راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

امنیت

شرکت کاسپین در حوزه امنیت چه خدماتی ارائه می‌دهد؟

نویسنده: راه پرداخت 0

امنیت یکی از  مباحث چالش برانگیز امروز در سطح دنیا و خصوصا ایران است. صنعت بانکی و پرداخت را شاید بتوان  مهمترین صنایع کشور در مقوله امنیت قرار داد. با توجه به حملات متعدد در حوزه سایبری به بانک‌ها و شرکت‌های پرداخت و با توجه به تحریم‌های فعلی، شرکت‌های بومی در تلاش برای ارایه و محصولات و خدماتی هستند که امنیت کسب‌وکارهای حوزه فناوری اطلاعات را تامین سازند.

 در این خصوص با مهندس نجار مدیر واحد امنیت اطلاعات کاسپین در زمینه امنیت، خدمات امنیتی و ضرورت پیاده‌سازی آن گفت‌وگویی داشتیم تا بدانیم این شرکت چه خدماتی را در این حوزه ارائه داده است.

نجار با بیان اینکه در حال حاضر کسب‌وکارهای سنتی از طریق it transform در حال تغییر و مدرنیته شدن هستند تا با استفاده از فناوری اطلاعات ارزش آفرینی کنند؛ می‌گوید: «داده‌ها به عنوان مواد خام برای خلق و افزودن ارزش بکار می­روند و به همین سبب نیز امنیت داده‌ و اطلاعات در وضعیت­های مختلفی چون انتقال، پردازش و ذخیره مطرح می‌شود. امنیت اطلاعات در ابعاد سازمان، فرآیند، فناوری و افراد گسترش می­یابد لذا نباید آن را منوط به تنها یک وجه کرد. شاید بتوان ادعا کرد ارتقای سطح بلوغ امنیت اطلاعات منجر به رشد فناوری اطلاعات، فرآیندها ، منابع انسانی و سازمان می­‌شود. چرا که امنیت اطلاعات در کسب‌وکارهای مدرن آمیخته شده است. این درحالی است که برخلاف عقیده رایجی که به غلط بین مدیران فناوری اطلاعات جا افتاده است، امنیت اطلاعات باید در راستای اهداف کسب‌وکار باشد در غیر اینصورت زاویه دار شدن این دو منجر به قربانی شدن یکی نسبت به دیگری خواهد شد اما در حقیقت باید علم امنیت اطلاعات را برای بقای کسب‌وکارهای مبتنی بر اطلاعات و داده به عنوان یک فعال­ساز و پیشران بکار گرفت. »

در ایران آخرین گام امنیت است

نجار درتشریح ضرورت امنیت سایبری درگام های ابتدایی راه اندازی کسب‌وکارهای نوین می‌گوید: «در راه اندازی یک کسب‌وکار سنتی مثل فروشگاه خرده فروشی ، استفاده از قفل و کرکره مناسب برای درب­های ورودی اولین دغدغه صاحب آن است. اما چطور می­شود که ما در کسب‌وکارهای نوین که با اطلاعات و پردازش داده برای ایجاد ارزش و منفعت سروکار داریم امنیت آنرا نه تنها به شمار نمی­آوریم بلکه اساسا جایگاهی برایش متصور نیستیم و در بدترین حالت نقطه مقابل کسب و کار قلمداد می کنیم!

پس موضوعات امنیت اطلاعات در اولین گام‌های راه اندازی کسب‌وکارهای نوین مطرح می‌شود. از سوی دیگر در مبحث IT-Transformation  کسب­وکارهای سنتی نیز باید چالش­های امنیت اطلاعات را در گام‌های مقدماتی ببینند. ما در کشورمان امنیت را آخرین مقوله می‌بینیم و همین تفاوت در تفکر سنتی و مدرن را ایجاد می‌کند. البته این مشکل نیز تا حدی در دنیا وجود دارد و مختص ایران نیست اما در کشور ما به دلیل مسایل خاص خود ، شرایط حادترو جدی تر است.»

