امنيت يك فرآيند مداوم است

• براي شروع بهتر است خودتان را براي خوانندگان بيشتر معرفي فرماييد.
بهناز آريا هستم متولد ۱۳۵۴. هميشه هم از كامپيوتر بدم مي‌آمد و حتي در دانشگاه در رشته كامپيوتر قبول شدم ولي نرفتم. داراي مدرك كارشناسي در رشته ميكروبيولوژي هستم. در دوره ليسانس وارد بحث كامپيوتر شدم البته به صورت تفنني، ولي بعد موضوع جدي شد و وارد موسسه كهكشان شدم. مي‌توانم بگويم كه من كامپيوتر را با موسسه كهكشان شروع كردم. چون به مبحث آموزش علاقه داشتم با كار آموزش وارد موسسه كهكشان شدم. اينجا بود كه زمينه كاري خود را به كامپيوتر عوض كردم. MBA را خواندم و در ادامه دكتراي IT خود را در خارج از كشور گرفتم.

در كنار اينها به گذراندن دوره‌هاي بين‌المللي نيز پرداختم. رفتم سراغ شبكه و مدرك MCSE را دريافت نمودم. چون به كارهاي گرافيكي هم علاقه داشتم دوره‌هاي طراحي وب و گرافيك و CIW را پشت سر گذاشتم و مدرك CIW Master Designer خود را گرفتم. مباحث امنيتي هميشه جز زمينه‌هاي كاري موسسه بود، من هم بر اساس علاقه به اين موضوع، به مطالعه ۲۷۰۰۱ ISO پرداختم و فكر مي‌كنم اولين خانمي‌در ايران بودم كه مميز استاندارد مديريت امنيت اطلاعات شدم كه با BSI برگزار شد و از آن زمان هم در كار مميزي ۲۷۰۰۱ ISO و مديريت امنيت اطلاعات فعاليت مي‌كنم. در كنار اين سالهاست كه كار تدريس را انجام مي‌دهم. هم تدريس مباحث آموزشي و تخصصي و هم تربيت مدرس IT.

در اين زمينه هم گواهي‌نامه + CTT را اخذ كرده‌ام. دو سال پيش به خاطر علاقه‌اي كه به بحث‌هاي مديريت داشتم وارد حوزه مديريت IT و يا همان ITIL شدم و به سراغ ۲۰۰۰۰ ISO رفتم. در چند وقت گذشته باز هم فكر مي‌كنم تنها خانمي‌در ايران باشم كه موفق به اخذ مدرك Service Manager ITIL شده‌ام. در حال حاضر كار تخصصي من بحث مديريت اطلاعات و سرويسهاي فناوري اطلاعات و امنيت شبكه‌هاي اطلاعاتي است و علاقه من بيشتر به موضوع مشاوره امنيت اطلاعات و مديريت سرويس‌هاي IT است. همينطور ISMS، SOC و مباحثي كه به امنيت و در كنار آن شبكه مربوط مي‌شود.

• در موسسه كهكشان سمت شما چيست؟
من از همان اوايل تاسيس موسسه به عنوان مدير آموزش مشغول به كار شدم كه الان وارد ۱۱ سال فعاليتم مي‌شود. در كنار آن ما شركت جداگانه‌اي را با عنوان كهكشان مشاور ايمن تاسيس كرده‌ايم كه فعاليت اصلي آن مشاوره و اجراي مباحث امنيت اطلاعات و شبكه است كه در اين شركت هم من مدير بخش ISMS و ISOهاي IT هستم. مدتي هم هست كه وارد كميسيون افتاي نظام صنفي رايانه اي(امنيت فضاي توليد و تبادل اطلاعات) شدم و دبير اين كميسيون نيز هستم.

