Risk Management Strategies အကြောင်းတစေ့တစောင်း

အိုင်တီသမားဖြစ်လာပြီဆိုရင် Risk Assessment, Risk Management, Business Continuity Plan စတာတွေကို လုပ်ရမယ့် နေရာကို တနေ့ မလွှဲမသွေရောက်လာမှာပါ။ ဒီနေရာမှာ ကိုယ်တိုင်က အိုင်တီသမားဖြစ်နေတဲ့အတွက် အိုင်တီကို ဇောင်းပေးပြောရခြင်းဖြစ်ပါတယ်။
Risk နဲ့ ပတ်သက်တာတွေက နေရာတိုင်းမှာ ရှိတယ်ဆိုတာတော့ သိစေချင်ပါတယ်။

တကယ်တော့ ဒီအပိုင်းတွေဟာ အသစ်အဆန်းတွေမဟုတ်ပါဘူး။ ကိုယ်နေ့စဉ် ကြုံတွေ့နေရတဲ့ လုပ်ငန်းတွေပါပဲ။
သို့ပေမယ့် Management Level တွေနဲ့ ဖြစ်ဖြစ် ကိုယ့်ရဲ့ Client တွေနဲ့ ဖြစ်ဖြစ် ပြောဆိုကြ၊ Proposal တင်ရတော့မယ်ဆိုရင် ဒီ အခေါ်အဝေါ်တွေ ကို သေချာ နားလည်ထားဖို့ လိုအပ်လာပါတယ်။

အဲဒီအတွက် ကျတော်လေ့လာစဉ်က နားလည်ဖို့ ကြိုးစားခဲ့ရတဲ့ ခေါင်းစဉ်တချို့ကို လေ့လာနေဆဲ နောက်ပိုင်း လူငယ်တွေ နားလည်ရလွယ်စေရန် အလို့ငှာ ပြန်လည် ဖောက်သည်ချပေးလိုက်ပါတယ်။

Risk Management Strategies ဆိုတဲ့ ခေါင်းစဉ်အောက်မှာ
1) Risk Acceptance 
2) Risk Tolerance (or) Risk Appetite
3) Risk Avoidance
4) Risk Deterrence
5) Risk Mitigation (or) Risk Reduction
6) Risk Transference (or) Risk Sharing

ဒီခေါင်းစဉ်တွေကို ပေါင်းပြီး ထင်သာတဲ့ ဥပမာပေးရမယ်ဆိုရင်...
စက်ဘီးပါကင် တခုမှာ သော့မပါပဲရပ်ထားတဲ့ စက်ဘီးတွေကို မကြာမကြာလာပြီး ခိုးတတ်တဲ့ လူတွေရှိတယ်ဆိုပါစို့။
အဲဒီရပ်ထားတဲ့စက်ဘီးတွေထဲမှာ ကိုယ့်စက်ဘီးလဲ ပါတယ်ပေါ့ဗျာ။ ဒါပေမယ့် ကံကောင်းထောက်မစွာနဲ့ ခိုးခံရတဲ့ထဲမှာ ကိုယ့်စက်ဘီးမပါသေးဘူးပေါ့။
ဒီတော့ သူများစက်ဘီးတွေ ဖြစ်နေပေမယ့် ကိုယ့်စက်ဘီး မပါတဲ့အတွက် အခိုးမခံရအောင် ဘာကာကွယ်မှုမှ မလုပ်သေးတာကို Risk Acceptance လို့ခေါ်တယ်ပေါ့။
Risk ရှိနေတာကို သိသိချည်းနဲ့ ကာကွယ်ဖို့ အားမထုတ်တာကို ပဲ Risk Acceptance လုပ်တယ်လို့ ခေါ်တာပါ။ မသိဘူးဆိုရင် Risk Acceptance မဟုတ်ပါဘူး။
သို့ပေမယ့် တချို့ကျတော့ ငါ့စက်ဘီးက အစုတ် တန်ဖိုးမရှိပါဘူး။ ခိုးလဲ ခိုးပေါ့လို့ သဘောထားကြတဲ့ (ဘိုလို အခေါ် "Risk Tolerance သို့မဟုတ် Risk Appetite") သူတွေလဲ ရှိတာပေါ့။

