ডিসেম্বর 7, 2022

কঠোর বাজেটের বিশ্বে নিরাপত্তার জন্য একটি ব্যবসায়িক কেস তৈরি করা

1 min read

সম্ভাব্য মন্দার কথা বলার সাথে সাথে (যদি একটি ইতিমধ্যে আমাদের উপর না থাকে), অনেক ব্যবসা ইতিমধ্যেই খরচের জন্য উচ্চ স্তরের যাচাই-বাছাই প্রয়োগ করছে-এমনকি সাইবার নিরাপত্তার মতো ব্যবসায়িক-গুরুত্বপূর্ণ খরচের জন্যও। বাজেট কঠোর হতে শুরু করার সাথে সাথে, নিরাপত্তা এবং আইটি নেতাদের নির্বাহী নেতাদের সাথে আলোচনার পূর্বাভাস দিতে হবে এবং আসন্ন প্রকল্পগুলির জন্য তহবিল নিশ্চিত করার জন্য তাদের নিরাপত্তা কর্মসূচির জন্য একটি আনুষ্ঠানিক ব্যবসায়িক মামলার প্রস্তুতি শুরু করতে হবে।

শেষ পর্যন্ত, আপনার ব্যবসার ক্ষেত্রে ব্যবস্থাপনা দলের কাছে “নিরাপত্তা বিক্রি” করতে হবে। এটা সত্যিই আস্থা নির্মাণ সম্পর্কে সব. হয়তো নিরাপত্তা ব্যবসার ক্ষেত্রে সবচেয়ে সাধারণ ভুল হল অ্যালার্মিজমের ব্যবহার। যদিও লঙ্ঘনের ক্রমবর্ধমান সংখ্যা এবং র‍্যানসমওয়্যার আক্রমণের বৃদ্ধি অন্তর্ভুক্ত করার জন্য বৈধ ডেটা পয়েন্ট হতে পারে, ভয় জাগানো সাইবার নিরাপত্তার মূল্য প্রদর্শন করে না। “যদি আমরা এই নিরাপত্তা আপগ্রেড না করি, আমরা হ্যাক হতে যাচ্ছি, বড় ক্ষতি বজায় রাখতে এবং/অথবা সম্মতির প্রয়োজনীয়তা লঙ্ঘন করতে যাচ্ছি”। এগুলি দুর্বল যুক্তি-এবং তারা যা করার প্রবণতা ম্যানেজমেন্ট টিমকে বিরক্ত করে কারণ তারা মনে করে যে তারা কী প্রস্তাব করা হচ্ছে তার কোনও বাস্তব সুবিধা না বুঝেই তারা একটি কোণে ফিরে গেছে।

CISO এবং CIO দের কিছু মূল টিপস মাথায় রাখা উচিত যখন তারা ভবিষ্যতের বাজেটিং চক্রের দিকে অগ্রসর হয় এবং তাদের নিরাপত্তা প্রোগ্রামের জন্য ব্যবসায়িক কেস তৈরি করা শুরু করে।

সম্মিলিত কাজ স্বপ্ন পূরণ করে

নিরাপত্তা একটি দলগত খেলা—এবং নিরাপত্তা ব্যবসার ক্ষেত্রে আমি প্রথম যে ভুলগুলো দেখি তার মধ্যে একটি মানব সম্পদের প্রয়োজনীয়তার সাথে সম্পর্কযুক্ত। নিরাপত্তার বাইরে অংশগ্রহণকারী গোষ্ঠীগুলি প্রায়ই পরিকল্পনা পর্বের বাইরে থাকে। আপনি যদি প্রক্রিয়ার প্রথম দিকে সমস্ত মূল সমর্থনকারী খেলোয়াড়দের জড়িত না করেন, তাহলে তারা বাস্তবায়নের সময় প্রকল্পটিকে সমর্থন করতে সক্ষম হবে না কারণ তাদের মূল্যবান ইনপুট প্রদান বা প্রয়োজনীয় ক্ষমতা এবং সংস্থান বরাদ্দ করার সুযোগ দেওয়া হয়নি। প্রয়োজন হলে.

