Risk Management: প্রাতিষ্ঠানিক সাইবার ঝুঁকি মূল্যায়ন এবং কার্যকরী রেসপন্স প্ল্যানিং!

ঝুঁকি ব্যবস্থাপনা বুঝতে হলে কিছু মৌলিক পরিভাষা স্পষ্ট করা জরুরি:

Asset: যেকোনো কিছু যা সংস্থার মূল্যবান—data, application, hardware, intellectual property, brand reputation, এমনকি কর্মচারী।

Threat: একটি potential কারণ বা ঘটনা যা asset-এর ক্ষতি করতে পারে—হ্যাকার, ম্যালওয়্যার, প্রাকৃতিক দুর্যোগ, insider threat, supply chain ব্যর্থতা।

Vulnerability: একটি weakness যা threat exploit করতে পারে—একটি unpatched server, weak password policy, missing MFA, untrained employee।

Risk: একটি threat একটি vulnerability exploit করার সম্ভাবনা এবং তার সম্ভাব্য প্রভাব। গাণিতিকভাবে: Risk = Likelihood × Impact।

Control: একটি measure যা risk কমায়—technical (firewall), administrative (policy), বা physical (security guard)।

Residual Risk: Control প্রয়োগের পরও যে ঝুঁকি থেকে যায়।

Risk Appetite: সংস্থা কতটা ঝুঁকি গ্রহণ করতে ইচ্ছুক—business objectives অর্জনের জন্য।

বেশ কয়েকটি international framework cyber risk management-এর জন্য structured approach প্রদান করে:

NIST Cybersecurity Framework (CSF): U.S. National Institute of Standards and Technology-র তৈরি, ২০১৪ সালে v1.0 এবং ২০২৪ সালে v2.0 প্রকাশিত। ছয়টি core function: Govern, Identify, Protect, Detect, Respond, Recover। প্রতিটি function-এর under multiple categories এবং subcategories। অত্যন্ত flexible এবং industry-agnostic।

NIST SP 800-30 এবং SP 800-39: Risk assessment এবং risk management-এর detailed guidance। US federal agencies-এর জন্য বাধ্যতামূলক কিন্তু worldwide ব্যবহৃত।

ISO/IEC 27001 এবং 27005: Information Security Management System (ISMS)-এর জন্য international standard। ISO 27005 specifically risk management-এর জন্য। ৩১,০০০-এর বেশি certified organization বিশ্বব্যাপী।

FAIR (Factor Analysis of Information Risk): Quantitative risk analysis-এর জন্য। প্রতিটি risk-কে dollar value-এ express করা—যা executive decision-making-এ সহজতর।

OCTAVE Allegro: CERT-এর developed methodology, ছোট ও মাঝারি সংস্থার জন্য simplified approach।

ISACA RISK IT: COBIT-এর সাথে aligned, IT governance ছাড়াও business risk-এর সাথে integrate।

CIS Controls v8: ১৮টি critical security controls একটি prioritized সিকোয়েন্সে। practical এবং actionable।

একটি comprehensive risk assessment-এর সাধারণত এই পর্যায়গুলো থাকে:

Step 1: Scope Definition

প্রথমে assessment-এর scope সংজ্ঞায়িত করতে হবে। পুরো organization, একটি বিশেষ business unit, একটি নির্দিষ্ট system, অথবা একটি specific compliance requirement (PCI DSS, HIPAA, GDPR)। Stakeholders identify করুন—CIO, CISO, business owners, legal, compliance।

Step 2: Asset Inventory

প্রতিটি critical asset enumerate করুন:

• Data assets: Customer PII, financial records, intellectual property, employee data
• Systems: Production database, ERP, CRM, email infrastructure
• Infrastructure: Cloud accounts, network devices, endpoints
• People: Privileged users, third-party contractors
• Processes: Payment processing, manufacturing, sales

প্রতিটি asset-এর জন্য classification (Public, Internal, Confidential, Restricted), ownership এবং criticality determine করুন।

Step 3: Threat Identification

প্রাসঙ্গিক threats শনাক্ত করুন। MITRE ATT&CK framework, NIST SP 800-30 threat list, এবং industry-specific threat intelligence ব্যবহার করুন। সাধারণ threat categories:

• External threats: Nation-state actors, organized crime, hacktivists, script kiddies
• Insider threats: Malicious employees, negligent users, compromised accounts
• Environmental threats: Natural disasters, power outages, hardware failure
• Supply chain threats: Third-party vendor compromise, software supply chain attack

আপনার industry এবং geography-এর প্রাসঙ্গিক threats-এ focus করুন। Bangladesh-এর জন্য financial fraud, regional threat actors, এবং climate-related infrastructure ঝুঁকি বিশেষ গুরুত্বপূর্ণ।

Step 4: Vulnerability Assessment

প্রতিটি asset-এর vulnerability শনাক্ত করুন। Tools: Nessus, Qualys, Rapid7 InsightVM, OpenVAS for technical vulnerabilities। Penetration testing for exploitable weaknesses। Configuration review against benchmarks (CIS Benchmarks)। Application security testing (SAST, DAST)।

Non-technical vulnerabilities-ও গুরুত্বপূর্ণ: weak processes, lack of training, insufficient documentation, single points of failure।

Step 5: Likelihood এবং Impact Analysis

প্রতিটি risk scenario-র জন্য likelihood এবং impact estimate করুন।

Likelihood scales:

• Very Low (১% - ১০%): Highly unlikely
• Low (১১% - ৩০%): Unlikely but possible
• Medium (৩১% - ৫০%): Possible
• High (৫১% - ৮০%): Likely
• Very High (৮১% - ১০০%): Almost certain

