به گزارش روابطعمومی هلدینگ فناوری اطلاعات بانک شهر، دومین نشست از سلسلهنشستهای کافه تیف روز چهارشنبه گذشته با عنوان «ارتقای سطح بلوغ امنیت اطلاعات در صنایع مالی؛ از نظریه تا عمل» برگزار شد.خدابخشی در ابتدا با اشاره به این که در سطح مدیران حاکمیتی نیز دیدگاه ریسک محور وجود دارد، گفت: ریسک و بهتبع آن امنیت به سنجه احتیاج دارد چرا که لزوماً اینگونه نیست که همیشه اتفاقی رخ دهد تا متوجه خطر امنیتی شویم.
این در حالی است که به نظر من مدیران ارشد سازمانها یا حتی مدیران ارشد کشور در سطح حاکمیت، دیدگاه ریسک محور دارند. میزان ریسک باعث میشود تا سقف هزینهکرد مشخص شود. ریسک باید بهدرستی اندازهگیری و محاسبه شود.
او افزود: بهطورکلی روشهای مختلفی برای محاسبه وجود دارد. بردارهایی که در هم ضرب میشوند نشان میدهد که یک احتمال و یک ارزش وجود دارد. ریسک احتمال وقوع یک تهدید است و وقتی از فضای احتمال صحبت میشود؛ یعنی درباره آینده صحبت میکنیم.
او اضافه کرد: بلوغ ضامن تداوم کسبوکار یک سازمان است. بااینهمه باید دید که چه چیزی برای یک مدیر ارشد مهم است؛ هر عاملی که کسبوکار آن سازمان را به مخاطره بیندازد ریسک سازمانی است. میزان ارزشی که برای امنیت قائل میشوند نیز از همان ریسک میآید. امنیت تنها یک کار انجام میدهد؛ ریسکها را از طریق تحتتأثیر قراردادن ارزش یا احتمال، کم میکند پس وقتی ریسکی وجود ندارد نباید هزینهای برایش پرداخت شود.
خدابخشی در ادامه با اشاره به مواردی که سبب شدند تا نتوان ریسکها را بهدرستی اندازهگیری کرد، ادامه داد: از مواردی که باعث میشود نتوانیم بهدرستی ریسکها را اندازهگیری کنیم، فضای پر تلاطم اقتصادی، سیاسی و اجتماعی است. نمیتوان کشور را در فضای دربسته نگه داریم و فقط داخل آن را ببینیم. خصوصاً اینکه کشور ما نسبت به جهان و کشورهای دیگر مخاطرات بیشتری دارد پس نمیتوانیم شرایطش را مقایسه کنیم.
مدیر ریسک و امنیت شاپرک در پاسخ به این سؤال که تبدیل امنیت به مقولهای قابلارزیابی وظیفه کیست، گفت: این موضوع وظیفه حاکمیت است و از این منظر انتقاداتی به مجموعههای حاکمیتی، نظارتی و رگولاتورهای سطح بالا وجود دارد. آنها میتوانستند و باید با تعیین جرایم یا تشویقها، سازمانها را از لحاظ امنیت رتبهبندی کرده و در میان آنها رقابت ایجاد کنند.
خدابخشی ادامه داد: بااینحال از نظر من ایجاد یک روش قابلاجرا برای اندازهگیری رقابتپذیری سازمانها در حوزه امنیت باید بر عهده بخش خصوصی باشد و اینگونه نیست که این موضوع تنها و تنها بر عهده نهادهای حاکمیتی باشد. بهطورکلی همواره هر اتفاق خوبی که در تمام دنیا رخداده از سمت بخش خصوصی بوده و نتیجه مطلوبی هم داشته است. حاکمیت همین که برای شرکتهای خصوصی سنگاندازی نکند، کمک شایانی کرده است. اگر بتوان برای سنجش میزان رقابتپذیری امنیتی سازمانها و کسبوکارها روشی تدوین کرد، آن وقت میتوان با این رقابتپذیری آنها را رتبهبندی کرد تا در پی این رتبهبندی، رقابت و انگیزه ایجاد شود. باید در قبال تهدیداتی که هم داراییهای در واقع مستقیم و مشهود و هم داراییهای غیرمشهود را هدفگذاری میکنند، آماده بود. اگر چنین تهدیداتی رخ داد باید رتبهبندی افت و هزینه افزایش پیدا کند.در این نشست سید مهدی خرازی دانشیار گروه علوم و مهندسی دانشگاه صنعتی شریف، وحید خدابخشی مدیر ریسک و امنیت شرکت شاپرک، هاشم حبیبی مدیرعامل شرکت امن افزار شریف و احسان کریمی اسکندری کارشناس حوزه امنیت و زیرساخت فناوری اطلاعات نیز حضور داشتند.
نظرات کاربران