دومین نشست از سلسلهنشستهای کافه تیف چهارشنبه، ۲۰ تیرماه با عنوان «ارتقای سطح بلوغ امنیت اطلاعات در صنایع مالی؛ از نظریه تا عمل» برگزار شد. در این نشست که به دبیری امیر عامریان، معاون فناوری و نوآوری هلدینگ فناوری اطلاعات بانک شهر برگزار شد، سید مهدی خرازی، دانشیار گروه علوم و مهندسی دانشگاه صنعتی شریف؛ وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک؛ هاشم حبیبی، مدیرعامل شرکت امن افزار شریف و احسان کریمی اسکندری، کارشناس حوزه امنیت و زیرساخت فناوری اطلاعات حضور داشتند.
به گزارش روابطعمومی هلدینگ فناوری اطلاعات بانک شهر، وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک در دومین نشست کافه تیف گفت: «ارزشی که سازمانها برای امنیت قائل میشوند از میزان درکی که از ریسک در آن سازمان وجود دارد، نشئت میگیرد.»
خدابخشی در ابتدا با اشاره به این که در سطح مدیران حاکمیتی نیز دیدگاه ریسک محور وجود دارد، گفت: «ریسک و بهتبع آن امنیت به سنجه احتیاج دارد چرا که لزوماً اینگونه نیست که همیشه اتفاقی رخ دهد تا متوجه خطر امنیتی شویم. این در حالی است که به نظر من مدیران ارشد سازمانها یا حتی مدیران ارشد کشور در سطح حاکمیت، دیدگاه ریسک محور دارند. میزان ریسک باعث میشود تا سقف هزینهکرد مشخص شود. ریسک باید بهدرستی اندازهگیری و محاسبه شود.»
او افزود: «بهطورکلی روشهای مختلفی برای محاسبه وجود دارد. بردارهایی که در هم ضرب میشوند نشان میدهد که یک احتمال و یک ارزش وجود دارد. ریسک احتمال وقوع یک تهدید است و وقتی از فضای احتمال صحبت میشود؛ یعنی درباره آینده صحبت میکنیم.»
او اضافه کرد: «بلوغ ضامن تداوم کسبوکار یک سازمان است. بااینهمه باید دید که چه چیزی برای یک مدیر ارشد مهم است؛ هر عاملی که کسبوکار آن سازمان را به مخاطره بیندازد ریسک سازمانی است. میزان ارزشی که برای امنیت قائل میشوند نیز از همان ریسک میآید. امنیت تنها یک کار انجام میدهد؛ ریسکها را از طریق تحتتأثیر قراردادن ارزش یا احتمال، کم میکند پس وقتی ریسکی وجود ندارد نباید هزینهای برایش پرداخت شود.»
خدابخشی در ادامه با اشاره به مواردی که سبب شدند تا نتوان ریسکها را بهدرستی اندازهگیری کرد، ادامه داد: «از مواردی که باعث میشود نتوانیم بهدرستی ریسکها را اندازهگیری کنیم، فضای پر تلاطم اقتصادی، سیاسی و اجتماعی است. نمیتوان کشور را در فضای دربسته نگه داریم و فقط داخل آن را ببینیم. خصوصاً اینکه کشور ما نسبت به جهان و کشورهای دیگر مخاطرات بیشتری دارد پس نمیتوانیم شرایطش را مقایسه کنیم.»
او همچنین با طرح این سؤال که چرا امنیت در کشور ما رقابتپذیر نشده است، گفت: «وقتی افراد در میزان درآمد در بورس یا سایر موارد رقابت میکنند به این دلیل است که این میزان کمّی بوده و قابلیت مشاهده برای عموم مردم را دارد و میتواند برتری افراد را نشان دهد. بااینهمه امنیت در کشور ما هنوز رقابتپذیر نشده است؛ ولی ریسک و بهتبع آن امنیت در کشور ما هنوز به مقولهای کمّی تبدیل نشده؛ بنابراین طبیعی است که امنیت بهعنوان یک مزیت قابلرقابت و قابل امتیازدادن در نظر گرفته نمیشود.»
مدیر ریسک و امنیت شاپرک در پاسخ به این سؤال که تبدیل امنیت به مقولهای قابلارزیابی وظیفه کیست، گفت: «این موضوع وظیفه حاکمیت است و از این منظر انتقاداتی به مجموعههای حاکمیتی، نظارتی و رگولاتورهای سطح بالا وجود دارد. آنها میتوانستند و باید با تعیین جرایم یا تشویقها، سازمانها را از لحاظ امنیت رتبهبندی کرده و در میان آنها رقابت ایجاد کنند.»
خدابخشی در پایان اظهار داشت: «بااینحال از نظر من ایجاد یک روش قابلاجرا برای اندازهگیری رقابتپذیری سازمانها در حوزه امنیت باید بر عهده بخش خصوصی باشد و اینگونه نیست که این موضوع تنها و تنها بر عهده نهادهای حاکمیتی باشد. بهطورکلی همواره هر اتفاق خوبی که در تمام دنیا رخداده از سمت بخش خصوصی بوده و نتیجه مطلوبی هم داشته است. حاکمیت همین که برای شرکتهای خصوصی سنگاندازی نکند، کمک شایانی کرده است. اگر بتوان برای سنجش میزان رقابتپذیری امنیتی سازمانها و کسبوکارها روشی تدوین کرد، آن وقت میتوان با این رقابتپذیری آنها را رتبهبندی کرد تا در پی این رتبهبندی، رقابت و انگیزه ایجاد شود. باید در قبال تهدیداتی که هم داراییهای در واقع مستقیم و مشهود و هم داراییهای غیرمشهود را هدفگذاری میکنند، آماده بود. اگر چنین تهدیداتی رخ داد باید رتبهبندی افت و هزینه افزایش پیدا کند.»
ثبت دیدگاه