Telegram
جستجو کردن
بستن این جعبه جستجو.
جستجو کردن
بستن این جعبه جستجو.

توجه به همه ابعاد امنيت اطلاعات ضروري است

محتوای جدول

 مهندس محمد طاهري؛ مدير عامل شرکت بين المللي مهندسي سيستم ها و اتوماسيون (ايريسا) تأکيد کرد: توجه به همه ابعاد امنيت اطلاعات ضروري است

زمان تحول- ضمن تشکر از فرصتي که در اختيار  مجله  زمان تحول قرار داده ايد، لطفاً در شروع گفتگو معرفي مختصري از شرکت ايريسا بفرماييد؟

من هم از فرصتي که در اختيار اين شرکت قرار گرفت تشکر مي نمايم و اميدوارم حاصل اين گفتگو براي خوانندگان و مخاطبين اين مجله مفيد واقع گردد.

شرکت بين المللي مهندسي سيستم ها و اتوماسيون (ايريسا) در سال 1371، در راستاي اهداف استراتژيک ملي جهت بهره گيري صنعت فولاد و ساير صنايع مادر کشور از تجربه ارزشمند مشارکت در طراحي، پياده سازي و راه اندازي سيستمهاي اطلاعاتي و اتوماسيون صنعتي فولاد مبارکه، با سرمايه گذاري و مشارکت شرکت فولاد مبارکه  تأسيس و شروع به کار نمود و  در حال حاضر اين شرکت با بيش از 500 نفر پرسنل متخصص در زمينه فعاليت هاي ياد شده، علاوه بر شرکت فولاد مبارکه در ساير مجتمع هاي بزرگ توليدي فولاد کشور مانند فولاد خوزستان، فولاد خراسان، ذوب آهن اصفهان، فولاد هرمزگان و تعداد ديگري از شرکت هاي توليد کننده فولاد و همچنين در برخي ديگر از صنايع و سازمان هاي بزرگ نظير، مخابرات، نفت، گاز، پتروشيمي و خودرو سازي، مشغول فعاليت مي باشد.

زمان تحول- با توجه به برگزاري سمينار آموزشي امنيت فضاي سايبري و حضور فعال شرکت ايريسا در اين سمينار، بسيار مناسب است که  گفتگو يمان  را در  زمينه امنيت اطلاعات و فضاي  سايبري  ادامه دهيم. به نظر شما ارتباط بين تداوم کسب و کار و وجود سيستمهاي مديريت فناوري اطلاعات در سازمان چيست؟

از مؤلفه هاي بسيار مهم براي تداوم کسب و کار سازمان، استفاده «درست و مشروع» از اطلاعات «صحيح»، براي دستيابي سازمانها به اهداف سازماني و قابليت اطمينان، يکپارچگي و در دسترس بودن اين اطلاعات است.

امروزه اکثر قريب به اتفاق سازمانها در معرض انواع تهديدات داخلي و خارجي هستند که اگر کنترل نشوند، ممکن است باعث بروز آسيب پذيري و سوءاستفاده از آنها شود. همچنين ممکن است  وجود مشکلات طبيعي و خطاهاي غيرعمدي که توسط کاربران رايانه اي رخ مي دهد نيز کسب و کار سازمان را با مخاطرات شديدي همراه سازد که در صورت وجود روالهاي صحيح براي حفاظت از اطلاعات مي تواند اثرات مخرب تهديدات را به حداقل برساند.

زمان تحول- به نظر شما امروزه مهمترين تهديدهاي امنيتي که عليه سازمانهاي دولتي و خصوصي وجود دارد چيست؟

طبق بررسي هايي که شرکت ما در اين زمينه انجام داده مهمترين تهديدهايي که امروزه در زمينه امنيت دنياي مجازي وجود دارد، نقاط ضعف اساسي و خطرناک در برنامه هاي کاربردي مورد استفاده و سيستم هاي موجود در سازمان ها است. از طرف ديگر برخي آسيب پذيري ها در نرم افزارها که به آسيب پذيري هاي روز صفر (Zero day) معروف هستند، تبديل به يکي از چالش هاي بزرگ در اين زمينه شده اند. اگر بخواهيم از بحث تعمدي بودن اين نوع آسيب پذيري ها توسط شرکت هاي سازنده نرم افزار بگذريم، باز هم اين آسيب پذيري ها نقطه عطفي در جنگهاي سايبري به حساب مي آيند. يکي ديگر از تهديدهاي جدي که در اين زمينه وجود دارد بدافزارها هستند.