Impact dimensions:

• Financial: Direct losses, regulatory fines, recovery costs
• Operational: Service disruption, productivity loss
• Reputational: Customer trust, brand damage
• Legal/Regulatory: GDPR fines, breach notification obligations
• Strategic: Competitive advantage loss

Quantitative methods (FAIR) এ এই গুলো monetary value-এ convert করা হয়। Qualitative methods-এ scale ব্যবহৃত হয়।

Step 6: Risk Calculation এবং Prioritization

Likelihood × Impact দিয়ে risk score। সাধারণত একটি Heat Map তৈরি করা হয়—Y-axis-এ Impact, X-axis-এ Likelihood, এবং প্রতিটি risk একটি cell-এ placed। উপরের-ডান কোনার risks-গুলো সবচেয়ে critical।

প্রতিটি identified risk-এর জন্য চারটি প্রধান response option রয়েছে:

Avoid: কার্যক্রম পরিবর্তন করে risk সম্পূর্ণভাবে এড়ানো। যেমন একটি risky third-party integration বাতিল করা।

Mitigate (Reduce): Control প্রয়োগ করে risk-এর likelihood বা impact কমানো। সবচেয়ে সাধারণ strategy। MFA implementation, EDR deployment, encryption।

Transfer: Cyber insurance, third-party hosting agreement, বা contractual liability shift-এর মাধ্যমে risk অন্যকে স্থানান্তর। তবে reputational risk transfer করা যায় না।

Accept: Conscious decision নিয়ে risk বহন করা—সাধারণত যখন mitigation cost potential loss-এর চেয়ে বেশি বা risk appetite-এর মধ্যে। Documented এবং signed off by appropriate executive।

NIST CSF এবং CIS Controls-এর মতো framework specific controls suggest করে। কিছু high-impact controls:

Technical Controls:

• Asset Inventory (CIS Control 1, 2)
• Data Protection (encryption at rest and in transit)
• Identity and Access Management (MFA, PAM, least privilege)
• Network Security (segmentation, NGFW, IDS/IPS)
• Endpoint Protection (EDR, antivirus, application whitelisting)
• Continuous Vulnerability Management
• Email and Web Security
• Logging, Monitoring এবং SIEM
• Incident Response capability

Administrative Controls:

• Information Security Policy
• Risk Management Procedure
• Acceptable Use Policy
• Data Classification এবং Handling
• Vendor Risk Management Program
• Security Awareness Training
• Background Checks
• Separation of Duties

Physical Controls:

• Access Control (badge, biometric)
• CCTV এবং Monitoring
• Environmental Controls (fire, flood)
• Secure Disposal

Risk landscape ক্রমাগত পরিবর্তিত হয়। একটি one-time assessment যথেষ্ট নয়:

Quarterly Reviews: Risk register update, new threats assessment।

Annual Reassessment: Full risk assessment cycle।

Event-Driven Reviews: Major incident, organizational change, new business initiative, regulatory update-এর পর immediate review।

KRI (Key Risk Indicators): Critical metrics-এ continuous monitoring—যেমন number of unpatched critical vulnerabilities, phishing click rate, mean time to detect incidents।

Threat Intelligence Integration: Industry-specific threat feeds (FS-ISAC for finance, H-ISAC for healthcare) থেকে regular update।

Risk management-এর সবচেয়ে গুরুত্বপূর্ণ component হলো incident response capability। NIST SP 800-61 ফ্রেমওয়ার্ক অনুসরণ করে:

Preparation: IR team, tools, playbooks, communication plan, retainer arrangement with external IR firm (Mandiant, CrowdStrike Services, Kroll)।

Detection এবং Analysis: SOC monitoring, alert triage, incident classification।

Containment, Eradication, Recovery: Isolate affected systems, remove threat, restore operations।

Post-Incident Activity: Lessons learned, control improvement, documentation update।

Tabletop Exercises: Regular simulation—ransomware scenario, data breach, supply chain compromise। Executive participation।

আধুনিক risk management regulatory compliance-এর সাথে গভীরভাবে integrated:

• GDPR: Personal data breach notification within 72 hours
• PCI DSS: Payment card data protection
• HIPAA: US healthcare data privacy
• SOX: US public company financial controls
• Bangladesh: ICT Act 2006, Digital Security Act 2018, Bangladesh Bank cyber security guideline

Compliance-driven approach কখনো কখনো risk-driven approach-এর সাথে conflict হতে পারে। Mature program উভয়কে balance করে।

একটি successful risk management program-এর জন্য organizational commitment অপরিহার্য:

Executive Sponsorship: CISO-কে CEO এবং board-এর সরাসরি অ্যাক্সেস থাকা চাই। নিয়মিত board reporting।

Cross-Functional Collaboration: IT, Legal, HR, Finance, Operations সবার অংশগ্রহণ।

Risk-Aware Culture: কর্মচারীদের risk reporting-এ encouragement, blame-free incident disclosure।

Investment in People: Skilled GRC professionals, continuous training, certification (CISA, CRISC, CISSP, CISM)।

Technology Enablement: GRC platform (ServiceNow GRC, Archer, OneTrust) যা risk register, control mapping, audit findings centralize করে।

Third-Party Risk Management: Vendor onboarding-এ due diligence, contractual security requirement, periodic assessment।

Metrics এবং Reporting: Executive dashboard যা risk posture realtime show করে। Trend analysis।

Continuous Improvement: Post-incident review, audit findings remediation, framework maturity assessment।