paint-brush
সাইবার এসেনশিয়াল স্কিমের পরিবর্তন এপ্রিল 2023 ব্যবসায়িক ঝুঁকি বাড়াবেদ্বারা@aferreira
450 পড়া
450 পড়া

সাইবার এসেনশিয়াল স্কিমের পরিবর্তন এপ্রিল 2023 ব্যবসায়িক ঝুঁকি বাড়াবে

দ্বারা André Ferreira, MSc6m2023/02/06
Read on Terminal Reader
Read this story w/o Javascript

অতিদীর্ঘ; পড়তে

NCSC CyberEssentials (**CE**) হল, সংক্ষেপে, একটি UK-সরকার-সমর্থিত স্কিম যার লক্ষ্য কোম্পানিগুলিকে তাদের নিরাপত্তা দারিদ্র্য থেকে বের করে আনা। কোম্পানী প্রাথমিকভাবে মূল্যায়ন ব্যর্থ হলে, এটি সংশোধন করার জন্য এবং বিনা খরচে পুনরায় জমা দেওয়ার জন্য কয়েক দিন সময় দেওয়া হবে।
featured image - সাইবার এসেনশিয়াল স্কিমের পরিবর্তন এপ্রিল 2023 ব্যবসায়িক ঝুঁকি বাড়াবে
André Ferreira, MSc HackerNoon profile picture
0-item

NCSC CyberEssentials ( CE ) হল, সংক্ষেপে, একটি UK-সরকার-সমর্থিত স্কিম যার লক্ষ্য কোম্পানিগুলিকে তাদের নিরাপত্তা দারিদ্র্য থেকে বের করে আনা। যারা এই স্কিম মেনে চলতে পছন্দ করে, তারা সবচেয়ে সাধারণ সাইবার আক্রমণের বিরুদ্ধে সুরক্ষা থেকে উপকৃত হয়। আপনি টিনের লেবেলে এটিই পড়তে পারেন, তবে, ক্যানের ভিতরে, আরও অনেক কিছু আছে।


স্কিমটির দুটি স্বাদ রয়েছে: CE এবং CE+


CE হল একটি স্ব-মূল্যায়ন, যা একটি অনলাইন প্রশ্নাবলী পূরণ করে সম্পাদিত হয় যা পরে IASME দ্বারা পর্যালোচনা করা হয়। যদি প্রতিক্রিয়াগুলি পর্যাপ্ত মানের এবং স্পষ্টতার হয়, তবে কোম্পানিকে শংসাপত্র প্রদান করা হয়। কোম্পানী প্রাথমিকভাবে মূল্যায়ন ব্যর্থ হলে, কোন অতিরিক্ত খরচ ছাড়াই সংশোধন এবং পুনরায় জমা দেওয়ার জন্য কয়েক দিন সময় দেওয়া হবে।


CE+ হ্যান্ডস-অন টেকনিক্যাল ভেরিফিকেশন অন্তর্ভুক্ত করে CE থেকে আলাদা, অথবা অন্য কথায়, পেনিট্রেশন টেস্টের মাধ্যমে জমা দেওয়া তথ্য স্বাধীনভাবে যাচাই করা হয়।


আরেকটি প্লাস হল যে একটি প্রত্যয়িত কোম্পানি, 20m পাউন্ডের নিচে টার্নওভার সহ UK আবাসিক হওয়ায়, £25,000 পর্যন্ত মূল্যের সাইবার দায় বীমা পাওয়ার অধিকারী, যখন বিদেশী কোম্পানিগুলি শংসাপত্রকে স্বীকৃতি দেয় এমন দালালদের কাছ থেকে বীমা ছাড় থেকে উপকৃত হতে পারে।


আপনি যদি স্কিমটিকে একটি প্রতিবন্ধকতা হিসাবে বিবেচনা করেন, যা একবার কাটিয়ে উঠলে, সেই নির্দিষ্ট বছরের জন্য একটি ব্যবসার সাথে ব্যবসা করার জন্য একটি উচ্চ স্তরের আত্মবিশ্বাস এবং একটি উন্নত খ্যাতি নিশ্চিত করে, আপনি সঠিক হবেন।


