষতা সর্বাগ্রে.

এইগুলি একটি নিরাপত্তা সংস্কৃতি তৈরির শুধুমাত্র দুটি দিক কিন্তু সাধারণ তথ্য ভাগ করে নেওয়ার চেয়ে আচরণ পরিবর্তন করার জন্য কেন আরও বেশি কিছু রয়েছে তার একটি চমৎকার উদাহরণ হিসেবে কাজ করে। নিরাপত্তা প্রযুক্তির বিনিয়োগ বাড়ানোর জন্য যে কোনো প্রতিষ্ঠানের জন্য একটি নিরাপত্তা সংস্কৃতি তৈরি করা অত্যাবশ্যক কিন্তু দ্রুত গতির লঙ্ঘন প্রতিক্রিয়া প্রক্রিয়ায় একজন OT অপারেটরের বেঁচে থাকার জন্য এটি অপরিহার্য।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া