নিরাপত্তা দল
নিরাপত্তা দল আপনার ভিডিপির সবচেয়ে গুরুত্বপূর্ণ স্টেকহোল্ডার। একটি VDP চালু এবং চালানোর জন্য যে কাজটি করা লাগে তার পাশাপাশি, যদি আপনার নিরাপত্তা টিম জাহাজে না থাকে, তাহলে নিরাপত্তা দলের বাইরের লোকদের কেনার জন্য এটি আরও কঠিন।
কখনও কখনও ভিডিপি প্রবর্তনের ক্ষেত্রে গর্ব বা আত্মরক্ষার অনুভূতি হতে পারে। নিরাপত্তা দল মনে করতে পারে যে বহিরাগত নিরাপত্তা গবেষকরা দুর্বলতাগুলি চিহ্নিত করে যা তারা মিস করেছে তা তাদের ত্রুটিগুলির উপর আলোকপাত করবে। কোম্পানীর বড় এবং জটিল আক্রমণ পৃষ্ঠ আছে এবং নিরাপত্তা দল শুধুমাত্র নিখুঁত কভারেজ আছে আশা করা যায় না. আখ্যানটি আঙুল তোলা বা কাউকে দোষারোপ করা উচিত নয়। যেহেতু গবেষকরা দুর্বলতা খুঁজে পান, তাই এই ডেটা আপনার দলকে আপনার প্রতিষ্ঠানের নিরাপত্তা ভঙ্গি উন্নত করতে সাহায্য করার জন্য কার্যকর প্রতিক্রিয়া হিসাবে ব্যবহার করা উচিত। বহিরাগত হ্যাকারদের প্রতিপক্ষ নয়, আপনার দলের একটি সম্প্রসারণ হিসাবে বিবেচনা করার জন্য আপনার নিরাপত্তা দলের মানসিকতা পরিবর্তন করা গুরুত্বপূর্ণ হবে। পূর্বে উল্লিখিত হিসাবে, আপনি নিশ্চিত করতে চাইবেন যে আপনার নিরাপত্তা টিম কীভাবে সনাক্তকরণ এবং প্রতিক্রিয়া প্রক্রিয়াগুলি পরিচালনা করতে হয় সে সম্পর্কে একটি সক্রিয় কথোপকথন করেছে কারণ সেগুলি আপনার VDP-এর সাথে সম্পর্কিত।
আইটি
তথ্য প্রযুক্তির অর্থ বিভিন্ন সংস্থার কাছে বিভিন্ন জিনিস, এবং প্রতিটি কোম্পানির নিজস্ব আইটি সম্পর্কিত ভূমিকা রয়েছে। এই গাইডের উদ্দেশ্যে, আমরা ধরে নিই যে আইটি ব্যবসার দ্বারা নির্ভরশীল সিস্টেম এবং পরিষেবাগুলি সেট আপ, রক্ষণাবেক্ষণ এবং সমর্থন করার জন্য দায়ী ব্যক্তি এবং দলকে বোঝায়। আইটি দলগুলি সাধারণত জিনিসগুলি চালিয়ে যেতে চায়। এটি প্রায়শই সাফল্যের মেট্রিক্সের সাথে সরাসরি যুক্ত থাকে (উদাহরণস্বরূপ, নিরবচ্ছিন্ন সময়)। যদিও হ্যাকারদের তাদের রক্ষণাবেক্ষণ করা সিস্টেম এবং পরিষেবাগুলির বিরুদ্ধে পরীক্ষা করার জন্য আমন্ত্রণ জানানোর ধারণাটি ভীতিকর মনে হতে পারে, এটি আসলে আইটিকে ব্যাপকভাবে উপকৃত করে। অপরাধীরা কোনো নিয়ম মেনে চলে না এবং আপনার প্রতিষ্ঠানকে আক্রমণ করার চেষ্টা করতে পারে। আপনার প্রতিষ্ঠানের সাথে কাজ করার জন্য ভাল হ্যাকারদের জন্য একটি মানসম্মত চ্যানেল তৈরি করে, আপনি অপরাধীদের দ্বারা শোষিত হওয়ার আগে নিরাপত্তা সমস্যাগুলি চিহ্নিত করার এবং সমাধান করার সম্ভাবনা