এটি আইটি টিমের ক্ষেত্রে বিশেষভাবে গুরুত্বপূর্ণ। অতীতে, নিরাপত্তা এবং নেটওয়ার্কিং মূলত তাদের নিজস্ব ডোমেনে কাজ করত। কিন্তু অবকাঠামো যেমন বিকশিত এবং একত্রিত হয়েছে, নিরাপত্তা এবং নেটওয়ার্কিংয়ের মধ্যে আগের চেয়ে আরও বেশি আন্তঃনির্ভরতা রয়েছে। একটি ব্যবসায়িক কেস তৈরি করার সময় আইটি দল এবং নিরাপত্তা দলগুলিকে প্রথম থেকেই একসঙ্গে কাজ করতে হবে। এর মানে হল এন্ডপয়েন্ট টিম আনা, কারণ অনেক সিকিউরিটি টিমের এন্ডপয়েন্টে ইনস্টল করা একটি ক্লায়েন্টের প্রয়োজন হবে, যার মানে অন্যান্য দলকে অর্কেস্ট্রেট করতে সাহায্য করার জন্য আইটি আর্কিটেক্টকে জড়িত থাকতে হবে।

অত্যধিক ব্যবসায়িক কৌশলের সাথে নিরাপত্তা সংযুক্ত করুন

যেকোনো ব্যবসায়িক কেস লেখার সময়, আপনার শ্রোতাদের জানতে হবে—তারা এখন কী নিয়ে কাজ করছে, কোনো সম্ভাব্য সমস্যা যা আপনি তাদের সমাধান করতে সাহায্য করতে পারেন, এবং দিগন্তে ব্যবসার কোনো সম্ভাব্য পরিবর্তন। নিরাপত্তার উদ্দেশ্যগুলি ব্যবসার বৃহত্তর লক্ষ্যগুলির সাথে সাথে গুরুত্বপূর্ণ পরিবর্তনগুলির সাথে সিঙ্ক্রোনাইজ করা প্রয়োজন যেখানে নিরাপত্তা ফলাফলগুলিকে উন্নত করতে পারে৷

এর মধ্যে অন্তর্ভুক্ত হতে পারে একীভূতকরণ এবং অধিগ্রহণ (M&As)- যেখানে প্রতিটি পর্যায়ে নিরাপত্তা একটি গুরুত্বপূর্ণ ভূমিকা পালন করা উচিত। এতে গ্রাহকের গোপনীয়তা, একটি নতুন বৈশ্বিক অঞ্চলে প্রসারিত হওয়া, বা কৌশলগত অংশীদারকে বৌদ্ধিক সম্পত্তিতে নিয়ন্ত্রিত অ্যাক্সেস দেওয়া সংক্রান্ত আইনি সমস্যা অন্তর্ভুক্ত থাকতে পারে। অথবা এটি কোম্পানির লাভ এবং ক্ষতি (P&L) অবস্থার আকস্মিক পরিবর্তন অন্তর্ভুক্ত করতে পারে। এটি এমনকি নতুন সংস্থাগুলির দ্রুত সক্ষমতা, উন্নত ঝুঁকি সনাক্তকরণ, বা আরও ভাল সামগ্রিক একীকরণের অনুমতি দিতে পারে।

আপনার প্রকল্প পর্যালোচনা করুন এবং সবচেয়ে শক্তিশালী সুবিধার বিষয়ে সিদ্ধান্ত নিন। মনে রাখবেন যে অগ্রাধিকারের ক্রম হল: (1) রাজস্ব উৎপাদন, (2) খরচ সঞ্চয়, এবং (3) খরচ পরিহার।

এক্সিকিউটিভ ম্যানেজমেন্ট বিস্তৃতভাবে কী অর্জন করার চেষ্টা করছে সে সম্পর্কে এই ধরণের অভ্যন্তরীণ বোঝাপড়া অর্জনের জন্য, নিরাপত্তা এবং নেটওয়ার্ক নেতাদের নিয়মিতভাবে নির্বাহী কর্মীদের সভায় উপস্থিত থাকতে হবে। সেই কৌশলগত গ্রাউন্ডিং আপনাকে নিরাপত্তার ইতিবাচক প্রভাবের দিকে নির্দেশ করতে সাহায্য করতে পারে:

তত্পরতা সক্ষম করা—একটি নিরবচ্ছিন্ন ব্যবহারকারীর অভিজ্ঞতা, ব্যবসাকে বাজারের গতিতে চলতে সক্ষম করে এবং সর্বশেষ ডেটার উপর ভিত্তি করে গুরুত্বপূর্ণ সিদ্ধান্ত নেওয়া যায় তা নিশ্চিত করা। খরচ নিয়ন্ত্রণ করা – নিরাপত্তার মালিকানার মোট খরচ (TCO) বিশ্লেষণ করা, অপারেশনাল দক্ষতা বজায় রাখা এবং আপনার ক্লাউড খরচ অপ্টিমাইজ করা। ঝুঁকি ব্যবস্থাপনা—গুরুত্বপূর্ণ সম্পদ রক্ষা করা, স্থিতিশীলতা ও স্থিতিস্থাপকতা নিশ্চিত করা এবং আপনার লোকেদেরকে উন্নত ডিজিটাল নাগরিক হতে প্রশিক্ষণ দেওয়া।