• در مورد فعاليت موسسه كهكشان و زمينه‌هاي آموزشي آن بيشتر توضيح دهيد؟
كهكشان امسال وارد يازدهمين سال فعاليت آموزشي خود شد. قبل از آن البته فعاليت‌هايي را در حوزه IT داشت ولي بخش آموزش آن از سال ۷۹ شروع به فعاليت كرد. كهكشان به تدريس دوره‌هاي تخصصي IT كه مدارك بين‌المللي دارند مانند دوره‌هاي مايكروسافت، سيسكو و لينوكس و ... مي‌پردازد. عمده گرايش ما به سمت امنيت اطلاعات و شبكه است. اولين موسسه‌اي بوديم كه با اين گستردگي و با اين سطح از تخصص به سراغ امنيت اطلاعات رفتيم.

زماني كه ما دوره‌هاي خود را سال‌ها پيش برگزار مي‌كرديم كسي نمي‌دانست كه اصلا امنيت اطلاعات چيست و ما مجبور شديم فرهنگ‌سازي‌هاي زيادي كنيم و اگر الان مي‌بينيد اين مسئله جا افتاده سختي‌هاي زيادي را برده است. در عين حال كه موسسه كهكشان دوره‌هاي تخصصي را برگزار مي‌كند آزمون‌هاي تخصصي بين‌المللي را نيز برگزار مي‌كند. در كنار آن انتشارات داريم كه به انتشار كتب تخصصي در زمينه‌هاي مورد آموزش موسسه مي‌پردازد و براي اولين بار كتب را با كيفيت اوريجينال ارائه مي نمايد. فكر مي‌كنم دوستاني كه در IT فعال هستند به نوعي با كهكشان آشنا باشد چون ما با سازمان‌هاي زيادي كار مي‌كنيم و يكي از فعاليت‌هاي گسترده ما در زمينه بانك‌هاست.

اين باعث افتخار ماست كه سازمان‌ها پرسنل خود را براي پشت سر گذاشتن دوره‌هاي آموزشي به كهكشان مي‌فرستند چون مي‌دانند با دوره‌هاي كهكشان اطلاعات خوبي را در زمينه تخصصي خود به دست خواهند آورد و يا از ما مي‌خواهند متخصصيني را كه مدرك كهكشان دارند به آنها معرفي كنيم. ما جايي هستيم كه بقيه به عنوان مرجع به آن نگاه مي‌كنند و به ما اعتماد دارند. اين بهترين چيزي است كه ما طي سال‌ها فعاليت بدست آورده‌ايم.

• حالا كه اشاره به سازمان‌ها كرديد لطفا بفرماييد نوع ارتباط شما
اين باعث افتخار ماست كه سازمان‌ها پرسنل خود را براي پشت سر گذاشتن دوره‌هاي آموزشي به كهكشان مي‌فرستند
با آنها چگونه است و در مورد مداركي هم كه صادر مي‌كنيد توضيح دهيد؟
اول اينكه ما با سازمان‌هاي زيادي كار مي‌كنيم كه اگر بخواهم نام ببرم ليست چند صفحه‌اي خواهد بود. اما بايد بگويم ما با سازمان‌هاي مختلف به روش‌هاي مختلف هم كار مشاوره انجام مي‌دهيم هم كار آموزش. طبيعتاً كار اصلي ما آموزش است. در اين راستا بانك‌هاي مختلفي مانند بانك ملت، كارآفرين، كشاورزي و ... جزء مشتريان ما هستند. شركت نفت، شركت برق، نهاد رياست‌جمهوري، مجلس، هواپيمايي ، مخابرات، زيرساخت و موسسات و نهادهاي ديگر كه اگر بخواهم نام ببرم چندين صفحه مي‌شود. اما در مورد مدرك كه سئوال كرديد در ابتدا بايد توضيحاتي را بدهم.

ببينيد كهكشان بر روي روش آموزشي خود بسيار سخت‌گير است. شايد يكي از دلايلي كه ما را با بقيه موسسه‌ها متفاوت كرده است همين سخت‌گيري باشد. خوب از طرفي همين سخت‌گيري شايد باعث شود كه ما مشتريان كمتري داشته باشيم، ولي از طرف ديگر باعث شده كه واژه كيفيت را كنار كار موسسه كهكشان بنشاند.لابراتوارهاي آموزشي ما منحصر به فرد هستند و تك‌تك كساني كه اينجا مشغول به تدريس هستند از مراحل سختي مي‌گذرند تا به عنوان مدرس مشغول به كار شوند. غير از اينكه بايد مدارك بين‌المللي و دانش كافي داشته باشند بايد اين مراحل را بگذرانند. همچنين روش‌هاي تدريس مدرسين و طرح درس‌هاي ارائه شده از طرف آنها مورد بررسي قرار مي‌گيرد.

