ထိုသို့ဖြင့်၊ သင်သည် မှန်ကန်သောအရာများကို သိနိုင်ပါသည်။ သင်က မူဝါဒများကို ထားရှိကာ အဖွဲ့အစည်းတွင်းရှိ လူတိုင်းကို အကောင်းဆုံးကျင့်ထုံးများနှင့်ပတ်သက်၍ လေ့ကျင့်ပေးထားပါသည်။ ဤကဲ့သို့ ခက်ခဲသောအလုပ်များ လုပ်ဆောင်ထားလျှင်ပင်၊ တစ်စုံတစ်ခုက မှားယွင်းသွားနိုင်ခြေ ရှိပါသည်။ ကိစ္စရပ်တွေ ဖြစ်တတ်ပါတယ်။ ဖြစ်လာတဲ့အခါ၊ မတော်တဆဖြစ်ရပ် တုံ့ပြန်လုပ်ဆောင်မှု အစီအစဉ် ရှိထားဖို့က ပဓာနကျပါတယ်။ ဒါက သင့်အဖွဲ့အစည်းရဲ့ ဂုဏ်သတင်းကို ပျက်စီးအောင်တိုက်ခိုက်မှု ဒါမှမဟုတ် လမ်းကြောင်းပေါ်က အဆင်မပြေစရာ အဖုအထစ်တစ်ခုကြားက ခြားနားချက် ဖြစ်နိုင်တာကြောင့် မတော်တဆဖြစ်ရပ် တုံ့ပြန်လုပ်ဆောင်မှုက အလွန်အရေးကြီးပြီး၊ အဲဒါကို မကြာခဏဆိုသလို အထင်သေးမိနိုင်ပါတယ်။
သိထားမှသာ မတော်တဆဖြစ်ရပ်ကို တုံ့ပြန်လုပ်ဆောင်နိုင်မှာဖြစ်တာကို စိတ်တွင်မှတ်ထားပါ။ ခိုင်မာသော အဖွဲ့အစည်းဆိုင်ရာ လုံခြုံရေးအစဉ်အလာရှိထားခြင်းနှင့် ဝန်ထမ်းများအား ပြဿနာများကို သတင်းပေးပို့ရန် တိုက်တွန်းအားပေးခြင်းက အလွန်အရေးကြီးပါသည်။ ထို့ကြောင့် ကောင်းမွန်သော လုံခြုံရေးဆိုင်ရာအပြုအမူအတွက် ဆုချီးမြှင့်ခြင်းက လုံခြုံရေးဆိုင်ရာ ပျက်ပြားမှုများ သို့မဟုတ် အမှားများအတွက် ပြစ်ဒဏ်ပေးခြင်းထက် ပိုကောင်းရခြင်း ဖြစ်ပါသည်။ မတော်တဆမှုကို သတင်းပေးပို့ချိန်တွင် ဝန်ထမ်းများ၏ ကျန်းမာရေးအခြေအနေကို စစ်ဆေးကာ စာနာစိတ်ထားရှိမှုကို ပြသခြင်းကလည်း အရေးကြီးပါသည်။ ဒဏ်ခတ်ခြင်း သို့မဟုတ် ပံ့ပိုးကူညီမှုမရခြင်းကို ကြောက်ရွံ့မှုကြောင့် တွေဝေနေစရာမလိုဘဲ ဝန်ထမ်းများအနေဖြင့် မျှားယူမှုမက်ဆေ့ချ်ရှိ လင့်ခ်ကို နှိပ်လိုက်မိခြင်း၊ ဖုန်းအခိုးခံရခြင်း၊ သို့မဟုတ် ဆိုရှယ်မီဒီယာအကောင့် အဟက်ခံရခြင်းတို့ကို ချက်ခြင်းသတင်းပေးပို့ခိုင်းပါ။ လက်စွဲစာအုပ်ရဲ့ တခြားအပိုင်းတွေမှာ ဖော်ပြထားတဲ့ သက်သာစေခြင်း နည်းဗျူဟာတွေလိုပဲ မတော်တဆဖြစ်ရပ် တုံ့ပြန်လုပ်ဆောင်မှုက အဖွဲ့အစည်းရဲ့ ကျယ်ပြန့်တဲ့ အားစိုက်ထုတ်မှုဖြစ်ပါတယ်။
ဒီတော့၊ သင်က ဘာကိုစီစဉ်ထားသင့်ပါသလဲ။ အတိုချုံးပြောရရင်၊ တစ်ခုခုက တစ်နည်းနည်းနဲ့ ဖြစ်ပေါ်နိုင်ခြေရှိပါတယ်။ ဒါက အဖွဲ့အစည်းတိုင်းအတွက် ကွဲပြားနေပါလိမ့်မယ်၊ ဒါပေမယ့် မတော်တဆဖြစ်ရပ် တုံ့ပြန်လုပ်ဆောင်မှုကို ကူညီဖြေကြားပေးမယ့် အမေးများမေးခွန်းတွေမှာ ပါဝင်တာက-
- ကျွန်ုပ်တို့ရဲ့ အကောင့်တွေ ဒါမှမဟုတ် ဝဘ်ဆိုက်တွေ အဟက်ခံရတဲ့အခါ ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။
- တစ်ယောက်ယောက်က မျှားယူတဲ့အီးမေးလ်ကို ကလစ်နှိပ်လိုက်ရင် ဒါမှမဟုတ် စက်လုပ်ဆောင်ချက်က သံသယဖြစ်စရာကောင်းနေရင် ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။
