زماني كه ما دورههاي خود را سالها پيش برگزار ميكرديم كسي نميدانست كه اصلا امنيت اطلاعات چيست و ما مجبور شديم فرهنگسازيهاي زيادي كنيم و اگر الان ميبينيد اين مسئله جا افتاده سختيهاي زيادي را برده است.
• براي شروع بهتر است خودتان را براي خوانندگان بيشتر معرفي فرماييد. بهناز آريا هستم متولد ۱۳۵۴. هميشه هم از كامپيوتر بدم ميآمد و حتي در دانشگاه در رشته كامپيوتر قبول شدم ولي نرفتم. داراي مدرك كارشناسي در رشته ميكروبيولوژي هستم. در دوره ليسانس وارد بحث كامپيوتر شدم البته به صورت تفنني، ولي بعد موضوع جدي شد و وارد موسسه كهكشان شدم. ميتوانم بگويم كه من كامپيوتر را با موسسه كهكشان شروع كردم. چون به مبحث آموزش علاقه داشتم با كار آموزش وارد موسسه كهكشان شدم. اينجا بود كه زمينه كاري خود را به كامپيوتر عوض كردم. MBA را خواندم و در ادامه دكتراي IT خود را در خارج از كشور گرفتم.
در كنار اينها به گذراندن دورههاي بينالمللي نيز پرداختم. رفتم سراغ شبكه و مدرك MCSE را دريافت نمودم. چون به كارهاي گرافيكي هم علاقه داشتم دورههاي طراحي وب و گرافيك و CIW را پشت سر گذاشتم و مدرك CIW Master Designer خود را گرفتم. مباحث امنيتي هميشه جز زمينههاي كاري موسسه بود، من هم بر اساس علاقه به اين موضوع، به مطالعه ۲۷۰۰۱ ISO پرداختم و فكر ميكنم اولين خانميدر ايران بودم كه مميز استاندارد مديريت امنيت اطلاعات شدم كه با BSI برگزار شد و از آن زمان هم در كار مميزي ۲۷۰۰۱ ISO و مديريت امنيت اطلاعات فعاليت ميكنم. در كنار اين سالهاست كه كار تدريس را انجام ميدهم. هم تدريس مباحث آموزشي و تخصصي و هم تربيت مدرس IT.
در اين زمينه هم گواهينامه + CTT را اخذ كردهام. دو سال پيش به خاطر علاقهاي كه به بحثهاي مديريت داشتم وارد حوزه مديريت IT و يا همان ITIL شدم و به سراغ ۲۰۰۰۰ ISO رفتم. در چند وقت گذشته باز هم فكر ميكنم تنها خانميدر ايران باشم كه موفق به اخذ مدرك Service Manager ITIL شدهام. در حال حاضر كار تخصصي من بحث مديريت اطلاعات و سرويسهاي فناوري اطلاعات و امنيت شبكههاي اطلاعاتي است و علاقه من بيشتر به موضوع مشاوره امنيت اطلاعات و مديريت سرويسهاي IT است. همينطور ISMS، SOC و مباحثي كه به امنيت و در كنار آن شبكه مربوط ميشود.
• در موسسه كهكشان سمت شما چيست؟ من از همان اوايل تاسيس موسسه به عنوان مدير آموزش مشغول به كار شدم كه الان وارد ۱۱ سال فعاليتم ميشود. در كنار آن ما شركت جداگانهاي را با عنوان كهكشان مشاور ايمن تاسيس كردهايم كه فعاليت اصلي آن مشاوره و اجراي مباحث امنيت اطلاعات و شبكه است كه در اين شركت هم من مدير بخش ISMS و ISOهاي IT هستم. مدتي هم هست كه وارد كميسيون افتاي نظام صنفي رايانه اي(امنيت فضاي توليد و تبادل اطلاعات) شدم و دبير اين كميسيون نيز هستم.
• در مورد فعاليت موسسه كهكشان و زمينههاي آموزشي آن بيشتر توضيح دهيد؟ كهكشان امسال وارد يازدهمين سال فعاليت آموزشي خود شد. قبل از آن البته فعاليتهايي را در حوزه IT داشت ولي بخش آموزش آن از سال ۷۹ شروع به فعاليت كرد. كهكشان به تدريس دورههاي تخصصي IT كه مدارك بينالمللي دارند مانند دورههاي مايكروسافت، سيسكو و لينوكس و ... ميپردازد. عمده گرايش ما به سمت امنيت اطلاعات و شبكه است. اولين موسسهاي بوديم كه با اين گستردگي و با اين سطح از تخصص به سراغ امنيت اطلاعات رفتيم.
