راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

حاکمیت امنیت اطلاعات چه دستاوردی برای کسب‌وکار‌ها دارد؟

امنیت یکی از مباحث چالش‌برانگیز امروز در سطح دنیا و خصوصاً ایران است. صنعت بانکی و پرداخت را شاید بتوان مهم‌ترین صنایع کشور در مقوله امنیت قرارداد. با توجه به حملات متعدد در حوزه سایبری به بانک‌ها و شرکت‌های پرداخت و با توجه به تحریم‌های فعلی، شرکت‌های بومی در تلاش برای ارائه و محصولات و خدماتی هستند که امنیت کسب‌وکارهای حوزه فناوری اطلاعات را تأمین کنند.

میثم نجار، مدیر امنیت شرکت کاسپین در این گفت‌وگو به چند سؤال اساسی پاسخ می‌دهد؛ ازجمله اینکه دستاوردهای حاکمیت امنیت اطلاعات برای کسب‌وکارها چیست، چه هزینه‌ای برای کسب‌وکارها دارد و شرکت کاسپین برای حل این مسائل، چه راهکاری دارد.

نجار با اشاره به اینکه تحولات دیجیتال در بستر فناوری اطلاعات از تجمیع داده‌ها خدمات جدید را در کسب‌وکارها می‌آفریند، گفت: «وابستگی به فناوری‌های مدرن و اینترنت، در مدل‌های کسب‌وکار و جریان‌های درآمدی نوین منجر می‌شود فرصت‌هایی برای خرابکاری‌های سایبری در سازمان‌ها ایجاد شود. داده خام در کسب‌وکارهای مدرن حکم معدن رادارند که سرویس‌های دیگر را به‌واسطه کاوش و تحلیل آن‌ها می‌توان خلق کرد و یا در سبد خدمات گذشته به‌صورت VAS مشتری عرضه کرد. مثال این‌گونه ایجاد و ارائه خدمات در قالب کسب‌وکار جدید یا در بستر خدمات ارزش‌افزوده کسب‌وکارهای گذشته از دیرباز وجود داشته و در ایران هم این مسئله جدیداً به‌طورجدی در حال شکل‌گیری است.»

نجار افزود: «همان‌طور که به فکر ایجاد خدمات جدید و خلق ارزش از داده خام به‌دست‌آمده از کسب‌وکارهای خود هستیم باید به امنیت اطلاعات به‌عنوان یک موضوع پنهان و غیرقابل رؤیت اما ضروری، توجه کافی داشته باشیم. امنیت اطلاعات همانند کوه یخی است که بخشی از آن‌که روی آب است و قابل‌مشاهده همان کسب‌وکار است و لایه زیرین و پنهانی آن شامل مسائل و چالش‌هایی مانند تاب‌آوری، پایداری، حریم خصوصی، اعتماد و غیره است.»

نجار اشاره کرد: «در سال ۲۰۱۹ طی آماری که از تحقیقات موسسه Verizon به دست آماده ۷۱ درصد از نشت اطلاعات ناشی از نقض‌های امنیتی فناوری اطلاعات باانگیزه مالی بوده، ۲۵ درصد باانگیزه جاسوسی و چهار درصد سایر عوامل را دربرداشته است.»



او با طرح چند سؤال به صحبت‌های خود ادامه داد: «سؤال مهم همه صاحبان کسب‌وکارها که باانگیزه مالی و کسب درآمد بنگاه یا استارت‌آپ‌ها را راه‌اندازی می‌کنند یا حتی صاحبان سرمایه که باهدف گسترش سرمایه‌گذاری و سودآوری استارت‌آپ‌ها را خریداری می‌کنند این است که امنیت اطلاعات چه کمکی به آن‌ها می‌کند؟ آیا این مسئله در تضاد با عملیات کسب‌وکاری آن‌ها نیست؟ آیا کسب‌وکارها باید به‌اجبار با عواملی هم چون قوانین افتا، بانک مرکزی یا نهادهای دیگر انطباق داشته باشند یا اینکه ذاتاً به آن‌ها نیازمندند؟ آیا امنیت اطلاعات منجر به کند شدن یا جلوگیری از روند فعالیت‌ها و فرایندهای کاری و فنی می‌شود یا اینکه به ایجاد فرایندهای کاری، مهارت‌های فردی و تخصصی و استفاده بهینه از فناوری‌های کسب‌وکار آن‌ها کمک می‌کند؟ همه این سؤالات با کمک طراحی و استقرار حاکمیت امینت اطلاعات به‌درستی پاسخ داده می‌شود.»