در واقع اين نوع برنامه ها با استفاده از آسيب پذيري هايي که به آن اشاره کرديم مي توانند در دنياي مجازي به صورت هدفمند يا عمومي پخش شوند. در حال حاضر 50 درصد حملات سايبري توسط بدافزارها صورت مي گيرد. شدت حملات سايبري به حدي است که به طور متوسط در دنيا در هر ثانيه 18 سيستم مورد حمله قرار مي گيرند. اين حملات تقريباً سالي 100 ميليارد دلار هزينه براي سازمانهاي تحت حمله دارند.

زمان تحول- وضعيت امنيت سايبري در کشور ما به چه گونه است؟

در کشور ما پتانسيلهاي بسيار خوبي در اين زمينه وجود دارد. متخصص هاي بومي ما دانش و توانايي فني بسيار خوبي در اين زمينه دارند. در شرکت ايريسا همواره به دنبال اين بوده ايم که اين استعدادها را شناسايي و از آنها در پروژه هاي مربوط استفاده کنيم. اما مشکلي که به نظر من در اين زمينه وجود دارد اين است که هنوز اهميت موضوع دفاع سايبري و لزوم مقابله با اين تهديدها به طور کامل درک نشده است. شايد يکي از آشناترين مثال ها در اين زمينه ويروس استاکسنت باشد که اگر اقدام به موقع کارشناسان نبود مي توانست فجايعي در سطح ملي در پي داشته باشد. از طرف ديگر حتي بانکهاي ما هنوز از ايمني بالايي در اين زمينه برخوردار نيستند.

علاوه بر اين اهم چالشهاي موجود براي پياده سازي را مي توان آماده نبودن سازمان ها و وجود مشکلات در راه اجراي پروژه برشمرد. از جمله موارد آماده نبودن سازمان براي شروع سيستم هاي مديريتي امنيت اطلاعات را مي توان نرسيدن سازمان به سطح بلوغ مناسب، فرايندگرا نبودن و يا نداشتن فرايندهاي ساخت يافته، عدم آگاهي نسبت به ضرورت امنيت، فقدان زير ساخت مناسب فناوري اطلاعات، اولويت نداشتن امنيت در سازمان و … را برشمرد.

از طرفي مشکلات در نحوه اجراي پروژه را مي توان عدم تخصيص بودجه کافي، عدم وجود يك متولي خاص براي امنيت در سازمان و حتي فقدان تخصص و تجربه کافي شرکت هاي مشاور دانست. موارد ذکر شده مي تواند در روند پياده سازي صحيح و کامل سيستم مديريت امنيت اطلاعات خلل ايجاد کند.

زمان تحول- راه حل پيشنهادي شما براي بهبود اين شرايط چيست؟

در درجه اول بايد لزوم ارتقاء امنيت در فضاي مجازي توسط سازمانهاي خصوصي و دولتي کشور درک شود. هنوز عده اي اين طرز فکر را دارند که هزينه در زمينه امنيت فضاي مجازي بيهوده و نوعي ضرر مالي است. جالب است بدانيد که در دنيا سالانه بالغ بر 70 ميليارد دلار در زمينه بهبود امنيت فضاي مجازي هزينه  مي شود که اين مبلغ در سال 2017 به حدود 120 ميليارد دلار مي رسد. علت اين امر درک اين نکته است که عدم ارتقا در اين زمينه موجب ضررهاي به مراتب بيشتر از اين ارقام خواهد شد.