زماني كه ما دورههاي خود را سالها پيش برگزار ميكرديم كسي نميدانست كه اصلا امنيت اطلاعات چيست و ما مجبور شديم فرهنگسازيهاي زيادي كنيم و اگر الان ميبينيد اين مسئله جا افتاده سختيهاي زيادي را برده است. در عين حال كه موسسه كهكشان دورههاي تخصصي را برگزار ميكند آزمونهاي تخصصي بينالمللي را نيز برگزار ميكند. در كنار آن انتشارات داريم كه به انتشار كتب تخصصي در زمينههاي مورد آموزش موسسه ميپردازد و براي اولين بار كتب را با كيفيت اوريجينال ارائه مي نمايد. فكر ميكنم دوستاني كه در IT فعال هستند به نوعي با كهكشان آشنا باشد چون ما با سازمانهاي زيادي كار ميكنيم و يكي از فعاليتهاي گسترده ما در زمينه بانكهاست.
اين باعث افتخار ماست كه سازمانها پرسنل خود را براي پشت سر گذاشتن دورههاي آموزشي به كهكشان ميفرستند چون ميدانند با دورههاي كهكشان اطلاعات خوبي را در زمينه تخصصي خود به دست خواهند آورد و يا از ما ميخواهند متخصصيني را كه مدرك كهكشان دارند به آنها معرفي كنيم. ما جايي هستيم كه بقيه به عنوان مرجع به آن نگاه ميكنند و به ما اعتماد دارند. اين بهترين چيزي است كه ما طي سالها فعاليت بدست آوردهايم.
• حالا كه اشاره به سازمانها كرديد لطفا بفرماييد نوع ارتباط شما با آنها چگونه است و در مورد مداركي هم كه صادر ميكنيد توضيح دهيد؟ اول اينكه ما با سازمانهاي زيادي كار ميكنيم كه اگر بخواهم نام ببرم ليست چند صفحهاي خواهد بود. اما بايد بگويم ما با سازمانهاي مختلف به روشهاي مختلف هم كار مشاوره انجام ميدهيم هم كار آموزش. طبيعتاً كار اصلي ما آموزش است. در اين راستا بانكهاي مختلفي مانند بانك ملت، كارآفرين، كشاورزي و ... جزء مشتريان ما هستند. شركت نفت، شركت برق، نهاد رياستجمهوري، مجلس، هواپيمايي ، مخابرات، زيرساخت و موسسات و نهادهاي ديگر كه اگر بخواهم نام ببرم چندين صفحه ميشود. اما در مورد مدرك كه سئوال كرديد در ابتدا بايد توضيحاتي را بدهم.
ببينيد كهكشان بر روي روش آموزشي خود بسيار سختگير است. شايد يكي از دلايلي كه ما را با بقيه موسسهها متفاوت كرده است همين سختگيري باشد. خوب از طرفي همين سختگيري شايد باعث شود كه ما مشتريان كمتري داشته باشيم، ولي از طرف ديگر باعث شده كه واژه كيفيت را كنار كار موسسه كهكشان بنشاند.لابراتوارهاي آموزشي ما منحصر به فرد هستند و تكتك كساني كه اينجا مشغول به تدريس هستند از مراحل سختي ميگذرند تا به عنوان مدرس مشغول به كار شوند. غير از اينكه بايد مدارك بينالمللي و دانش كافي داشته باشند بايد اين مراحل را بگذرانند. همچنين روشهاي تدريس مدرسين و طرح درسهاي ارائه شده از طرف آنها مورد بررسي قرار ميگيرد.
اين فرآيند چند ماه به طول ميانجامد و بعد نهايت شخصي كه ملاكهاي يك مدرس خوب از نظر كهكشان را داشت استخدام ميشود. پس از استخدام هم دائما مدرسين مورد ارزيابي قرار ميگيرند. تمام كلاسهاي ما به دوربينهاي مداربسته مجهز هستند. دانشجويان ما دائماً در حال ارزيابي و امتحان هستند. روي امتحانات بسيار سختگيري ميكنيم تا كسي از امتحان قبول شود كه استحقاق داشته باشد. ما مجوز وزارت ارشاد را هم داريم. مدارك ما بعضاً با برخي موسسات خارجي به صورت مشترك صادر ميشود. مثلاً مدرك ISO كهكشان كه با موسسه BSI انگلستان كه در ردهبندي مراجع صدور گواهي نامه در دنيا رتبه اول را دارد صادر مي گردد و ما نماينده انحصاري BSI در ايران هستيم.