نجار تصریح کرد: «حاکمیت امنیت به تحلیل داده خام و آنالیز آن‌ها برای ایجاد ارزش کسب‌وکارها کمک می‌کند. همچنین این نوع حاکمیت به حاکمیت سازمانی سود می‌رساند. ضمناً علاوه براینکه پایه‌گذار حاکمیت داده است؛ اساس و بنیان نوآوری و خلاقیت در سازمان‌های مدرن و هوشمند را تشکیل می‌دهد.»


دستاوردهای حاکمیت امنیت اطلاعات


نجار در ادامه گفت: «اگر به مثال کوه یخ و کسب‌وکار برگردیم آنچه نمایان و قابل‌توجه است سرویس‌های تجاری است که آن‌ها را به‌وضوح می‌بینیم و استفاده می‌کنیم، مانند برنامک موبایلی همراه بانک که از خدمات آن به شکل قابل‌رؤیت بهره می‌بریم؛ اما قسمت غیرقابل‌دیدن این کوه یخی پایداری، تاب‌آوری و امنیت خدمات است که قابل‌مشاهده نیست، هرچند می‌توان آن را به‌نوعی حس کرد.»

ازجمله دستاوردهایی که حاکمیت امنیت اطلاعات برای کسب‌وکارها به ارمغان می‌آورد این است که امنیت اطلاعات در سراسر کسب‌وکار نهادینه شود.

مدیر امنیت شرکت کاسپین بابیان این مطلب گفت: «یعنی از فرآیند تولید تا عملیات و بهره‌برداری، پشتیبانی و لجستیک، مالی و بازرگانی و همه بخش‌های شرکت یا بنگاه تجاری، به‌عنوان‌مثال در مواقعی که مدیر ارشد شرکت و بنگاه یا هیات مدیره به اخذ تصمیم‌های راهبردی اقدام می‌کند باید ریسک امنیتی همراه ریسک‌های مالی و عملیاتی موردتوجه و ارزیابی قرار گیرد. ضمناً باید در سرمایه‌گذاری‌های تجاری مقوله امنیت اطلاعات دیده و بخشی از فعالیت‌ها را شامل شود. همچنین اطمینان از انطباق‌پذیری با قوانین و الزامات قانونی و قراردادی، ایجاد فرهنگ و نگرش مثبت در حیطه امنیت اطلاعات و اطمینان یافتن از کارایی و تأثیر اقدامات انجام‌شده در خصوص ارتقای سطح امنیتی خدمات کسب‌وکار از دستاوردهایی است که حاکمیت امنیت اطلاعات برای بنگاه به همراه دارد. درنتیجه موارد ذکرشده اهداف تاب‌آوری، پایداری، امنیت، حریم خصوصی و اعتمادپذیری در لایه‌های مختلف مدیریتی ارشد، میانی و فنی معنا و مفهوم پیدا می‌کند و همدلی و همسویی صحیحی از امنیت اطلاعات و تناسب آن با خدمات تجاری و کسب‌وکار سازمان ایجاد می‌شود.»


هم‌راستایی امنیت اطلاعات با کسب‌وکار


تصور بسیاری از فعالان حوزه کسب‌وکار این‌چنین است که در فضای کسب‌وکارهای مدرن، امنیت اطلاعات مقوله‌ای دست‌وپا گیر است و کسب‌وکارها بعضاً به امنیت اطلاعات به‌عنوان سرعت‌گیر و مانع فعالیت‌های خود نگاه می‌کنند.

نجار دراین‌باره معتقد است: «باید بدانیم امنیت اطلاعات نه‌تنها یک مانع نیست بلکه به‌عنوان یک فعال‌کننده کسب‌وکار و حتی ارزش‌افزوده خدمات جاری قلمداد می‌شود. اگر سرویسی را راه‌اندازی می‌کنیم در زمان نصب و استقرار و حتی ارائه سرویس به مشتریان ملاحظات امنیتی رعایت نشود و یا به‌ضرورت آن بی‌توجه باشیم، با عدم پایداری در سرویس‌ها و یا خطر متوقف شدن آن‌ها مواجه می‌شویم.»

نجار با اشاره به اینکه به‌وقوع پیوستن این دست مسائل و مشکلات به دلیل آن است که صاحبان کسب‌وکار سعی در کاهش هزینه‌ها و تلاش برای دستیابی به سود سریع و آسان دارند، عنوان کرد: «در خصوص امنیت از اقدامات جدی مانند تشکیل تیم متخصص و خبره امنیت اطلاعات تا تولید امن محصول خودداری می‌کنند تا استقرار و انتشار سرویس‌ها و خدمات به مشتریان با هزینه‌های اندک انجام گیرد. قطعاً با ارائه این نوع سرویس در بازار پررقابت، در مدت‌زمان کوتاهی کارایی خود را ناخودآگاه ازدست‌داده و مسائل ثانویه آن بروز می‌کند. از این حیث می‌توان به خدمات بی‌شماری را در بستر اینترنت اشاره کرد که در چند ماه اخیر دست‌به‌گریبان با مشکلات امنیتی عدیده شده‌اند که اخبار آن در رسانه‌های مختلف قابل‌جست‌وجو است.»

