خبر ها

متن خبر

شرکت کاسپین در حوزه امنیت چه خدماتی ارائه می‌دهد؟
شرکت کاسپین در حوزه امنیت چه خدماتی ارائه می‌دهد؟ چهار شنبه ۲۳ بهمن ۱۳۹۸ ۳:۳۸ ب ظ

امنیت یکی از مباحث چالش برانگیز امروز در سطح دنیا و خصوصا ایران است. صنعت بانکی و پرداخت را شاید بتوان مهمترین صنایع کشور در مقوله امنیت قرار داد. با توجه به حملات متعدد در حوزه سایبری به بانک‌ها و شرکت‌های پرداخت و با توجه به تحریم‌های فعلی، شرکت‌های بومی در تلاش برای ارایه و محصولات و خدماتی هستند که امنیت کسب‌وکارهای حوزه فناوری اطلاعات را تامین سازند. در این خصوص با مهندس نجار مدیر واحد امنیت اطلاعات کاسپین در زمینه امنیت، خدمات امنیتی و ضرورت پیاده‌سازی آن گفت‌وگویی داشتیم تا بدانیم این شرکت چه خدماتی را در این حوزه ارائه داده است.

نجار با بیان اینکه در حال حاضر کسب‌وکارهای سنتی از طریق it transform در حال تغییر و مدرنیته شدن هستند تا با استفاده از فناوری اطلاعات ارزش آفرینی کنند؛ می‌گوید: «داده‌ها به عنوان مواد خام برای خلق و افزودن ارزش بکار میروند و به همین سبب نیز امنیت داده‌ و اطلاعات در وضعیتهای مختلفی چون انتقال، پردازش و ذخیره مطرح می‌شود. امنیت اطلاعات در ابعاد سازمان، فرآیند، فناوری و افراد گسترش می-یابد لذا نباید آن را منوط به تنها یک وجه کرد. شاید بتوان ادعا کرد ارتقای سطح بلوغ امنیت اطلاعات منجر به رشد فناوری اطلاعات، فرآیندها ، منابع انسانی و سازمان می‌شود. چرا که امنیت اطلاعات در کسب‌وکارهای مدرن آمیخته شده است. این درحالی است که برخلاف عقیده رایجی که به غلط بین مدیران فناوری اطلاعات جا افتاده است، امنیت اطلاعات باید در راستای اهداف کسب‌وکار باشد در غیر اینصورت زاویه دار شدن این دو منجر به قربانی شدن یکی نسبت به دیگری خواهد شد اما در حقیقت باید علم امنیت اطلاعات را برای بقای کسب‌وکارهای مبتنی بر اطلاعات و داده به عنوان یک فعالساز و پیشران بکار گرفت.»

در ایران آخرین گام امنیت است

نجار درتشریح ضرورت امنیت سایبری درگام های ابتدایی راه اندازی کسب‌وکارهای نوین می‌گوید: «در راه اندازی یک کسب‌وکار سنتی مثل فروشگاه خرده فروشی ، استفاده از قفل و کرکره مناسب برای دربهای ورودی اولین دغدغه صاحب آن است. اما چطور میشود که ما در کسب‌وکارهای نوین که با اطلاعات و پردازش داده برای ایجاد ارزش و منفعت سروکار داریم امنیت آنرا نه تنها به شمار نمیآوریم بلکه اساسا جایگاهی برایش متصور نیستیم و در بدترین حالت نقطه مقابل کسب و کار قلمداد می کنیم!

پس موضوعات امنیت اطلاعات در اولین گام‌های راه اندازی کسب‌وکارهای نوین مطرح می‌شود. از سوی دیگر در مبحث IT-Transformation کسبوکارهای سنتی نیز باید چالشهای امنیت اطلاعات را در گام‌های مقدماتی ببینند. ما در کشورمان امنیت را آخرین مقوله می‌بینیم و همین تفاوت در تفکر سنتی و مدرن را ایجاد می‌کند. البته این مشکل نیز تا حدی در دنیا وجود دارد و مختص ایران نیست اما در کشور ما به دلیل مسایل خاص خود ، شرایط حادترو جدی تر است.»

استارت‌آپ‌ها جزو صدرنشینان حملات سایبری

به گفته نجار عدم درک ضرورت امنیت اطلاعات در معماری سازمان و کسب‌وکار، فناوریهای مورد استفاده و بی اطلاعی از فرآیندهای امنیت سایبری در حوزه استارت‌آپی که تب آن در ایران نیز فراگیر شده، هم دیده می‌شود. اساساً مفهموم استارت‌اپ با فناوری آمیخته شده است اما آخرین چیزی که در راه‌اندازی یک استارت‌آپ به ان اهمیت می‌دهیم امنیت است؛ چرا که تیم‌های ایده پرداز تجاری صرفاً می‌خواهند پکیج قابل ارائه‌ای را اماده کنند که ممکن است در آینده به کسب‌وکار تبدیل شود. اهمیت امنیت اطلاعات زمانی اشکار می‌شوند که استارت‌آپ رشد کرد و به بازار رقابت رسیده و اکنون نوبت ظهور مشکلات امنیتی است؛ یعنی زمانی که دیر شده و پای پلیس فتا و دادسرای جرائم رایانه‌ای به میان آمده است.