استارت‌آپ­‌ها جزو صدرنشینان حملات سایبری

به گفته نجار عدم درک ضرورت امنیت اطلاعات در معماری سازمان و کسب‌وکار، فناوری­های مورد استفاده و بی اطلاعی از فرآیندهای امنیت سایبری در حوزه استارت‌آپی که تب آن در ایران نیز فراگیر شده، هم دیده می‌شود. اساساً مفهموم استارت‌اپ با فناوری آمیخته شده است اما آخرین چیزی که در راه‌اندازی یک استارت‌آپ به ان اهمیت می‌دهیم امنیت است؛ چرا که تیم‌های ایده پرداز تجاری صرفاً می‌خواهند پکیج قابل ارائه‌ای را اماده کنند که ممکن است در آینده به کسب‌وکار  تبدیل شود. اهمیت امنیت اطلاعات زمانی اشکار می‌شوند که استارت‌آپ رشد کرد و به  بازار رقابت رسیده و اکنون نوبت ظهور مشکلات امنیتی است؛ یعنی زمانی که دیر شده و پای پلیس فتا و دادسرای جرائم رایانه‌ای به میان آمده است.

گزارش امنیت سایبری  2019 وریزون نیز نشان می‌دهد بالاترین حملات سایبری متعلق به کسب­‌وکارهای کوچک و استارت‌آپ­هاست. نجار با بیان این موضوع می‌گوید: «طبیعی است که مهاجم با سازمان‌های پیچیده با کمی سختی بیشتری برای رخنه و نفوذ سایبری مواجه باشد چرا که از نظر فنی، فرآیندی و توان تخصصی از سطوح بلوغ بالاتری از امنیت اطلاعات برخوردار هستند ولی استارت‌آپ‌ها به این دلیل آنکه خود را با روش­های نا امنی به سازمان‌های مورد هدف مهاجمین متصل کرده‌اند از نظر آنها طعمه­های لذیذی هستند»

حملات مبتنی بر مهندسی اجتماعی در کمین مدیران ارشد سازمان‌ها

او ادامه می‌دهد: «در گزارش وریزون همچنین آماری از حملاتی مبتنی بر مهندسی اجتماعی را مشاهده می‌کنیم. این نوع خاص از حملات امنیتی، مدیران عامل و گرداننده­های شرکت‌ها را مورد هدف قرار داده­اند. لذا مدیران عامل کسب­وکارهای نوین توجه و هوشیاری زیادی را باید در زمینه امنیت اطلاعات و سایبری بخرج دهند. از نمونه های حملات اجتماعی اتفاقی است که اخیراً به اسم رادیو جوان رخ داده است؛ شاکی‌های زیادی دارد و تقریباً دو سه سالی است که در حال اجراست و تعداد زیادی از مردم را درگیر کرده است. عدم آگاهی افراد امکان سوء استفاده را فراهم و  سبب خالی کردن حساب­های بانکی آنها با دست خودشان شده است.»

چالش فعلی حوزه امنیت: داشتن ابزار امنیتی (firewall)کافی نیست!

نجار با اشاره به اینکه در حال حاضر در مقوله امنیت سازمانی با چالش‌های متعددی رو به رو هستیم، عنوان می‌کند: «یکی از موارد مهمی که در سازمان‌ها در حال حاضر دیده می‌شود این است که مثلا اگر یک firewall داشته باشیم یعنی امن هستیم در حالیکه همواره گفته می­شود امنیت مانند یک زنجیر است و استحکام آن به اندازه ضعیف‌ترین حلقه زنجیر است. باید سازمان­ها در ابتدا امنیت را مدل کنند و سپس وجوه فرآیندی ، پرسنلی و فن­آوری را همزمان با هم ببیند. ممکن است فایروال راه حل سازمانی نباشد و باید از تکنولوژی­های دیگری استفاده کنند. ممکن است بهبود فرایندها در سازمان سبب رشد امنیتی شود. پس لازم است که الگو و مدل امنیتی خاص هر سازمان ترسیم شود.»

