الزامات فنی تداوم کسب‌و‌کار بانک‌ها

نویسنده: راه پرداخت در تاریخ 14 آبان سال 1394 ساعت 9:56 0

چند سال قبل، زمانی که به یک موسسه مالی در شهر ابوظبی رفته بودم تا تنظیماتی روی یکی از سرورها انجام دهم، از مدیر فناوری آن مجموعه پرسیدم آیا از اطلاعات سرور، پشتیبان دارید و او با اشاره به اینکه نسخه‌‌ای حرفه‌ای از بهترین نرم‌افزار پشتیبان‌گیر را خریداری کرده‌اند که به‌صورت منظم از همه سرورها نسخه پشتیبان تهیه می‌کند تایید کرد که همه اطلاعات موجود است و اصلا جای هیچ نگرانی نیست. پرسیدم آخرین باری که نسخه پشتیبان خود را آزمایش کرده‌اند چه زمانی بوده است، به من نگاهی کرد و گفت هیچ وقت. وقتی سوال کردم آیا فرآیندی مشخص برای بازیابی نسخه پشتیبان دارید، باز با پاسخ منفی مواجه شدم. به او گفتم فقط با قبول همه مسوولیت‌ها از سمت شما می‌توانیم عملیات درخواستی را روی سرور اعمال کنیم.

در تجربه‌ای دیگر، برای یک بانک، مرکز داده‌ای برای «بازیابی فاجعه» در شهر اینترنتی دبی برقرار کردیم و از طریق ارتباط اختصاصی ماهواره‌ای، از سرورهای آنها به‌صورت بلادرنگ نسخه پشتیبان تهیه می‌کردیم. همه چیز بسیار منظم و سازماندهی شده بود تا اینکه در یک واقعه، مرکز داده اصلی بانک با مشکل تامین برق مواجه شد. پس از تشکیل کمیته اضطرار، برای تداوم کسب‌و‌کار، تصمیم گرفته شد از مرکز داده جایگزینی که به‌منظور بازیابی فاجعه در شهر اینترنتی دبی مستقر بود، استفاده شود. طی عملیات شبانه، همه مقدمات از لحاظ شبکه، پایگاه داده و نرم‌افزار آماده شد، اما در لحظه آغاز به کار عملیات، شعب بانک با مشکلی بدون راه حل روبه‌رو‌ شدند که دارا بودن مرکز داده بازیابی فاجعه نمی‌توانست هیچ کمکی به آن بکند. ورود به رایانه‌ها توسط سامانه احراز هویت مرکزی کنترل می‌شد و از آنجا که سیاست امنیتی تنظیم شده، دسترسی به سرور اصلی را برای هر بار ورود به رایانه‌های عضو شبکه الزام‌آور کرده بود،‌ هیچ‌یک از پرسنل نتوانستند آن روز و روز بعد تا پایان رفع مشکل برق مرکز داده اصلی بانک، کاری انجام دهند.

از هم‌گسیختگی و عدم امکان انجام کار از آنجا ناشی شد که کارگروه امنیت و شبکه با کارگروه نرم‌افزار و عملیات، هماهنگی‌های لازم را انجام نداده بودند و در حین تنظیم سیاست‌های امنیتی به تداوم کسب‌و‌کار دقت نکرده بودند. حاصل درس آموخته شده از این واقعه آن بود که هر ماه، دو روز عملیات بانک الزاما با استفاده از مرکز داده جایگزین صورت پذیرد و گزارش عملکرد آزمون تداوم کسب‌و‌کار برای همه مدیران ارشد بانک ارسال شود.

مجموعه چنین رخدادهایی در دنیای فناوری اطلاعات باعث شد سازمان جهانی استاندارد در سال ۲۰۱۱ به‌عنوان بخشی از ISMS، استانداردی بین‌المللی از استانداردهای خانواده ISO27000 با شماره 27031 را تدوین کند که به‌صورت تخصصی به راهنمایی برای آمادگی زیرساخت فناوری اطلاعات برای تداوم کسب‌و‌کار می‌پردازد. اصول این استاندارد شامل پیشگیری از اتفاق، تشخیص اتفاق، پاسخگویی به واقعه، بازیابی و بهینه‌سازی است. همچنین عناصر تاثیرگذار متفاوتی شناسایی و راهنمایی‌هایی برای هرکدام از این عوامل به شرح زیر ارائه شد:

۱. افراد: سازمان‌ها باید سطح آگاهی و دانش پرسنل خود را به‌صورت مستمر از طریق آموزش و اطلاع‌رسانی افزایش دهند و فرآیندی برای سنجش موثر بودن آموزش‌های ارائه شده داشته باشند. همچنین سازمان‌ها باید کارمندان خود را از نقش‌آفرینی هر کدام از آنها به منظور به‌دست آوردن اهداف تداوم کسب‌و‌کار آگاه کنند.

