খরচ কমাতে, দক্ষতা বাড়াতে এবং কৌশলগত সুবিধা তৈরি করার প্রয়াসে, আর্থিক পরিষেবা সংস্থাগুলি প্রসারিত হচ্ছে তাদের আউটসোর্সিং ব্যবহার এবং গুরুত্বপূর্ণ ব্যবসা এবং আইটি প্রক্রিয়ার জন্য তৃতীয় পক্ষের উপর ব্যাপকভাবে নির্ভর করছে। যদিও তৃতীয় পক্ষগুলি ব্যবসায় একাধিক সুবিধা নিয়ে আসে, তৃতীয় পক্ষগুলি সমালোচনামূলক সিস্টেম, সংবেদনশীল তথ্য অ্যাক্সেস করার এবং সম্ভাব্যভাবে সাব-কন্ট্রাক্টরদের নিযুক্ত করার কারণে সাইবার ঝুঁকির প্রকাশের অনুরূপ বৃদ্ধি রয়েছে৷ সাইবার ছাড়াও, আরও তৃতীয় পক্ষের ঝুঁকি রয়েছে যেমন লক-ইন ঝুঁকি, নিয়ন্ত্রক সম্মতি এবং অন্যান্য, তবে এই ব্লগ পোস্টে সেগুলি বিবেচনা করা হবে না৷
তৃতীয় পক্ষের উপর উচ্চ নির্ভরশীলতা সত্ত্বেও, সংস্থাগুলি এখনও সামগ্রিক এবং সমন্বিত পদ্ধতিতে ঝুঁকিগুলি পরিচালনা করছে না। অতিরিক্তভাবে, ব্যাঙ্কিং এবং আর্থিক পরিষেবা শিল্পের মতো ব্যাপকভাবে নিয়ন্ত্রিত শিল্পগুলিকে তৃতীয় পক্ষের সাইবার ঝুঁকি ব্যবস্থাপনা সম্পর্কে কৌশলগতভাবে চিন্তা করতে হবে . তৃতীয় পক্ষের সাইবার ঝুঁকি পরিচালনার জন্য সম্ভাব্য জরিমানা অপর্যাপ্তভাবে নিয়ন্ত্রক জরিমানা থেকে পরিচালনার লাইসেন্স হারানো পর্যন্ত। নিউ ইয়র্ক স্টেট ডিপার্টমেন্ট অফ ফাইন্যান্সিয়াল সার্ভিসেস (এনওয়াইডিএফএস) দ্বারা নতুন সাইবার প্রবিধানে বর্ণিত প্রয়োজনীয়তাগুলিকে আরও কঠোরভাবে গ্রহণ করার জন্য আরও বেশি ইউরোপীয় নিয়ন্ত্রকদের প্রস্তুতির সাথে, সুইস আর্থিক পরিষেবা সংস্থাগুলিকে এই ঝুঁকি পরিচালনা করার জন্য সক্রিয় পদক্ষেপ নিতে হবে৷
থার্ড পার্টি সাইবার রিস্ক ম্যানেজমেন্ট (টিপিসিআরএম) হল একটি গ্রহণযোগ্য স্তরে তৃতীয় পক্ষের সাথে যুক্ত সাইবার ঝুঁকি সনাক্তকরণ, মূল্যায়ন এবং প্রতিরোধ বা হ্রাস করার প্রক্রিয়া। সেই স্তর নির্ধারণ করা সংস্থা, সম্পদের মূল্য, হুমকির স্তর এবং এর বাজেটের আকারের উপর নির্ভর করে। একটি সামগ্রিক TPCRM ফ্রেমওয়ার্কের জন্য সম্মতির প্রয়োজনীয়তাগুলিকে কভার করে একটি বহু-স্তরযুক্ত পদ্ধতির প্রয়োজন (যেমন লঙ্ঘনের বিজ্ঞপ্তি, ই-আবিষ্কারের জন্য সমর্থন, ডেটা অবস্থানের প্রয়োজনীয়তা, ইত্যাদি), সুরক্ষা প্রয়োজনীয়তা (যেমন দূরবর্তী অ্যাক্সেসের জন্য মাল্টিফ্যাক্টর প্রমাণীকরণ, এনক্রিপশন, দুর্যোগ পুনরুদ্ধার ইত্যাদি) , এবং আইনি প্রয়োজনীয়তা (যেমন অডিট করার অধিকার, ডেটা মালিকানা, সাব-কন্ট্রাক্টিং, এনডিএ, ইত্যাদি)।
