پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
محمدباقر کارآموز؛ مدیر مرکز عملیات شبکه گروه حصین / امنیت داشتن از مهمترین نیازهای بشر بوده و هست و بهعنوان یکی از معیارهای سنجش کیفیت زندگی در جوامع مختلف به شمار میآید. با شروع تبادلات مالی، تأمین امنیت این مبادلات همواره از دغدغههای اصلی بشر بوده است؛ ازاینرو همزمان با تشکیل سیستمهای بانکی و مالی تا به امروز، چالشهای امنیتی، همواره مهمان ناخوانده مجالس مدیران این حوزه بوده و هستند!
امنیت، مسئلهای موقتی و گذرا نیست که با ارائه یکراه حل برای رخداد پیشآمده حل شود و دیگر نیازی به پرداختن به آن نباشد. زمانی میتوان ادعای تأمین امنیت اطلاعات را داشت که به «صحت» و «جامعیت» آنکه از ارکان امنیت اطلاعات هستند، بهطور مداوم توجه شود.
از ارکان دیگر امنیت اطلاعات میتوان به دسترسیپذیری و محرمانگی اشاره کرد. «دسترسیپذیری» به دسترسی مجاز اشاره دارد که باید همیشه مقدور باشد و محدودیتها طوری طراحی شود که مانعی برای این امکان نباشد. «محرمانگی» نیز به حفاظت اطلاعات و کاهش حداکثری دسترسیهای غیرمجاز گفته میشود. تأمین تمامی این ارکان، «مدیریت خدمات امنیتی» را میطلبد.
مرکز عملیات امنیتی یا SOC
به دلیل نبود شرکتهای ارائهدهنده سرویسهای امنیتی و احساس نیاز در این حوزه، ایده ایجاد security operations center بهاختصار SOC جرقه خورد. اینچنین شرکتهایی، مانند سایر حوزههای خدماتی از قبیل پذیرایی، نظافت، فضای سبز و …، باید ریسکهای کیفیت خدمات و مدیریت منابع انسانی متخصص مرتبط به آن حوزه را بپذیرند و درازای ارائه سرویسهای موردنیاز مشتری، مبالغی را دریافت کنند.
این مدل سرویسدهی در حوزه امنیت، در ابتدا بهصورت از راه دور شکل گرفت و سپس فراهمکنندگان این سرویسها سبد محصولات خود را گسترش دادند. از مزایای استفاده از خدمات این شرکتها میتوان به ارزان بودن و رفع مشکلات مربوط به بودجه برای تأمین تجهیزات امنیتی مطابق با راهکارهای امنیتی بهروز اشاره کرد.
مرکز عملیات امنیتی بهطورکلی وظایف طراحی، اجرا و نظارت بر سرویسهای امنیتی موردنیاز مشتری را بر عهده دارد. درواقع SOC یک واحد متمرکز متشکل از خبرگان امنیت اطلاعات است که با تشخیص تهدیدات سایبری و مدیریت تجهیزات امنیتی و آسیبپذیریها، آماده مواجهه با حملات سایبری هستند و با پاسخگویی 24 ساعته در 7 روز هفته پاسخها و راهکارهای مناسبی برای این حملات در چنته دارند.
دغدغههای امنیتی در حوزه بانکی:
با توجه به مزایا و امکانات SOC، بانکها به راهاندازی این خدمت علاقهمند شدهاند و خوشبختانه اقدامات خوبی در کشور بهمنظور راهاندازی مراکزی باهدف ارتقای امنیت نظام پرداخت و به اشتراکگذاری تجربیات و همچنین معرفی فراهمکنندگان معتبر خدمات امنیت آغازشده است؛ اما همچنان عوامل بازدارندهای مثل محرمانگی اطلاعات سازمان برای برونسپاری این خدمات، باعث شده است که بانکها اغلب به تشکیل SOC داخلی بسنده کنند و فکر برونسپاری را از سر بیرون کنند که حل این معضل نیازمند اعتباربخشی به فراهمکنندگان این خدمات بهوسیله تدوین خطمشیها و تنظیم مقررات مربوط است.
یکی از خطمشیها برای نیل به این هدف، به رسمیت شناختن White Hat Hackerها است که متأسفانه بهوضوح در کشور به آنها توجهی نمیشود.
دغدغه دیگر در حوزه بانکی این است که شرکتهای مرتبط با بانکها نیز باید از امنیت اطلاعات کافی برخوردار باشند و ارزش حفاظت اطلاعات در این شرکتها کمتر از خود بانکها نیست. برای رفع این دغدغه وجود فراهمکنندگان معتبر برای امکان برونسپاری خدمات SOC بیشتر احساس میشود.
از سوی دیگر مدیران نظام بانکی و زیرساخت باید به اهمیت مسئله امنیت واقف باشند، در غیر این صورت تمامی این صحبتها بیهوده خواهد بود و پیادهسازی امنیت اطلاعات با کوچکترین چالشی خصوصاً چالش هزینههای آن، به پروژهای در آینده تبدیل خواهد شد؛ آیندهای که هیچگاه بنای آمدن ندارد!
بدون درنظرگرفتن موانع یادشده، سه مدل استراتژی برای پیادهسازی SOC میتوان متصور بود:
- برونسپاری کامل به Managed Security Service Providers بهاختصار MSSP
- برونسپاری بخشی از عملیات به MSSP
- پیادهسازی کامل در درون سازمان
انتخاب هریک از این مدلها به سازمان هدف بستگی دارد. روش اول به دلیل انجام همه فعالیتها در خارج از مجموعه و ممکن نبودن هیچگونه نظارت و هماهنگی، توصیه نمیشود؛ چون نظارت بر خدمات ارائهشده مطابق با Tier Level توافق شده از اهمیت زیادی برخوردار است.
روش سوم نیز هزینه مالی بالا و ریسکهای خاص خود را دارد؛ بنابراین بهترین گزینه، رویکرد دوم است. خاطرنشان میکنم زمانی میتوان ادعا کرد SOC راهاندازی شده که اجرای وظایفی که در بالا شرح داده شد، بهطور کامل پیادهسازی شود؛ لذا اگر سازمانی آنقدر بزرگ نیست که بتواند از عهده این وظایف بهتنهایی برآید بهتر است همه یا بخشی از آن را برونسپاری کند. بدون شک این بهتر از داشتن یک SOC ناقص و تهدیدات امنیتی احتمالی ناشی از آن است.
لایک