অন্ধকূপ এবং দুর্যোগ পুনরুদ্ধার: আইটি প্রশিক্ষণের জন্য ট্যাবলেটপ অনুশীলন

একদল নির্বাহী একটি টেবিলের চারপাশে বসে আছে। তাদের সামনে একটি মানচিত্র, একটি ডেটা সেন্টারের একটি মডেলে দাঁড়িয়ে থাকা ছয়টি বীরত্বপূর্ণ ব্যক্তিত্ব, চারপাশে ছোট ছোট, হুডিতে কুঁচকে থাকা প্রাণীদের দ্বারা বেষ্টিত। টেবিলের এক প্রান্তে নাটকীয়ভাবে কথা বলছেন ডিএম। "DDoS চলতে থাকায় আপনি সার্ভার রুমে ফিরে গেছেন। হ্যাকারদের বেশ কয়েকবার তাড়িয়ে দেওয়া হয়েছে, কিন্তু আপনি সবাই আহত এবং সম্পদের পরিমাণ কম। এটি অনেকটা শেষ স্ট্যান্ডের মতো মনে হতে শুরু করেছে, এবং সিইও অপেক্ষা করছেন একটি আপডেট। আপনি কি করেন?"

খেলোয়াড়রা কিছুক্ষণ আলোচনা করে, CISO গভীর শ্বাস নেওয়ার আগে এবং ডিএম-এর দিকে তাকায়। স্পষ্টতই তিনি যে সিদ্ধান্ত নিতে চলেছেন তা তার উপর ওজন করছে, এটি একটি শেষ অবলম্বন, এবং সমান্তরাল ক্ষতি হবে। তবুও, তার কন্ঠস্বর দৃঢ় এবং আত্মবিশ্বাসী যেমন সে বলে: "আমি শক্তিশালী ফায়ারওয়াল নিক্ষেপ করি।"

আজ, আমরা ট্যাবলেটপ ব্যায়াম, বা পরিস্থিতি, এবং নিরাপত্তার সবচেয়ে খারাপের জন্য প্রস্তুত করার জন্য কীভাবে সেগুলি ব্যবহার করা হয় তা দেখব।

সাইবার সিকিউরিটি ইঞ্জিনিয়ারদের প্রশিক্ষণ দিতে ট্যাবলেটপ ব্যায়াম ব্যবহার করা

দুঃখজনকভাবে (বা সৌভাগ্যবশত) যেভাবে ট্যাবলেটপ ব্যায়ামগুলি সত্যিই চালানো হয় তা নয়, যদিও এমন কিছু বৈচিত্র রয়েছে যেগুলি স্কার্টের খুব কাছাকাছি গেমস পূর্ণ হওয়ার প্রান্তের কাছাকাছি থাকে (এবং প্রকৃতপক্ষে, কিছু যেগুলি কেবল প্রান্তটি স্কার্ট করে না বরং আগ্রহের সাথে প্রথমে মাথার উপর দিয়ে লাফ দেয়) . যদিও বাস্তবতা দুষ্ট গ্রেমলিন-সমনিং সাইবার অপরাধী এবং জাদু-চালিত নিরাপত্তা দলে পূর্ণ হতে পারে, একটি ভাল দৃশ্যকল্প এবং একটি ভাল ভূমিকা পালনকারী প্রচারণার লক্ষ্যগুলির মধ্যে একটি শক্তিশালী ওভারল্যাপ রয়েছে।

ট্যাবলেটপ ব্যায়াম হল আপনার নিজের ডেটা সেন্টারকে পুড়িয়ে ফেলার পরিবর্তে আরও কঠোর পদক্ষেপ না নিয়ে পরিকল্পনা এবং প্রস্তুতি পরীক্ষা করার উপায়। এই ধরনের সংকটের পরে ব্যবসাটি কীভাবে কাজ করবে তা জানা গুরুত্বপূর্ণ এবং এটির জন্য প্রস্তুতি নেওয়ার জন্য, তবে আপনার ডেটা সেন্টারকে পুড়িয়ে ফেলার প্রকৃত পদক্ষেপ নেওয়া একটি অনুশীলনের জন্য একটু বেশি দূরে হিসাবে দেখা যেতে পারে। পরিবর্তে, এই সঙ্কট ঘটনাগুলিকে গেম আউট করা হয়, তা যোগাযোগের লাইনগুলি আবিষ্কার করার জন্য, ঘটনার প্রতিক্রিয়া পরিকল্পনাগুলি পরীক্ষা করার জন্য (ব্যবসায়িক ধারাবাহিকতা বা দুর্যোগ পুনরুদ্ধারের জন্য), বা শুধুমাত্র কর্মীদের প্রশিক্ষণ দেওয়া এবং নিরাপত্তার গুরুত্ব সম্পর্কে সচেতনতা তৈরি করা।