একটি কার্যকরী, মান-সংযোজনকারী TPCRM বাস্তবায়নের জন্য, প্রোগ্রামটিকে অবশ্যই আপনার কোম্পানির ভেন্ডর লাইফসাইকেল ম্যানেজমেন্টে এম্বেড করতে হবে, যথাযথ পরিশ্রম প্রক্রিয়া থেকে শুরু করে অন-বোর্ডিং এবং কন্ট্রাক্টিং, ক্রমাগত পর্যবেক্ষণ এবং অবশেষে অফ-বোর্ডিং এবং সমাপ্তি।
প্রতিটি TPCRM কাঠামোর মূল হল তৃতীয় পক্ষের সাইবার ঝুঁকির মূল্যায়ন করার পদ্ধতি, যেখানে একটি দ্বি-স্তরীয় পদ্ধতিকে সর্বোত্তম অনুশীলন হিসাবে বিবেচনা করা হয়। প্রথম, একটি সহজাত ঝুঁকি মূল্যায়ন ব্যবহার করা হবে তৃতীয় পক্ষকে নিম্ন, মাঝারি বা উচ্চ সহজাত ঝুঁকি বিক্রেতাদের মধ্যে শ্রেণীবদ্ধ করতে তার পরিষেবার প্রকৃতির উপর ভিত্তি করে এবং এর নিয়ন্ত্রণের জন্য অ্যাকাউন্টিং ছাড়াই। দ্বিতীয়ভাবে, অন্তর্নিহিত ঝুঁকি রেটিং-এর উপর ভিত্তি করে, আপনাকে মূল্যায়ন করতে হবে যে বিক্রেতার এমন জায়গায় সুনিশ্চিত নিরাপত্তা নিয়ন্ত্রণ আছে যা আপনার প্রতিষ্ঠানের ঝুঁকির ক্ষুধা পূরণ করে। আপনার গুরুত্বপূর্ণ সরবরাহকারী ভিত্তির মধ্যে নিরাপত্তা ঝুঁকির বর্তমান স্তরের অন্তর্দৃষ্টি পেতে প্রশ্নাবলীর মাধ্যমে 'আমাকে বলুন' অনুশীলনটি পরিচালনা করুন। অবশেষে, কন্ট্রোল টেস্টিং এর জন্য 'আমাকে দেখান' পন্থা অবলম্বন করে অন-সাইট রিভিউ বা দূরবর্তী মূল্যায়নের পরিকল্পনা করতে এবং নেওয়ার জন্য এই অন্তর্দৃষ্টিগুলি ব্যবহার করুন।
কিছু সংস্থায়, বিক্রেতার সংখ্যা কর্মচারীর সংখ্যার সমান বা তার চেয়ে বেশি। স্কেলে তৃতীয় পক্ষের সাইবার ঝুঁকি পরিচালনা করতে, আপনার সংস্থাকে স্টাফিং এবং একটি চটপটে, স্কেলযোগ্য এক্সিকিউশন মডেল সম্পর্কে ভাবতে হবে। একটি পরিচালিত পরিষেবা ব্যবহার করা অনেকগুলি কারণে ক্রমবর্ধমান সাধারণ:
৷ক্লাউড কম্পিউটিং সমাধান এবং ব্যবসায়িক প্রক্রিয়াগুলির আউটসোর্সিংয়ের দ্রুত গ্রহণের সাথে, তৃতীয় পক্ষের উপর ব্যবসার নির্ভরতা আরও বৃদ্ধি পাবে। আমাদের অভিজ্ঞতার উপর ভিত্তি করে, সংস্থাগুলিকে বিবেচনা করার জন্য উত্সাহিত করা হয়:
সূত্র:ডেলয়েট থার্ড পার্টি গভর্নেন্স রিস্ক ম্যানেজমেন্ট (টিপিজিআরএম) এক্সটেন্ডেড এন্টারপ্রাইজ রিস্ক ম্যানেজমেন্ট গ্লোবাল সার্ভে 2017