گزارش امنیت سایبری ۲۰۱۹ وریزون نیز نشان می‌دهد بالاترین حملات سایبری متعلق به کسب‌وکارهای کوچک و استارت‌آپهاست. نجار با بیان این موضوع می‌گوید: «طبیعی است که مهاجم با سازمان‌های پیچیده با کمی سختی بیشتری برای رخنه و نفوذ سایبری مواجه باشد چرا که از نظر فنی، فرآیندی و توان تخصصی از سطوح بلوغ بالاتری از امنیت اطلاعات برخوردار هستند ولی استارت‌آپ‌ها به این دلیل آنکه خود را با روش-های نا امنی به سازمان‌های مورد هدف مهاجمین متصل کرده‌اند از نظر آنها طعمههای لذیذی هستند»

حملات مبتنی بر مهندسی اجتماعی در کمین مدیران ارشد سازمان‌ها

او ادامه می‌دهد: «در گزارش وریزون همچنین آماری از حملاتی مبتنی بر مهندسی اجتماعی را مشاهده می‌کنیم. این نوع خاص از حملات امنیتی، مدیران عامل و گردانندههای شرکت‌ها را مورد هدف قرار دادهاند. لذا مدیران عامل کسبوکارهای نوین توجه و هوشیاری زیادی را باید در زمینه امنیت اطلاعات و سایبری بخرج دهند. از نمونه های حملات اجتماعی اتفاقی است که اخیراً به اسم رادیو جوان رخ داده است؛ شاکی‌های زیادی دارد و تقریباً دو سه سالی است که در حال اجراست و تعداد زیادی از مردم را درگیر کرده است. عدم آگاهی افراد امکان سوء استفاده را فراهم و سبب خالی کردن حسابهای بانکی آنها با دست خودشان شده است.»

چالش فعلی حوزه امنیت: داشتن ابزار امنیتی (firewall) کافی نیست!

نجار با اشاره به اینکه در حال حاضر در مقوله امنیت سازمانی با چالش‌های متعددی رو به رو هستیم، عنوان می‌کند: «یکی از موارد مهمی که در سازمان‌ها در حال حاضر دیده می‌شود این است که مثلا اگر یک firewall داشته باشیم یعنی امن هستیم در حالیکه همواره گفته میشود امنیت مانند یک زنجیر است و استحکام آن به اندازه ضعیف‌ترین حلقه زنجیر است. باید سازمانها در ابتدا امنیت را مدل کنند و سپس وجوه فرآیندی ، پرسنلی و فنآوری را همزمان با هم ببیند. ممکن است فایروال راه حل سازمانی نباشد و باید از تکنولوژیهای دیگری استفاده کنند. ممکن است بهبود فرایندها در سازمان سبب رشد امنیتی شود. پس لازم است که الگو و مدل امنیتی خاص هر سازمان ترسیم شود.»

بسته خدمات امنیت سایبری کاسپین، پکیج ساختار یافته و کم هزینه‌ای را در اختیار مشتریان در حوزه امنیت قرار می‌دهد

ما در کاسپین مجموعه خدماتی را ارائه کردیم تا بتوانیم به صورت سریع، ساختاریافته و کم هزینه پکیج کاملی از امنیت اطلاعات و امنیت سایبری به مشتریان ارائه دهیم. نجار با بیان این موضوع ادامه می‌دهد: «سازمانها میتوانند با استفاده از این بستههای خدماتی، دستاوردهای موفق امنیتی را با سرعت بیشتری بدست بیاورند. خدمات امنیت سایبری و امنیت اطلاعات کاسپین در سه سطح ارایه میشوند؛ سطح شرکتها و کسبوکارهای کوچک، سطح سازمان (متوسط تا بزرگ)، سطح بنگاه یا سازمانهای گسترده (سازمانی که دارای شرکتها و موسسات متعددی دارد.) این خدمات میتوانند با بررسی بلوغ امنیتی شرکت شروع شوند چرا که متناسب با هر سطح از بلوغ سازمانها خدمات متفاوتی را نیاز دارند. بلوغ امنیت اطلاعات ، مشابه بلوغ مالی، سازمانی یا فناوری اطلاعات است. همانطور که در بلوغ سازمانی معیارهایی چون فرایندها ، تخصصهای مورد نیاز، حسابهای مالی و حسابرسی و غیره مطرح است در امنیت اطلاعات هم از جنبه‌های مختلفی سطح بلوغ امنیت اطلاعات در سازمان بررسی می‌شود و راهکارهای مناسب برای آن ارائه می‌شود. خدمات حوزه امنیت سازمانی کاسپین شامل حاکمیت امنیت اطلاعات، سیستمهای مدیریت ریسک، سیستمهای مدیریت تطابق پذیری و در نهایت مدیریت امنیت اطلاعات است.»