বাড়াতে পারেন৷ লঙ্ঘনের সাথে সম্পর্কিত বিশাল খরচ রয়েছে, যার মধ্যে IT এবং অন্যান্যদের দ্বারা ব্যয় করা সময়, সেইসাথে সম্ভাব্য ডাউনটাইম যদি লঙ্ঘনের ফলে সাময়িকভাবে সম্পদগুলি বন্ধ বা বিভাগ বন্ধ করতে হয়। একটি VDP থাকা লঙ্ঘনের ঝুঁকি কমাতে সাহায্য করতে পারে। উপরন্তু, হ্যাকার রিকনেসান্স সম্পদ আবিষ্কারে এবং আইটি দলের অংশগ্রহণ ছাড়াই তৈরি করা দুর্বৃত্ত সিস্টেম এবং পরিষেবা চিহ্নিত করতে সাহায্য করতে পারে।
প্রকৌশল
যতক্ষণ না আপনার নিরাপত্তা দল আপনার ইঞ্জিনিয়ারিং দলের হয়ে দুর্বলতা ঠিক করার কাজটি গ্রহণ করে, আপনার VDP-এর সাথে আপনার ইঞ্জিনিয়ারিং সংস্থার প্রয়োজন হবে। কেউই অপ্রত্যাশিত কাজ পছন্দ করে না, এবং ভিডিপিগুলি দুর্বলতার একটি নতুন স্ট্রীম প্রবর্তন করে যা ইঞ্জিনিয়ারিং দলগুলিকে সমাধান করতে হবে। আপনার VDP লঞ্চের সাথে যুক্ত টাইমলাইন সম্পর্কে তারা সচেতন তা নিশ্চিত করতে ইঞ্জিনিয়ারিং সংস্থার নেতৃত্বের সাথে কাজ করা এবং সেইসাথে বাগ সংশোধনের জন্য সংস্থানগুলি উত্সর্গ করার জন্য তাদের কাছ থেকে কেনাকাটা করা গুরুত্বপূর্ণ। যখন একটি ভিডিপি চালু হয়, সাধারণত শুরুতে বাগগুলির একটি স্পাইক থাকে, তারপর এটি একটি মাঝারি স্তরে নেমে আসে। আপনার প্রোগ্রামের প্রথম কয়েক সপ্তাহে অনেক বাগ ঠিক করার জন্য ইঞ্জিনিয়ারিং প্রস্তুত থাকা আপনার ভিডিপিতে অংশগ্রহণকারী ইঞ্জিনিয়ারিং টিম, নিরাপত্তা দল এবং হ্যাকারদের জন্য প্রক্রিয়াটিকে আরও মসৃণ করতে সাহায্য করতে পারে। যেহেতু আপনি ইঞ্জিনিয়ারিং টিমকে অতিরিক্ত কাজ করতে বলছেন, তাই তারা একটি VDP থেকে কী সুবিধা পাবেন তা ব্যাখ্যা করা সহায়ক।
আইনি
আইনি দল ঝুঁকি কমাতে পছন্দ করে। অতিরিক্ত প্রসঙ্গ ছাড়াই হ্যাকারদের আপনার প্রতিষ্ঠানকে হ্যাক করার জন্য সক্রিয়ভাবে আমন্ত্রণ জানানোর ধারণাটি খুব ঝুঁকিপূর্ণ বলে মনে হতে পারে। কীভাবে একটি VDP থাকা কেবল নিরাপত্তা ঝুঁকিই নয়, আইনি ঝুঁকিও কমাতে পারে তা দেখতে আপনার আইনি দলের সাথে কাজ করা গুরুত্বপূর্ণ। আপনার ভিডিপি থাকুক বা না থাকুক, দুর্বলতা থাকবেই। একটি VDP ছাড়া, হ্যাকাররা যারা সঠিক কাজটি করতে চায় এবং সমস্যাটি সম্পর্কে আপনাকে অবহিত করতে চায় তাদের কাছে আপনার কাছে পৌঁছানোর কোন আদর্শ উপায় থাকবে না। একটি VDP জায়গায় থাকা নিরাপত্তা গবেষকদের জন্য একটি উপায় প্রদান করে যাতে আপনি দুর্বলতাগুলি খুঁজে পেতে এবং সংশোধন করতে সাহায্য করতে পারেন যাতে তারা সম্ভাব্য আইনি সমস্যা হয়ে ওঠে। দুর্বলতা রিপোর্ট গ্রহণ করার জন্য একটি চ্যানেল ছাড়া, যারা দুর্বলতা সনাক্ত করে তারা হয় আপনার কাছে রিপোর্ট করার প্রচেষ্টা ছেড়ে দিতে পারে, অথবা সম্ভবত জনসমক্ষে এটির প্রতি দৃষ্টি আকর্ষণ করার জন্য এবং এটি ঠিক করা হয়েছে তা নিশ্চিত করার প্রয়াসে বিষয়টি প্রকাশ করতে পারে।