اين فرآيند چند ماه به طول مي‌انجامد و بعد نهايت شخصي كه ملاك‌هاي يك مدرس خوب از نظر كهكشان را داشت استخدام مي‌شود. پس از استخدام هم دائما مدرسين مورد ارزيابي قرار مي‌گيرند. تمام كلاس‌هاي ما به دوربين‌هاي مداربسته مجهز هستند. دانشجويان ما دائماً در حال ارزيابي و امتحان هستند. روي امتحانات بسيار سخت‌گيري مي‌كنيم تا كسي از امتحان قبول شود كه استحقاق داشته باشد. ما مجوز وزارت ارشاد را هم داريم. مدارك ما بعضاً با برخي موسسات خارجي به صورت مشترك صادر مي‌شود. مثلاً مدرك ISO كهكشان كه با موسسه BSI انگلستان كه در رده‌بندي مراجع صدور گواهي نامه در دنيا رتبه اول را دارد صادر مي گردد و ما نماينده انحصاري BSI در ايران هستيم.

• پس شما به نوعي دانشجويانتان را بعد از اتمام دوره هم حمايت شغلي مي‌كنيد؟
اين ديگر بستگي به افراد دارد. هميشه فرصت شغلي براي كساني كه دنبال فرصت كاري هستند وجود دارد، در IT وضع به گونه‌اي است كه بازار شغلي داغ است و سازمان‌ها هم تقاضاي زيادي براي اين مشاغل دارند. از طرفي هم ما مي‌خواهيم به سازمان‌ها براي برطرف كردن نيازشان به متخصصين كمك كنيم و هم دوست داريم به دانشجويانمان بعد از اتمام دوره كمك كنيم. دانشجويان ما در داخل موسسه پورتالي دارند كه تمام آگهي‌هاي استخدام آنجا گذاشته مي‌شود. شرايط موسسه به گونه‌اي است كه تا مدت‌ها بعد از فارغ‌التحصيلي، ارتباط دانشجويان با ما برقرار است. يا برخي ديگر هستند كه از طرف موسسه براي استخدام در سازمان يا نهادي معرفي شده‌اند و هنوز ارتباطشان را با كهكشان حفظ كرده‌اند يا به تعبيري كهكشاني شده‌اند.كهكشان براي ما در حكم يك خانواده بزگ است و ما دوست داريم كه همه كهكشاني بشوند!

• بهتر است در مورد ايده به وجود آمدن كهكشان مشاور ايمن صحبت كنيم.
هميشه دانشجويان ما علاقه داشتند تا در سطوح مختلف از مشاوره و راهنمايي مدرسان خود استفاده كنند. حتي اگر در جايي هم مشغول بودند باز هم دائما مي‌آمدند و از مشاوره معلمان خود استفاده مي‌كردند. عقيده ما در كهكشان اين است كه يك مدرس صرفاً نبايد كار تدريس انجام دهد بلكه بايد در پروژه‌هاي اجرايي هم شركت كنند تا دانش عملي هم داشته باشند. در نتيجه مدرسان ما هم تدريس مي‌كنند و هم دانش عملي دارند و از طرفي، به دانشجويان مشاوره مي‌دهند. ما ديديم روز به روز تقاضا براي مشاوره بيشتر مي‌شود. خوب تقاضا وجود داشت در نتيجه دو سال و نيم پيش با همراهي خود اساتيد ،شركت كهكشان مشاور ايمن را راه‌اندازي كرديم. در اين شركت كار مشاوره و اجراي پروژه‌هاي امنيت اطلاعات و شبكه را انجام مي‌دهيم. اكثر مدرسان كهكشان در كهكشان مشاور هم فعاليت دارند. اين موسسه هم به ما كمك مي‌كند تا به تقاضاهاي موجود پاسخ دهيم هم خودمان و اطلاعاتمان را به روز نگه داريم.