একটি সংক্ষিপ্ত ইতিহাস

আধুনিক আইটি এবং সাইবার নিরাপত্তা ব্যবহারের বাইরেও এই অনুশীলনগুলির একটি দীর্ঘ এবং মহৎ ইতিহাস রয়েছে, যা 1824 সালে রিসউইটজের "ক্রিফস্পিয়েল" থেকে অন্তত দুইশত বছর পিছিয়ে যায়, যা তিনি এবং তার পিতার দ্বারা তৈরি করা হয়েছিল এবং জেনারেল কার্ল ভন মুয়েফলিং দ্বারা বর্ণনা করা হয়েছে "একটি নয়। মোটেও খেলা! এটা যুদ্ধের প্রশিক্ষণ। আমি পুরো সেনাবাহিনীকে উৎসাহের সাথে সুপারিশ করব।" এটি একটি পন্থা যা বৈশ্বিক সামরিক বাহিনী তাদের বাহিনীকে ব্যস্ততার জন্য প্রস্তুত করতে ব্যবহার করে, NATO প্যারিসে 2022 সালে একটি ওয়ারগেমিং ইনিশিয়েটিভ শুরু করেছিল। এমনকি জরুরী পরিষেবা, এনএইচএস নিয়মিতভাবে সিমুলেশন চালায় যার মধ্যে কয়েক ডজন অভিনেতা এবং সম্পূর্ণ মেকআপ টিম কার্যকরভাবে আঘাতগুলিকে অনুকরণ করে।

প্রদত্ত যে কয়েক শতাব্দী (এমনকি যদি মাত্র দুটি) ট্যাবলেটপ অনুশীলনের প্রমাণ রয়েছে, গ্যামিফাইড দৃশ্যকল্প, সঙ্কট, বিপর্যয়, সামরিক ব্যস্ততা এবং অনুরূপ প্রস্তুতিতে সহায়তা করে, সেই সাথে এই ধরনের মহড়ার খরচ অপ্রস্তুত হওয়ার তুলনায় অত্যন্ত কম যখন একটি দৃশ্যকল্প আঘাত হানে। , আপনি ভাবার ফাঁদে পড়তে পারেন যে তারা আজ সর্বত্র ব্যবহৃত হয়। দুঃখজনকভাবে, এটি এমন নয়।

বিভিন্ন কারণে, যখন যারা ট্যাবলেটপ ব্যায়াম ভালো ব্যবহার করে তারা যে মান নিয়ে আসে তার শপথ করে, অনেক প্রতিষ্ঠানই সেগুলি ব্যবহার করে না। এটি উটপাখি সিন্ড্রোম হতে পারে, কারণ এই পরিস্থিতিগুলি সমস্ত ধরণের ব্যর্থতাগুলিকে বের করে আনতে ব্যতিক্রমীভাবে ভাল হতে পারে যা লোকেরা স্বীকার করতে চায় না। এটি 'খেলা' বা 'শিশু' হিসাবে দেখা কিছুর সাথে জড়িত হতে অনিচ্ছা হতে পারে। হতে পারে এটি কোনো মিথস্ক্রিয়া এবং প্রচুর বিপণন FUD ছাড়া একটি অতি-ইঞ্জিনিয়ারড পাওয়ারপয়েন্ট প্রেজেন্টেশন সমন্বিত দুর্বলভাবে চালিত পরিস্থিতিতে রয়েছে। যাই হোক না কেন, কিছু সংস্থা তাদের খুঁজে বের করতে এবং এই মূল্যবান হাতিয়ার ব্যবহার করতে অনিচ্ছুক।