တချို့ စက်ဘီးပိုင်ရှင်တွေကျတော့ အခိုးခံခံနေရတာ များလာတော့ သူတို့ စက်ဘီးတွေကို လွယ်လွယ်ခိုးလို့ မရအောင် သော့တွေ ဝယ်ပြီးခတ် ကြပါတယ်။
ဒါကိုတော့ Risk Avoidance လို့ ခေါ်ပါတယ်။

သော့ခတ်ထားပေမယ့် သော့ဖျက်ပြီး ခိုးခံရတဲ့ Case လေးတွေက ရှိနေသေးပြန်တယ်။ ဒီတော့ ဘာလုပ်လဲ ဆိုတော့ စက်ဘီးခိုးမယ့် သူတွေ မြင်သာလောက်မယ့် နေရာမှာ "Don't commit crime" "Stealing only gets you a Criminal Record" ဘာညာဆိုပြီး သတိပေးဆိုင်းဘုတ် တပ်တယ်ပေါ့။
ဒါကိုတော့ Risk Deterrence လို့ ခေါ်ကြပါတယ်။

ဒါပေမယ့်လည်း သိတယ်မဟုတ်လား။ ခိုးချင်တဲ့သူက သတိပေးစာလောက် ကပ်ထားတာကိုတော့ ဘယ်ဂရုစိုက်မှာလဲ။ ဆက်ခိုးနေတာပဲ။
ဒါနဲ့ အခိုးမခံနိုင်တဲ့ စက်ဘီးပိုင်ရှင်တွေက နောက်တဆင့်တိုးပြီး လုံခြုံရေး ကင်မရာ CCTV တွေတပ်၊ ပြီးတော့ သူခိုးတွေ မြင်အောင် သိအောင် "This area is under 24 hours CCTV Surveillance" ဘာညာဆိုပြီး သတိပေးစာပါ ကပ်ထားတယ်ပေါ့။
အဲလို လုံခြုံရေးတဆင့်ချင်း ထပ်တိုးတိုးလာတာကို ပဲ Risk Mitigation သို့မဟုတ် Risk Reduction လို့ ခေါ်ပါတယ်။

သို့ပေမယ့် သိတယ်မဟုတ်လား။ ခိုးတဲ့သူကလဲ မရမက နည်းလမ်းရှာပြီး ခိုးအုံးမှာပဲ။
ဒီတော့ နောက်တဆင့်အနေနဲ့ စက်ဘီးကို Insurance Company မှာ အာမခံ ထားတာတို့၊ စက်ဘီးပါကင်ကို စောင့်ဖို့ Security ဝန်ထမ်းခန့်ပြီး စောင့်ကြည့်ခိုင်းတာတို့ကို ပါထပ်လုပ်ကြတာပေါ့။
ဒါကိုတော့ Risk Transference သို့မဟုတ် Risk Sharing လို့ ခေါ်ပါတယ်။

ခုလောက်ဆို စက်ဘီးခိုးတာနဲ့ ကာကွယ်တဲ့ ဇာတ်လမ်းကို နားလည်လောက်ပြီထင်ပါတယ်။ ဟဲဟဲ။

အိုင်တီသမားတွေဆိုတော့ အိုင်တီနဲ့ ထပ်ပြီး ထင်သာမြင်သာအောင် ရှင်းပြပါအုံးမယ်။
ဆိုကြပါစို့ ကျတော်က ကုမ္ပဏီတခုရဲ့ System and Network Administrator တယောက်ပေါ့။
နေ့စဉ် ကိုယ် Manage လုပ်နေတဲ့ Server အဟောင်း တလုံးကို အသစ်လဲဖို့ လိုအပ်နေတာကို ကိုယ်သတိထားမိတယ်။
ဒါပေမယ့် ကိုယ့်အထက်လူကြီးကို ဒီအကြောင်း တင်ပြရင် ကုမ္ပဏီရဲ့ ပိုက်ဆံကိုချွေတာတဲ့ နည်းနဲ့ ရာထူးတိုးဖို့ မျှော်လင့်ထားတဲ့ လူကြီးက ခွင့်မပြုနိုင်တာကို လဲ သိနေတယ်။
သို့ပေသော်လည်း အဲဒီ Server များ ပျက်သွားရင် ပထမဆုံး အလုပ်ဖြုတ်ခံရမှာကလဲ ကိုယ်ပဲ မဟုတ်လား။
ဒီတော့ Risk Management Strategies တွေကို သုံးပြီး ကိုယ့်ကိုယ်ကို ကာကွယ်မယ်လေ။