او ادامه داد: «هرچقدر یک کسب‌وکار اینترنتی خدمات حساس‌تری ارائه کند مانند خدمات مالی، بانکی و پرداخت، بیمه و نظایر آن تهدیدات بیشتری را در بستر اینترنت متوجه خود می‌کند. از نمونه‌های مختلف این هم‌راستایی به اعتمادپذیری خدمات به‌عنوان اصلی‌ترین عنصر می‌توان اشاره کرد، موضوعی که حاصل فعالیت‌های مختلف در سطح حاکمیت و مدیریت امنیت اطلاعات بنگاه است. اعتماد به‌سختی ایجاد می‌شود و می‌تواند در صدم ثانیه از بین برود.»


برحسب نوع کسب‌وکار باید منابع لازم را برای امنیت اختصاص دهیم


باید بدانیم کسب‌وکار چه نیازهای امنیتی دارد و در راستای سیاست‌های تجاری، مدیریت منابع و هزینه‌های امنیتی به‌طور اثربخش اجرایی و پیاده‌سازی شود.

نجار با اشاره به این موضوع گفت: «با پیاده‌سازی حاکمیت امنیت اطلاعات؛ اولویت‌ها، شناسایی ریسک‌ها، هزینه‌ها و محل هزینه‌ها مشخص می‌شود. هزینه کردن امنیت باید با برنامه‌ریزی‌های لازم انجام شود، برحسب نوع کسب‌وکار باید منابع لازم را برای امنیت اختصاص دهیم. مدل کسب‌وکار دورکاری را مثال می‌زنم که برخی هزینه‌ها در این مدل به‌نوعی هدر رفت سرمایه است. به‌عنوان‌مثال در این مدل کسب‌وکار خرید یک ساختمان چندطبقه و استخدام نگهبان ضرورتی ندارد ولی روش‌های احراز و کنترل دسترسی و هویت، پروتکل‌های ارتباطی امن، ابزارهای حقوق مالکیت، ابزارهای جلوگیری از نشت داده، ابزارهای مدیریت جریان کاری و زمان کاری و غیره اولویت‌دارند؛ بنابراین شناخت ریسک‌ها بخصوص ریسک‌های حوزه امنیت ضروری است تا بدانیم چقدر منابع باید به آن اختصاص داد و اینکه این ریسک‌ها با ریسک‌های حوزه عملیات چقدر هم‌پوشانی دارد؟»

نجار تأکید کرد: «حاکمیت امنیت به سازمان‌ها دیدی واقع‌بینانه و اصولی می‌دهد تا هزینه‌ها هدفمند انجام شود و تضاد منافع بین امنیت اطلاعات و فناوری اطلاعات و کسب‌وکار به وجود نیاید. لذا بهینه‌سازی در مصرف منابع و هزینه‌ها در راستای پوشش ریسک‌های شناسایی‌شده به‌منظور کسب منافع تجاری در کسب‌وکار از نتایج پیاده‌سازی حاکمیت امنیت اطلاعات در بنگاه‌هاست.»


«هوپاد» خدمت امنیت اطلاعات کاسپین


مدیر امنیت شرکت کاسپین بابیان اینکه در حال حاضر ما در کاسپین توانسته‌ایم با ایده گرفتن از شرکت‌های تجاری مطرح، خدمات امنیت اطلاعات را در قالب یک برند تجاری ایجاد کنیم و به‌صورت سرویس برخط ارائه دهیم، گفت: «بسترهای این موضوع در حال آماده شدن برای ارائه به مشتریان سازمانی و شرکتی است. خدمت طراحی و استقرار حاکمیت امنیت اطلاعات برای بنگاه‌ها و شرکت‌های مختلف ازجمله توانمندی‌های تحت برند جدید «هوپاد» است که امید است این خدمت قدمی بنیادین برای حل مشکلات عدیده شرکت‌ها در مواجهه با تهدیدات روزافزون سایبری باشد.»

او درباره بهره‌برداران اصلی این خدمت گفت: «صاحبان کسب‌وکارها، مدیران عامل و اعضای هیات مدیره شرکت‌ها بهره‌برداران اصلی هستند چراکه درنهایت تصمیمات و درک صحیح آن‌ها از نیازمندی‌های تجاری و کسب‌وکار در ارتباط با امنیت اطلاعات تبدیل به برنامه‌های قابل اجرایی خواهد شد که سایر راهکارهای مدیریتی و فنی را تعریف و اجرایی می‌کند.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.