নিরাপত্তা এবং নেটওয়ার্ক নেতাদের বর্তমান অগ্রগতি সম্পর্কে রিপোর্ট করতে, তাদের ম্যানেজমেন্ট টিমকে শিক্ষিত করতে এবং ভবিষ্যতের বাজেট চক্রের জন্য উন্নত সংস্থান প্রত্যাশা সেট করতে নিয়মিত স্ট্যাটাস আপডেট উপস্থাপন করা উচিত। নিশ্চিত করুন যে আপনি শুধু এই বছর যা করছেন তা নিয়েই কথা বলছেন না, কিন্তু সামনের বছর যে জিনিসগুলি আসছে তাও। এই ফিডব্যাক লুপ ম্যানেজমেন্ট স্টেকহোল্ডারদের সাথে জোট গড়তে সাহায্য করবে—তাদের সাথে দেখা করুন, তাদের পরিকল্পনার মধ্য দিয়ে যান এবং আপনার পরিকল্পনা কীভাবে তাদের পরিকল্পনাকে সমর্থন করে তা যোগাযোগ করুন।

সঠিক ডেটা পয়েন্ট অন্তর্ভুক্ত করুন

আরেকটি সাধারণ ভুল হল অপ্রতিরোধ্য পরিমাণ ডেটা টেনে আনা যা দিনের শেষে শ্রোতাদের কাছে খুব বেশি অর্থ নাও হতে পারে। উদাহরণস্বরূপ, অনেকগুলি বার্ষিক ক্ষতি প্রত্যাশিত (ALE) কম্পিউটেশনগুলি চোখ ধাঁধানো হতে পারে—এছাড়া এগুলি প্রায়শই এমন অনুমানের উপর নির্মিত হয় যা পরিমাপ করা কঠিন।

নিরাপত্তা এবং নেটওয়ার্কিং নেতাদের সাবধানে মেট্রিক নির্বাচন করতে হবে যা ব্যবসার জন্য গুরুত্বপূর্ণ। এটি করার একটি উপায় আপনার প্রতিযোগীরা যা করছে তার বিরুদ্ধে আপনার প্রোগ্রামের মানদণ্ড হতে পারে। একটি বার্ষিক মূল্যায়ন আপনাকে প্রদর্শন করতে সাহায্য করতে পারে যে আপনার প্রোগ্রামটি আজ কীভাবে পারফর্ম করছে—এবং এমন ক্ষেত্রগুলিকে হাইলাইট করতে পারে যেখানে এটি প্রতিযোগীদের বা শিল্পের সেরা অনুশীলনের কম হতে পারে।

আপনার “স্মার্ট মেট্রিক্স” অন্তর্ভুক্ত করার চেষ্টা করা উচিত – যার অর্থ এমন সংখ্যা ব্যবহার করা যা একটি ব্যবসায়িক সুবিধার সাথে একটি অর্জনকে জুড়ে দেয়। “আমরা এক মিলিয়ন ফিশিং প্রচেষ্টা অবরুদ্ধ করেছি” চিত্তাকর্ষক শোনাতে পারে, তবে এটি একটি খালি সংখ্যা কারণ এতে ব্যবসার প্রসঙ্গ নেই৷ কিন্তু আপনি যদি এর পরিবর্তে বলেন, “আমরা গত মাসে 120 মিনিটের মধ্যে 20টি ঘটনার প্রতিক্রিয়া জানিয়েছি, যার মধ্যে পাঁচটি গুরুতর ব্যবসায়িক সিস্টেমকে লক্ষ্যবস্তু করে,” এটি মূল অপারেশনগুলির নিরাপত্তার মূল্য এবং আপনি কত দ্রুত সমস্যাগুলি সমাধান করতে সক্ষম হয়েছেন সে সম্পর্কে আরও ভাল গল্প বলে৷

তাদের টাকা দেখান

নিরাপত্তার জন্য দুর্বলতম ন্যায্যতা হল খরচ পরিহার এবং সম্মতি। শাসনের জন্য একটি ব্যবসায়িক কেস তৈরি করা বিশেষত কৌশল অবলম্বন না করেই কঠিন হতে পারে।

“আমাদের পিসিআই মান মেনে চলতে হবে,” বা “জিডিপিআর নিয়ম লঙ্ঘনের জন্য আমাদের প্রতিযোগীকে এক্স-অ্যামাউন্ট জরিমানা করা হয়েছে।” যদিও আইনি এবং নিয়ন্ত্রক প্রয়োজনীয়তা প্রাসঙ্গিক তথ্য হতে পারে, তারা পরিচালনার জন্য একটি ইতিবাচক পরিমাপযোগ্য মান প্রকাশ করে না।

