امنیت؛ اولویت بنگاه‌های اقتصادی امروز

به گزارش می متالز به نقل از عصر مس آنلاین، یکی از چالش‌های دنیای شبکه‌ای امروز، تأمین امنیت است. این چالش برای بنگاه‌های اقتصادی و کسب‌وکارها از اهمیت بیشتری برخوردار است و به همین دلیل است که سازمان‌ها تلاش می‌کنند با استفاده از استانداردها و دستورالعمل‌های به‌روز، هر چه بیشتر بر این چالش غلبه کنند. اتفاقی که در شرکت ملی صنایع مس ایران نیز روی داده است و حالا «علیرضا رضایی‌نسب»، مدیر گروه فاوای شرکت ملی صنایع مس ایران از تلاش‌هایی که در این زمینه صورت گرفته، می‌گوید. به گفتۀ او در شرکت ملی صنایع مس ایران در حال حاضر استاندارد ISMS برای تأمین امنیت اطلاعات سازمان در حال پیاده‌سازی است که یکی از جدیدترین استانداردها در این زمینه است. 

اهمیت استقرار سیستم‌های امنیت اطلاعات در سازمان‌ها چیست؟

امنیت بحثی مهم برای هر سازمان است چراکه اطلاعات هر سازمان دارایی‌های آن سازمان محسوب می‌شود. لازم به توضیح نیست که عموم مردم از دارایی‌های خود به‌طور جدی محافظت می‌کنند؛ بنابراین ما موظف به حفاظت از اطلاعات خود هستیم. اهمیت اطلاعات البته برای بنگاه‌های اقتصادی بیشتر است و همین اطلاعات است که کسب‌وکارها را از هم متمایز می‌کند. در واقع هرچه از کسب‌وکارمان اطلاعات بیشتری داشته باشیم در آن موفق‌تر هستیم. شرایطی را فرض کنید که یک سازمان یا بنگاه اقتصادی اطلاعاتی را که نیاز دارد، از دست می‌دهد و این اطلاعات به دست رقیبش می‌افتد. در دنیای امروز با چنین رویدادی یک کسب‌وکار می‌تواند به‌راحتی نابود شود زیرا در فضای رقابتی امروز ارزش اطلاعات چند برابر شده است. در کنار این باید به موضوع حملات سایبری و سایر تهدیداتی که امروزه در جهان وجود دارد اشاره کرد؛ اتفاقاتی نظیر انتشار ویروس استاکس‌نت که مشخصاً توسط دشمن و برای صدمه زدن به تأسیسات هسته‌ای ایران طراحی شده بود. بنابراین ما موظف هستیم بر اساس استانداردهایی که در این حوزه وجود دارد، امنیت سازمان‌ها را بالا ببریم. البته این را هم بگویم که امنیت یک مسیر و فرآیند است و ما همیشه در مسیر ایمن‌تر شدن هستیم. هیچ‌گاه نمی‌توان گفت امنیت 100 درصدی حاکم شده. در طول سال‌های گذشته براساس استانداردهایی که از طرف دولت و پدافند غیرعامل برای سازمان‌ها تعریف شده بود، اقداماتی نیز در شرکت ملی صنایع مس ایران تعریف شد و انجام گرفت. با این حال ما درصدد هستیم بیش از پیش در این راستا گام برداریم و با اقداماتی نظیر پیاده‌سازی استاندارد ISMS امنیت سازمان‌مان را بیش از گذشته تأمین کنیم.

قبل از این‌که به استاندارد ISMS برسیم می‌خواهم بدانم وضعیت سازمان ما در زمینه حفاظت از اطلاعات تاکنون چگونه بوده است؟ از چه زمانی مسأله حفاظت از اطلاعات برای ما اهمیت پیدا کرد و چه اقداماتی تاکنون در این زمینه انجام شده است؟