হয় স্বাদের একটি নগণ্য অধিগ্রহণ খরচ আছে, কিন্তু ব্যবসায়িক নেতাদের হিসাব করা উচিত এবং মূল্যায়ন সম্পূর্ণ করার অনুমতি দেওয়ার জন্য পর্যাপ্ত সময় বরাদ্দ করা উচিত, এটি তুচ্ছ নয়। তাদের সাংস্কৃতিক এবং কর্মক্ষম পরিবর্তনের জন্য তাদের কর্মশক্তি প্রস্তুত করা উচিত কারণ শংসাপত্রের প্রয়োজনীয়তাগুলি পূরণ করার জন্য তাদের প্রয়োজন হবে।


প্রস্তুত হোক বা না হোক, একবার নিরাপত্তার প্ররোচনার দুঃসাহসিক কাজ শুরু করলে, ব্যবসাটি বিষয়টির গভীর উপলব্ধি পাবে এবং একটি উন্নত নিরাপত্তা ভঙ্গি নিয়ে বেরিয়ে আসবে।

একটু সমালোচনা


1- যারা আরো চায় তাদের থেকে

কিছু নিরাপত্তা পেশাদাররা, মূল্যায়নের ফলাফল অনুযায়ী ধূসর রঙের বিভিন্ন শেড অফার করার জন্য এই স্কিমটিকে বিকশিত করতে চান, যার অর্থ এটি শুধুমাত্র "প্রত্যয়িত" স্ট্যাম্পের চেয়ে সূক্ষ্ম শ্রেণীবিভাগ অফার করবে।


আমি সোশ্যাল মিডিয়াতে এই সমালোচনা দেখেছি এবং এর সমর্থকদেরকে গোষ্ঠীবদ্ধ করেছি যারা ইতিমধ্যে বাধার অপর পাশে দাঁড়িয়ে আছে এবং তাদের সরবরাহ চেইন নিরাপত্তা মূল্যায়নে যথাযথ পরিশ্রমের ক্লান্তিতে ভুগছে। IASME-এর কাছে বল পাস করার জন্য তাদের আগ্রহ সম্ভাব্যভাবে তাদের কোম্পানির খরচ এবং প্রাপ্ত অভিন্ন প্রতিক্রিয়া কমিয়ে দেবে। আমি ভাবছি IASME এর জন্য যাবে কিনা।


আরও প্রতিফলনের পরে, আমি তাদের খুব পছন্দের অস্তিত্ব স্বীকার করেছি যারা অন্য প্রত্যয়িত উদ্যোগ থেকে নিজেদের আলাদা করতে চায়। এটা কারণ তারা প্রত্যয়িত হওয়ার জন্য কোণ কাটেনি এবং অন্যদের বিশ্বাস করে, অথবা সচেতন থাকার কারণে যে X অর্জনের বিশেষ উপায়গুলি আসলে NULL মান প্রদান করে বা এমনকি তারা কোম্পানিগুলিকে সম্মতি জানানোর বিষয়ে জানতে পারে যখন এটি এমন নয়।


যাইহোক, আমি একের জন্য, স্কিমের এই প্রস্তাবিত মিউটেশনকে সমর্থন করি না কারণ আমি মনে করি যে এটি বজায় রাখা উচিত যতক্ষণ না প্রত্যয়িত কোম্পানির সংখ্যা এত বেশি হয় যে সার্টিফিকেশন আর তার দারিদ্র্য পরিবর্তনের পরিবর্তে কোনও উদ্দেশ্য পূরণ করে না। ক্ষুধা মিশন মধ্য ম্যারাথন.


আমার যুক্তি অভিজ্ঞতা নিরাপত্তা দারিদ্র্য এবং এটি থেকে একটি ব্যবসা উত্তোলন করার জন্য প্রয়োজনীয় প্রচেষ্টার মাত্রা চিনতে সক্ষম হওয়া থেকে উদ্ভূত হয়। যেমন, যদিও আমি বুঝতে পারি যে প্রতি বছর পুনঃপ্রত্যয়ন করা প্রথমবার সম্পন্ন হওয়ার মতো উত্তেজনাপূর্ণ এবং রূপান্তরযোগ্য হবে না, আমি ভ্রুকুটি করব, যদি কয়েক বছর পরে এটিই একমাত্র সুরক্ষা শংসাপত্র থেকে যায় যা একটি কোম্পানি ধারণ করে...

2- যাদের বেশি প্রয়োজন তাদের থেকে

অন্যদিকে, এবং 2014 সাল থেকে স্কিম' সফল হওয়া সত্ত্বেও, এটি অপর্যাপ্ত তথ্য এবং বিভিন্ন বিষয়ে আরও স্পষ্টতার জন্য অনুরোধের জন্য বিলাপ পেতে থাকে। আমি, নিজের, প্রশ্ন ছিল.