نکته ديگر اين که لزوم وجود رويکرد جامع در برابر امنيت اطلاعات به جاي تمرکز بر ديدگاه هاي فني يا مديريتي و تعادل بين سه محور  امنيت مورد نياز سازمان، بودجه قابل اختصاص و ميزان بلوغ سازماني مي تواند نقش به سزايي براي عبور از چالش هاي موجود باشد.

متأسفانه برخي سازمان ها فقط به       پياده سازي صرف کنترل هاي فني                مي پردازند که فقط باعث امن شدن يک ناحيه شده و اکثر مشکلات به قوت خود باقي مي ماند و بايد سيستم هايي وجود داشته باشد تا بتواند امنيت اطلاعات را تحت کنترل خود داشته باشند. از طرفي پياده سازي صرف مديريتي به جز حجم عظيم مستندات و اتلاف وقت و بودجه حاصلي در بر ندارد. به همين خاطر تعادل ايجاد کردن بين ديدگاه هاي فني و مديريتي مي تواند در رسيدن سازمان به سطح قابل قبولي از امنيت مؤثر باشد.

زمان تحول- آيا سازمانها براي تأمين امنيت سايبري خود لزوما  بايد  هزينه  بالايي متحمل شوند؟

به نظر من پولي که سازمان در زمينه امنيت پرداخته مي کند هزينه نيست، بلکه بيشتر يک سرمايه گذاري است. همانطور که گفتم اين سرمايه گذاري در واقع به اين دليل است که ما متحمل ضررهاي گزاف ناشي از حملات سايبري و از دست دادن اطلاعات مهم و ارزشمند نشويم.

اما گذشته از اين، پاسخ من به سؤالتان خير است. اينکه سازماني هزينه هاي گزاف در اين زمينه بپردازد لزوماً به معني امن شدن آن نيست. عکس اين موضوع نيز صادق است. به عبارت ديگر براي دستيابي به امنيت نخست بايد بدانيم که چه ملزوماتي در سازمان وجود دارد و بر اساس اين ملزومات براي راهکارهاي امنيتي تصميم بگيريم. شرکت ايريسا در اين زمينه فعال است و مي تواند براي سازمان هايي که قصد اين کار را دارد مشاوره هاي مناسبي بدهد تا بتوانند بر اساس آن نيازهاي امنيتي سازمان خود را شناسايي و براي آنها تصميم گيري کنند.

راهکارهاي مناسب و مديريت شده در اين زمينه از صرف هزينه هاي بيهوده مي کاهد.

زمان تحول- شرکت ايريسا به عنوان يک شرکت پيشگام در اين زمينه چه کارهايي صورت داده است؟

يکي از اهداف مهم ما در اين زمينه بومي سازي و توليد داخلي نرم افزارهاي مورد نياز در زمينه امنيتي بوده است. اين که ما بتوانيم محصولات امنيتي را به صورت بومي توسعه دهيم يک امر بسيار حياتي در زمينه امنيت سايبري است. محصولات امنيتي مانند نگهبان دارايي هاي اطلاعاتي ما هستند. حال فرض کنيد اين نگهبان يک بيگانه باشد.

مسلماً نمي توان به عملکرد و صداقت وي مطمئن بود. از طرفي شرکت ايريسا همواره تلاش کرده است تا دانش خود را به روز نگه دارد و حتي در بازار رقابتي دنيا حرفي براي گفتن داشته باشد. ايجاد نرم افزارهاي مورد استفاده در سازمان ها و ارگان هاي دولتي و خصوصي توسط بخش سيستم هاي اطلاعاتي شرکت نيز يکي ديگر از گام هاي مرتبط با اين موضوع بوده است؛ چرا که بدون استفاده از دانش ملي در اين زمينه مي توان مورد تهديد کشورهاي سازنده اين محصولات واقع شد.

زمان تحول- لطفاً توضيحات بيشتري در خصوص فعاليتهاي شرکت در زمينه امنيت اطلاعات بدهيد.