۲. زیرساخت: مراکز داده جایگزین برای تداوم کسب‌و‌کار باید در محلی متفاوت از مرکز داده اصلی قرار گیرد تا اتفاق یا بلایای طبیعی (سیل،‌ زلزله و آتش‌سوزی شامل حال مرکز داده جایگزین نشود.

۳. فناوری: یک یا چند استراتژی درخصوص فناوری باید اجرا شود؛ برای مثال hot-standby که در آن هر آنچه در مرکز داده اصلی است به‌صورت بلادرنگ پشتیبان‌گیری می‌شود یا warm-standby که در این استراتژی بازیابی در مرکز داده جایگزین، صورت می‌گیرد و زیرساخت، تا بخشی آمادگی لازم را دارد. دیگر استراتژی‌ها شامل cold-standby، ship-in و pick-and-mix هستند که بنا به اولویت‌ها و میزان بودجه یک سازمان قابل تعریف‌اند.

۴. اطلاعات: هماهنگی‌های لازم براساس استراتژی‌های مدیریت برای دسترس‌پذیر بودن اطلاعات در صورت بروز حادثه باید اجرا شود. برای مثال در اختیار گذاشتن فضای بیشتر ذخیره‌سازی اطلاعات در ساختاری که بتوان آن را در زمان نیاز بازیابی کرد یا استفاده از مراکز داده غیره در صورتی که بتوان محرمانگی و امنیت اطلاعات را تضمین کرد.

۵. فرآیندها: مستند فرآیندها باید به‌صورت کاملا واضح و با جزئیات مورد نیاز در اختیار افراد دارای توانمندی برای اجرا قرار گیرد. اصولا فرآیندهای مرتبط با تداوم کسب‌و‌کار با کارهای روزمره متفاوتند.

6. تامین‌کنندگان: سازمان‌ها باید طی فرآیند خرید نسبت به توانمندی تامین‌کنندگان اجزای حیاتی خود اطمینان حاصل کنند که حتی در شرایط بحرانی تامین‌کنندگان توان ارائه خدمت، پشتیبانی، قطعات یا محصولات را دارا هستند. بسیاری بانک‌ها در ایران برنامه‌های جامعی در حوزه ISMS دارند. درک این نیاز و سرمایه‌گذاری در ایجاد بسترهای لازم برای امنیت، تداوم کسب‌و‌کار و بازیابی فاجعه، نشان از رشد و بلوغ بانک‌های کشورمان دارد که خود را در برابر شرایط پیش‌بینی نشده به گونه‌ای بیمه می‌کنند.

رشد فزاینده استفاده از راهکارهای مجازی‌سازی و رایانش ابری خصوصی، نیز هزینه تمام‌شده راه‌اندازی مرکز داده جایگزین برای تداوم کسب‌و‌کار و بازیابی فاجعه را نسبت به گذشته مقرون به صرفه‌تر کرده است.اینکه بانک‌ها در چه مرحله‌ای هستند سوالی است که نمی‌توان پاسخی دقیق به آن ارائه داد، اما باید توجه داشت که رویکرد به ISMS جامع و همه‌جانبه باشد. یادمان نرود که خطر فقط از سوی خرابکاران نیست و حفظ امنیت فقط به تست نفوذ ختم نمی‌شود. حفاظت اطلاعات مشتریان در شرایط بحرانی و تداوم کسب‌و‌کار به واسطه سرمایه‌گذاری متناسب در راهکارهای بازیابی فاجعه می‌تواند موجب ایجاد آسایش خاطر مشتریان بانک‌ها شود. اگر بانکی نتواند تضمین کند که اطلاعات حساب مشتریان را در هر شرایطی حفظ می‌کند، چگونه می‌تواند از مردم انتظار داشته باشد تا پولشان را به آنها بسپارند؟

سید سینا قاضی دزفولی؛ مدیر راهکارهای مشتری محور شرکت داتیس آرین قشم

منبع: دنیای اقتصاد