- ကျွန်ုပ်တို့ရဲ့ အီးမေးလ်တွေ ဒါမှမဟုတ် အရေးအကြီးဆုံး စာရွက်စာတမ်းတွေ အခိုးခံရပြီး ပေါက်ကြားသွားရင် ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။
- ကျွန်ုပ်တို့ရဲ့ဝန်ထမ်းတစ်ဦး အန္တရာယ်ကျရောက်နေရင် ဒါမှမဟုတ် အဖမ်းခံထားရရင် ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။ ဒါမှမဟုတ် ဒီလိုခြိမ်းခြောက်မှုတွေကြောင့် ဝန်ထမ်းတွေက စိတ်ဖိစီး သောကရောက်မှုနဲ့ ရုန်းကန်နေရရင် ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။
- ကျွန်ုပ်တို့ရဲ့ရုံးခန်းက မီးဘေး၊ ရေဘေး၊ ဒါမှမဟုတ် သဘာဝဘေးအန္တရာယ်ကြောင့် ပျက်စီးသွားရင် ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။
- ဝန်ထမ်းရဲ့ ကွန်ပျူတာ ဒါမှမဟုတ် ဖုန်း ပျောက်သွားရင် ကျွန်ုပ်တို့ ဘာလုပ်ပါသလဲ။
ဒီမေးခွန်းတွေအတွက် အဖြေတွေနဲ့ တခြားအရာတွေက အဖွဲ့အစည်းအလိုက် ခြားနားမှာဖြစ်ပေမယ့်၊ သင့်အဖွဲ့အစည်းရှိလူတိုင်းက ထိခိုက်မှုကိုကန့်သတ်ဖို့အတွက် လုပ်ဆောင်ချက်ကို ချက်ခြင်းလုပ်ဆောင်ဖို့အတွက် ပြင်ဆင်ထားနိုင်စေဖို့ ဒါတွေအားလုံးကို အတူတူ တွေးကြည့်ကာ ရှင်းရှင်းလင်းလင်း ပြောကြားပြီး အစီအစဉ်ကို မျှဝေပါ။
Tactical Tech ရဲ့ လုံခြုံရေးအကြောင်းအရာလမ်းညွှန်ကလိုဆိုရင်၊ မတော်တဆဖြစ်ရပ် တုံ့ပြန်လုပ်ဆောင်မှု အစီအစဉ်နဲ့ပတ်သက်ပြီး စတင်ဖို့ နေရာကောင်းတစ်ခုက သင့်အဖွဲ့အစည်းနဲ့ဆိုင်တဲ့ ကိစ္စရပ်ရှိ မတော်တဆဖြစ်ရပ် ဒါမှမဟုတ် အရေးပေါ်ဖြစ်ရပ်ကို အဓိပ္ပါယ်သတ်မှတ်ခြင်း ဖြစ်ပါတယ်။ 'အရေးပေါ်ဖြစ်ရပ်' က ဘာလဲဆိုတာ ဆုံးဖြတ်ပါ - တစ်နည်းအားဖြင့်၊ လုပ်ဆောင်ချက်တွေနဲ့ ဖြစ်လာနိုင်တဲ့ အရေးပေါ်စီမံချက်တွေကို အကောင်အထည်ဖော် စီစဉ်ထားဖို့ စတင်သင့်သောပွိုင့်။ တစ်ခါတစ်လေမှာ ဒါက ရှင်းလင်းမှုမရှိတာကြောင့် အရေးကြီးပါတယ် - သင်က ကွင်းဆင်းမစ်ရှင်က လုပ်ဖော်ကိုင်ဖက်နဲ့ အဆက်အသွယ်ပြတ်သွားတာလိုမျိုး ဖြစ်စဉ်ကို တွေးကြည့်တာဆိုရင်၊ အရေးပေါ်ဖြစ်ရပ်လို့ မကြေညာခင်မှာ သင် ဘယ်လောက်ကြာအောင် စောင့်ဆိုင်းလိုပါသလဲ။ အစောကြီး ဖော်ပြလိုက်တာမျိုး မလုပ်ချင်ပေမယ့်၊ တချို့အခြေအနေတွေမှာ အကြာကြီးစောင့်နေတာက ဒုက္ခရောက်သွားစေပါတယ်။
ဆောင်ရွက်ချက် အဆင့်တွေကိုလည်း တွေးတောစဉ်းစားကြည့်ဖို့ အရေးကြီးပါတယ်။ လူတစ်ဦးချင်းစီကို သူတို့ သတိပြုမိပြီး ကြိုတင်သဘောတူထားမယ့် အခန်းကဏ္ဍတစ်ခုကို တာဝန်ပေးထားပါ - ဒါက မတော်တဆဖြစ်ရပ်မှာ ဖရိုဖရဲဖြစ်ပြီး ထိတ်လန့်ကြောက်ရွံ့တာမျိုးကို လျော့ကျစေပါလိမ့်မယ်။ ခြိမ်းခြောက်မှုတစ်ခုစီတိုင်းမှာ၊ သင် လက်ခံယူဆနိုင်မယ့် မတူညီတဲ့ အခန်းကဏ္ဍတွေနဲ့ အရေးပေါ်ဖြစ်ရပ်ကို တုံ့ပြန်လုပ်ဆောင်ရာမှာ ပါဝင်တဲ့ လက်တွေ့ကျမှုတွေကို ထည့်သွင်းစဉ်းစားပါ။ အရေးပေါ်ဖြစ်ရပ်တွေအတွက် ဒီ အရေးကြီးတဲ့ နည်းဗျူဟာအတွင်းမှာ ကူညီပံ့ပိုးမှုကွန်ရက်ရဲ့ အသက်ဝင်မှု ပါဝင်ပါတယ် - အဲဒါက မိတ်ဆွေတွေနဲ့ မိသားစု၊ အသိုက်အဝန်း၊ ဒေသတွင်း မဟာမိတ်များ၊ အစိုးရရင်းမြစ်များနဲ့ NGO တွေနဲ့ ဂျာနယ်လစ်တွေလိုမျိုး အမျိုးသားဆိုင်ရာ ဒါမှမဟုတ် နိုင်ငံတကာ မဟာမိတ်တွေ ပါဝင်နိုင်တဲ့ ကျယ်ပြန့်တဲ့ မဟာမိတ်တွေရဲ့ကွန်ရက်ပါ။ သင့်ရဲ့မဟာမိတ်တွေက သင့်ကို ဘယ်လိုမျိုး ပံ့ပိုးပေးနိုင်ပါသလဲ။ အရေးပေါ်ဖြစ်ရပ်မှာ သူတို့က သင့်ကို ကူညီပေးဖို့ ဆန္ဒရှိမရှိ စစ်ဆေးအတည်ပြုပြီး ၎င်းတို့ဆီက သင်မျှော်လင့်ထားတဲ့အရာကို ၎င်းတို့ကိုအသိပေးဖို့ ၎င်းတို့ကို ကြိုတင်ဆက်သွယ်သင့်ပါသလား။
မတော်တဆဖြစ်ရပ်နဲ့ သက်ဆိုင်လာတဲ့အခါ၊ ထိရောက်တဲ့ ပြောဆိုဆက်ဆံမှုတွေက အရမ်းကိုပဲ အရေးကြီးလာပါတယ်။ မတူညီတဲ့ဖြစ်စဉ်တွေမှာ လုပ်ကိုင်သူတစ်ဦးချင်းစီနဲ့အတူ အလုံခြုံဆုံးနဲ့ အထိရောက်ဆုံး ပြောဆိုဆက်ဆံမှုနည်းလမ်းတွေကို ဆုံးဖြတ်ပြီး အရန်နည်းလမ်းတွေကိုလည်း ခွဲခြားသတ်မှတ်ပါ။ အရေးပေါ်ကိစ္စရပ်တွေအတွက်၊ ပြောဆိုဆက်ဆံရမယ့်အရာ (မပြောရမယ့်အရာ)၊ ဆက်သွယ်ရမယ့်အချိန်၊ ဆက်သွယ်ဖို့ သုံးရမယ့်ချိန်နယ်တွေ၊ နဲ့ ဆက်သွယ်သင့်တဲ့လူတွေနဲ့ဆိုင်တဲ့ ရှင်းလင်းတဲ့ လမ်းညွှန်ချက်တွေ ရှိထားတာက အသုံးဝင်နိုင်တယ်ဆိုတာကို သတိပြုပါ။ သင့်အဖွဲ့အစည်းပေါ်ရှိ မတော်တဖြစ်ရပ်၏ ဂုဏ်သတင်းဆိုင်ရာ သက်ရောက်မှုကိုလည်း ထည့်သွင်းစဉ်းစားပြီး၊ ကောင်းမွန်စွာ တုံ့ပြန်လုပ်ဆောင်ရန် ပြင်ဆင်ထားပါ။ အဖွဲ့အစည်း၏ ဆက်သွယ်ပြောဆိုမှုများကို ဦးဆောင်သူ (အဖွဲ့အစည်းအချို့တွင် ၎င်းသည် Facebook သို့မဟုတ် Twitter အကောင့်ကို စီမံသော မည်သူမဆို ဖြစ်နိုင်ပါသည်) သည် မတော်တဆဖြစ်ရပ်ကို သတိပြုမိကာ ဖြစ်နိုင်ခြေရှိသော သက်ရောက်မှုအတွက် ဆိုရှယ်မီဒီယာ သို့မဟုတ် အခြားမီဒီယာကို ကြည့်ရှုနိုင်ကြောင်း သေချာအောင်လုပ်ပါ။ သက်ဆိုင်ပါက ၎င်းတို့သည် မတော်တဆဖြစ်ရပ်နှင့်ပတ်သက်သည့် ဖြစ်နိုင်ခြေရှိသော လူသိရှင်ကြား သို့မဟုတ် မီဒီယာ စုံစမ်းမေးမြန်းမှုများကို အသင့်စောင့်နေရန် ပြင်ဆင်ထားသင့်ပါသည်။ ၎င်းသည် ဖြစ်နိုင်ခြေရှိသော အဆိုးဘက်ရောက်သည့် ဇာတ်ကြောင်းများ သို့မဟုတ် ဂုဏ်သတင်းထိခိုက်မှုများမဖြစ်မီ ကြိုတင်ပြင်ဆင်ထားခြင်းအတွက် အထူးသဖြင့် အရေးကြီးပါသည်။ ဖြစ်စဉ်နှင့် အကြောင်းအရာတိုင်းမှာ ကွဲပြားပြီး၊ ရိုးသားပွင့်လင်းသော ဆက်သွယ်ပြောဆိုမှုများသည် မတော်တဆဖြစ်ရပ်နောက်ပိုင်းတွင် ယုံကြည်မှုကို တည်ဆောက်ရန် ကူညီပေးနိုင်ပါသည်။