ايريسا چندين سال است که در حوزه پياده سازي و مشاوره سيستم مديريت امنيت اطلاعات با سازمان هاي فولاد و برق در سطح کشور همکاري داشته است و توانسته پس از رفع مشکلات و موانع مديريتي، به ارتقاء بلوغ سازماني و سطح آموزش سازمانها کمک کرده و براي بهبود امنيت شبكه و زيرساخت فناوري اطلاعات آنها گام هاي مؤثري بردارد. همچنين ايريسا داراي گواهينامه رتبه يک از طرف اداره کل نظام مديريت امنيت اطلاعات مي باشد و از شرکت هاي داراي پروانه فعاليت در حوزه ارايه خدمات مشاوره نظام مديريت امنيت اطلاعات است.

علاوه بر اينها شرکت ايريسا خدمات مختلفي از جمله مشاوره لازم در خصوص امنيت سازمان يا پروژه هاي امنيتي، توليد محصولات امنيتي، ايجاد زيرساخت امنيتي براي سازمان و … ارائه مي کند. در زمينه توليد محصولات امنيتي يکي از پروژه هاي مهم ما محصول سيترا (سامانه يکپارچه تحليل رويدادهاي امنيتي) به عنوان ابزار مرکز عمليات امنيت است. اين محصول حاصل تلاش 4 ساله کارشناسان شرکت ايريسا است که با حمايت مرکز تحقيقات مخابرات ايران ايجاد شده است. اين مرکز يکي از راهکارهاي شناخته شده و بسيار مهم در دنيا براي شناسايي و مقابله با حملات سايبري است.

يکي ديگر از اقدامات ايريسا در اين زمينه طراحي و راه اندازي مرکز ارائه خدمات پايش امنيت است که اين مورد با حمايت و سرمايه گذاري مشترک مرکز تحقيقات مخابرات ايران و شرکت ايريسا در دست انجام است و ان شاءاله تا تابستان سال 94 عملياتي خواهد شد.

با راه اندازي اين مرکز اين امکان به وجود مي آيد که خدمت پايش امنيت شبکه با هزينه هاي پايين به سازمانهاي مختلف ارائه شود و از اين پس سازمانها براي پايش امنيت شبکه خود نياز به سرمايه گذاري بسيار زياد در زمينه ايجاد زيرساختهاي سخت افزاري و نرم افزاري، تأمين مجوزهاي مربوطه و همچنين دانش فني تحليل رويدادهاي امنيتي را ندارند و مي توانند با خريد اين سرويس از مرکز ارائه خدمات امنيت، با هزينه منطقي از مزاياي آن بهره مند شوند. اين رويکرد در حال حاضر گرايش اصلي در صنعت IT در سطح دنيا محسوب مي شود و با انجام فرهنگ سازي و تعريف سطوح سرويس استاندارد در اين زمينه، مي توان ارائه اين گونه خدمات را در ايران نيز نهادينه نمود.

زمان تحول- مجدداً بابت  زماني  که به  اين  مصاحبه اختصاص داديد، سپاسگزاري مي کنم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سایر مطالب پیشنهادی به شما

سایر مطالب پیشنهادی به شما

  • اخبار و تازه‌ها
  • دسته بندی خبرها
  • انتخاب سردبیر

تماس با ما

  • آدرس: تهران
  • پیام رسان بله و ایتا:
  • آدرس ایمیل:

خواندن این مطالب را هم به شما پیشنهاد می‌کنیم:

آژانس خبری دولت الکترونیک دارای مجوز مطبوعاتی از وزارت فرهنگ و ارشاد اسلامی می باشد.

لینک های مفید

دسته بندی ها

  • آموزشی
  • اخبار
  • شهر هوشمند
  • امنیت سایبری
  • فناوری های نو
  • انتخاب سردبیر
این وب‌سایت توسط شرکت طراحی سایت آی تی آی پیاده‌سازی شده و کلیه حقوق این سایت متعلق به اگنا | آژانس خبری دولت الکترونیک می باشد​.
Whatsapp Telegram