پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
حاکمیت امنیت اطلاعات چه دستاوردی برای کسبوکارها دارد؟
امنیت یکی از مباحث چالشبرانگیز امروز در سطح دنیا و خصوصاً ایران است. صنعت بانکی و پرداخت را شاید بتوان مهمترین صنایع کشور در مقوله امنیت قرارداد. با توجه به حملات متعدد در حوزه سایبری به بانکها و شرکتهای پرداخت و با توجه به تحریمهای فعلی، شرکتهای بومی در تلاش برای ارائه و محصولات و خدماتی هستند که امنیت کسبوکارهای حوزه فناوری اطلاعات را تأمین کنند.
میثم نجار، مدیر امنیت شرکت کاسپین در این گفتوگو به چند سؤال اساسی پاسخ میدهد؛ ازجمله اینکه دستاوردهای حاکمیت امنیت اطلاعات برای کسبوکارها چیست، چه هزینهای برای کسبوکارها دارد و شرکت کاسپین برای حل این مسائل، چه راهکاری دارد.
نجار با اشاره به اینکه تحولات دیجیتال در بستر فناوری اطلاعات از تجمیع دادهها خدمات جدید را در کسبوکارها میآفریند، گفت: «وابستگی به فناوریهای مدرن و اینترنت، در مدلهای کسبوکار و جریانهای درآمدی نوین منجر میشود فرصتهایی برای خرابکاریهای سایبری در سازمانها ایجاد شود. داده خام در کسبوکارهای مدرن حکم معدن رادارند که سرویسهای دیگر را بهواسطه کاوش و تحلیل آنها میتوان خلق کرد و یا در سبد خدمات گذشته بهصورت VAS مشتری عرضه کرد. مثال اینگونه ایجاد و ارائه خدمات در قالب کسبوکار جدید یا در بستر خدمات ارزشافزوده کسبوکارهای گذشته از دیرباز وجود داشته و در ایران هم این مسئله جدیداً بهطورجدی در حال شکلگیری است.»
نجار افزود: «همانطور که به فکر ایجاد خدمات جدید و خلق ارزش از داده خام بهدستآمده از کسبوکارهای خود هستیم باید به امنیت اطلاعات بهعنوان یک موضوع پنهان و غیرقابل رؤیت اما ضروری، توجه کافی داشته باشیم. امنیت اطلاعات همانند کوه یخی است که بخشی از آنکه روی آب است و قابلمشاهده همان کسبوکار است و لایه زیرین و پنهانی آن شامل مسائل و چالشهایی مانند تابآوری، پایداری، حریم خصوصی، اعتماد و غیره است.»
نجار اشاره کرد: «در سال 2019 طی آماری که از تحقیقات موسسه Verizon به دست آماده 71 درصد از نشت اطلاعات ناشی از نقضهای امنیتی فناوری اطلاعات باانگیزه مالی بوده، 25 درصد باانگیزه جاسوسی و چهار درصد سایر عوامل را دربرداشته است.»
او با طرح چند سؤال به صحبتهای خود ادامه داد: «سؤال مهم همه صاحبان کسبوکارها که باانگیزه مالی و کسب درآمد بنگاه یا استارتآپها را راهاندازی میکنند یا حتی صاحبان سرمایه که باهدف گسترش سرمایهگذاری و سودآوری استارتآپها را خریداری میکنند این است که امنیت اطلاعات چه کمکی به آنها میکند؟ آیا این مسئله در تضاد با عملیات کسبوکاری آنها نیست؟ آیا کسبوکارها باید بهاجبار با عواملی هم چون قوانین افتا، بانک مرکزی یا نهادهای دیگر انطباق داشته باشند یا اینکه ذاتاً به آنها نیازمندند؟ آیا امنیت اطلاعات منجر به کند شدن یا جلوگیری از روند فعالیتها و فرایندهای کاری و فنی میشود یا اینکه به ایجاد فرایندهای کاری، مهارتهای فردی و تخصصی و استفاده بهینه از فناوریهای کسبوکار آنها کمک میکند؟ همه این سؤالات با کمک طراحی و استقرار حاکمیت امینت اطلاعات بهدرستی پاسخ داده میشود.»