এটি, সৌভাগ্যবশত, পরিবর্তনশীল, বার্ষিক প্লে সিকিউর কনফারেন্সের মতো ইভেন্ট যা শেখার, সিমুলেশন, গ্যামিফিকেশন এবং গেমের বিশেষজ্ঞদের একত্রিত করে। তদ্ব্যতীত, বেশ কয়েকটি সংস্থা তাদের পণ্যের ক্যাটালগগুলিতে স্ট্যান্ডার্ড এবং বেসপোক অনুশীলন অফার করে। সম্পূর্ণ প্রকাশ, আপনি আমার নিজের পারিবারিক কোম্পানির আশা করতে পারেন, বোরস বছরের পর বছর ধরে দুর্দান্ত ফলাফলের সাথে এটি চালাচ্ছে।

পরিকল্পনাগুলি পরীক্ষা করার বা স্ট্রেস-পরীক্ষা করার জায়গা হিসাবে ট্যাবলেটপ পরিস্থিতি ব্যবহার করার ধারণা এবং দুর্যোগের জন্য প্রস্তুত করা, যারা জড়িত তাদের মধ্যে চাপ এবং আতঙ্কের জন্য সহনশীলতা তৈরি করা (ভালভাবে চালান তারা তীব্র অভিজ্ঞতা), এবং নিরাপদে জিনিসগুলি ভুল হওয়ার জন্য একটি জায়গা প্রদান করে। পাতন.

ট্যাবলেটপ ব্যায়াম বিভিন্ন ধরনের

আপনি যখন ট্যাবলেটপ ব্যায়াম চালাচ্ছেন তখন অনেকগুলি বিকল্প রয়েছে, আপনি এটি থেকে কী চান তার উপর নির্ভর করে। একটি নির্দিষ্ট হুমকি বা ইভেন্টের জন্য একটি বিপণন এবং সচেতনতা অনুশীলন হিসাবে তারপরে একটি উচ্চ কাঠামোগত বিন্যাস যাতে বিশদ ইনপুট, সীমিত (বা এমনকি না) পছন্দগুলি অন্তর্ভুক্ত থাকে, প্রায় বাস্তব ঘটনাগুলির রিপ্লে হিসাবে অত্যন্ত কার্যকর হতে পারে - কম আকর্ষক, কিন্তু কম প্রচেষ্টায় পরিমাপযোগ্য একটি উপায় আরো জড়িত দৃশ্যকল্প না. স্পেকট্রামের অন্য প্রান্তে আমরা অনেক বেশি উন্মুক্ত দৃশ্যের সাথে শেষ করি, প্রায় সম্পূর্ণরূপে আনস্ক্রিপ্টেড এবং চালানোর জন্য একজন দক্ষ মডারেটর প্রয়োজন, অংশগ্রহণকারীদের সিদ্ধান্তে বাস্তব সময়ে সাড়া দেওয়া, উড়তে থাকা নতুন ইনজেকশন তৈরি করা।

একটি সাধারণ নিয়ম হিসাবে, ট্যাবলেটপ ব্যায়াম যত বেশি স্ক্রিপ্টেড হবে স্কেলে চালানো তত সহজ, প্রাথমিক তৈরির জন্য তত বেশি প্রচেষ্টা লাগে এবং এটি চালানোর জন্য একজন মডারেটরের কাছ থেকে কম জ্ঞানের প্রয়োজন হয়। একটি কোম্পানি সহজেই সীমিত পছন্দের সাথে আপনার নিজের অ্যাডভেঞ্চার বই বেছে নেওয়ার শৈলীতে একটি পূর্ব-প্রস্তুত অভ্যন্তরীণ দৃশ্যকল্প তৈরি করতে পারে এবং দলগুলিকে তাদের নিজস্ব সেশন চালানোর জন্য ছেড়ে দিতে পারে।

সেশনটি যত কম স্ক্রিপ্ট করা হবে, স্কেলে চালানো তত কঠিন (সম্ভব, তবে আরও সংস্থান এবং প্রচেষ্টা প্রয়োজন), এবং মডারেটরের আরও জ্ঞান এবং দক্ষতার প্রয়োজন। এখানে আদর্শ হল এমন একজন ব্যক্তি যার অভিজ্ঞতার সাথে ঘটনাটি অনুকরণ করা হচ্ছে, সাথে গেম সেশন চালানোর অভিজ্ঞতা রয়েছে (হ্যাঁ, আমি যখন এই অনুশীলনগুলি পিচ করছি তখন আমি আমার সিভিতে 30 বছর চালানোর টেবিলটপ RPG সেশনগুলি রাখি)। আনস্ক্রিপ্টেড সেশনগুলি যা প্রদান করে তা হল নির্দিষ্ট পরিকল্পনাগুলি পরীক্ষা করার সুযোগ, এমনকি অনুশীলনের সময় ক্রিয়া এবং পছন্দের উপর ভিত্তি করে সেগুলি তৈরি করা।