জনসংযোগ
তথ্য নিরাপত্তা নিয়ে আপনার জনসংযোগ (PR) টিমের অভিজ্ঞতার উপর নির্ভর করে, VDP শুরু করার প্রস্তাব সম্পর্কে আপনার PR টিমের প্রতিক্রিয়া " আমরা কখন শুরু করব? " থেকে হতবাক হওয়া এবং ধারণাটিকে সম্পূর্ণভাবে প্রত্যাখ্যান করা পর্যন্ত হতে পারে। যদিও হ্যাকিং সম্পর্কে জনসাধারণের ধারণা আরও ইতিবাচকভাবে পরিবর্তিত হতে শুরু করেছে, হ্যাকার শব্দটি এখনও অনেকের কাছে নেতিবাচক অর্থ রয়েছে। নিম্নলিখিত সারণীটি PR থেকে সাধারণ প্রশ্ন এবং উদ্বেগের রূপরেখা দেয়, সেইসাথে এই আপত্তিগুলি কীভাবে পরিচালনা করা যায়।
| প্রশ্ন/আপত্তি | সম্ভাব্য উত্তর |
|---|---|
| হ্যাকাররা কি দুষ্ট নয়? আমাদের হ্যাক করার জন্য তাদের আমন্ত্রণ জানানো কি শুধুই কষ্ট চাওয়া? | না। অপরাধীরা সবসময়ই থাকবে এবং আমাদের হ্যাক ও শোষণ করতে চাইবে, কিন্তু একটি ভিডিপি হ্যাকারদের সাথে কাজ করার একটি পথ তৈরি করে যারা সঠিক কাজটি করতে চায় এবং আমাদের দুর্বলতা খুঁজে পেতে এবং ঠিক করতে সাহায্য করে। যদি কেউ খারাপ হতে চায়, একটি ভিডিপি তাদের বাধা দেবে না। |
| কোন হ্যাকার যদি আমাদের সাহায্য করার পরিবর্তে আমাদের হ্যাক করে? | কারো যদি খারাপ উদ্দেশ্য থাকে, তাহলে তারা সম্ভবত ভিডিপিতে অংশগ্রহণ করবে না। পরিবর্তে, তারা আমাদের আক্রমণ করার সময় যতটা সম্ভব বেনামী থাকার চেষ্টা করতে পারে। একটি VDP থাকা আমাদের নিরাপত্তা গবেষকদের সাথে কাজ করতে সক্ষম করে যারা সাহায্য করতে চায়। |
| হ্যাকারদের সাহায্যের জন্য জিজ্ঞাসা করে, আমরা কি স্বীকার করছি যে আমাদের নিজেদের নিরাপত্তা খারাপ? | কোনো প্রতিষ্ঠানের নিখুঁত নিরাপত্তা নেই। বিভিন্ন শিল্পে অনেক, খুব সুপরিচিত সংস্থাগুলি তাদের বিদ্যমান সুরক্ষা প্রক্রিয়াগুলিকে বাড়ানোর জন্য সর্বজনীন দুর্বলতা প্রকাশ বা বাগ বাউন্টি প্রোগ্রাম চালায়। গ্লোবাল হ্যাকিং সম্প্রদায়কে কাজে লাগানো একটি নিরাপত্তা জাল যা ফাটলের মধ্য দিয়ে পড়ে এমন কিছু খুঁজে পেতে এবং ঠিক করতে সহায়তা করে। আসলে, একটি ভিডিপি থাকা ইতিবাচক নিরাপত্তা জনসংযোগের জন্য ব্যবহার করা যেতে পারে। |