• پس شما به نوعي دانشجويانتان را بعد از اتمام دوره هم حمايت شغلي ميكنيد؟ اين ديگر بستگي به افراد دارد. هميشه فرصت شغلي براي كساني كه دنبال فرصت كاري هستند وجود دارد، در IT وضع به گونهاي است كه بازار شغلي داغ است و سازمانها هم تقاضاي زيادي براي اين مشاغل دارند. از طرفي هم ما ميخواهيم به سازمانها براي برطرف كردن نيازشان به متخصصين كمك كنيم و هم دوست داريم به دانشجويانمان بعد از اتمام دوره كمك كنيم. دانشجويان ما در داخل موسسه پورتالي دارند كه تمام آگهيهاي استخدام آنجا گذاشته ميشود. شرايط موسسه به گونهاي است كه تا مدتها بعد از فارغالتحصيلي، ارتباط دانشجويان با ما برقرار است. يا برخي ديگر هستند كه از طرف موسسه براي استخدام در سازمان يا نهادي معرفي شدهاند و هنوز ارتباطشان را با كهكشان حفظ كردهاند يا به تعبيري كهكشاني شدهاند.كهكشان براي ما در حكم يك خانواده بزگ است و ما دوست داريم كه همه كهكشاني بشوند!
• بهتر است در مورد ايده به وجود آمدن كهكشان مشاور ايمن صحبت كنيم. هميشه دانشجويان ما علاقه داشتند تا در سطوح مختلف از مشاوره و راهنمايي مدرسان خود استفاده كنند. حتي اگر در جايي هم مشغول بودند باز هم دائما ميآمدند و از مشاوره معلمان خود استفاده ميكردند. عقيده ما در كهكشان اين است كه يك مدرس صرفاً نبايد كار تدريس انجام دهد بلكه بايد در پروژههاي اجرايي هم شركت كنند تا دانش عملي هم داشته باشند. در نتيجه مدرسان ما هم تدريس ميكنند و هم دانش عملي دارند و از طرفي، به دانشجويان مشاوره ميدهند. ما ديديم روز به روز تقاضا براي مشاوره بيشتر ميشود. خوب تقاضا وجود داشت در نتيجه دو سال و نيم پيش با همراهي خود اساتيد ،شركت كهكشان مشاور ايمن را راهاندازي كرديم. در اين شركت كار مشاوره و اجراي پروژههاي امنيت اطلاعات و شبكه را انجام ميدهيم. اكثر مدرسان كهكشان در كهكشان مشاور هم فعاليت دارند. اين موسسه هم به ما كمك ميكند تا به تقاضاهاي موجود پاسخ دهيم هم خودمان و اطلاعاتمان را به روز نگه داريم.
• خوب حالا كه بحث امنيتي شد بهتر است بپردازم به امنيت در ايران. به نظر شما و به عنوان يك كارشناس امنيت اطلاعات و شبكه، به طور كلي مقوله امنيت در ايران چه جايگاه و وضعي دارد؟ صحبت كردن در مور بحث امنيت در ايران كار حساسي است. اما به طور كل بايد گفت بحث امنيت در كشورمان خوشبختانه هر روز پررنگتر ميشود. هر چند كه با وجود كارهايي كه انجام ميشود و اتفاقاتي كه رخ ميدهد ايرادات و انتقادات زيادي بر اين مسئله وارد است. بايد گفت اين انتقادات وارد است اما مهم روند رشد است و من فكر ميكنم اين روند رشد در ايران به وجود آمده و بسياري از سازمانها متوجه شده اند كه امنيت يك موضوع اساسي و حياتي است و دست به كار شدهاند. به نظر من هميشه رسيدن به نقطه هدف مطرح نيست.
