بازار؛ گروه ایران: اداره کل سیستم ها و فناوری اطلاعات ستاد اجرایی فرمان حضرت امام(ره) با همراهی گروه مشاوران مدیریت و مطالعات راهبردی تدبیر همایش الزامات مدیریت فناوری اطلاعات را برگزار کرد؛ همایشی که طی آن ضمن بررسی فرصت و تهدیدهای امنیتی پیش روی شرکت گروه مشاوران مدیریت و مطالعات راهبردی تدبیر های اقتصادی، به موضوع آموزش و ارتقای امنیتی اطلاعات شرکت ها توجه ویژه ای شد.
این رویداد در ۲ بخش نخست با حضور تمامی مدیران عامل و یا نمایندگان آن ها و بخش دوم با حضور تمامی مدیران آی تی شرکت های ستادی گروه تدبیر از جمله مجموعه های زیر نظر گروه های توسعه انرژی تدبیر، دارویی برکت و غیره برگزار شد. رویدادی که پیش از همه چیز بر موضوع آموزش و افزایش سطح اطلاعات کاربران تاکید داشت تا به ارتقای امنیت اطلاعات شرکت ها کمک کند.
آموزش های گروه مشاوران چراغ راه شرکت ها
در حاشیه این رویداد حمیدرضا علیان مدیرعامل ۱۵ خرداد ستاد اجرایی فرمان حضرت امام (ره) در خصوص مزایای برگزاری برنامه گروه مشاوران مدیریت و مطالعات راهبردی تدبیر به بازار می گوید: بنیاد همکاری خوبی را با گروه مشاوران تدبیر شکل داده و این موضوع به ارتقای آموزشی بنیاد کمک شایانی می کند.
وی می افزاید: گروه مشاوران در مباحث آموزشی به صورت ویژه ای، خواسته ها و نیازهای آموزشی بنیاد را حمایت می کند و ما هم بسیار از برنامه های آموزشی این گروه رضایت داریم.
علیان ادامه می دهد: البته همکاری های این ۲ مجموعه به همین جا محدود نمی شود و بر اساس برنامه ای بنیاد در حوزه جمعیت دنبال می کند، با یکدیگر در پروژه های مطالعاتی نیز همکاری خوبی را شکل داده ایم که نتیجه این همکاری ها، آمادگی سه پروژه است که در اختیار ما قرار گرفته است.
مدیرعامل بنیاد ۱۵ خرداد اضافه می کند: همچنین برای اثر سنجی فعالیت های بنیاد ۱۵ خرداد در موضوع جمعیت و سلامت هم پروژه های مشترکی تعریف شده که در مرحله نهایی شدن هستند و به زودی خبرهای خوشی از این همکاری رسانه ای خواهد شد.
آموزش تا ارتقای امنیت اطلاعات
یکی از برنامه های آموزشی گروه مشاوران مدیریت و مطالعات راهبردی تدبیر که با همکاری اداره کل سیستم ها و فناوری اطلاعات ستاد اجرایی فرمان حضرت امام(ره) آغاز شده همین موضوع آموزش مدیران عامل و مدیران فناوری اطلاعات شرکت های ستادی برای ارتقای سطح امنیت اطلاعات شرکت ها است.
امنیتی که ارتقای آن با توجه به تحریم های اقتصادی و مورد تهدید قرار گرفتن بخش های مختلف کشور از سوی هکرهای بین المللی بیش از پیش احساس می شود و ستاد اجرایی در این راستا پیش قدم شده تا سطح امنیت اطلاعات خود را با آموزش بیشتر، بیش از گذشته ارتقا دهد و دیوار امنیتی مستحکم تری را دور تا دور اطلاعات اقتصادی شرکت های خود قرار داد.
در این رابطه محمد برومند سرپرست اداره کل سیستم ها و فناوری اطلاعات ستاد اجرایی فرمان حضرت امام (ره) در خصوص هدف از برگزاری همایش الزامات مدیریت فناوری اطلاعات به همراه بررسی فرصت ها و چالش های امنیت در بحث های آموزشی فناوری اطلاعات به بازار می گوید: هدف اصلی ما آموزش و نیروها است.
وی با اشاره به گستردگی فعالیت های شرکت های زیر نظر ستاد اجرایی فرمان حضرت امام (ره) می افزاید: یکی از مسائلی که در حوزه فناوری اطلاعات شاهد هستیم گستردگی و تفاوت حوزه فعالیت های اقتصادی شرکت ها است. شرکت هایی که در حوزه های دارویی، انرژی و غیره فعالیت دارند. بنابراین در حوزه فناوری اطلاعات نیازها، به خصوص نیازهای امنیتی کسب و کارهای مختلف متفاوت است که هر یک باید شناسایی شوند.
