پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
گزارش کارگاه همراستاسازی امنیت اطلاعات با کسبوکار: مدل، برنامه، نقشها و سنجهها
کارگاه «همراستاسازی امنیت اطلاعات با کسبوکار: مدل، برنامه، نقشها و سنجهها» با تدریس مشترک علیرضا اطهری فرد مدیر طرح و برنامه شرکت مدیریت امن الکترونیکی کاشف، سجاد طرهانی کارشناس ارشد تحقیق و توسعه شرکت مدیریت امن الکترونیکی کاشف و مصطفی مؤذن کارشناس ارشد تحقیق و توسعه شرکت مدیریت امن الکترونیکی کاشف در بعدازظهر اولین روز همایش برگزار شد. این کارگاه در سه بخش اصلی هم راستاسازی امنیت اطلاعات با کسبوکار، برنامه امنیت اطلاعات و مدیر ارشد امنیت اطلاعات ارائه شد.
در ابتدا اطهری فرد به تشریح بخش اول این کارگاه با عنوان «همراستاسازی امنیت اطلاعات با کسبوکار» پرداخت. اطهریفرد بیان داشت که شمار زیادی از سازمانها، با کشمکش میان واحد امنیت اطلاعات، تیمهای فناوری اطلاعات و واحدهای کسبوکار مواجه هستند. او به این نکته اشاره کرد که همراستایی امنیت با کسبوکار بهشدت به همراستایی کسبوکار با فناوری اطلاعات وابسته است و مدیران ارشد امنیت اطلاعات باید در این هم راستاسازی نقش راهبری را بر عهده گیرند و برای موفق شدن باید اعتبار سازمانی و اعتماد کسبوکار را جلب نمایند. اطهریفرد بیان داشت خطمشیهای امنیتی بههیچوجه منعکسکننده اهداف کسبوکار نیستند و از این بابت توسط بخش عمدهای از کارکنان و ذینفعان نادیده گرفته میشوند.
او بهترین روش برای دستیابی به امنیت اطلاعات را فرموله نمودن سیاست امنیتی برشمرد و هدف اصلی از سیاست امنیتی را این دانست که کاربران بدانند مجاز به چه کارهایی هستند و از سوی دیگر مدیران سیستم و سازمان را در تصمیمگیری برای پیکربندی و استفاده از سیستمها یاری رسانند. در پایان اطهریفرد اظهار داشت که بهترین سیاست امنیتی در شرایطی تدوین میگردد که مدیریت سازمان سیاست کلی را ارائه نموده و یا دستور پیادهسازی اصول امنیتی را در سازمان صادر کند.
بخش دوم این کارگاه با عنوان «برنامه امنیت اطلاعات» توسط طرهانی ارائه شد. او بیان کرد که چنانچه امنیت اطلاعات را به شکل موردی، بدون یکپارچگی و اینجاوآنجا به کار بگیریم، حتماً تأثیری اندک در سازمان خواهد داشت.طرهانی به این نکته اشاره کرد که راهبران اطلاعات باید امنیت را با تمامی ابعاد کسبوکار شامل: فناوری، فرآیندها و رفتار سازمانی ادغام کنند تا ضمن همراستایی با اهداف کسبوکار، نیازمندیهای امنیتی سازمان را برآورده سازند. او اولین گام برای تحقق این اهداف را استقرار برنامهای رسمی دانست که مشخصکننده اصول، منابع و فعالیتهای مهم امنیت اطلاعات سازمان باشد.
طرهانی اولین چالش پیشروی مدیران را بعد از تدوین برنامۀ امنیت اطلاعات نحوۀ پیادهسازی آن دانست و بیان داشت که در این مرحله، متولیان امنیت اطلاعات سعی دارند که فعالیتهای موردی و مبتنی بر کنترلهای امنیتی را به سمت برنامههای کنشگرای توأم با بهبود مستمر سوق دهند.
او همچنین اظهار داشت که وضعیت فعلی امنیت را میتوان با فهرست نمودن کنترلهای امنیتی فعال، خطمشیها، نقشها، منابع، رویههای اجرایی و پروژههای امنیتی، بررسی و ارزیابی کرد و برای این کار، بهتر است از یک مدل ارزیابی استاندارد استفاده شود تا بتواند در گامهای بعدی پشتیبانی مناسبی از طرف مدیریت اجرایی به دست آورد.
بخش پایانی این کارگاه با عنوان «مدیر ارشد امنیت اطلاعات» توسط موذن ارائه شد. او در ابتدا به تعریف مدیر ارشد امنیت اطلاعات یا سیزو (CISO) پرداخت و عنوان کرد سیزو کسی است که وظیفه تهیه و مدیریت برنامه امنیت اطلاعات و همراستایی آن با کسبوکار را بر عهده دارد. مؤذن اظهار داشت که مدیر ارشد امنیت اطلاعات از نقشهای کلیدی ساختار امنیت اطلاعات است و تأثیر بسیار زیادی در هم راستاسازی امنیت اطلاعات با کسبوکار دارد.
او شناخت نقش سیزو را در گرو پاسخ به چندین سؤال دانست و علل نیاز کسبوکارها به مدیر ارشد امنیت اطلاعات را تشریح کرد. مؤذن در بخشی از صحبتهای خود به این نکته اشاره کرد که مدیر ارشد امنیت اطلاعات باید از اعتبار کافی نزد مدیران کسبوکار برخوردار باشد تا بتواند آنها را برای سرمایهگذاری در امنیت اطلاعات متقاعد کند. او باید معتمد باشد تا بتواند پشتیبانی مدیران ارشد را جلب کند و مقبول و سرشناس باشد تا حل مشکلات و مسائل را تسهیل نماید.
در ادامه مؤذن اصولی را که مدیران ارشد امنیت اطلاعات موفق از آن پیروی میکنند را تشریح کرد و ۴ توصیه در راستای حمایت از ذینفعان به این مدیران ارائه داد. موذن صحبتهای خود را با بیان مسیر گزارشدهی مؤثر برای مدیر ارشد امنیت اطلاعات به پایان رساند.
منبع: پژوهشکده پولی و بانکی