نجار تصریح کرد: «حاکمیت امنیت به تحلیل داده خام و آنالیز آنها برای ایجاد ارزش کسبوکارها کمک میکند. همچنین این نوع حاکمیت به حاکمیت سازمانی سود میرساند. ضمناً علاوه براینکه پایهگذار حاکمیت داده است؛ اساس و بنیان نوآوری و خلاقیت در سازمانهای مدرن و هوشمند را تشکیل میدهد.»
دستاوردهای حاکمیت امنیت اطلاعات
نجار در ادامه گفت: «اگر به مثال کوه یخ و کسبوکار برگردیم آنچه نمایان و قابلتوجه است سرویسهای تجاری است که آنها را بهوضوح میبینیم و استفاده میکنیم، مانند برنامک موبایلی همراه بانک که از خدمات آن به شکل قابلرؤیت بهره میبریم؛ اما قسمت غیرقابلدیدن این کوه یخی پایداری، تابآوری و امنیت خدمات است که قابلمشاهده نیست، هرچند میتوان آن را بهنوعی حس کرد.»
ازجمله دستاوردهایی که حاکمیت امنیت اطلاعات برای کسبوکارها به ارمغان میآورد این است که امنیت اطلاعات در سراسر کسبوکار نهادینه شود.
مدیر امنیت شرکت کاسپین بابیان این مطلب گفت: «یعنی از فرآیند تولید تا عملیات و بهرهبرداری، پشتیبانی و لجستیک، مالی و بازرگانی و همه بخشهای شرکت یا بنگاه تجاری، بهعنوانمثال در مواقعی که مدیر ارشد شرکت و بنگاه یا هیات مدیره به اخذ تصمیمهای راهبردی اقدام میکند باید ریسک امنیتی همراه ریسکهای مالی و عملیاتی موردتوجه و ارزیابی قرار گیرد. ضمناً باید در سرمایهگذاریهای تجاری مقوله امنیت اطلاعات دیده و بخشی از فعالیتها را شامل شود. همچنین اطمینان از انطباقپذیری با قوانین و الزامات قانونی و قراردادی، ایجاد فرهنگ و نگرش مثبت در حیطه امنیت اطلاعات و اطمینان یافتن از کارایی و تأثیر اقدامات انجامشده در خصوص ارتقای سطح امنیتی خدمات کسبوکار از دستاوردهایی است که حاکمیت امنیت اطلاعات برای بنگاه به همراه دارد. درنتیجه موارد ذکرشده اهداف تابآوری، پایداری، امنیت، حریم خصوصی و اعتمادپذیری در لایههای مختلف مدیریتی ارشد، میانی و فنی معنا و مفهوم پیدا میکند و همدلی و همسویی صحیحی از امنیت اطلاعات و تناسب آن با خدمات تجاری و کسبوکار سازمان ایجاد میشود.»
همراستایی امنیت اطلاعات با کسبوکار
تصور بسیاری از فعالان حوزه کسبوکار اینچنین است که در فضای کسبوکارهای مدرن، امنیت اطلاعات مقولهای دستوپا گیر است و کسبوکارها بعضاً به امنیت اطلاعات بهعنوان سرعتگیر و مانع فعالیتهای خود نگاه میکنند.
نجار دراینباره معتقد است: «باید بدانیم امنیت اطلاعات نهتنها یک مانع نیست بلکه بهعنوان یک فعالکننده کسبوکار و حتی ارزشافزوده خدمات جاری قلمداد میشود. اگر سرویسی را راهاندازی میکنیم در زمان نصب و استقرار و حتی ارائه سرویس به مشتریان ملاحظات امنیتی رعایت نشود و یا بهضرورت آن بیتوجه باشیم، با عدم پایداری در سرویسها و یا خطر متوقف شدن آنها مواجه میشویم.»
نجار با اشاره به اینکه بهوقوع پیوستن این دست مسائل و مشکلات به دلیل آن است که صاحبان کسبوکار سعی در کاهش هزینهها و تلاش برای دستیابی به سود سریع و آسان دارند، عنوان کرد: «در خصوص امنیت از اقدامات جدی مانند تشکیل تیم متخصص و خبره امنیت اطلاعات تا تولید امن محصول خودداری میکنند تا استقرار و انتشار سرویسها و خدمات به مشتریان با هزینههای اندک انجام گیرد. قطعاً با ارائه این نوع سرویس در بازار پررقابت، در مدتزمان کوتاهی کارایی خود را ناخودآگاه ازدستداده و مسائل ثانویه آن بروز میکند. از این حیث میتوان به خدمات بیشماری را در بستر اینترنت اشاره کرد که در چند ماه اخیر دستبهگریبان با مشکلات امنیتی عدیده شدهاند که اخبار آن در رسانههای مختلف قابلجستوجو است.»