بروند با اشاره به اینکه این گستردگی فعالیت ها که شاید موضوعی باشد هر کسی درگیر آن نباشد و مجموعه های اقتصادی ستاد بیشتر درگیر آن باشد ادامه می دهد: هدفی که اجرای آن را آغاز کرده ایم این است که نخست مدیران ارشد را آموزش دهیم؛ چرا که به طور حتم همراهی مدیران ارشد در این حوزه ضروری است. بعد از مدیران عامل، مدیران فناوری اطلاعات آموزش خواهند دید.
آموزش مدیران عامل تا کارمندان
سرپرست اداره کل سیستم ها و فناوری اطلاعات ستاد اجرایی فرمان حضرت امام (ره) بیان می کند: در حال حاضر شاهد هستیم که مدیران آی تی تعاملات خیلی مناسبی با مدیرعامل ندارند؛ چرا که به موضوعات حوزه فعالیت خود به شکل موضوع فنی نگاه می کنند و کمتر نگاه کسب و کاری دارند. از این رو آن ها نمی دانند برای مدیرعامل چه چیزی مهم است و وقتی بخواهند برنامه ای برای شرکت تعریف کنند نمی دانند چطور خواسته خود را به مدیرعامل انتقال دهند.
برومند: در برنامه های آموزشی خود قصد داریم مدیران عامل، مدیران آی تی تا کاربران را آموزش دهیم تا لایه امنیتی مجموعه های ستاد بیش از پیش تقویت شود
برومند می افزاید: بنابراین در برنامه های آموزشی خود قصد داریم مدیران عامل، مدیران آی تی تا کاربران را آموزش دهیم تا لایه امنیتی مجموعه های ستاد بیش از پیش تقویت شود؛ چرا که آموزش در حوزه فناوری اطلاعات خیلی مهم است و قصد داریم این موضوع را به طور کامل در لایه های مختلف توسعه دهیم. این مساله به تنهایی می تواند بخش عمده مشکلات ما را حل می کند و در کنار آن، موارد دیگری که در آن ها کم و کاستی است نیز شناخته و مرتفع می شوند.
وی با اشاره به برنامه ای که اداره کل سیستم ها و فناوری اطلاعات ستاد در این آموزش ها دنبال می کند ادامه می دهد: ما به عنوان واحدهای فناوری اطلاعات باید در کنار مدیران عامل بتوانیم امنیت اطلاعات را ارتقا دهیم، نه اینکه بدون اینکه درباره اهداف سازمانی و غیره بدانیم و به صورت تک روی این بخش را توسعه دهیم. بنابراین می خواهیم در قالب آموزش، علاوه بر اینکه آموزش را فراگیر و به تمام سطوح می رسانیم بتوانیم ایرادات جانبی دیگر را هم برطرف کنیم.
ارتقای امنیت نسخه واحدی ندارد
روزبه نوروزی کارشناس ارشد امنیت اطلاعات با ۲۰ سال سابقه در حوزه فناوری اطلاعات نیز در خصوص برنامه هایی که باید برای مجموعه های متفاوت ستاد برای ارتقای سطح امنیت اطلاعاتی آن ها اجرایی شود به بازار می گوید: امنیت همچون پتویی نیست که به اندازه همه باشد. بنابراین نمی توان ساختار امنیت را برای همه بخش های یک سازمان به طور یک نواخت بنویسیم.
نوروزی: در حوزه شرکت های ستاد باید ببینیم رسالت شرکت ها و ضریب نفوذ آی تی در آن ها چقدر است
وی می افزاید: در حوزه شرکت های ستاد ابتدا لازم است شناختی از مسئولیت ها و ماموریت های سازمان پیدا کنیم. همچنین ببینیم رسالت شرکت ها و ضریب نفوذ آی تی در آن ها چقدر است و چقدر از وظایف آن ها از طریق فناوری اطلاعات و حوزه دیجیتال و فضای سایبری انجام می شود.
نوروزی ادامه می دهد: با شناسایی ریسک ها و تهدید ها می توان برای آن ها راه حل ارائه داد. در این مسیر می فهمیم چقدر باید استانداردهای موجود متناسب با شرکت یا سازمان باشد و چقدر باید آن ها را تغییر داد؟ در حقیقت برای هر شرکتی نیاز به اندازه کردن استانداردها داریم تا متناسب با فعالیت آن ها جلوی هدر رفت بودجه و سرمایه را بگیریم. با چنین برنامه ریزی ای می توانیم از نیروی انسانی و تجهیزات موجود به اندازه کافی بهره ببریم.
ضریب نفوذ فناوری اطلاعات تعیین کننده شدت تهدیدها
کارشناس ارشد امنیت اطلاعات در پاسخ به این سوال که تهدیدات سایبری چقدر بر روی اهداف اصلی شرکت ها تاثیر گذار هستند می گوید: همانطور که اشاره کردم به صورت کلی برای هر سازمان باید ببینیم هدف آن سازمان در حوزه کسب و کاری چیست و چقدر ضریب نفوذ آی تی در آن دخیل است؛ برای مثال اگر فعالیت شرکتی بر اساس فناوری اطلاعات پیش نرود و ضریب نفوذ آی تی در آن شرکت حداقل باشد ترسی از تهدیدهای سایبری هم نخواهیم داشت.