خوشبختانه خيلي از سازمانها به اين مسئله پرداخته اند و به سمت آن رفتهاند خصوصا سازمانهاي مالي و اعتباري و بانكها كه به مباحث امنيت توجه بيشتري نسبت به گذشته نموده و در اين راستا اقدام به انجام فعاليتهايي نموده اند. ما بحث ۲۷۰۰۱ISO را داريم كه شايد بتوان گفت صحبت ISO خود يك بهانه است براي رفتن به سمت امنيت. ISO استاندارد مديريت سيستمهاي امنيت اطلاعات است. پس يك استاندارد كاملاً مديريتي است. استانداردي است كه مديران سازمانها را مجبور ميكند تا وارد مباحثي امنيتي و تكنيكال شوند. ببينيد، هميشه ما مشكلي داريم بين كارشناس و مدير كه حرف يكديگر را متوجه نميشوند و كارشناس با زبان تكنيكي هميشه درخواست چيزهايي را داشته كه از نظر مدير هزينه محسوب ميشده است.
۲۷۰۰۰ISO اين زبان و پروتكل مشترك را بين كارشناس و مدير ايجاد ميكند براي اينكه يك مدير در جريان سيستمهاي امنيتي و مسائل پيرامون آن قرار بگيرد. اگر هر طرحي هرچقدر فني و صحيح، مديريت درستي نداشته باشد با شكست مواجه ميشود. ۲۷۰۰۰ISO اين بهانه را در سازمانها ايجاد كرد تا به سيستمهاي امنيتي بيشتر بپردازيم و مديران را تشويق كنيم تا از ISO به سمت زيرساخت بروند. همين باعث شده كه اگر چه برخي سازمانها مدتهاست در راستاي اخذ مدرك ISO فعاليت دارند ولي هنوز موفق به دريافت آن نشدهاند. چرا، چون در حال بهينه نمودن زيرساخت هستند و ISO عاملي گرديده براي بهبود كل سيستمهاي امنيتي. ما در سال ۸۹ اميد داريم كه سازمانهايي كه موفق به دريافت ISO ميشوند بيشتر از قبل باشند. در حال حاضر ۴ يا ۵ گواهينامه صادر شده كه متاسفانه هيچكدام براي موسسات مالي و اعتباري و بانكها نبوده است. اما امسال اميد داريم كه بانكها نيز موفق به دريافت اين گواهينامه شوند.
• ميتوانيد صاحبان اين ۴ گواهينامه را نام ببريد؟ گمرك بندر امام كه اولين است. شركت توگا از گروه مپنا، سيمان داراب و شركت اسكن ايت و چند مورد هم به زودي گواهينامه اشان صادر مي گردد. بايد يك چيز را در تكميل پاسخ به سئوال شما در مورد امنيت اطلاعات و شبكه در ايران بگويم، اينكه امنيت چيزي نيست كه معيار اندازهگيري داشته باشد. مثلاً شما بگوييد از ۱۰۰ نمره ۸۰ يا ۷۰ ميدهم. اولاً كه امنيت صددرصد هيچ وقت وجود ندارد. اين يك قانون پايه است. مشكل ما در ايران كمبود متخصص است.
امنيت مقولهاي نيست كه بگويم فردي با خواندن چند كتاب و گذراندن چند كلاس ميشود متخصص امنيت. لازمه اين كار داشتن دانش IT از پايه، تجربه و شناخت در مورد امنيت است. همچنين مايكروسافت، لينوكس، سيسكو و بسياري موارد ديگر كه لازم هستند. امنيت بحثهاي مختلفي دارد ولي به طور كلي مشكل ما كمبود متخصص است و آنهايي هم كه هستند يا مهاجرت كردهاند و يا صرفاً در يك جاي دولتي مشغول كار هستند يا درگير پروژهها ميباشند. ما فكر ميكنيم مبحث آموزش مهمترين مسئوليت را در بهتر شدن امنيت بر عهده دارد. شايد امنيت در ايران نسبت به ساير نقاط نمره خوبي نگيرد اما نسبت به گذشته خود بهتر شده و پيشرفت كرده است.
• اين مسئله در كشور مطرح ميشود كه ميگويند درس IT در دانشگاههاي ايران فقط تا ليسانس مناسب است و براي مدارك بالاتر و دكترا بايد به خارج از كشور رفت. چرا چنين نگاهي در ايران وجود دارد؟ از قديم اين داستان را ما در همه رشتهها داشتيم و منحصر به IT نيست. متاسفانه دانش و اطلاعات در دانشگاههاي ما خيلي دير به روز ميشود. اين مسئله در IT نمود بيشتري دارد چون تغييرات و پيشرفت تكنولوژي و فناوري اطلاعات خيلي زياد است و به روز نگه داشتن كار مشكلي است. به همين دليل چه در ايران و چه در كشورهاي دنيا وضع به همين منوال است. بايد بگويم اين تنها در ايران نيست بلكه در همه كشورهاست. به همين دليل مدارك و دورههايي ايجاد شده با عنوان تكميلي، حداقل در IT اينگونه است. براي اينكه دانش به روز را به شما آموزش ميدهند. هر چقدر دانش و مدارك بيشتري داشته باشيم بهتر است. مهم است كه راه را درست برويم و به بيراهه نرويم. خوشبختانه در IT وجود مدارك و دورههاي بينالمللي به اين موضوع كمك كرده.