به محض این‌که کامپیوترها از حالت شخصی درآمدند و با هم شبکه شدند موضوع امنیت هم مطرح شد. شبکه‌ها شکل می‌گیرند برای این‌که بتوانیم منابع موجود را ازطریق آن‌ها به اشتراک بگذاریم و با این کار هزینه‌ها را کاهش دهیم و از منابع بهتر استفاده کنیم. با این حال به محض این‌که اطلاعات را ازطریق شبکه‌ها به اشتراک می‌گذارید سؤالاتی مطرح می‌شود مثل این‌که اطلاعات به دست افرادی که باید می‌رسد؟ آیا این اطلاعات تا رسیدن به افراد مورد نظر تغییر می‌کند یا نه؟ و سؤالاتی از این دست که در بحث ارتباطات کامپیوتری و شبکه‌ای مطرح می‌شود.
ما حدود 20 سال است که شبکه‌های کامپیوتری را در سازمان داریم و به‌تبع آن بحث امنیت هم از همان زمان برای‌مان مطرح بوده. اوایل دهۀ 80 شمسی بود که استانداردها وارد کشور شدند؛ ازجمله استاندارد BS 7799 که به بسیاری از سازمان‌ها ابلاغ شد. ما هم بر اساس همین استاندارد دست به سلسله اقداماتی زدیم مثل این‌که تجهیزاتی خریداری شد و در ورودی‌ها و خروجی‌های شبکه‌های اینترنت و شبکه‌های داخلی نصب شد که با این کار اتفاقات خوبی در سازمان افتاد. پس از این استاندارد، استاندارد ISO27001 و مجموعه استانداردهای ISO27000 مطرح شدند و ما نیز تلاش کردیم با بهینه شدن این استانداردها، وضعیت امنیت را در سازمان بهبود ببخشیم. این‌که می‌گویم به دنبال پیاده‌سازی استاندارد جدیدی هستیم به این معنی نیست که تاکنون کاری در این زمینه انجام نشده و امروز قرار است امنیت را برقرار کنیم؛ بلکه منظور این است که در حال حاضر ما با جدیتی بیشتر و به شکلی سازمان‌یافته‌تر قرار است اقدامات‌مان را در این زمینه پیگیری کنیم. هم‌اکنون واحدی با عنوان سازمان امنیت اطلاعات برای شرکت تعریف شده که ازجمله وظایف آن رصد وضعیت امنیت شبکه است و هر جا که نیاز به اصلاح داشته باشد، با هشدارها و راهکارهایی که ارائه می‌دهد، اصلاح را ممکن می‌کند.

کمی درباره استاندارد ISMS برای‌مان بگویید؟ آیا این استاندارد نیازهای امروز سازمان را برطرف می‌کند؟

قطعاً همین‌طور است. استانداردها مجموعه روش‌ها و تکنیک‌هایی هستند که به ما نشان می‌دهند چه چیزهایی را باید کنترل کنیم و چه اقداماتی را باید انجام دهیم. براساس استاندارد ISMS قدم اول ارزیابی وضعیت فعلی است تا سطح سازمان از نظر استانداردهای امنیتی مشخص شود. قدم دوم انجام برخی تست‌ها است؛ به‌عنوان مثال تست نفوذ یکی از تست‌هایی است که نشان می‌دهد ما در برابر تهدیدات بیرونی چقدر ایمن هستیم. بعد از انجام این مراحل، استاندارد به ما می‌گوید چه اقداماتی باید انجام دهیم و چه تجهیزاتی باید تهیه کنیم تا به سطح امنیتی مطلوب برسیم. بسیاری از اقداماتی هم که توسط این استانداردها بیان می‌شود، بسیار ساده هستند؛ مثلاً قفل کردن کیبورد توسط هر کاربر وقتی که پشت سیستمش نیست یک راه ساده تأمین امنیت اطلاعات افراد است.

الان در چه مرحله‌ای از اجرای استاندارد ISMS در سازمان هستیم؟

فاز اول را که ارزیابی وضعیت موجود بوده، انجام داده‌ایم و گزارش آن دریافت شده که گزارش نسبتاً امیدوارکننده است و در گام‌های بعدی باید وارد اقدامات عملی شویم.

درباره سازمان امنیت اطلاعات کمی برای‌مان توضیح دهید. چه کسانی عضو این سازمان هستند و وظایف آن‌ها چیست؟

سازمان امنیت اطلاعات در بالاترین سطح فاوا قرار دارد و در هر یک از مجتمع‌های سه‌گانه شرکت ملی صنایع مس ایران یک نماینده دارد که وظیفه ‌دارند از بُعد امنیت با سرپرست واحد در ستاد ارتباط داشته باشند. در کنار این ما در هر یک از مجتمع‌های شرکت مس کمیته‌هایی را به‌عنوان کمیته امنیت اطلاعات تشکیل داده‌ایم که مدیران مجموعه ازجمله حراست عضو آن هستند. در بُعد اتوماسیون صنعتی هم همکارانی در این کمیته حضور دارند. یکی از اتفاقات خوبی که با تشکیل این سازمان در شرکت افتاده، جدی شدن بحث امنیت در بخش‌های مختلف شرکت است. شاید در گذشته نسبت به این بحث توجه کمتری داشتیم؛ اما امروز این حساسیت خیلی بیشتر شده است و حتی می‌توان دید که واحدهای صنعتی هم درباره این موضوع حساسیت پیدا کرده‌اند. این کمیته تاکنون چند مانور ارزیابی آمادگی هم انجام داده است. در این مانور ما تلاش می‌کنیم شرایطی را شبیه‌سازی کنیم که در آن همه ارتباط‌ها قطع می‌شود. در این شرایط افراد باید بتوانند تهدیدات احتمالی را پیش‌بینی کنند و برای آن‌ها راه‌حلی بیندیشند. از دل این مانورها گزارش‌های خوبی بیرون آمده است که به ما نشان می‌دهد در کدام بخش‌ها نیاز به بهبود و اصلاح داریم.