• خوب حالا كه بحث امنيتي شد بهتر است بپردازم به امنيت در ايران. به نظر شما و به عنوان يك كارشناس امنيت اطلاعات و شبكه، به طور كلي مقوله امنيت در ايران چه جايگاه و وضعي دارد؟
صحبت كردن در مور بحث امنيت در ايران كار حساسي است. اما به طور كل بايد گفت بحث امنيت در كشورمان خوشبختانه هر روز پررنگ‌تر مي‌شود. هر چند كه با وجود كارهايي كه انجام مي‌شود و اتفاقاتي كه رخ مي‌دهد

ايرادات و انتقادات زيادي بر اين مسئله وارد است. بايد گفت اين انتقادات وارد است اما مهم روند رشد است و من فكر مي‌كنم اين روند رشد در ايران به وجود آمده و بسياري از سازمان‌ها متوجه شده اند كه امنيت يك موضوع اساسي و حياتي است و دست به كار شده‌اند. به نظر من هميشه رسيدن به نقطه هدف مطرح نيست.

خوشبختانه خيلي از سازمان‌ها به اين مسئله پرداخته اند و به سمت آن رفته‌اند خصوصا سازمان‌هاي مالي و اعتباري و بانك‌ها كه به مباحث امنيت توجه بيشتري نسبت به گذشته نموده و در اين راستا اقدام به انجام فعاليتهايي نموده اند. ما بحث ۲۷۰۰۱ISO را داريم كه شايد بتوان گفت صحبت ISO خود يك بهانه است براي رفتن به سمت امنيت. ISO استاندارد مديريت سيستم‌هاي امنيت اطلاعات است. پس يك استاندارد كاملاً مديريتي است. استانداردي است كه مديران سازمان‌ها را مجبور مي‌كند تا وارد مباحثي امنيتي و تكنيكال شوند. ببينيد، هميشه ما مشكلي داريم بين كارشناس و مدير كه حرف يكديگر را متوجه نمي‌شوند و كارشناس با زبان تكنيكي هميشه درخواست چيزهايي را داشته كه از نظر مدير هزينه محسوب مي‌شده است.

۲۷۰۰۰ISO اين زبان و پروتكل مشترك را بين كارشناس و مدير ايجاد مي‌كند براي اينكه يك مدير در جريان سيستم‌هاي امنيتي و مسائل پيرامون آن قرار بگيرد. اگر هر طرحي هرچقدر فني و صحيح، مديريت درستي نداشته باشد با شكست مواجه مي‌شود. ۲۷۰۰۰ISO اين بهانه را در سازمان‌ها ايجاد كرد تا به سيستم‌هاي امنيتي بيشتر بپردازيم و مديران را تشويق كنيم تا از ISO به سمت زيرساخت بروند. همين باعث شده كه اگر چه برخي سازمانها مدت‌هاست در راستاي اخذ مدرك ISO فعاليت دارند ولي هنوز موفق به دريافت آن نشده‌اند. چرا، چون در حال بهينه نمودن زيرساخت هستند و ISO عاملي گرديده براي بهبود كل سيستمهاي امنيتي. ما در سال ۸۹ اميد داريم كه سازمان‌هايي كه موفق به دريافت ISO مي‌شوند بيشتر از قبل باشند. در حال حاضر ۴ يا ۵ گواهي‌نامه صادر شده كه متاسفانه هيچكدام براي موسسات مالي و اعتباري و بانك‌ها نبوده است. اما امسال اميد داريم كه بانك‌ها نيز موفق به دريافت اين گواهي‌نامه شوند.