بسته خدمات امنیت سایبری کاسپین، پکیج ساختار یافته و کم هزینه‌ای را در اختیار مشتریان  در حوزه امنیت قرار می‌دهد

ما در کاسپین مجموعه خدماتی را ارائه کردیم تا بتوانیم به صورت سریع، ساختاریافته و کم هزینه پکیج کاملی از امنیت اطلاعات و امنیت سایبری به مشتریان ارائه دهیم. نجار با بیان این موضوع ادامه می‌دهد: «سازمان­ها می­توانند با استفاده از این بسته­های خدماتی، دستاوردهای موفق امنیتی را با سرعت بیشتری بدست بیاورند. خدمات امنیت سایبری و امنیت اطلاعات کاسپین در سه سطح ارایه می­شوند؛ سطح شرکت­ها و کسب­وکارهای کوچک، سطح سازمان (متوسط تا بزرگ)، سطح بنگاه یا سازمان­های گسترده (سازمانی که دارای شرکت­ها و موسسات متعددی دارد.) این خدمات می­توانند با بررسی بلوغ امنیتی شرکت شروع شوند چرا که متناسب با هر سطح از بلوغ سازمان­ها خدمات متفاوتی را نیاز دارند. بلوغ امنیت اطلاعات ، مشابه بلوغ مالی، سازمانی یا فناوری اطلاعات است. همانطور که در بلوغ سازمانی معیارهایی چون فرایندها ، تخصص­های مورد نیاز، حساب­های مالی و حسابرسی و غیره مطرح است در امنیت اطلاعات هم از جنبه‌های مختلفی سطح بلوغ امنیت اطلاعات در سازمان بررسی می‌شود و راهکارهای مناسب برای آن ارائه می‌شود. خدمات حوزه امنیت سازمانی کاسپین شامل حاکمیت امنیت اطلاعات، سیستم­های مدیریت ریسک، سیستم­های مدیریت تطابق پذیری و در نهایت مدیریت امنیت اطلاعات است.»

به گفته مدیر واحد امنیت اطلاعات کاسپین، موضوع «حاکمیت امنیت اطلاعات» در امنیت سازمانی مطرح است و بطور خلاصه مشخص می‌کند سازمان چه ساز و کارهایی را در خصوص امنیت اطلاعات باید مد نظر قراردهد. این همان بخشی است که طبق گزارش وریزون امنیت یکی از موارد مورد تهدید یعنی مدیران ارشد و مدیران عامل شرکت­ها را پوشش می‌دهد. در این نوع خدمت میزان توجه هیئت مدیره با موضوع حاکمیت امنیت اطلاعات در ابعاد مختلف سازمان بررسی شده و راه­حل­های مناسب پیشنهاد و اجرایی می­شود.  مورد دیگر «مدیریت ریسک» است و موارد مختلفی چون شناسایی و ارزیابی ریسک، بررسی سطح قابل پذیرش ریسک­های امنیتی در سازمان و در نهایت پاسخ مناسب به ریسک­ها است. البته در این خصوص بررسی تناسب ریسک‌های امنیتی و سایبری با ریسک‌های عملیاتی نیز می­تواند صورت می‌گیرد.

