نظرسنجی

شما از چه طریق با این سایت آشنا شدید؟






پر بيننده ترين مطالب

اهمیت بومی‌سازی و فرهنگ‌سازی در حوزه امنیت اطلاعات

گفت‌وگو با رضا فخرعطار، مدیر عامل شركت آشنا ایمن



تعداد بازدیدکنندگان 4327 بازدید نسخه چاپی

شركت آشنا ایمن یكی از شركت‌های با سابقه در حوزه امنیت اطلاعات است و تاكنون اجرای پروژه‌های متعددی را بر عهده داشته است. رضا فخرعطار مدیر جوان این شركت، در گفت‌وگو با ماهنامه دنیای كامپیوتر و ارتباطات، «فرهنگ‌سازی» را از پایه‌های مهم این موضوع می‌داند و بر توجه به آن، تأكید می‌ورزد و در این خصوص به ارائه خدماتی در راستای بومی‌سازی فرهنگ امنیت اطلاعات در كشور اشاره می‌كند.
رضا فخرعطار متولد 1357 كارشناس كامپیوتر (نرم‌افزار) است و مداركی چون CCSP را كسب كرده، و 2 سال است كه در سمت مدیر عامل آشنا ایمن فعالیت می‌كند كه در اجرای پروژه‌هایی مانند كارت سوخت حضور داشته است.

مختصری درباره شركت آشنا ایمن بفرمایید.
● با همت و تلاش گروهی از متخصصان حوزه فناوری اطلاعات در سال 1378، گروهی از خبره‌های حوزه امنیت فناوری اطلاعات، تحت عنوان گروه خدمات حرفه‌ای آشنا، گرد هم آمده و سعی در بومی‌سازی و شناخت تكنولوژی‌های حوزه امنیت اطلاعات نمود. بخش امنیت اطلاعات این گروه هم در سال 1381 تحت عنوان شركت آشنا ایمن به ثبت رسیده و تاكنون اجرای پروژه‌های ملی متعددی نظیر كارت هوشمند سوخت، كارت هوشمند سلامت، پیاده‌سازی استانداردهای امنیتی در بسیاری از سازمان‌ها و دستگاه‌های اجرایی را در كارنامه موفق خود دارد. این شركت با ایجاد ارتباطات بین‌المللی در ابتدا سعی در انتقال دانش امنیت فناوری اطلاعات نموده و به تبع آن فرهنگ­سازی در كشور را آغاز نمود. از جمله خدمات ارزنده این شركت، تلاش در معرفی استانداردهای جدید امنیت اطلاعات در كشور و همچنین ارائه سمینارها و راه حل­های مورد نیاز حوزه فناوری اطلاعات بوده است. همچنین این شركت خدمات پشتیبانی و به­روزرسانی تجهیزات امنیتی را در بسیاری از سازمان­ها به عهده دارد. آزمون تست نفوذ به عنوان یكی دیگر از خدمات این شركت به اكثر بانك­ها و دیگر سازمان‌ها می­باشد.

در شرایط فعلی، جایگاه مبحث امنیت فناوری اطلاعات در حوزه ICT را چگونه می‌بینید؟
● امنیت فناوری اطلاعات به عنوان یكی از شریان­های اصلی در حوزه ICT مطرح بوده كه با توجه به رشد فناوری و به ویژه فناوری اطلاعات در كشور نیاز به توسعه آن احساس شده و به نظر می­رسد كه در سال­های آتی به عنوان اصلی­ترین حوزه تخصصی ICT مطرح باشد. رشد فناوری اطلاعات و ارتباطات بدون توجه به مقوله امنیت اطلاعات، امكان­پذیر نبوده و عدم توجه به این مقوله ضررهای جبران ناپذیری بر پیكره فناوری اطلاعات كشور وارد می­سازد كه اخیراً شاهد بروز مشكلاتی در این حوزه می­باشم. جایگاه امنیت فناوری اطلاعات و ارتباطات به طور مشخص در تمامی حوزه‌های مختلف ICT الزامی بوده كه در تمامی سطوح از لایه فیزیكی تا لایه برنامه‌های كاربردی را تحت پوشش خود قرار می‌دهد. در این راستا استانداردها و رویه‌های اجرایی مدونی در دنیا طرح شده كه نیاز است در كشور بومی­سازی گردد.

