ডিজিটাল স্ক্রিনগুলো একটি সার্কিট বোর্ডের পটভূমিতে ডেটা প্রদর্শন করে।

কীভাবে আপনার কর্মীবাহিনীকে একটি সক্রিয় মানব ফায়ারওয়ালে পরিণত করবেন

by

অধিকাংশ নিরাপত্তা বিষয়ক আলোচনায় কর্মীদের বোঝা হিসেবে চিত্রিত করা হয়। ফলস্বরূপ, প্রদত্ত প্রশিক্ষণ এই ধারণাটিকে আরও শক্তিশালী করে—দীর্ঘ বার্ষিক উপস্থাপনা এবং কর্মীদের যেকোনো ভুলের জন্য উদ্বেগজনক পরিণতির রূপরেখার মাধ্যমে। এই পদ্ধতি ভয় ও অনাগ্রহের জন্ম দেয় এবং আচরণগত কোনো পরিবর্তনই আনে না। তবে, একটি বিকল্প পদ্ধতি রয়েছে, যার মূল ভিত্তিটিকে শুধু উল্টে দিতে হবে।

কেন ভয়-ভিত্তিক প্রশিক্ষণ কার্যকর হয় না

অনুযায়ী ভেরিজন ডেটা লঙ্ঘনের তদন্ত প্রতিবেদনসমস্ত ডেটা লঙ্ঘনের ৭৪%-এর সঙ্গেই মানবিক উপাদান জড়িত। তা হতে পারে একটি সফল সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ, কোনো ত্রুটি, বা অপব্যবহার। যারা এই পরিসংখ্যান তুলে ধরেন, তারা প্রায়শই এটিকে কর্মীদের দুর্বলতা হিসেবে চিহ্নিত করতে ব্যবহার করেন। তবে, এই পরিসংখ্যানটি আসলে দেখায় যে মানুষের আচরণই আক্রমণের লক্ষ্য – এবং এই মানব আচরণই এমন একটি জায়গা যেখানে আপনি এটিকে থামাতে পারেন।

ভয়-ভিত্তিক প্রশিক্ষণ ঐ পরিসংখ্যানটিকে একটি রায় হিসেবে দেখে। সচেতনতা-ভিত্তিক প্রশিক্ষণ এটিকে একটি সুযোগ হিসেবে দেখে। যখন আপনার কর্মীরা উপলব্ধি করে যে তারাই শনাক্তকরণের প্রথম ধাপ—কোনো দুর্বল সংযোগ নয়—তখন তাদের মানসিকতা বদলে যায়। তারা এমন সব বিষয় লক্ষ্য করে যা আগে কখনো করেনি। তারা নিজেদের ভুল হওয়ার নীরব আশার পরিবর্তে মুখ খোলে।

প্রযুক্তিগত নিয়ন্ত্রণের চেয়ে এই মনস্তাত্ত্বিক নিয়ন্ত্রণটি বেশি গুরুত্বপূর্ণ।

বার্ষিক চেকবক্সের বাইরে যাওয়া

নিয়মকানুনকে প্রাধান্য দেওয়ার মানসিকতা নিয়ে কর্মচারী নিরাপত্তা প্রশিক্ষণের দিকে এগোলে, আপনি নিজেকে এই চক্রেই আটকে ফেলবেন। একটি সেশন নির্ধারিত হয়, আপনার দল উপস্থিত হয় (আশা করা যায়), একটি ভিডিও বা প্রেজেন্টেশন দেখে, আপনার নিরাপত্তা নিরীক্ষায় একটি শর্ত পূরণ হয়, এবং পরের বছর একই সময়ে আবার সবকিছু নতুন করে শুরু না হওয়া পর্যন্ত কোনো পরিবর্তন হয় না। ততদিনে, সেই সমস্ত তথ্য ও প্রেক্ষাপটের প্রায় সবই আপনার দলের স্বল্পমেয়াদী স্মৃতি থেকে অনেক আগেই মুছে যায়। এই চক্র চলতেই থাকে।