• مي‌توانيد صاحبان اين ۴ گواهي‌نامه را نام ببريد؟
گمرك بندر امام كه اولين است. شركت توگا از گروه مپنا، سيمان داراب و شركت اسكن ايت و چند مورد هم به زودي گواهينامه اشان صادر مي گردد. بايد يك چيز را در تكميل پاسخ به سئوال شما در مورد امنيت اطلاعات و شبكه در ايران بگويم، اينكه امنيت چيزي نيست كه معيار اندازه‌گيري داشته باشد. مثلاً شما بگوييد از ۱۰۰ نمره ۸۰ يا ۷۰ مي‌دهم. اولاً كه امنيت صددرصد هيچ وقت وجود ندارد. اين يك قانون پايه است. مشكل ما در ايران كمبود متخصص است.

امنيت مقوله‌اي نيست كه بگويم فردي با خواندن چند كتاب و گذراندن چند كلاس مي‌شود متخصص امنيت. لازمه اين كار داشتن دانش IT از پايه، تجربه و شناخت در مورد امنيت است. همچنين مايكروسافت، لينوكس، سيسكو و بسياري موارد ديگر كه لازم هستند. امنيت بحث‌هاي مختلفي دارد ولي به طور كلي مشكل ما كمبود متخصص است و آنهايي هم كه هستند يا مهاجرت كرده‌اند و يا صرفاً در يك جاي دولتي مشغول كار هستند يا درگير پروژه‌ها مي‌باشند. ما فكر مي‌كنيم مبحث آموزش مهمترين مسئوليت را در بهتر شدن امنيت بر عهده دارد. شايد امنيت در ايران نسبت به ساير نقاط نمره خوبي نگيرد اما نسبت به گذشته خود بهتر شده و پيشرفت كرده است.

• اين مسئله در كشور مطرح مي‌شود كه مي‌گويند درس IT در دانشگاه‌هاي ايران فقط تا ليسانس مناسب است و براي مدارك بالاتر و دكترا بايد به خارج از كشور رفت. چرا چنين نگاهي در ايران وجود دارد؟
از قديم اين داستان را ما در همه رشته‌ها داشتيم و منحصر به IT نيست. متاسفانه دانش و اطلاعات در دانشگاه‌هاي ما خيلي دير به روز مي‌شود. اين مسئله در IT نمود بيشتري دارد چون تغييرات و پيشرفت تكنولوژي و فناوري اطلاعات خيلي زياد است و به روز نگه داشتن كار مشكلي است. به همين دليل چه در ايران و چه در كشورهاي دنيا وضع به همين منوال است. بايد بگويم اين تنها در ايران نيست بلكه در همه كشورهاست. به همين دليل مدارك و دوره‌هايي ايجاد شده با عنوان تكميلي، حداقل در IT اينگونه است. براي اينكه دانش به روز را به شما آموزش مي‌دهند. هر چقدر دانش و مدارك بيشتري داشته باشيم بهتر است. مهم است كه راه را درست برويم و به بيراهه نرويم. خوشبختانه در IT وجود مدارك و دوره‌هاي بين‌المللي به اين موضوع كمك كرده.

هميشه از من اين سئوال پرسيده مي‌شود كه مدرك دانشگاهي داشته باشيم بهتر است يا دوره‌هاي تكميلي؟ من هميشه در پاسخ مي‌گويم اين دو از يك سنخ نيست كه بخواهيم باهم مقايسه كنيم. مدرك

دانشگاه مورد تاييد وزارت علوم است و بينش و اعتبار خاصي به افراد مي‌دهد.در عين حال دوره هاي تكميلي تجربه و دانش روز را به فرد منتقل مي نمايد. ايده‌آل، داشتن مدرك دانشگاهي است و در كنار آن دوره‌هاي تكميلي و بين‌المللي. اگر كسي وارد IT شده باشد بايد بداند تا آخر عمر هر روز بايد خود را به روز كند. در حال حاضر حداقل در مباحث كارشناسي ارشد و دكترا اين مباحث به روزتر مي‌شود تا كارشناسي، ما هم در نظام صنفي تلاش مي‌كنيم براي به روز شدن مباحث درسي دانشگاه‌ها با آنها همكاري كنيم.