ပထမဆုံး အဲဒီ Server ပေါ်က data တွေ apps တွေကို တခြား Server ဖက်ကို နည်းနည်းချင်းစီ ရွှေ့ပြီး server load ကို လျှော့ချခြင်းအားဖြင့် Risk Avoidance စလုပ်တယ်။
ဒုတိယအနေနဲ့ ဒီ Server ရဲ့ အခြေအနေနဲ့ down နိုင်တဲ့ အခြေအနေတွေ၊ down သွားရင် ဘယ် Service တွေတော့ သက်ရောက်မှုတွေဖြစ်နိုင်တယ် စတာတွေကို အသေးစိတ်ရေးပြီး ကိုယ့်အထက်လူကြီးဆီကို email ပို့မယ်။ ကိုယ့်ကိုယ်ကိုလဲ copy ပို့ထားခြင်းဖြင့် Risk Transference လုပ်ထားမယ်။
တပြိုင်တည်းမှာပဲ Server Load လျှော့နေတဲ့ အထဲက ပိုအရေးကြီးတဲ့ Service တွေကို တခြားကို ရွှေ့ထားပြီးတော့လဲ Risk Mitigation လုပ်ထားအုံးမယ်။

နောက်ဆုံး အနေနဲ့ တော့ ဒီ Server အခြေအနေကို ကိုယ့်အထက်လူကြီးရဲ့ အထက်လူကြီး ကိုပါ သိအောင် email တွေဘာတွေ ပို့ ထားခြင်းဖြင့်လဲ Risk Deterrence လုပ်ထားသေးတယ်။

အပေါ်က ပြောထားတာတွေ ဘာမှ မလုပ်ပဲ Server ပျက်နိုင်တာကို လဲ သိတယ်။ ဘာ prevention မှ မလုပ်ပဲ နောက်တနေရာ မပြောင်းခင်ထိ ဒီ server ဘာမှ မဖြစ်ပါစေနဲ့ ကြိတ်ဆုတောင်းနေတာကိုတော့ Risk Acceptance လုပ်တယ်ပဲ ပြောရမှာပေါ့။

ကဲ...ဒီလောက်ဆိုရင် Risk Management လုပ်ငန်းစဉ်တွေ အကြောင်း အကြမ်းဖျဉ်းတော့ သိလောက်ပြီလို့ ယူဆပါတယ်။

အားလုံးပဲ Risk များမှနေ ကိုယ့်ကိုယ်ကို ကာကွယ်နိုင်သူ၊ ကိုယ့် ကုမ္ပဏီကို ကာကွယ်နိုင်သူများ ဖြစ်ကြပါစေလို့။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)














Cisco Global Cybersecurity Scholarship Program

နောင် အနာဂတ်မှာ Cyber Security နဲ့ ပတ်သက်တဲ့ အလုပ်တွေ တသန်းနီးပါး လိုအပ်လာမယ်လို့ Cisco အပါအဝင် တခြား ကုမ္ပဏီတွေက မျှော်မှန်းထားပါတယ်။
ဒါကြောင့် Cisco က Cisco Global Cybersecurity Scholarship Program ဆိုပြီး Security သမားတွေ အတွက် လုပ်ပေးလာတာ Cohort 5 ကို ရောက်လာပါပြီ။
ဒီအတွက် Cisco က သတ်မှတ်ထားတဲ့ အချက်အလက်တွေနဲ့ ပြည့်စုံသူတိုင်း Scholarship Program ကို လျှောက်ထားနိုင်ပါတယ်။ ဒီလိုလျှောက်ထားနိုင်ဖို့ ပထမဆုံး Official Program Rule တွေကို ဖတ်သင့်ပါတယ်။
အဲဒီလို မဖတ်ကြလို့ တလောက မြန်မာလူငယ်လေးတွေ အသံထွက်လာတာ တွေ့မိပါတယ်။ Cisco ခွင့်ပြုထားတဲ့ ထဲမှာ ကျတော်တို့ မြန်မာနိုင်ငံ မပါတဲ့အတွက် မြန်မာပြည်ထဲက နေလျှောက်ရင် မရပါဘူး။ အခုပြောမှာက ရတဲ့သူတွေအတွက်ပါ။
သူက အဆင့် ၃ ဆင့် ဖြတ်ရပါတယ်။
ပထမအဆင့်မှာ ပုံမှန် Survey ကို ဖြေရပါမယ်။ ပြီးတာနဲ့ အဆင့် (၂) အတွက် Cisco က ဆက်သွယ်လာပါမယ်။
ဒီအဆင့်မှာ pre-qualification exam ဖြေရမှာပါ။ ပါဝင်မယ့် မေးခွန်းတွေကတော့ Windows, Linux, Cyber Security နဲ့ Networking Fundamental/General Knowledge တွေဖြစ်ပါတယ်။
အောက်က မေးခွန်းမျိုးတွေမေးနိုင်လောက်ပါတယ်။