এটা কোনো দলীয় ব্যর্থতা নয়, বরং এটি একটি কাঠামোগত ব্যর্থতা। মানুষের স্মৃতিশক্তি হ্রাস ১২ মাসের চক্রে ঘটে না, (যদি তা ঘটত তবে বেশ চমৎকার হতো) সেই মূল্যবান প্রশিক্ষণের তথ্যের অনেকটাই একটি দলের মাথায় আর থাকে না, যখন তাদের এটির সবচেয়ে বেশি প্রয়োজন হয় – অর্থাৎ, পরেরবার যখন কোনো বিদ্বেষপূর্ণ কিছু আপনার সংস্থাকে লক্ষ্যবস্তু করে।

স্বয়ংক্রিয় প্রশিক্ষণ চক্রগুলো যে তাদের বার্ষিক, ম্যানুয়াল কর্মশালার চেয়ে ভালো ফল দেয়, তার কারণ একটাই: শুধু সেমিনারের সময় নয়, বরং সারা বছর ধরেই নিরাপত্তার বিষয়টি মাথায় রাখা। নিরাপত্তা সচেতনতা প্রশিক্ষণ একটি স্বয়ংক্রিয় প্ল্যাটফর্মের মাধ্যমে পরিষেবা প্রদান করা হলে আপনি প্রত্যেকের কাছে পৌঁছাতে, অগ্রগতি ট্র্যাক করতে এবং প্রকৃত আচরণের উপর ভিত্তি করে পরিস্থিতি অনুযায়ী ব্যবস্থা নিতে পারেন – তাই যে দল চাপপূর্ণ মার্চ মাসে বাড়ি থেকে কাজ করার সময় ভালো নিরাপত্তা ব্যবস্থা মেনে চলে, ডিসেম্বরে তাদের ভুল করার সম্ভাবনা অনেক কম থাকে।

জাস্ট-ইন-টাইম লার্নিং মডেল

কর্মচারীদের নিরাপত্তা সচেতনতা প্রশিক্ষণ সবচেয়ে কার্যকর হয় যখন তা সর্বোত্তম সময়ে প্রদান করা হয়। উদাহরণস্বরূপ, যখন কোনো কর্মচারী একটি ফিশিং সিমুলেশন লিঙ্কে ক্লিক করেন, তখন শুধু তাদের বিরুদ্ধে অভিযোগ করে বিষয়টি সেখানেই শেষ করে দেওয়া উচিত নয়। বরং, এটিই তাদেরকে সাথে সাথে একটি সংক্ষিপ্ত ও সুনির্দিষ্ট শিক্ষণ মডিউল প্রদান করার উপযুক্ত সুযোগ।

এই পদ্ধতি, যা জাস্ট-ইন-টাইম লার্নিং নামেও পরিচিত, এতে পূর্ব-নির্ধারিত প্রশিক্ষণের চেয়ে ভালো ধারণক্ষমতা দেখা যায়। পাঠটি সরাসরি ঘটে যাওয়া ঘটনার সাথে সম্পর্কিত থাকে। এতে কর্মী নিজেকে দণ্ডিত মনে করেন না, বরং ঠিক সেই মুহূর্তে কী পরিহার করতে হবে তা শিখে যান, যখন এই তথ্যের সবচেয়ে বেশি প্রয়োজন হয়।

দোষারোপহীন অভিযোগ জানানোর সংস্কৃতি গড়ে তোলা

এটা অনিবার্য যে এমনকি সবচেয়ে ভালোভাবে প্রশিক্ষিত কর্মচারীরাও সময়ে সময়ে ভুল করবে। একটি ছোটখাটো ঘটনা এবং একটি বড় ধরনের নিরাপত্তা লঙ্ঘনের মধ্যে পার্থক্য প্রায়শই নির্ভর করে ভুলটি কত দ্রুত জানানো হয়েছে তার উপর। কর্মচারীরা যদি প্রতিশোধের ভয় পায়, তবে তারা চুপ থাকবে। নিরাপত্তা লঙ্ঘন আরও বাড়বে। এবং অবশেষে যখন কেউ বিষয়টি লক্ষ্য করবে, ততক্ষণে তা পুনরুদ্ধার করা অনেক বেশি ব্যয়বহুল হয়ে যাবে।