এর পাশাপাশি, আপনি যে ধরণের ঘটনা পরীক্ষা করতে চান তা বিবেচনা করতে হবে। একটি ব্যবসায়িক ধারাবাহিকতা টেবলেটপ অনুশীলনের লক্ষ্য হবে যখন সমালোচনামূলক সিস্টেমগুলি ব্যর্থ হয় তখন একটি সংস্থা কীভাবে একটি গ্রহণযোগ্য স্তরে কাজ চালিয়ে যেতে পারে তা উদ্ঘাটন করা।

ঘটনার প্রতিক্রিয়া বেশিরভাগ ক্ষেত্রেই নিরাপত্তার ঘটনাগুলির দিকে নজর দেবে, তবে খারাপ প্রেস থেকে জাহাজ ভেঙ্গে যাওয়া সিইও পর্যন্ত যে কোনও কিছুকে কভার করতে পারে।

ব্যবসার ধারাবাহিকতা পরিস্থিতির লক্ষ্য হল ব্যবসা কীভাবে একটি সঙ্কট বা সমালোচনামূলক ব্যর্থতায় সাড়া দেয় এবং কিছু স্তরের কার্যকারিতা বজায় রাখে। সত্যিকার অর্থে কী গুরুত্বপূর্ণ, এবং একটি কার্যকর ব্যবসা হওয়ার জন্য কোন স্তরের পরিষেবা প্রয়োজন তা খুঁজে বের করার এটি একটি দুর্দান্ত উপায়।

দুর্যোগ পুনরুদ্ধার প্রায়শই স্বাভাবিকভাবেই ব্যবসার ধারাবাহিকতা থেকে প্রবাহিত হয়, যেটি উদ্ঘাটন করে যে কীভাবে একটি সংস্থা ব্যবসার ধারাবাহিকতা থেকে স্বাভাবিক কার্যক্রমে ফিরে যাওয়ার পরিকল্পনা করে (বা কীভাবে ব্যাকআপ থেকে পুনরুদ্ধার করা যায়)। ক্রাইসিস ম্যানেজমেন্ট প্রায় সব হতে পারে, উপরের সব সহ।

আপনি কিভাবে একটি ট্যাবলেটপ ব্যায়াম চালাবেন?

আমি বলতে চাই যে এটি চালানোর সর্বোত্তম উপায় হল একজন পেশাদারকে নিযুক্ত করা (এবং এটি সত্য, যদি আপনার বাজেট থাকে এবং একজন পেশাদার খুঁজে পেতে পারেন তবে আপনার উচিত)। যাইহোক, আপনি যদি ধারণাটি পরীক্ষা করতে চান, বা পারিবারিক খেলার রাতের জন্য একটি নতুন টেক খুঁজছেন, তাহলে সীমিত প্রচেষ্টায় আপনি সহজেই একটি ট্যাবলেটপ সেশন চালাতে পারেন। আপনি আপনার নিজস্ব দক্ষতার উপর নির্ভর করবেন, তাই সেরা ফলাফলের জন্য আপনার কিছু অভিজ্ঞতা আছে এমন একটি দৃশ্য চয়ন করুন (এবং এমন একটি পরিবেশ যার সাথে আপনি পরিচিত - এই পরিস্থিতিগুলি তৈরি করার সময় আমি সাধারণত সংগঠনটিকে যথেষ্ট ভালভাবে বোঝার জন্য একটি তীব্র আবিষ্কারের পর্যায়কে অন্তর্ভুক্ত করব )