به گفته مدیر واحد امنیت اطلاعات کاسپین، موضوع «حاکمیت امنیت اطلاعات» در امنیت سازمانی مطرح است و بطور خلاصه مشخص می‌کند سازمان چه ساز و کارهایی را در خصوص امنیت اطلاعات باید مد نظر قراردهد. این همان بخشی است که طبق گزارش وریزون امنیت یکی از موارد مورد تهدید یعنی مدیران ارشد و مدیران عامل شرکتها را پوشش می‌دهد. در این نوع خدمت میزان توجه هیئت مدیره با موضوع حاکمیت امنیت اطلاعات در ابعاد مختلف سازمان بررسی شده و راهحلهای مناسب پیشنهاد و اجرایی میشود. مورد دیگر «مدیریت ریسک» است و موارد مختلفی چون شناسایی و ارزیابی ریسک، بررسی سطح قابل پذیرش ریسکهای امنیتی در سازمان و در نهایت پاسخ مناسب به ریسکها است. البته در این خصوص بررسی تناسب ریسک‌های امنیتی و سایبری با ریسک‌های عملیاتی نیز میتواند صورت می‌گیرد.

«مدیریت تطابق پذیری» خدمت دیگری است که در بسته خدمات امنیتی سازمانی کاسپین قرار دارد. نجار با بیان این مطلب می‌گوید: «در حقیقت انطباقپذیری امنیت به میزان فاصله بین الزامات بالادستی سازمان اشاره دارد. این الزامات می‌تواند بسته به صنعت و صنف و در بازه‌های زمانی مختلف ایجاد شده یا از قوانین و مقررات نهادهای حاکمیتی کشور سرچشمه گرفته، یا اینکه از الزامات استاندارد امنیت اطلاعات حاصل شده است. سایر خدمات شرکت عبارتند از طراحی و پیادهسازی مراکز عملیات امنیت اطلاعات ، اجرای ارزیابی و آزمونهای امنیتی سامانهها و تجهیزات و همچنین ارایه و اجرای راهکارهای مقاومسازی سامانها و تجهیزات نرمافزاری و سختافزاری.»

نجار تشریح می‌کند: «ما خدمات امنیتی درسطوح بنگاه نیز ارائه می‌دهیم. یعنی برای مجموعه‌ای از شرکت‌ها در کنار هم تحت یک گروه یا هلدینگ. در این خدمات نکته حائز اهمیت تفاوت سطوح و نوع نیازمندی امنیتی بنگاه با امنیت سازمانی از لحاظ تکنولوژی، فرایند و ساختاری است.»

بازار هدف خدمات امنیتی کاسپین

در کاسپین، خدمات کلان در حوزه امنیت مدنظر ماست که خاص بخش بانکی نیست. لذا دیگر صنایع نیز میتوانند مشتری ما باشند و این خدمات برای انواع سازمان‌ها، نهادها، صنایع و حتی بخشهای دولتی قابل پیاده سازی است. نجار در انتها می گوید: «بازار هدف کاسپین طیف وسیعی از مشتریان را شامل میشود. از شرکت‌های کوچک و استارت‌آپها که میتوانند خدمات امنیتی را با قیمتی رقابتی و کیفیت دریافت کنند تا بنگاههای اقتصادی و سازمانهای متوسط و بزرگ که نیازمندیهای متنوعی را در کسبوکار خود مطالبه می-کنند مشتریان ما هستند. ما در کاسپین با توجه به دانش تخصصی و بهره جستن از خبرگان حوزه امنیت اطلاعات کشور قادر به ارایه این خدمات هستیم.»

ارزیابی امنیتی برخط سرویس‌ها و برنامک‌های استارت‌آپی و فین‌تکی

نجار از ارایه خدمت امنیتی در حوزه استارت‌آپ‌ها و فین‌تک‌ها می‌گوید: «یکی از جدیدترین خدمات کاسپین در حوزه امنیت اطلاعات ارزیابی امنیتی برخط سرویسها و برنامکهای استارت‌آپی و فین‌تکی است که قبل از انتشار برنامک یا سرویس خود بر بستر اینترنت، میتوانند با کمترین هزینه و در سریعترین زمان ممکن از خدمات یک تیم حرفهای و ابزارهایی استفاده کنند که تهیه و تامینشان برای آنها بسیار هزینه بر خواهد بود. انشاا… بزودی از این خدمت در سرویس کبالت رو نمایی خواهد شد که برای اولین بار در کشور مخصوص مشتریان فین‌تکی طراحی و تولید شده است. این سرویس امنیتی علاوه بر تضمین امنیت برنامک و سرویس برخط حوزه فین تک برای استارتاپ، برای رگولاتور این حوزه که میتواند نهادهایی چون مرکز افتا، بانک مرکزی و سازمان فناوری اطلاعات باشد تضمینی بر سلامت محصول ارایه شده استارت‌آپهای فین‌تکی خواهد بود و البته مشتریان آنها که عموما مردم هستند نیز میتوانند اعتماد بیشتری داشته باشند.»