مدیر ریسک و امنیت شاپرک: امنیت در ایران به مقوله قابل‌رقابت تبدیل نشده است

دومین نشست از سلسله‌نشست‌های کافه تیف چهارشنبه، 20 تیرماه با عنوان «ارتقای سطح بلوغ امنیت اطلاعات در صنایع مالی؛ از نظریه تا عمل» برگزار شد. در این نشست که به دبیری امیر عامریان، معاون فناوری و نوآوری هلدینگ فناوری اطلاعات بانک شهر برگزار شد، سید مهدی خرازی، دانشیار گروه علوم و مهندسی دانشگاه صنعتی شریف؛ وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک؛ هاشم حبیبی، مدیرعامل شرکت امن افزار شریف و احسان کریمی اسکندری، کارشناس حوزه امنیت و زیرساخت فناوری اطلاعات حضور داشتند.

به گزارش روابط‌عمومی هلدینگ فناوری اطلاعات بانک شهر، وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک در دومین نشست کافه تیف گفت: «ارزشی که سازمان‌ها برای امنیت قائل می‌شوند از میزان درکی که از ریسک در آن سازمان وجود دارد، نشئت می‌گیرد.»

خدابخشی در ابتدا با اشاره به این که در سطح مدیران حاکمیتی نیز دیدگاه ریسک محور وجود دارد، گفت: «ریسک و به‌تبع آن امنیت به سنجه احتیاج دارد چرا که لزوماً این‌گونه نیست که همیشه اتفاقی رخ دهد تا متوجه خطر امنیتی شویم. این در حالی است که به نظر من مدیران ارشد سازمان‌ها یا حتی مدیران ارشد کشور در سطح حاکمیت، دیدگاه ریسک محور دارند. میزان ریسک باعث می‌شود تا سقف هزینه‌کرد مشخص شود. ریسک باید به‌درستی اندازه‌گیری و محاسبه شود.»

او افزود: «به‌طورکلی روش‌های مختلفی برای محاسبه وجود دارد. بردارهایی که در هم ضرب می‌شوند نشان می‌دهد که یک احتمال و یک ارزش وجود دارد. ریسک احتمال وقوع یک تهدید است و وقتی از فضای احتمال صحبت می‌شود؛ یعنی درباره آینده صحبت می‌کنیم.»

او اضافه کرد: «بلوغ ضامن تداوم کسب‌وکار یک سازمان است. بااین‌همه باید دید که چه چیزی برای یک مدیر ارشد مهم است؛ هر عاملی که کسب‌وکار آن سازمان را به مخاطره بیندازد ریسک سازمانی است. میزان ارزشی که برای امنیت قائل می‌شوند نیز از همان ریسک می‌آید. امنیت تنها یک کار انجام می‌دهد؛ ریسک‌ها را از طریق تحت‌تأثیر قراردادن ارزش یا احتمال، کم می‌کند پس وقتی ریسکی وجود ندارد نباید هزینه‌ای برایش پرداخت شود.»

خدابخشی در ادامه با اشاره به مواردی که سبب شدند تا نتوان ریسک‌ها را به‌درستی اندازه‌گیری کرد، ادامه داد: «از مواردی که باعث می‌‌شود نتوانیم به‌درستی ریسک‌ها را اندازه‌گیری کنیم، فضای پر تلاطم اقتصادی، سیاسی و اجتماعی است. نمی‌توان کشور را در فضای دربسته نگه داریم و فقط داخل آن را ببینیم. خصوصاً اینکه کشور ما نسبت به جهان و کشورهای دیگر مخاطرات بیشتری دارد پس نمی‌توانیم شرایطش را مقایسه کنیم.»

او همچنین با طرح این سؤال که چرا امنیت در کشور ما رقابت‌پذیر نشده است، گفت: «وقتی افراد در میزان درآمد در بورس یا سایر موارد رقابت می‌کنند به این دلیل است که این میزان کمّی بوده و قابلیت مشاهده برای عموم مردم را دارد و می‌تواند برتری افراد را نشان دهد. بااین‌همه امنیت در کشور ما هنوز رقابت‌پذیر نشده است؛ ولی ریسک و به‌تبع آن امنیت در کشور ما هنوز به مقوله‌ای کمّی تبدیل نشده؛ بنابراین طبیعی است که امنیت به‌عنوان یک مزیت قابل‌رقابت و قابل امتیازدادن در نظر گرفته نمی‌شود.»

مدیر ریسک و امنیت شاپرک در پاسخ به این سؤال که تبدیل امنیت به مقوله‌ای قابل‌ارزیابی وظیفه کیست، گفت: «این موضوع وظیفه حاکمیت است و از این منظر انتقاداتی به مجموعه‌های حاکمیتی، نظارتی و رگولاتورهای سطح بالا وجود دارد. آنها می‌توانستند و باید با تعیین جرایم یا تشویق‌ها، سازمان‌ها را از لحاظ امنیت رتبه‌بندی کرده و در میان آنها رقابت ایجاد کنند.»

خدابخشی در پایان اظهار داشت: «بااین‌حال از نظر من ایجاد یک روش قابل‌اجرا برای اندازه‌گیری رقابت‌پذیری سازمان‌ها در حوزه امنیت باید بر عهده بخش خصوصی باشد و این‌گونه نیست که این موضوع تنها و تنها بر عهده نهادهای حاکمیتی باشد. به‌طورکلی همواره هر اتفاق خوبی که در تمام دنیا رخ‌داده از سمت بخش خصوصی بوده و نتیجه مطلوبی هم داشته است. حاکمیت همین که برای شرکت‌های خصوصی سنگ‌اندازی نکند، کمک شایانی کرده است. اگر بتوان برای سنجش میزان رقابت‌پذیری امنیتی سازمان‌ها و کسب‌وکارها روشی تدوین کرد، آن وقت می‌توان با این رقابت‌پذیری آنها را رتبه‌بندی کرد تا در پی این رتبه‌بندی، رقابت و انگیزه ایجاد ‌شود. باید در قبال تهدیداتی که هم دارایی‌های در واقع مستقیم و مشهود و هم دارایی‌های غیرمشهود را هدف‌گذاری می‌کنند، آماده بود. اگر چنین تهدیداتی رخ داد باید رتبه‌بندی افت و هزینه افزایش پیدا کند.»