| যদি একজন হ্যাকার প্রকাশ্যে প্রকাশ করে যে তারা কীভাবে আমাদের হ্যাক করেছে? আমাদের দেখতে খারাপ লাগবে না? | এটি প্রকাশের বর্ণনা এবং প্রকৃতির উপর নির্ভর করে। ডিসক্লোজার কিভাবে কাজ করে সে বিষয়ে সম্মতিসূচক শর্তাবলী নির্ধারণ করার জন্য হ্যাকারদের সাথে কাজ করা আমাদের ব্যাপার। বেশিরভাগ সংস্থা চিহ্নিত সমস্যাগুলি ঠিক না হওয়া পর্যন্ত জনসাধারণের প্রকাশকে নিরুৎসাহিত করে, এবং তারা সাধারণত লিখতে বা ব্লগে হ্যাকারের সাথে কাজ করে। দুর্বলতার প্রতিবেদনগুলি গ্রহণ করার এবং হ্যাকারদের সাথে এই কথোপকথনে জড়িত থাকার একটি কাঠামোগত উপায় ছাড়াই, আমরা কারও হতাশ হওয়ার এবং সরাসরি প্রেসে যাওয়ার ঝুঁকি বাড়িয়ে দিই কারণ তারা আমাদের সাথে যোগাযোগ করতে অক্ষম ছিল৷ অনেক সংস্থা সক্রিয়ভাবে নিরাপত্তা গবেষকদের সংগঠনের সাথে কাজ করার অভিজ্ঞতা লিখতে উৎসাহিত করে, কারণ এটি VDP-এর সাফল্যকে তুলে ধরে। এটি সম্প্রদায়ের অন্যান্য দক্ষ হ্যাকারদের অংশগ্রহণে উৎসাহিত করে। |
| আমরা কিভাবে নিশ্চিত হতে পারি যে ভিডিপি আমাদের জন্য কাজ করবে? আমরা যদি জনসমক্ষে যাই এবং খারাপ কিছু ঘটে তাহলে কী হবে? | বেশিরভাগ ভিডিপি "ব্যক্তিগত" মোডে শুরু হয়, যেখানে প্রোগ্রামটি সর্বজনীনভাবে ঘোষণা করা হয় না, এবং শুধুমাত্র কিছু হ্যাকারকে অংশগ্রহণের জন্য আমন্ত্রণ জানানো হয়। সময়ের সাথে সাথে, আরও হ্যাকারদের আমন্ত্রণ জানানো হয়, এবং প্রোগ্রামটি ধীরে ধীরে একটি "পাবলিক" লঞ্চ এবং ঘোষণার দিকে বাড়ানো হয়। আমরা সময়সূচীতে সারিবদ্ধ থাকব এবং কখন প্রোগ্রামটি সর্বজনীনভাবে চালু হবে সে সম্পর্কে আপনাকে আপ টু ডেট রাখব। যখন এটি হয়, তখন আমরা এটিকে একটি ইতিবাচক গল্প হিসাবে তুলে ধরতে পারি যে কীভাবে সংস্থাটি নিরাপত্তা উন্নত করতে এবং ব্যবহারকারীদের নিরাপদ রাখতে বাহ্যিক নিরাপত্তা গবেষক সম্প্রদায়ের সাথে কাজ করে। |
বিক্রয়
আপনার কোম্পানীর প্রতিযোগীদের উপর অফার করার সুবিধাগুলি প্রদর্শন করার জন্য আপনার বিক্রয় দলের প্রমাণ প্রয়োজন। বিক্রয় প্রক্রিয়ার অংশ হিসাবে, গ্রাহকদের বিশ্বাস নিশ্চিত করার জন্য সংস্থাগুলি প্রায়শই একটি বিক্রেতা নিরাপত্তা পর্যালোচনা বা নিরীক্ষার মধ্য দিয়ে যায়। একটি ভিডিপি জায়গায় থাকা আপনার গ্রাহকদের কাছে প্রমান করে যে আপনার কাছে একটি পরিপক্ক নিরাপত্তা প্রোগ্রাম রয়েছে এবং বহিরাগত নিরাপত্তা গবেষকদের সাথে কাজ করে এটিকে আরও বৃদ্ধি করুন। উপরন্তু, যদি আপনার ঘনিষ্ঠ প্রতিযোগীদের VDP না থাকে, তাহলে সম্ভাব্য গ্রাহকদের সাথে কথা বলার সময় এটি একটি সুবিধা হিসাবে ব্যবহার করা যেতে পারে। প্রতিষ্ঠানের নিরাপত্তা নিয়ে প্রশ্ন উঠলে সম্ভাব্য গ্রাহকদের সাথে শেয়ার করার জন্য একটি বর্ণনা তৈরি করতে বিক্রয় দলের সাথে কাজ করুন।