Cache Poisoning က ဘယ် Protocol တွေနဲ့ ဆက်နွယ်မှုရှိလဲ။
Security Alert မှာ False Positive ဆိုတာ ဘာကိုပြောတာလဲ။
Lease Privilege ဆိုတာ ဘာကိုပြောတာလဲ။
အောက်ဖော်ပြပါဥပမာတွေထဲက Defense-In-Depth ကို ဖော်ပြပေးတဲ့ အကောင်းဆုံး ဥပမာကိုရွေးပေးပါ။
Firewall နဲ့ IDS ဘာကွာလဲ။
Malware ဆိုတာ ဘာလဲ။
Malware ကို သိအောင်လုပ်တဲ့ အသုံးအများဆုံးနည်းလမ်းတခုကို ရွေးပေးပါ။
Next Generation Firewall နဲ့ Standard Firewall ဘာတွေကွာလဲ။
Windowws Active Directory သုံးတဲ့ အဖွဲ့အစည်းတွေမှာ underlying secure authentication က ဘာလဲရွေးပေးပါ။

Linux System မှာလက်ရှိ Active ဖြစ်နေတဲ့ Process တွေကို ကြည့်ချင်ရင် ဘယ် Command ကိုသုံးရလဲ။ အဖြေနှစ်ခုရွေးပေးပါ။

Linux မှာ valid ဖြစ်တဲ့ permission ၃ ခုကိုရွေးပေးပါ။
Linux Directory တွေထဲက OS မဟုတ်တဲ့ Software တွေ install လုပ်ရတဲ့ Directory ၂ ခုကို ရွေးပေးပါ။

Routable Private IP address ၃ ခုကို ရွေးပေးပါ။
ပုံမှန်အားဖြင့် Cisco Router မှာ မြင်ရလေ့ရှိတဲ့ Route တွေထဲက ၃ မျိုးကို ဖြေပါ။

Decimal to Binary Conversionယ Binary to Decimal Conversion စတာမျိုးတွေ မေးရင် ဖြေနိုင်ရမှာပါ။

Cisco ပြောထားတာကတော့ Multiple Choice Question ပေါင်း ၆၂ ခု ကို ၄၅ မိနစ်အတွင်း ပြီးအောင် ဖြေရပါမယ်။ ရမှတ်က 75% အနည်းဆုံးရ ရပါမယ်။
အောင်မြင်ခဲ့ရင်တော့ နောက်ဆုံး အဆင့် Survey ဖြေရပါမယ်။ ပြီးတာနဲ့ Cisco က ရွေးတဲ့အထဲ ပါခဲ့ရင် ၄ လ သင်တန်းတက်ရပါမယ်။ သင်တန်းပြီးစာမေးပွဲ ၂ ဘာသာဖြေလို့ အောင်ပြီဆိုရင် Success Story ကို Cisco Blog မှာ ရေးပေးရပါမယ်။ ဒါပါပဲ။

Official Program Rule တွေကိုတော့ အောက်ကလင့်မှာ ဖတ်နိုင်ပါတယ်။

https://gallery.mailchimp.com/79f57793826b31e4f24fcef2b/files/af07fc38-8aff-4eef-bf59-550df2613800/Cisco_Employee_Scholarship_Official_Rules_3_2.pdf

ကံအားလျော်စွာ ရွေးချယ်ခြင်းမခံခဲ့ရရင်လဲ
၁) Understanding Cisco Cybersecurity Fundamentals (SECFND) : 210-250 SECFND
၂) Implementing Cisco Cybersecurity Operations (SECOPS) : 210-255 SECOPS

ဆိုတဲ့ စာမေးပွဲ နှစ်ဘာသာ ဖြေဆိုပြီး Cyber Security Associate ဖြစ်ခွင့်ရှိပါသေးတယ်။

Cyber Security သမားများ ဖြစ်ကြပါစေ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)