যাইহোক, যদি আপনার শীর্ষ গ্রাহকদের মধ্যে একজনের চুক্তিগতভাবে PCI সম্মতির প্রয়োজন হয় বা আপনার বিক্রয়ের একটি উল্লেখযোগ্য অংশ EU-ভিত্তিক অংশীদারদের মাধ্যমে আসে যেখানে GDPR বাধ্যতামূলক হয়, তবে এটি একটি ভিন্ন গল্প। আপনার কোম্পানির সাথে ব্যবসা করার জন্য অনেক গ্রাহকের নিরাপত্তার প্রয়োজনীয়তা থাকবে—তাই আপনার দল যথাযথভাবে সেই উপার্জনগুলি জমিতে বা ধরে রাখতে সাহায্য করার জন্য দায়িত্ব দাবি করতে পারে।

ঝুঁকি হ্রাসের আর্থিক মূল্য দেখানোর সর্বোত্তম উপায় হল “রাজস্ব বৃদ্ধি” – একটি খরচ কেন্দ্র হিসাবে নিরাপত্তা যা সংস্থায় নগদ আনতে সাহায্য করে। আমি একবার সিইও এবং সিএফও-এর সাথে একটি বাজেট কথোপকথনে গিয়েছিলাম এবং আমার শুরুতে বলা হয়েছিল যে আমার দল আগের বছর $800 মিলিয়ন আয় করেছে। এটা তাদের দৃষ্টি আকর্ষণ করেছে। যখন আপনি কথোপকথনটিকে নিরাপত্তা থেকে অন্য একটি ব্যয় কেন্দ্র থেকে একটি রাজস্ব-চালনা কেন্দ্রে পরিণত করেন – এটি কাজ করে।

কিন্তু প্রকল্পটি সম্পূর্ণ হলে আপনি পর্যালোচনা লুপ বন্ধ করতে পারবেন কিনা তা বিবেচনা করাও গুরুত্বপূর্ণ। বাজেট অনুমোদিত হওয়ার এক বছর পরে, আপনাকে একটি পোস্ট পর্যালোচনা করতে হবে যা মূল্যায়ন করে যে সংস্থাটি বিনিয়োগের প্রস্তাবিত সুবিধাগুলি দেখছে কিনা। যদি আপনার ব্যবসায়িক ক্ষেত্রে প্রকল্পের মূল্যকে অতিরঞ্জিত করা হয়, তাহলে ভবিষ্যতের অনুরোধগুলিকে সন্দেহের সাথে বিবেচনা করা যেতে পারে।

ক্রেতার বাজারে নিরাপত্তা বিক্রি

শীঘ্রই বা পরে, প্রতিটি ব্যবসা খরচ নির্মূল করার দিকে নজর রেখে তার ব্যয়কে জিজ্ঞাসাবাদ করে। এই মুহুর্তে, লাইন আইটেমগুলির তালিকায় নিরাপত্তা কম হওয়া উচিত যেখানে সংস্থাগুলি তহবিল কাটতে বেছে নেয়। কিন্তু আপনি অনুমান করতে পারবেন না যে ব্যবসায়িক নেতারা সহজাতভাবে নিরাপত্তার বিস্তৃত মূল্য বুঝতে পারবেন যখন প্রতিটি ব্যবসায়িক ইউনিট মরিয়া হয়ে তার বাজেটের পদচিহ্নকে ন্যায্যতা দিতে পারে।

নিরাপত্তার জন্য একটি কার্যকর ব্যবসায়িক ক্ষেত্রে আপনার প্রতিষ্ঠানের জন্য গুরুত্বপূর্ণ বিষয়গুলির উপর ভিত্তি করা প্রয়োজন। এর অর্থ হল ব্যবসাটি কী করছে এবং কীভাবে নিরাপত্তা সেই লক্ষ্যগুলির একটি অপরিহার্য সক্ষমকারী হবে সে সম্পর্কে আপনার একটি অভ্যন্তরীণ বোঝার প্রয়োজন। এবং এটির জন্য কিছু দীর্ঘ-খেলার সম্পর্ক-নির্মাণের প্রয়োজন যাতে ব্যবস্থাপনা আপনার সমস্ত ইতিবাচক প্রভাবগুলি প্রতিষ্ঠানের উপর-এখন এবং ভবিষ্যতে তৈরি করবে তা বুঝতে পারে।