او ادامه داد: «هرچقدر یک کسبوکار اینترنتی خدمات حساستری ارائه کند مانند خدمات مالی، بانکی و پرداخت، بیمه و نظایر آن تهدیدات بیشتری را در بستر اینترنت متوجه خود میکند. از نمونههای مختلف این همراستایی به اعتمادپذیری خدمات بهعنوان اصلیترین عنصر میتوان اشاره کرد، موضوعی که حاصل فعالیتهای مختلف در سطح حاکمیت و مدیریت امنیت اطلاعات بنگاه است. اعتماد بهسختی ایجاد میشود و میتواند در صدم ثانیه از بین برود.»
برحسب نوع کسبوکار باید منابع لازم را برای امنیت اختصاص دهیم
باید بدانیم کسبوکار چه نیازهای امنیتی دارد و در راستای سیاستهای تجاری، مدیریت منابع و هزینههای امنیتی بهطور اثربخش اجرایی و پیادهسازی شود.
نجار با اشاره به این موضوع گفت: «با پیادهسازی حاکمیت امنیت اطلاعات؛ اولویتها، شناسایی ریسکها، هزینهها و محل هزینهها مشخص میشود. هزینه کردن امنیت باید با برنامهریزیهای لازم انجام شود، برحسب نوع کسبوکار باید منابع لازم را برای امنیت اختصاص دهیم. مدل کسبوکار دورکاری را مثال میزنم که برخی هزینهها در این مدل بهنوعی هدر رفت سرمایه است. بهعنوانمثال در این مدل کسبوکار خرید یک ساختمان چندطبقه و استخدام نگهبان ضرورتی ندارد ولی روشهای احراز و کنترل دسترسی و هویت، پروتکلهای ارتباطی امن، ابزارهای حقوق مالکیت، ابزارهای جلوگیری از نشت داده، ابزارهای مدیریت جریان کاری و زمان کاری و غیره اولویتدارند؛ بنابراین شناخت ریسکها بخصوص ریسکهای حوزه امنیت ضروری است تا بدانیم چقدر منابع باید به آن اختصاص داد و اینکه این ریسکها با ریسکهای حوزه عملیات چقدر همپوشانی دارد؟»
نجار تأکید کرد: «حاکمیت امنیت به سازمانها دیدی واقعبینانه و اصولی میدهد تا هزینهها هدفمند انجام شود و تضاد منافع بین امنیت اطلاعات و فناوری اطلاعات و کسبوکار به وجود نیاید. لذا بهینهسازی در مصرف منابع و هزینهها در راستای پوشش ریسکهای شناساییشده بهمنظور کسب منافع تجاری در کسبوکار از نتایج پیادهسازی حاکمیت امنیت اطلاعات در بنگاههاست.»
«هوپاد» خدمت امنیت اطلاعات کاسپین
مدیر امنیت شرکت کاسپین بابیان اینکه در حال حاضر ما در کاسپین توانستهایم با ایده گرفتن از شرکتهای تجاری مطرح، خدمات امنیت اطلاعات را در قالب یک برند تجاری ایجاد کنیم و بهصورت سرویس برخط ارائه دهیم، گفت: «بسترهای این موضوع در حال آماده شدن برای ارائه به مشتریان سازمانی و شرکتی است. خدمت طراحی و استقرار حاکمیت امنیت اطلاعات برای بنگاهها و شرکتهای مختلف ازجمله توانمندیهای تحت برند جدید «هوپاد» است که امید است این خدمت قدمی بنیادین برای حل مشکلات عدیده شرکتها در مواجهه با تهدیدات روزافزون سایبری باشد.»
او درباره بهرهبرداران اصلی این خدمت گفت: «صاحبان کسبوکارها، مدیران عامل و اعضای هیات مدیره شرکتها بهرهبرداران اصلی هستند چراکه درنهایت تصمیمات و درک صحیح آنها از نیازمندیهای تجاری و کسبوکار در ارتباط با امنیت اطلاعات تبدیل به برنامههای قابل اجرایی خواهد شد که سایر راهکارهای مدیریتی و فنی را تعریف و اجرایی میکند.»