• اصولاً لازمه اين رشته اين است كه بايد بين نهادي مانند موسسه شما و دانشگاه‌ها ارتباط تنگاتنگ و متقابلي باشد براي به روز كردن مطالب و تدوين سر فصل‌هاي درسي.
دقيقاً. همين الان شما اگر از دانشجويان كهكشان سئوال كنيد بالاي ۶۰ درصد آنها كارشناسان و مهندسين كامپيوتر و نرم‌افزار هستند كه يا در حال تحصيل هستند و يا فارغ‌التحصيل شده‌اند هم در دوره كارشناسي و هم در دوره كارشناسي ارشد، خوب به اين نتيجه رسيده‌اند كه نياز به دانش تكميلي براي ورود به بازار دارند. كما اينكه در دانشگاه شما در سطح عمومي ‌و پايه ياد مي‌گيرد، اما در سطح تخصصي بايد دوره‌هاي تخصصي را گذراند.

• ارزيابي شما از وضعيت امنيت در سازمان‌هاي دولتي چيست؟ گفته مي‌شود كه نهادهاي دولتي خاستگاه جرائم رايانه‌اي هستند. نظر شما چيست؟ آيا هنوز نگاه سنتي و مقاومتي در برابر IT و خصوصاً مقوله امنيت وجود دارد؟
درست است. ما بر روي سازمان‌هاي دولتي بحث اساسي داريم. براي اينكه هدف همه حمله‌ها نهادها و مراجع دولتي هستند. حداقل بايد گفت هدف اول هر نوع حمله‌سايبري سازمان‌ها و مراكز دولتي است و اين امر كاملا طبيعي‌ است.

• آيا امكان ارزيابي ميزان امنيت شبكه هر سازمان يا نهادي وجود دارد؟
بله، ما بحثي داريم به نام «تست نفوذپذيري». كاري است كه رسماً در همه جاي دنيا و حتي در ايران انجام مي‌شود. دوره و مدرك مرتبط با آن هم وجود دارد. دوره آن به نام CEH مربوط به شركت ECCouncil يا دوره هكرهاي قانونمند كه سالهاست كه در ايران برگزار مي‌شود. يكي از كارهايي كه اين افراد انجام مي‌دهند «انجام تست نفوذپذيري» با درخواست رسمي‌خود سازمان است. به اين افراد تكنيك‌هاي جديد نفوذ آموزش داده شده با هدف ارائه راهكار جهت جلوگيري از نفوذ.

در نتيجه با درخواست رسمي‌ يك سازمان اين تست انجام مي‌شود و متوجه مي‌شويم كه نقاط ضعف و نفوذ شبكه در اين سازمان چقدر و كجاست. در قدم بعدي به اين سازمان كه نقاط ضعف شبكه‌اش مشخص شده راه‌حل ارائه مي‌شود حالا يا راه‌حل و اقدام پيشگيرانه يا اصلاحي. اين تست چند سالي است كه در ايران توسط سازمان‌ها درخواست و انجام مي‌شود ولي چون مباحث امنيت با اطلاعات محرمانه يك سازمان در ارتباط است، خبرهاي آن و انجام تست‌هاي آن زياد به بيرون درز نمي‌كند. ولي بايد گفت هنوز اول راهيم. اين را نمي‌گويم كه بگوييد پس ما امن هستيم و مشكلي نيست نه، امنيت يك فرآيند مداوم است كه بايد هميشه در حركت رو به جلو باشد.

• اين تست‌ها توسط چه كساني انجام مي‌شود؟
اين تست‌ها توسط مراكز خاصي كه براي اين كار هستند و توسط متخصصين امر انجام مي شود. مثلاً موسسه كهكشان از جمله مراكزي است كه اين تست‌ها را با درخواست سازمان‌ها انجام مي‌دهد. دوره‌هاي CEH هم در موسسه ما تدريس مي‌شود. خوشبختانه افرادي را در ايران داريم كه توانايي و تخصص CEH را دارند. اين را هم بگويم كه اين تست‌ها بايد به صورت دوره‌اي انجام مي‌شود. چون هر روز فناوري جديد، تكنولوژي جديد و متد نفوذ جديد به وجود مي‌آيد كه بايد با آنها مقابله كرد.