তবুও, আমি এই প্রতিক্রিয়াটিকে অনিবার্য এবং প্রত্যাশিত মনে করি স্কিমের লক্ষ্যযুক্ত বিস্তৃত শ্রোতাদের প্রেক্ষিতে কারণ কেউ সামান্য কিছু করতে পারে কিন্তু শুধুমাত্র বৈচিত্র্যময় শ্রোতাদের কাছে একটি ছোট বার্তা প্রেরণ করলেও একটি বড় স্তরের অনুরণন অর্জনের আশা করি৷


তবুও, এই গুরুত্বপূর্ণ এবং পুনরাবৃত্তিমূলক সমালোচনা দ্ব্যর্থহীনভাবে জোর দেয় যে দরিদ্র এবং বিপথগামীরা সাহায্যের জন্য এগিয়ে আসছে এবং আরও ভাল করতে চায়! তবে এটি প্রশ্ন করে যে বারটি উত্থাপন করা আসলেই সাবঅপ্টিমাল বা অকাল নয়।

3- যারা একমত নয় তাদের থেকে

এছাড়াও কিছু নিরাপত্তা পেশাদার আছে যারা স্কিমের কিছু নির্দিষ্ট বিষয়কে চ্যালেঞ্জ করে। এখানে যত্ন এবং বিরতি অবশ্যই রাখা উচিত কারণ সমস্ত নিরাপত্তা পেশাদারদের চ্যালেঞ্জের বিষয়বস্তু সহজে উপলব্ধি করা উচিত। এইভাবে যখন কেউ অনৈতিকতার রাজ্যে প্রসারিত অভ্যাসগুলি বজায় রাখার অভিপ্রায়ে চিৎকার শুরু করে, তখন অন্যরা এর পিছনে আসল কারণ নিয়ে প্রশ্ন করবে, এটি সর্বদাই হোক না কেন, এর মূল কারণ একই থাকবে: আর্থিক ব্যয়, অনুপস্থিতির পরিবর্তে ঝুঁকি সম্পর্কে জ্ঞান।


আমি বিশ্বাস করি যে এটি শুধুমাত্র চিহ্নিত খরচের ওজনের কারণে ঘটে যা প্রাপ্ত ট্রেডঅফের সাথে বিবাহিত হয়নি। তথাপি, আমি স্বীকার করি যে এখানে, একের পর এক যুদ্ধ করতে হবে শিক্ষিত করার লক্ষ্যে একটি ভাগ করা আলোকিত অবস্থার জন্য মঞ্জুরি দেওয়ার জন্য যা একটি ধীর প্রক্রিয়া হবে এবং যেকোনও পূর্বে পূর্বে হুমকির মডেলিং, ঝুঁকি শনাক্তকরণ এবং পরিমাণ নির্ধারণের সাথে আরও ভালভাবে পরিবেশিত হবে। চিকিত্সা (গ্রহণ, স্থানান্তর, প্রশমন, পরিহার)।


যদিও এখন পর্যন্ত আমি আমার প্রভাব এবং দৃশ্যমানতার ক্ষেত্র দ্বারা সীমাবদ্ধ থাকার কারণে উত্থাপিত চ্যালেঞ্জগুলিকে সমর্থন করিনি, আমি এই স্কিমটির আরও মূল্য দেওয়ার সুযোগও স্বীকার করি এবং Y যদি কোন আইন লঙ্ঘন হতে পারে তা গণনা করার আকারে শংসাপত্র দিতে ইচ্ছুকদের সহায়তা করার জন্য এবং Z জায়গায় নেই। যদিও সেগুলি ইউকে নির্দিষ্ট হতে পারে, অন্তর্দৃষ্টি উপকারী এবং কম প্রতিরোধের প্রমাণ করতে পারে।

আসন্ন পরিবর্তন যা আপনার ব্যবসার ক্ষতি করতে পারে

আমি প্রস্তাবিত পরিবর্তনগুলির মধ্যে দুটিকে প্রশ্ন করি, কারণ অন্য সকলেই এই মুহূর্তে উন্নতির মত অনুভব করে, কিন্তু আমি পুনরায় দেখার জন্য মুক্ত থাকতে চাই।