Creating an Early Alert and Response System
Consider establishing an Early Alert and Response System. Such a system sounds fancy, but it is essentially just a centralized document (electronic or otherwise) to be opened in the event of an emergency. In the document, you should record all the details about the security indicators and incidents which have occurred on a timeline, provide a clear description of the actions and sequence for the planned response, and indicate what needs to be achieved to signify that the risk has once again decreased. It should also include actions to be taken after an incident in order to protect those involved from further harm and help them to recover physically and emotionally. An Early Alert and Response System can provide useful documentation for sharing with law enforcement (if applicable), subsequent analysis of what has happened, and guidance on how to improve your prevention tactics and responses to threats in the future.
In addition to these important incident response concepts, your parliament should also prepare for any specific technical response. In some cases a technical response can be managed by internal IT staff or system administrators. For example, if an email account appears to have been hacked, your account administrator should be prepared and able to shut down or disable the impacted account. Some technical incidents, however, might require expertise that you do not have within your parliament. For situations like these, it is important to identify a trusted list of external technical experts who can assist you in your incident response. In some cases, you may want to pre-negotiate terms with service providers (such as your website host or an IT security firm) to ensure that they are available (and would not charge extra) for such technical incident response.
Last but certainly not least, you should consider legal steps. Understanding the legal protections you might have, as well as the legal obligations or consequences your parliament might face as a result of a data breach or other security incident, is important. As a parliament, you are in a position of particular power and prominence when it comes to both understanding and respecting local data security and privacy regulations. Take some time to review possible incidents with relevant legal counsel if necessary and make a plan for what you would do in response. It is a good idea to make an agreement with this trusted counsel to represent you and your interests if needed in the aftermath of an incident. As part of this legal preparation, make sure that you understand the legal obligations of any vendors or partners. Are they required to notify you in the case of their own data breach? What support (if any) are they required to provide you in the case of an incident? As you develop contracts and agreements with external vendors, keep the possibility of a data breach or other incident in mind.
While there is no one-size-fits-all approach to incident response, having clear operational, communications, technical, and legal plans in place is essential. As you put together your incident response plan, we strongly encourage you to make use of some excellent existing resources, designed to help organizations navigate incident response. Although not all of these resources are designed specifically for parliaments, their content is still very relevant. These resources include the Digital First Aid Kit developed by RareNet and CiviCERT, PEN America’s Online Harassment Field Manual, the Belfer Center’s Cybersecurity Campaign Playbook and Cyber Incident Communications Plan Template, and Access Now’s Digital Security Helpline.
- Develop a parliamentary incident response plan, and practice it.
- Brainstorm possible incidents and prepare for your response before it happens.
- Ensure everyone across parliament is aware of how you will communicate and what technical steps will be taken in the case of an incident.
- Take time to understand your legal protections and obligations.
- Be prepared to provide members and staff the emotional and social support they need in the aftermath of an incident.