هميشه از من اين سئوال پرسيده ميشود كه مدرك دانشگاهي داشته باشيم بهتر است يا دورههاي تكميلي؟ من هميشه در پاسخ ميگويم اين دو از يك سنخ نيست كه بخواهيم باهم مقايسه كنيم. مدرك دانشگاه مورد تاييد وزارت علوم است و بينش و اعتبار خاصي به افراد ميدهد.در عين حال دوره هاي تكميلي تجربه و دانش روز را به فرد منتقل مي نمايد. ايدهآل، داشتن مدرك دانشگاهي است و در كنار آن دورههاي تكميلي و بينالمللي. اگر كسي وارد IT شده باشد بايد بداند تا آخر عمر هر روز بايد خود را به روز كند. در حال حاضر حداقل در مباحث كارشناسي ارشد و دكترا اين مباحث به روزتر ميشود تا كارشناسي، ما هم در نظام صنفي تلاش ميكنيم براي به روز شدن مباحث درسي دانشگاهها با آنها همكاري كنيم.
• اصولاً لازمه اين رشته اين است كه بايد بين نهادي مانند موسسه شما و دانشگاهها ارتباط تنگاتنگ و متقابلي باشد براي به روز كردن مطالب و تدوين سر فصلهاي درسي. دقيقاً. همين الان شما اگر از دانشجويان كهكشان سئوال كنيد بالاي ۶۰ درصد آنها كارشناسان و مهندسين كامپيوتر و نرمافزار هستند كه يا در حال تحصيل هستند و يا فارغالتحصيل شدهاند هم در دوره كارشناسي و هم در دوره كارشناسي ارشد، خوب به اين نتيجه رسيدهاند كه نياز به دانش تكميلي براي ورود به بازار دارند. كما اينكه در دانشگاه شما در سطح عمومي و پايه ياد ميگيرد، اما در سطح تخصصي بايد دورههاي تخصصي را گذراند.
• ارزيابي شما از وضعيت امنيت در سازمانهاي دولتي چيست؟ گفته ميشود كه نهادهاي دولتي خاستگاه جرائم رايانهاي هستند. نظر شما چيست؟ آيا هنوز نگاه سنتي و مقاومتي در برابر IT و خصوصاً مقوله امنيت وجود دارد؟ درست است. ما بر روي سازمانهاي دولتي بحث اساسي داريم. براي اينكه هدف همه حملهها نهادها و مراجع دولتي هستند. حداقل بايد گفت هدف اول هر نوع حملهسايبري سازمانها و مراكز دولتي است و اين امر كاملا طبيعي است.
• آيا امكان ارزيابي ميزان امنيت شبكه هر سازمان يا نهادي وجود دارد؟ بله، ما بحثي داريم به نام «تست نفوذپذيري». كاري است كه رسماً در همه جاي دنيا و حتي در ايران انجام ميشود. دوره و مدرك مرتبط با آن هم وجود دارد. دوره آن به نام CEH مربوط به شركت ECCouncil يا دوره هكرهاي قانونمند كه سالهاست كه در ايران برگزار ميشود. يكي از كارهايي كه اين افراد انجام ميدهند «انجام تست نفوذپذيري» با درخواست رسميخود سازمان است. به اين افراد تكنيكهاي جديد نفوذ آموزش داده شده با هدف ارائه راهكار جهت جلوگيري از نفوذ.