بد نیست مختصراً استانداردهای روز دنیا در حوزه امنیت فناوری اطلاعات را معرفی كنید.
● یكی از اولین استانداردهای امنیت اطلاعات كه در دنیا مطرح گردید، استاندارد BS7799، ملقب به ISMS است. این استاندارد توسط مؤسسه BSI تدوین شده كه پس از رشد و تكمیل، تحت عنوان ISO27001 ارائه شد. این استاندارد به مقوله مدیریت امنیت فناوری اطلاعات پرداخته و ثابت ماندن كیفیت امنیت را در سازمان تضمین می­نماید. از دیگر استانداردهای حوزه امنیت اطلاعات، می­توان به استاندارد BS25999 اشاره نمود كه در حوزه طرح كسب­وكار سازمان مطرح شده است كه نام دیگر آن BCP/DR می­باشد. با توجه به الزامات قانونی در كشور در بحث پدافند غیر عامل، این استاندارد نقش مهمی ایفا نموده و می­تواند در حوزه المان­های انتخاب و طراحی سایت‌های پشتیبان در راستای عدم اختلال در كسب­وكار سازمان­ها مورد توجه قرار گیرد. از دیگر استانداردهایی كه می­توان نام برد، PCI/DSS است.

این استاندارد توسط كلیه بانك­ها و یا مؤسساتی كه به نوعی خدمات پرداخت الكترونیكی را ارائه می­دهند، لازم­الاجرا می­باشد. همان گونه كه می­دانید كلیه سیستم‌های پرداخت الكترونیكی می­بایست طبق استاندارد فوق، تراكنش­ها را ایجاد و مبادله نمایند كه متأسفانه تاكنون مورد توجه سازمانی قرار نگرفته است. از دیگر استانداردهای امنیت اطلاعات، می­توان به استانداردهای مختلف بانكی، پزشكی، نیرو، صنعت و ... اشاره نمود كه هر صنعت نیازمند حركت در راستای استاندارد تخصصی خود می­باشد. شركت آشنا ایمن در این راستا نسبت به شناخت، تدوین و بومی­سازی بسیاری از استانداردهای امنیتی اشاره شده بالا اقدام نموده و تاكنون استانداردهای بومی­سازی شده­ای را به ثبت رسانیده است.

با توجه به سوابق و تجارب شركت آشنا ایمن در این حوزه، شرایط امنیت اطلاعات در كشور از نظر شما چگونه است؟
● متأسفانه پس از 10 سال تجربه در این حوزه، به نظر می­رسد كه مقوله امنیت فناوری اطلاعات در سازمان­ها، ارگان­ها و نهادهای مختلف فراموش یا در اولویت پایینی قرار گرفته است. دلیل اصلی این امر از یك سو عدم اطلاع مدیران دستگاه‌های اجرایی از نحوه اجرای پروژه‌های فوق و از سوی دیگر برخورد سنتی امنیتی با این مقوله است. باید توجه داشت كه امنیت اطلاعات وابستگی ماهوی و اساسی به شناخت پایه و مهار بنیادین فناوری اطلاعات دارد و باید فعالان در این زمینه از نخبگان فناوری و باهوش­ترین افراد باشند كه متأسفانه این واقعیت در كشور درك نشده است. شناخت فرهنگ، پیچیدگی و ویژگی‌های فضای مجازی و مبانی حاكم بر آن، از دیگر الزامات مغفول این زمینه است. مضافاً اینكه در این حوزه عدم وجود متولی مشخصی برای ساختار دادن و همچنین پیگیری پیاده­سازی استانداردهای امنیتی بوده كه این امر باعث شده است كه بسیاری از پروژه­ها و طرح‌های امنیتی توسط شركت­هایی كه تجربه پیاده­سازی امنیت اطلاعات را ندارند، صورت پذیرد كه این دلایل باعث شكست پروژه و طرح­های امنیت اطلاعات شده است. البته نتایج این عدم كارایی در هنگام عمل و بروز حمله مشخص می­شود كه در چنین زمانی معمولاً سازمان­ها سعی در پوشش این گونه اتفاق­ها دارند و به راحتی نمی­توان تاثیرات سوء این كاستی جدی را در جامعه مشاهده كرد.

اگر در یك زمینه باید شایسته سالاری را ملاك قرار داد، پروژه‌های امنیت اطلاعات است و باید به صورت جدی از رانت و رابطه در ارتباط با واگذاری پروژه‌های امنیت اطلاعات پرهیز نمود كه البته این چنین نیست! متأسفانه این گونه مشكلات باعث شده كه معدود شركت­های این حوزه از خدمات تخصصی امنیت اطلاعات فاصله گرفته و به تولید، خرید و فروش تجهیزات امنیتی و یا شبكه­ای روی آورند كه این امر باعث عقب­افتادگی كشور در حوزه امنیت اطلاعات می‌گردد. البته شركت آشنا ایمن علی­رغم مشكلات متعدد اشاره شده، و با توجه به زنجیره ارزش افزوده گروه آشنا و نقش كلیدی گروه در پروژهای كلان كشور، كماكان بر روی رسالت اصلی خود پافشاری نموده و سعی در ایجاد فرهنگ امنیت اطلاعات در میهن اسلامی می­نماید.