এই কারণেই একটি সুনির্দিষ্ট ও শাস্তিবিহীন অভিযোগ জানানোর প্রক্রিয়া একটি প্রতিষ্ঠানের জন্য সবচেয়ে গুরুত্বপূর্ণ বিষয়গুলোর মধ্যে অন্যতম। এটি কর্মীদের দেখায় যে, কোনো ভুল খুঁজে পাওয়ার সাথে সাথেই তা জানানোই সঠিক পদক্ষেপ – এটি গোপন করার মতো কোনো বিষয় নয়। এটি এমন সতর্কবার্তাও তৈরি করে, যা কোনো নিরাপত্তা লঙ্ঘন নিয়ন্ত্রণের বাইরে চলে যাওয়ার আগেই আপনার নিরাপত্তা কর্মীরা ব্যবহার করতে পারে।

এবং এটি অভ্যন্তরীণ হুমকির ঝুঁকিকে এমনভাবে তুলে ধরে, যা নিয়ে আমরা প্রায়শই যথেষ্ট আলোচনা করি না। বেশিরভাগ অভ্যন্তরীণ ঘটনাই বিদ্বেষপূর্ণ হয় না। এগুলো হলো ভুল – যেমন কেউ অননুমোদিত সফটওয়্যার ইনস্টল করে, প্রিটেক্সটিং অ্যাটাকের শিকার হয়, বা ক্লাউড সার্ভার ভুলভাবে কনফিগার করে। রিপোর্ট করার ক্ষেত্রে একটি নিরাপদ সংস্কৃতি এই ধরনের ঘটনাকে গুরুতর হওয়ার আগেই ধরে ফেলে। দোষারোপের সংস্কৃতি সেগুলোকে আড়ালে চলে যেতে সাহায্য করে।

নিরাপত্তাকে একটি পেশাদার দক্ষতার মতো করে তোলা

কখনও কখনও গ্যামিফিকেশনকে একটি তুচ্ছ বিষয় বলে মনে করা হয়, কিন্তু এটি আসলে কাজ করে কারণ এটি প্রেক্ষাপট পরিবর্তন করে দেয়: এই প্রশিক্ষণটি কর্মীদেরকে দেওয়া কোনো বিষয় নয়, বরং এটি এমন কিছু যাতে তারা পারদর্শী হতে পারে। লিডারবোর্ড, স্বীকৃতি এবং সমাপ্তি ব্যাজগুলো সেই একই প্রতিযোগিতামূলক ও কৃতিত্বের প্রেরণা জাগিয়ে তোলে, যা মানুষকে পেশাগত সনদ অর্জনে উৎসাহিত করে।

যখন কর্মীরা তাদের নিরাপত্তা সচেতনতার অগ্রগতি চিহ্নিত করতে শুরু করে অথবা কোনো ফিশিং সিমুলেশনে তাদের দলের শক্তিশালী পারফরম্যান্স লক্ষ্য করে, তখন নিরাপত্তা আর কোনো কম্পিউটার বিশেষজ্ঞের সমস্যা থাকে না, বরং তা একজন পেশাদারের পরিচয়ে পরিণত হয়। আর সেখানেই প্রকৃত সাইবার নিরাপত্তা সংস্কৃতি গড়ে ওঠে – পোস্টার, মাউস প্যাড বা খেলনা থেকে নয়, কিংবা কর্মচারী হ্যান্ডবুকের সতর্কীকরণ স্টিকার থেকেও নয়।

এমএফএ গ্রহণ, শ্যাডো আইটি হ্রাস, এবং এমনকি শারীরিক নিরাপত্তার সাংস্কৃতিক দিকগুলো—যেমন টেইলগেটিং বা পিগিব্যাকিংয়ের জন্য যথাযথ প্রতিবাদ—উন্নত হয়, যখন কর্মীরা এই ধারণাটি গ্রহণ করে যে একজন ভালো পেশাদারের কাজের জন্য এগুলো অপরিহার্য। আপনি নিয়ম মানার জন্য চাপ দিচ্ছেন না; আপনি দক্ষতার জন্য চাপ দিচ্ছেন।

যে সংস্থাগুলো কোনো ঘটনার ক্ষেত্রে সবচেয়ে ভালোভাবে সাড়া দেয়, সেগুলো এমন নয় যাদের কাছে সবচেয়ে অবিশ্বাস্য বা এক্স-প্রাইজ-যোগ্য নিরাপত্তা প্রযুক্তি রয়েছে। বরং সেগুলো হলো সেইসব সংস্থা, যাদের কর্মীরা পেশাগতভাবে দক্ষ হতে অনুপ্রাণিত এবং কোনো অস্বাভাবিক কিছু দেখলে অবিলম্বে সহায়তা চায়।