1- স্কিমটির জন্য আর ব্যবহারকারীর ডিভাইস মডেলের রিপোর্ট করার প্রয়োজন হবে না

আমি কল্পনা করতে পারি যে আইএএসএমই এন্টারপ্রাইজগুলি থেকে অভিযোগ প্রাপ্ত করছে যেগুলির কাছে প্রচুর পরিমাণে সম্পদ রয়েছে প্রক্রিয়াটি কতটা ধীর এবং বেদনাদায়ক। আমি সেখানে ছিলাম, কিন্তু যে কেউ এই অভিযোগ করে তারা তাৎক্ষণিক প্রশ্ন উত্থাপন করে যে কীভাবে সংস্থাটি উল্লিখিত সম্পদগুলি নিরীক্ষণ, নিয়ন্ত্রণ এবং প্রতিস্থাপন করে এবং কোম্পানির নিরাপত্তা উন্নত করার জন্য সঠিক কাজ করার অংশ। যেমন, আমি এই পরিবর্তনের কারণ হিসেবে গ্রহণ করব না।


আমি বিশ্বাস করতে আগ্রহী যে এই পরিবর্তনটি IASME এবং সম্ভবত CE+ মূল্যায়নকারী সংস্থাগুলির পক্ষে, যারা তাদের কাজের স্তর হ্রাস করতে চাইছে এবং এইভাবে আরও নমনীয় জমা দেওয়ার অনুমতি দেওয়ার জন্য বার কমাতে ইচ্ছুক। এটি বাস্তবতার কাছাকাছি এই অর্থে অনুভূত হয় যে সংস্থার মূল্যায়নের আকারের উপর নির্ভর করে তাদের দ্বারা বিনিয়োগ করা সময় কভার না করা খরচ হতে পারে।


আমার জন্য যাইহোক, যেহেতু বিভিন্ন মডেলের বিভিন্ন সাপোর্ট লাইফসাইকেল থাকতে পারে এবং বিভিন্ন সম্পর্কিত অপারেটিং সিস্টেম এবং ফার্মওয়্যার থাকতে পারে, তাই এটি একটি নেতিবাচক পরিবর্তন।


একটি উদাহরণ রিপোর্ট করা হবে: "আমরা শুধুমাত্র ম্যাক ব্যবহার করি" যখন নির্দিষ্ট মডেলগুলি ইতিমধ্যে বিভিন্ন নিরাপত্তা প্রয়োজনীয়তা সমর্থন করতে অক্ষম হয়। এটি জমা দেওয়া তথ্যকে অস্পষ্ট করে।

IASME দয়া করে পুনর্বিবেচনা করুন!

2- স্কিমের জন্য শুধুমাত্র রাউটার এবং ফায়ারওয়াল ফার্মওয়্যার রিপোর্টের প্রয়োজন হবে

এই এক আমাকে ধাঁধা. কোম্পানির ওয়াইফাই রিপিটার আছে এবং যাদের ফার্মওয়্যার আছে, তাদের সার্ভার আছে যেগুলোতে ফার্মওয়্যার আছে এবং অন্য সব ডিভাইস আছে… সবই ফার্মওয়্যার সহ।


এখানে আমি ভার্চুয়ালাইজেশন এবং ক্লাউড প্রদানকারীর দিকে আঙুল তুলে ধরব যারা এই ধরনের তথ্য শেয়ার করে না। এবং যদি আমি কাছাকাছি থাকি, তাহলে আমি আইএএসএমইকে প্রশ্ন করব যদি বাস্তব এবং অস্পষ্ট সম্পদের জন্য আলাদা প্রয়োজনীয়তা থাকা আরও অর্থপূর্ণ না হয়।


একটি ডিভাইসে কী ফার্মওয়্যার ব্যবহার করা হয় তা না জেনে, সম্পদের প্রয়োজনীয় নিরাপত্তার স্তরের বিষয়ে সিদ্ধান্ত গ্রহণে বাধা দেয়। তাই এটি আরেকটি নেতিবাচক পরিবর্তন যা কম নিরাপত্তার দিকে পরিচালিত করে।


IASME দয়া করে পুনর্বিবেচনা করুন!


কম নিয়ন্ত্রণ ভাল নয়, কম সবচেয়ে খারাপ। এই দুটি ক্ষেত্রে অন্তত.


সার্টিফিকেশনের মান কমানো ঠিক নয়।



পড়ার জন্য ধন্যবাদ. আপনি এই পরিবর্তন সম্পর্কে কি মনে করেন? নীচের মতামত আমাদের জানতে দিন!