در نتيجه با درخواست رسمي يك سازمان اين تست انجام ميشود و متوجه ميشويم كه نقاط ضعف و نفوذ شبكه در اين سازمان چقدر و كجاست. در قدم بعدي به اين سازمان كه نقاط ضعف شبكهاش مشخص شده راهحل ارائه ميشود حالا يا راهحل و اقدام پيشگيرانه يا اصلاحي. اين تست چند سالي است كه در ايران توسط سازمانها درخواست و انجام ميشود ولي چون مباحث امنيت با اطلاعات محرمانه يك سازمان در ارتباط است، خبرهاي آن و انجام تستهاي آن زياد به بيرون درز نميكند. ولي بايد گفت هنوز اول راهيم. اين را نميگويم كه بگوييد پس ما امن هستيم و مشكلي نيست نه، امنيت يك فرآيند مداوم است كه بايد هميشه در حركت رو به جلو باشد.
• اين تستها توسط چه كساني انجام ميشود؟ اين تستها توسط مراكز خاصي كه براي اين كار هستند و توسط متخصصين امر انجام مي شود. مثلاً موسسه كهكشان از جمله مراكزي است كه اين تستها را با درخواست سازمانها انجام ميدهد. دورههاي CEH هم در موسسه ما تدريس ميشود. خوشبختانه افرادي را در ايران داريم كه توانايي و تخصص CEH را دارند. اين را هم بگويم كه اين تستها بايد به صورت دورهاي انجام ميشود. چون هر روز فناوري جديد، تكنولوژي جديد و متد نفوذ جديد به وجود ميآيد كه بايد با آنها مقابله كرد.
• شما به دوره ITIL اشاره كرديد. لطفاً در مورد اين دوره توضيح دهيد؟ ITIL بيش از دو دهه است كه در دنيا مطرح شده. ماهيت ITIL در اصل يك كتابخانه است با راهنماهاي زياد كه Best Practiceها در زمينه مديريت IT را كه در دنيا وجود دارند جمعآوري كرده و در اختيار مراكز، افراد، متخصصين IT قرار ميدادند تا براي مديريت بهتر IT از آن استفاده كنند. نسخ مختلفي از ITIL ارائه گرديده كه در حال حاضر در نسخه ۳ هستيم. ITIL از مراحل مختلف آموزشي تشكيل شده است. ITIL به روشهاي مديريتي ميپردازد كه به شما ميگويد چگونه در كمترين زمان با بهترين كيفيت ، بهترين سرويس و خدمات را به مشتري ارائه كنيد. اين يك بحث مديريتي است. مثلاً اينترنت منزل شما مشكل پيدا كرده.
شما با ISP موردنظر خود تماس ميگيريد. از زماني كه شما تماس ميگيرد تا زماني كه با طي مراحل مختلف مشكل اينترنت شما برطرف ميشود يك بحث مديريتي مطرح است كه ITIL اينجا به شما بگويد بهترين روش مديريت اين پروسه كدام است؟ اين يك بخش از مباحث مطرح شده در ITIL است. ولي همه مباحث مديريتي هم به نوعي به زيرساخت مربوط ميشود. در همين راستا موضوعي را داريم به نام Service Management كه خود شامل دو بخش ارائه سرويسها و حمايت و پشتيباني از آنها است. ما نه تنها در خدمات IT بلكه در بسياري از سرويسهايي كه در ايران و در همه جاي دنيا داريم اين مشكل را ميبينيم كه سرويس خوب داده ميشود ولي بعد مشتري رها ميشود. در حالي كه سرويس دادن گام كوچك اول است، مهمتر پيشتيباني از اين سرويس و مشتري است.
ITIL روي همين نكته دست ميگذارد. ميگويد مشتري پادشاه است. بايد مثل يك پادشاه با او برخورد كرد و بايد بهترين سرويس را به او داد. Service Management بحثهاي تخصصي زيادي را دارد و تازه در حال رونق گرفتن در ايران است. بر اساس ITIL يك ISO ايجاد شده به نام ۲۰۰۰۰ISO كه اين را تبديل به يك استاندارد كرده است. موج بعدي ISOها همين ۲۰۰۰۰ISO است كه استاندارد و مديريت سرويسهاي IT است و بسيار گستردهتر از ۲۷۰۰۰ISO محسوب ميشود. اين دورهها نيز در كهكشان تدريس ميشود و مشاوره هم در اين زمينه ميدهيم.