«مدیریت تطابق پذیری» خدمت دیگری است که در بسته خدمات امنیتی سازمانی کاسپین قرار دارد. نجار با بیان این مطلب می‌گوید: «در حقیقت انطباق­پذیری امنیت به میزان فاصله بین الزامات بالادستی سازمان اشاره دارد. این الزامات می‌تواند بسته به صنعت و صنف و در بازه‌های زمانی مختلف ایجاد شده یا از قوانین و مقررات نهادهای حاکمیتی کشور سرچشمه گرفته، یا اینکه از الزامات استاندارد امنیت اطلاعات حاصل شده است. سایر خدمات شرکت عبارتند از طراحی و پیاده­سازی مراکز عملیات امنیت اطلاعات ، اجرای ارزیابی و آزمون­های امنیتی سامانه­ها و تجهیزات و همچنین ارایه و اجرای راهکارهای مقاوم­سازی سامانه­ها و تجهیزات نرم­افزاری و سخت­افزاری.»

نجار تشریح می‌کند: «ما خدمات امنیتی درسطوح بنگاه نیز ارائه می‌دهیم. یعنی برای مجموعه‌ای از شرکت‌ها در کنار هم تحت یک گروه یا هلدینگ. در این خدمات نکته حائز اهمیت تفاوت سطوح و نوع نیازمندی امنیتی بنگاه با امنیت سازمانی از لحاظ تکنولوژی، فرایند و ساختاری است. »

بازار هدف خدمات امنیتی کاسپین

در کاسپین، خدمات کلان در حوزه امنیت مدنظر ماست که خاص بخش بانکی نیست. لذا دیگر صنایع نیز می­توانند مشتری ما باشند و این خدمات برای انواع سازمان‌ها، نهادها، صنایع و حتی بخش­های دولتی قابل پیاده سازی است. نجار در انتها می گوید: «بازار هدف کاسپین طیف وسیعی از مشتریان را شامل می­شود. از شرکت­‌های کوچک و استارت‌آپ­ها که می­توانند خدمات امنیتی را با قیمتی رقابتی و کیفیت دریافت کنند تا بنگاه­های اقتصادی و سازمان­های متوسط و بزرگ که نیازمندی­های متنوعی را در کسب­وکار خود مطالبه می­کنند مشتریان ما هستند. ما در کاسپین با توجه به دانش تخصصی و بهره جستن از خبرگان حوزه امنیت اطلاعات کشور قادر به ارایه این خدمات هستیم.»

ارزیابی امنیتی برخط سرویس‌ها و برنامک‌های استارت‌آپی و فین‌تکی

نجار از ارایه خدمت امنیتی در حوزه استارت‌آپ‌ها و فین‌تک‌ها می‌گوید: «یکی از جدیدترین خدمات کاسپین در حوزه امنیت اطلاعات ارزیابی امنیتی برخط سرویس­ها و برنامک­های استارت‌آپی و فین‌­تکی است که قبل از انتشار برنامک یا سرویس خود بر بستر اینترنت، می­توانند با کمترین هزینه و در سریعترین زمان ممکن از خدمات یک تیم حرفه­ای و ابزارهایی استفاده کنند که تهیه و تامینشان برای آنها بسیار هزینه بر خواهد بود. انشاا… بزودی از این خدمت در سرویس کبالت رو نمایی خواهد شد که برای اولین بار در کشور مخصوص مشتریان فین‌تکی طراحی و تولید شده است. این سرویس امنیتی علاوه بر تضمین امنیت برنامک و سرویس برخط حوزه فین تک برای استارتاپ، برای رگولاتور این حوزه که می­تواند نهادهایی چون مرکز افتا، بانک مرکزی و سازمان فناوری اطلاعات باشد تضمینی بر سلامت محصول ارایه شده استارت‌آپ­های فین‌تکی خواهد بود و البته مشتریان آنها که عموما مردم هستند نیز می­توانند اعتماد بیشتری داشته باشند.»

راه پرداخت

تحریریه راه پرداخت ۲۴ ساعت شبانه‌روز و هفت روز هفته تلاش می‌کنند شما را در جریان مهم‌ترین روندها و رویدادهای فناوری و نوآوری قرار دهند. راه پرداخت از دوم اردیبهشت ماه ۱۳۹۰ به صورت پیوسته در سپهر رسانه‌ای ایران فعالیت می‌کند.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.