একবার আপনার কাছে একটি দৃশ্য দেখা গেলে সবচেয়ে সহজ উপায় হল 'সত্য' কী তা সিদ্ধান্ত নেওয়া। আসলে পর্দার আড়ালে এটাই ঘটেছে। হামলাকারী কে, বা আসলেই কি ভুল হয়েছে। আপনার উন্নতির দক্ষতা এবং আত্মবিশ্বাসের উপর নির্ভর করে এটি অবিশ্বাস্যভাবে বিশদ হওয়ার দরকার নেই, তবে একটি সুবর্ণ নিয়ম হল অনুশীলনের সময় এটিকে পরিবর্তন করা নয় - সামান্য অসঙ্গতি ব্যস্ততাকে ধ্বংস করতে পারে এবং শেখার সম্ভাবনাকে সরিয়ে দিতে পারে।

একবার আপনার কাছে সেই 'সত্য' হয়ে গেলে, অংশগ্রহণকারীরা কীভাবে এটি দেখবে তা নিয়ে চিন্তা করুন। তাদের কাছে যাওয়া থেকে সম্পূর্ণ তথ্য থাকবে না - এমনকি একটি ডেটা সেন্টারের মতো সাধারণ পরিস্থিতিতেও সংস্থাটি পরিষেবাগুলি ব্যর্থ হওয়ার প্রথম জিনিসটি দেখতে পাবে। আপনি এখানে যা কিছু চিন্তা করবেন না কেন আপনার প্রথম ইনজেকশন তৈরি হবে - যা গ্রুপকে বলার মতো সহজ হতে পারে 'আপনি যা দেখছেন' বা আরও শক্তিশালী প্রভাবের জন্য, গ্রাহকদের কাছ থেকে সোশ্যাল মিডিয়া বার্তা, র্যানসমওয়্যার নোটিশ, সংবাদ শিরোনাম এবং অনুরূপ ( আপনি এখানে এর কয়েকটি তৈরি করতে কিছু বিনামূল্যের টেমপ্লেট ধরতে পারেন)।

একবার আপনি এটি করে ফেললে, সবচেয়ে কঠিন কাজ হল আপনার অংশগ্রহণকারীদের একত্রিত করার জন্য একটি সময় নির্ধারণ করা। যে আমি সাহায্য করতে পারে না.

অবশেষে আপনার কাছে আপনার প্রয়োজনীয় সবকিছু থাকবে: দৃশ্যকল্প, ইনজেকশন, আপনার অংশগ্রহণকারীরা এবং আদর্শভাবে কেউ যা ঘটবে তার বিস্তারিত নোট নিতে।

এর পরে, এটি বর্ণনা এবং গল্প বলার বিষয়ে। প্রাথমিক ইনজেকশনগুলি দিয়ে খুলুন এবং তারপরে কী হবে তা সিদ্ধান্ত নিতে আপনার অংশগ্রহণকারীদের কাছে হস্তান্তর করুন। যখন তারা একটি পদক্ষেপ নেয়, তখন তারা যা করেছে তার উপর নির্ভর করে আরও তথ্যের সাথে প্রতিক্রিয়া জানান, সম্ভবত আরও ইনজেকশন দিয়ে, এবং দৃশ্যকল্প সম্পূর্ণ না হওয়া পর্যন্ত পুনরাবৃত্তি করুন।

সমাপ্তিটি সংজ্ঞায়িত করা কঠিন হতে পারে, তাই বাস্তবসম্মতভাবে আপনি দৃশ্যপট স্থিতিশীল না হওয়া পর্যন্ত চালাতে চান - এর অর্থ হল যে কোনও পরবর্তী পদক্ষেপ তাত্ক্ষণিকভাবে কোনও পার্থক্য করবে না (উদাহরণস্বরূপ একবার ডেটা সেন্টার পুনর্নির্মাণের সিদ্ধান্ত নেওয়া হলে, মাসগুলিতে খেলার সীমিত মূল্য থাকে যে নির্মাণ জড়িত হবে)। নোট নিন, গুরুত্বপূর্ণ কিছু বের করুন এবং পরবর্তী ট্যাবলেটপ ব্যায়ামের জন্য প্রস্তুতি শুরু করুন।

আপনি যদি একজনকে চেষ্টা করার বিষয়ে নিশ্চিত হন এবং একটু পরামর্শের প্রয়োজন হয়, অথবা আপনি যদি চান যে কেউ এসে অনুশীলনের একটি সিরিজ চালাতে, আপনি Twitter বা LinkedIn- এ আমার সাথে যোগাযোগ করতে পারেন।