উদাহরণ স্বরূপ,
| আমরা আমাদের বিদ্যমান দৃঢ় নিরাপত্তা প্রক্রিয়াগুলিকে বাড়ানোর জন্য একটি দুর্বলতা প্রকাশের প্রোগ্রাম নিযুক্ত করি, যা প্রায় বাস্তব সময়ে উত্পাদনে যে কোনও সুরক্ষা সমস্যা সনাক্ত করতে সহায়তা করার জন্য একটি সুরক্ষা জাল বা প্রতিবেশী ঘড়ির মতো কাজ করে। এটি লঙ্ঘনের সম্ভাবনা হ্রাস করে আপনার ডেটা নিরাপদ তা নিশ্চিত করতে আমাদের সহায়তা করে। এটি আমাদের প্রতিযোগীদের তুলনায় একটি কঠিন সুবিধা দেয় যাদের দুর্বলতা প্রকাশের প্রোগ্রাম নেই। |
অর্থায়ন
আপনি যখন একটি VDP থেকে একটি দুর্বলতা পুরস্কার প্রোগ্রামে (VRP) যান তখন ফিনান্স সম্ভবত আরও জড়িত হবে, কিন্তু আপনি যদি তৃতীয় পক্ষের প্ল্যাটফর্ম থেকে পরিষেবাগুলি ক্রয় করেন তবে তাদের অন্তর্ভুক্ত করা প্রয়োজন। আপনি যদি আপনার ভিডিপি সেট আপ করতে সাহায্য করার জন্য একটি তৃতীয় পক্ষের বিক্রেতার সাথে জড়িত হওয়ার সিদ্ধান্ত নেন, তাহলে আপনাকে সম্ভবত এই পরিষেবাগুলির জন্য বাজেট করতে হবে। এটি একটি ছোট জিনিস বলে মনে হতে পারে, তবে তাদের প্রক্রিয়াটি বোঝার জন্য আপনার ফাইন্যান্স টিমের সাথে কথা বলা একটি ভাল ধারণা।
যোগাযোগ পদ্ধতি
স্টেকহোল্ডার বাই-ইন অর্জন করতে, আপনাকে আপনার প্রতিষ্ঠানের জন্য সর্বোত্তম যোগাযোগ পদ্ধতি নির্ধারণ করতে হবে। আপনি যদি আপনার সংস্থার বেশিরভাগ সম্মত হওয়ার প্রত্যাশা করেন, তাহলে আপনি প্রায়শই একটি একক প্রস্তাব নিয়ে এগিয়ে যেতে পারেন, প্রতিক্রিয়া জানাতে পারেন এবং কোনো প্রশ্ন এবং উদ্বেগ নিয়ে আলোচনা করার জন্য একটি একক সভা পরিচালনা করতে পারেন। যদি এই পদ্ধতিটি আপনার প্রতিষ্ঠানে কাজ না করে, তাহলে স্টেকহোল্ডারদের সাথে পৃথকভাবে তাদের ব্যক্তিগত প্রশ্ন বা উদ্বেগ নিয়ে আলোচনা করার জন্য একটি ভাল পদ্ধতি হতে পারে। ভিডিপি শুরু করার সাথে সম্পর্কিত ঝুঁকির বিষয়ে আপত্তি বা প্রশ্নগুলি পরিচালনা করার জন্য প্রস্তুত থাকুন। আপনি যখন আপনার প্রতিষ্ঠান জুড়ে একটি ভিডিপির ধারণা তৈরি করেন, তখন আপনাকে বেনিফিট বিক্রি করতে হবে এবং আত্মবিশ্বাসের সাথে বাস্তব এবং অনুভূত ঝুঁকিগুলি মোকাবেলা করতে হবে।