بسیاری از توصیه‌هایی که در زمینه امنیت اطلاعات و شبکه مطرح می‌شود به‌نوعی مربوط به پرسنل و کارکنان است و از آن‌ها می‌خواهد که به شیوه‌ای خاص عمل کنند. شاید در ابتدا به نظر برسد این توصیه‌ها دست‌وپاگیر است. دوست دارم شما به‌عنوان مدیر گروه فاوای شرکت مس به کارکنان بگوید ضرورت اجرای این توصیه‌ها در سازمان چیست و آیا قرار است این اقدامات جدید محدودیت‌آفرین باشند یا قرار است برای شرکت و پرسنل آن ایجاد مصونیت کنند؟

فرض کنید برای خرید به یک بازار شلوغ رفته‌اید. در چنین مکانی شما هیچ‌وقت دست کودک خردسال‌تان را رها نمی‌کنید چون می‌دانید با این کار صدمه می‌بیند. هیچ‌وقت در چنین جایی خودروی خود را بدون این‌که از قفل بودن در آن مطمئن باشید، کنار خیابان رها نمی‌کنید، چراکه ارزش اموال خود را می‌دانید و نگران آن هستید. مثالی که در زمینه قفل کردن کیبورد زدم دقیقاً مشابه کاری است که شما با دارایی‌های ارزشمند خود در یک بازار شلوغ انجام می‌دهید. البته می‌پذیرم که باید در این زمینه قبل از هر چیز به افراد آموزش داد. به همین دلیل است که ما یک سلسله آموزش را در این زمینه طراحی کرده‌ایم تا ازطریق آن‌ها به پرسنل آموزش دهیم و یادآوری کنیم که اطلاعات شما مثل دارایی‌های شما ارزشمند هستند و می‌بایست از آن‌ها حفاظت و نگهداری کنید.
امسال بنا به گفته دادستان کل کشور تهدیدات کلاه‌برداری در فضای مجازی سه برابر بیشتر شده است. این کلاه‌برداری‌ها اکثراً ناشی از غفلت افراد در نگهداری از رمزها و اطلاعات شخصی‌شان است. بنابراین آموزش و اطلاع‌رسانی در این زمینه اهمیت بسیار زیادی دارد و نیاز است که اهمیت موضوع امنیت را به همه گوشزد کنیم. از طرف دیگر با توجه به جایگاه افراد و دسترسی‌شان به اطلاعات باید تعهدات لازم از افراد گرفته شود یا اقداماتی مثل این‌که مسائل زیرساختی برقراری امنیت در داخل سازمان هموار شود. همه این‌ها نیاز به فرهنگ‌سازی دارد و امیدواریم بتوانیم در این زمینه اقدامات خوبی را به انجام برسانیم.

می‌دانیم که فضای شبکه به‌سرعت دستخوش تغییرات می‌شود. با توجه به این موضوع آیا استاندارد ISMS که برای سازمان ما در نظر گرفته شده است، این پتانسیل را دارد که با تغییرات روز تغییر کند و به‌روز شود تا بتواند نیازهای امنیتی ما را در هر زمان پاسخگو باشد؟

معمولاً هر سال یا هر چند سال یک بار استانداردها به‌روز می‌شوند؛ البته تغییراتی که در آن‌ها اتفاق می‌افتد تغییرات بنیادی نیست بلکه بهبودهایی در آن‌ها حاصل می‌شود. طبیعتاً وقتی شما استانداردی را می‌پذیرید اگر اصلاحات جدیدی در آن به وجود آید باید آن‌ها را هم رعایت کنید. اتفاقاً استانداردها باید به‌روز باشند و به‌روز شوند و ما همواره به این نکته توجه خواهیم داشت. مسأله مهم در ارتباط با استانداردها، افرادی هستند که با آن‌ها کار می‌کنند. به همین دلیل همه ما چه همکاران ما که در شرکت ملی صنایع مس ایران مشغول به کار هستند و چه سایر افراد جامعه باید به موضوع امنیت حساس بشوند و در زمینه ایمن‌سازی اطلاعات خود تلاش کنند. بحث امنیت اطلاعات فقط مربوط به یک سازمان نیست و همه باید توجه داشته باشند که اطلاعات شخصی‌شان، شخصی باقی بماند. بنابراین امیدوارم این حساسیت در سازمان ما هم بیش از گذشته ایجاد شود تا بتوانیم شاهد ایمن‌تر شدن سازمان خود باشیم.