وی می افزاید: اما اگر آیتی در شرکت نفوذ داشته باشد و فعالیت شرکت در فضای دیجیتال قرار گرفته باشد باید بدانیم چه ریسکی در فضای سایبری خواهیم داشت؟ همچنین در این موضوع در فضای دارویی هم وجود دارد. اما هر چقدر فضای کسب و کار حیاتی تر می شود این موضوع خود را بیشتر نشان می دهد چون تابع ریسک با شدت اثر است.
نوروزی: اگر ریسکی در حوزه های دارویی و انرژی باشد شدت اثر آن با تهدید های سایبری بیشتر است
این کارشناس فناوری اطلاعات با اشاره به اینکه شدت اثر ریسک های اطلاعاتی در حوزه های دارویی و انرژی بیشتر است ادامه می دهد: اگر ریسکی در این حوزه ها باشد و مورد تهدید قرار گیرند شدت اثر آن خیلی بالاتر است، به همین خاطر کنترل ها و کاهنده های ریسک را باید با دقت نظر و وسواس انتخاب شوند.
نوروزی تاکید می کند: در این حوزه رعایت حفظ اهمیت نیروی انسانی و سطح دسترسی آن ها نیز بسیار حائز اهمیت است؛ چرا که نمی توانیم سازمانی بدون هیچ کارمندی داشته باشیم. از طرفی نمی توانیم کارمندان را هم رها کنیم. این موضوع در کشورهای خارجی هم روال است که کار به افراد بر اساس رتبه حراستی که دارند به آن ها کار سپرده می شود.
این کارشناس فناوری اطلاعات می گوید: در مجموعه های اقتصادی، افراد را باید با توجه به سطح اعتمادی که دارند مشغول به کار کنند. البته اینطور نیست که به افراد اعتمادی نداشته باشیم بلکه با توجه به شناختی که از آن ها تاکنون به دست آورده ایم و وفاداری آن ها به سازمان می توانیم دست آن ها را باز بگذاریم. البته تعریف اعتماد در مجموعه به مجموعه متفاوت است و باید طبق کشورهای خارجی به کارمندان رتبه داده شود.
بلوغ امنیتی لایه لایه به دست می آید
نوروزی در خصوص ضرورت حفظ امنیت اطلاعات در تمامی گروه های اقتصادی کشور پیشنهاد می دهد: همانطور که هلدینگ های بزرگ مسئولیت مهمی دارند، قانون گذاری زیر مجموعه هایشان نیز بر عهده آن ها است. در حقیقت هلدینگ ها مسئول شرکت های زیر مجموعه خود را بر عهده دارند؛ چرا که اگر شکست حفاظتی رخ دهد به نام هلدینگ تمام می شود. بنابراین باید سیاست گذاری انجام دهند و بیایند در آنجا یک سری ملزومات را برای شرکت ها اعمال و آن ها را ممیزی کنند.
نوروزی: استاندارد در حوزه امنیت اطلاعات مدل بلوغ را مطرح می کند؛ یعنی اینکه تمام ابعاد امنیت را باید به طور همزمان در نظر بگیریم
این کارشناس فناوری اطلاعات تاکید می کند: ممیزی شاخصه بسیار مهمی برای پایدار بودن امنیت اطلاعات شرکت های زیر مجموعه گروه های اقتصادی است.
وی در پاسخ به این سوال که در بحث امنیت اطلاعات بهتر است بیشتر به امنیت سخت افزاری توجه شود یا نرم افزاری بیان می کند: استاندارد در حوزه امنیت اطلاعات در پاسخ به این سوال مدل بلوغ را مطرح می کند؛ یعنی اینکه تمام ابعاد امنیت را باید به طور همزمان در نظر بگیریم.
نوروزی با اشاره به اینکه بلوغ امنیتی شرکت ها می تواند چندین لایه را در بر بگیرد می افزاید: بر اساس کوچکی و بزرگی شرکت ممکن است به بلوغ های مبتدی تا پیشرفته نیاز باشد که آن هم مرحله به مرحله باید به دست بیاید. اما به اعتقاد بنده بهتر است شرایطی فراهم باشد تا بتوانیم از شکست های قبلی در سطح کشور درس بگیریم که چه اتفاقی افتاده است؟ البته جای تاسف دارد که در ایران چنین منبع اطلاعاتی نداریم و این یکی نقص هایی است که در ایران با آن مواجه هستیم. بنابراین باید شکست های حفاظتی و نحوه وقوع آن ها با سایر شرکت ها به اشتراک گذاشته شود تا دوباره مورد حمله قرار نگیریم.
نظر شما