• شما به دوره ITIL اشاره كرديد. لطفاً در مورد اين دوره توضيح دهيد؟
ITIL بيش از دو دهه است كه در دنيا مطرح شده. ماهيت ITIL در اصل يك كتابخانه است با راهنماهاي زياد كه Best Practiceها در زمينه مديريت IT را كه در دنيا وجود دارند جمع‌آوري كرده و در اختيار مراكز، افراد، متخصصين IT قرار مي‌دادند تا براي مديريت بهتر IT از آن استفاده كنند. نسخ مختلفي از ITIL ارائه گرديده كه در حال حاضر در نسخه ۳ هستيم. ITIL از مراحل مختلف آموزشي تشكيل شده است. ITIL به روش‌هاي مديريتي مي‌پردازد كه به شما مي‌گويد چگونه در كمترين زمان با بهترين كيفيت ، بهترين سرويس و خدمات را به مشتري ارائه كنيد. اين يك بحث مديريتي است. مثلاً اينترنت منزل شما مشكل پيدا كرده.

شما با ISP موردنظر خود تماس مي‌گيريد. از زماني كه شما تماس مي‌گيرد تا زماني كه با طي مراحل مختلف مشكل اينترنت شما برطرف مي‌شود يك بحث مديريتي مطرح است كه ITIL اينجا به شما بگويد بهترين روش مديريت اين پروسه كدام است؟ اين يك بخش از مباحث مطرح شده در ITIL است. ولي همه مباحث مديريتي هم به نوعي به زيرساخت مربوط مي‌شود. در همين

راستا موضوعي را داريم به نام Service Management كه خود شامل دو بخش ارائه سرويسها و حمايت و پشتيباني از آنها است. ما نه تنها در خدمات IT بلكه در بسياري از سرويس‌هايي كه در ايران و در همه جاي دنيا داريم اين مشكل را مي‌بينيم كه سرويس خوب داده مي‌شود ولي بعد مشتري رها مي‌شود. در حالي كه سرويس دادن گام كوچك اول است، مهمتر پيشتيباني از اين سرويس و مشتري است.

ITIL روي همين نكته دست مي‌گذارد. مي‌گويد مشتري پادشاه است. بايد مثل يك پادشاه با او برخورد كرد و بايد بهترين سرويس را به او داد. Service Management بحث‌هاي تخصصي زيادي را دارد و تازه در حال رونق گرفتن در ايران است. بر اساس ITIL يك ISO ايجاد شده به نام ۲۰۰۰۰ISO كه اين را تبديل به يك استاندارد كرده است. موج بعدي ISOها همين ۲۰۰۰۰ISO است كه استاندارد و مديريت سرويس‌هاي IT است و بسيار گسترده‌تر از ۲۷۰۰۰ISO محسوب مي‌شود. اين دوره‌ها نيز در كهكشان تدريس مي‌شود و مشاوره هم در اين زمينه مي‌دهيم.

• برويم سراغ بحث‌هاي زنانه! خودتان هم اشاره كرديد كه بازار اشتغال در IT داغ است. شما به عنوان يك زن فعال در IT هم در ايران بوده‌ايد و هم در خارج از ايران. سهم و وضع زنان ايران را در اين بازار چگونه ارزيابي مي‌كنيد؟ اگر وضع خوب نيست دليلش چيست؟ فرهنگ، جامعه، نقش و وظايف زنان. كدام؟
وضعيت زنان ايران نسبت به دنيا كه كلاً چندان خوب نيست. در دنيا يك سري از موفق‌ترين مديران IT زن هستند. اگر چه كه بسياري از آقايان معترفند كه خانم‌ها مديران خوبي هستند چون افرادي دقيق و دلسوزند و واقعاً تلاش مي‌كنند. اما ما هنوز مشكل فرهنگي در ايران داريم. ببينيد من چندين سال است كه تدريس مي‌كنم. هنوز هم جلسه اول كه سر كلاس مي‌روم هميشه يك ربع تا نيم ساعت اول تنشي در كلاس است كه من بايد خود را به عنوان يك خانم اثبات كنم. اگر چه بعد از نيم ساعت شرايط به كلي فرق مي‌كند و ديگر بحث خانم و آقا نداريم. يا همين چند وقت پيش اولين كنفرانس ملي امنيت اطلاعات در ايران برگزار شده بود كه من هم جزء سخنرانان بودم.