• برويم سراغ بحثهاي زنانه! خودتان هم اشاره كرديد كه بازار اشتغال در IT داغ است. شما به عنوان يك زن فعال در IT هم در ايران بودهايد و هم در خارج از ايران. سهم و وضع زنان ايران را در اين بازار چگونه ارزيابي ميكنيد؟ اگر وضع خوب نيست دليلش چيست؟ فرهنگ، جامعه، نقش و وظايف زنان. كدام؟ وضعيت زنان ايران نسبت به دنيا كه كلاً چندان خوب نيست. در دنيا يك سري از موفقترين مديران IT زن هستند. اگر چه كه بسياري از آقايان معترفند كه خانمها مديران خوبي هستند چون افرادي دقيق و دلسوزند و واقعاً تلاش ميكنند. اما ما هنوز مشكل فرهنگي در ايران داريم. ببينيد من چندين سال است كه تدريس ميكنم. هنوز هم جلسه اول كه سر كلاس ميروم هميشه يك ربع تا نيم ساعت اول تنشي در كلاس است كه من بايد خود را به عنوان يك خانم اثبات كنم. اگر چه بعد از نيم ساعت شرايط به كلي فرق ميكند و ديگر بحث خانم و آقا نداريم. يا همين چند وقت پيش اولين كنفرانس ملي امنيت اطلاعات در ايران برگزار شده بود كه من هم جزء سخنرانان بودم.
همه سخنرانان آقا بودند و فقط من خانم بودم. باور نميكنيد به قدري اين مسئله براي همه عجيب بود كه در ابتداي امر به وضوح ميتوانستيد نگاه بدبينانه و شكاك را در رفتار بسياري از حاضرين ببينيد كه اين نگاه در پايان سخنراني ۱۸۰ درجه تغيير پيدا نمود. در سالهاي اخير وضعيت خيلي بهتر شده. در سالهاي گذشته در هر كلاس كه ما برگزار ميكرديم شايد ۲ يا ۳ خانم داشتيم ولي الان اين نسبت عوض شده است. در هر كلاس حداقل ۴۰ تا ۵۰ درصد خانم هستند. اين پيشرفت بزرگي است. ما ده سال پيش مدير خانم در سمتهاي دولتي نداشتيم اما الان داريم. اگر چه خانمها راه سختتري دارند. ما دائما خودمان را بايد اثبات كنيم.ما اگر روزي ناراحت باشيم ميگويند «واضحه، خانم بود ، فوري ناراحت شد!».
پس راهي كه ما در پيش داريم مشكلتر و دشوارتر است. اگر آقايي عصباني شود، قهر كند، ناراحت باشد كسي خرده نميگيرد اما كافيست يك خانم ناراحت شود، ميگويند: «زنها همهشان همينطورند!» ولي با همه اين سختيها ما توانستهايم بجنگيم و راه خودمان را باز كنيم و پيشرفت محسوس بوده است. من خوشحال ميشوم وقتي به بانكي ميروم و ميبينم مدير بخش امنيت آن بانك خانم است. فرهنگ ايران اگرچه پذيرفته كه خانمها وارد بازار كار شوند ولي نپذيرفته كه وظايف او را در خانه كمتر كند و اين باعث ميشود كه فشار روي زنان ده برابر بيشتر شود. همان ديدگاه سنتي نسبت به وظيفه خانه و خانهداري زن جاي خود مانده، حالا وظايف بيرون از خانه هم به آن اضافه شده ولي زنان موفق هر دوي اينها را در كنار هم پيش ميبرند.
ولي خارج از ايران اين مشكل نيست. در ايران خانمي اگر آشپزخانهاش هر روز به راه نباشد و از آن بوي غذا نيايد خانم محسوب نميشود. ولي در خارج اگر يك روز زن براي خانواده غذا درست كند از او تشكر ميشود! مسئله البته ايجاد تعادل است و بايد هم كار و هم خانواده را در تعادل باهم در نظر گرفت و در زندگي مشاركت وجود داشته باشد!
• خوب براي سئوال آخر ميرويم سراغ كميسيون افتا. از كميسيون چه خبر و چه برنامههايي داريد؟ تا به امروز دومين جلسه مان را بعد از عيد برگزار كرده ايم. كارگروهها معين و مشخص شدهاند، همينطور فعاليتها و وظايف آنها. به فعاليتهاي افتا خيلي اميد داريم. با انرژي زيادي كار را شروع كردهايم. متخصصان خوبي در كميسيون افتا دور هم جمع شدهاند. اهداف خوبي مانند تعيين تعرفهها، مشاوره و آموزش، بررسي استانداردهاي امنيت، امنيت فيزيكي و تعامل با سازمانهاي دولتي مشخص شده است. فكر ميكنم بتوانيم كارهاي خوبي انجام دهيم. خبرش را به شما خواهيم داد.