مشكلات عدم حركت سازمان­ها در راستای پیاده­سازی استانداردهای امنیتی را در چه می­دانید؟
● اولین موردی كه می­توان اشاره نمود، عدم شناخت مدیران نسبت به استانداردهای روز دنیا و همچنین عدم تخصص كافی در این زمینه است. شركت آشنا ایمن تاكنون در سمینارها و همایش­های مختلف سعی در ایجاد شناخت فوق نموده كه به نظر می­رسد مدیران استقبال چندانی از موضوعات فوق نمی­نمایند. دلیل این امر را می­توان پایین بودن نسبی آمار كنونی مشكلات امنیتی دانست كه این موضوع می­تواند در آینده آبستن حوادث امنیتی بدی برای مدیران باشد زیرا دانش نفوذ در دنیا و به تبع آن ایران، به سرعت در حال رشد بوده و طبق آمار جرایم رایانه­ای كشور، مشكلات امنیتی به صورت تصاعدی در حال رشد است. دومین مورد را می­توان در عدم شناخت نیازها و جایگاه امنیت اطلاعات در سازمان­ها دانست. بسیاری از سازمان­ها هزینه امنیت اطلاعات را اضافی دانسته و صرفاً برقراری امنیت اطلاعات را به وجود تجهیزات امنیتی نظیر فایروال تشبیه می­كنند.

لازم است مدیران به این نكته توجه كنند كه امنیت اطلاعات دارای بعد‌های بسیاری است كه لایه برنامه كاربردی تا امنیت فیزیكی را در برمی­گیرد و وجود رویه و یا سیاست­های امنیتی در سازمان­ها ضروری­تر از خرید فایروال می­باشد. سومین نكته را می­توان عدم آموزش در حوزه امنیت اطلاعات دانست. در دنیا و به تبع آن كشور خودمان، دوره‌های امنیتی بسیاری تدوین شده كه لازم است مدیران ارشد سازمان­ها، مدیران شبكه، برنامه­نویسان و كاربران در دوره­ها و آموزش‌های تخصصی شركت نموده و آگاهی لازم را در خصوص امنیت فناوری اطلاعات داشته باشند. در همین راستا، دولت نسبت به الزامی شدن دوره ICDL اقدام نموده كه به نظر می­رسد كه مهارت­های هفتگانه اشاره شده در ICDL مقوله امنیت اطلاعات را در برنگرفته و نیاز است تدبیری اندیشیده شود. شركت آشنا ایمن نسبت به تدوین و ارائه مهارت هشتم در خصوص امنیت فناوری اطلاعات برای كاربران اقدام نموده و این دوره بارها برای سازمان­های مختلف ارائه شده است. نظرسنجی‌های قبل و پس از دوره‌های مختلف امنیت اطلاعات، حاكی از رشد فرهنگ سازمانی و بالاتر رفتن سطح دانش امنیت اطلاعات در سازمان­ها دارد.

حوزه‌های تخصصی شركت آشنا ایمن شامل چه مواردی می­باشد؟
● شركت آشنا ایمن با توجه به رسالتی كه مدیران ارشد گروه آشنا به عهده آن گذاشته­اند، تمركز خود را بر روی خدمات امنیت فناوری اطلاعات گذاشته و در حوزه‌های مشاوره و پیاده­سازی استانداردهای امنیت اطلاعات، خدمات ارزیابی تست نفوذ، خدمات مشاوره فنی امنیت اطلاعات، خدمات طرح جامع امنیت فناوری اطلاعات و كارت هوشمند، فعالیت می­نماید. مقوله تأمین امنیت اطلاعات به مراتب گسترده­تر از مفاهیم فناوری بوده و نقش فرهنگ و مفاهیم انسانی در آن بسیار بارز است و لذا آشنا ایمن تلاش دارد تا در جهت بومی­سازی دانش امنیت اطلاعات و ارائه راه­حل­های امنیتی متناسب با ابعاد، پیچیدگی و نیازهای مشتریان گروه، گام بر­دارد. امروز آشنا ایمن یكی از پیشتازان عرصه امنیت اطلاعات در ایران است كه تجربیات موفق متعددی را در رزومه كاری خود دارد.

در حوزه استانداردهای امنیتی این شركت با توجه به توانمندی و شناخت استانداردهای روز دنیا نظیر خانواده ISO27000، ISO 20000، BS25999 و بسیاری تجارب بین‌المللی حوزه مدیریت خدمات نظیر ITIL و ITSM شناخت و پروژه‌های متعددی را پیاده­سازی نموده است. تجربیات این شركت در پیاده­سازی استانداردهای اشاره شده منجر به تهیه متدولوژی و رویه‌های اجرایی خاص شركت آشنا ایمن شده است كه در این راستا چارچوب امنیت آشنا  (Ashna Secure Framework)،اASF  متدولوژی استقرار سیستم­های مدیریت امنیت اطلاعات آشنا AIIM و متدولوژی آزمون نفوذ آشنا ASPTM را می­توان نام برد. این متدولوژی­ها با توجه به نیازها و شرایط فناوری اطلاعات در كشور تدوین شده و در پروژه‌های مختلف مورد بررسی و تكمیل واقع شده است.