همه سخنرانان آقا بودند و فقط من خانم بودم. باور نمي‌كنيد به قدري اين مسئله براي همه عجيب بود كه در ابتداي امر به وضوح مي‌توانستيد نگاه بدبينانه و شكاك را در رفتار بسياري از حاضرين ببينيد كه اين نگاه در پايان سخنراني ۱۸۰ درجه تغيير پيدا نمود. در سال‌هاي اخير وضعيت خيلي بهتر شده. در سال‌هاي گذشته در هر كلاس كه ما برگزار مي‌كرديم شايد ۲ يا ۳ خانم داشتيم ولي الان اين نسبت عوض شده است. در هر كلاس حداقل ۴۰ تا ۵۰ درصد خانم هستند. اين پيشرفت بزرگي است. ما ده سال پيش مدير خانم در سمت‌هاي دولتي نداشتيم اما الان داريم. اگر چه خانم‌ها راه سخت‌تري دارند. ما دائما خودمان را بايد اثبات كنيم.ما اگر روزي ناراحت باشيم مي‌گويند «واضحه، خانم بود ، فوري ناراحت شد!».

پس راهي كه ما در پيش داريم مشكل‌تر و دشوارتر است. اگر آقايي عصباني شود، قهر كند، ناراحت باشد كسي خرده نمي‌گيرد اما كافيست يك خانم ناراحت شود، مي‌گويند: «زن‌ها همه‌شان همينطورند!» ولي با همه اين سختي‌ها ما توانسته‌ايم بجنگيم و راه خودمان را باز كنيم و پيشرفت محسوس بوده است. من خوشحال مي‌شوم وقتي به بانكي مي‌روم و مي‌بينم مدير بخش امنيت آن بانك خانم است. فرهنگ ايران اگرچه پذيرفته كه خانم‌ها وارد بازار كار شوند ولي نپذيرفته كه وظايف او را در خانه كمتر كند و اين باعث مي‌شود كه فشار روي زنان ده برابر بيشتر شود. همان ديدگاه سنتي نسبت به وظيفه خانه و خانه‌داري زن جاي خود مانده، حالا وظايف بيرون از خانه هم به آن اضافه شده ولي زنان موفق هر دوي اينها را در كنار هم پيش مي‌برند.

ولي خارج از ايران اين مشكل نيست. در ايران خانمي اگر آشپزخانه‌اش هر روز به راه نباشد و از آن بوي غذا نيايد خانم محسوب نمي‌شود. ولي در خارج اگر يك روز زن براي خانواده غذا درست كند از او تشكر مي‌شود! مسئله البته ايجاد تعادل است و بايد هم كار و هم خانواده را در تعادل باهم در نظر گرفت و در زندگي مشاركت وجود داشته باشد!

• خوب براي سئوال آخر مي‌رويم سراغ كميسيون افتا. از كميسيون چه خبر و چه برنامه‌هايي داريد؟
تا به امروز دومين جلسه مان را بعد از عيد برگزار كرده ايم. كارگروهها معين و مشخص شدهاند، همينطور فعاليتها و وظايف آنها. به فعاليتهاي افتا خيلي اميد داريم. با انرژي زيادي كار را شروع كردهايم. متخصصان خوبي در كميسيون افتا دور هم جمع شدهاند. اهداف خوبي مانند تعيين تعرفهها، مشاوره و آموزش، بررسي استانداردهاي امنيت، امنيت فيزيكي و تعامل با سازمانهاي دولتي مشخص شده است. فكر مي‌كنم بتوانيم كارهاي خوبي انجام دهيم. خبرش را به شما خواهيم داد.