گفت‌وگو با مدیر ریسک و امنیت اطلاعات شرکت داده‌ورزی فرادیس البرز
یکپارچگی، همکاری و استاندارد؛ الزام تامین امنیت اکوسیستم بانکی
کد مطلب: 13419
تاریخ انتشار : سه شنبه ۲۳ آبان ۱۳۹۶ ساعت ۰۹:۰۰
 
فرادیس البرز سابقه طولانی در اجرای (VSAT (Very Small Aperture Terminal و ATM دارد و تقریباً برای همه بانک‌ها نامی آشناست.
یکپارچگی، همکاری و استاندارد؛ الزام تامین امنیت اکوسیستم بانکی
 
 
Share/Save/Bookmark
فرادیس البرز سابقه طولانی در اجرای (VSAT (Very Small Aperture Terminal و ATM دارد و تقریباً برای همه بانک‌ها نامی آشناست.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ندا کریمی، مدیر ریسک و امنیت اطلاعات شرکت داده‌ورزی فرادیس البرز، تأمین امنیت را متکی به تک‌تک عناصر موجود در یک اکوسیستم می‌داند و می‌گوید که برای تحقق امنیتی مطلوب و پایدار باید سیستمی یکپارچه در سایه استانداردها و قوانین جامع داشته‌‌باشیم. گفت‌وگوی ما را با مدیر ریسک و امنیت اطلاعات شرکت داده‌ورزی فرادیس البرز در ادامه می‌خوانید.

یکی از بخش‌هایی که وجود امنیت در آن ضرورت دارد اکوسیستم بانکی هر کشور است. فرادیس چگونه امنیت خدمات خود را به این حوزه تضمین می‌کند؟
شرکت داده‌ورزی فرادیس البرز همواره کوشیده‌است محصولات با استاندارد بالا و کیفیت جهانی را ارائه دهد که کارکرد آنها برای سال‌ها تضمین شده ‌باشد. دارا بودن نمایندگی رسمی یک برند معتبر جهانی تاییدی بر این موضوع است. همچنین بیش از ۱۳۰ دفتر عملیاتی در سراسر کشور، پشتیبانی خوب ما را ضمانت می کند که این ویژگی، خدمات شرکت را در داخل کشور شاخص و متمایز کرده‌است.

از طرفی ما روی نرم‌افزار ‌ATM، انجام تست‌های نفوذپذیری، مدیریت دسترسی‌ها، غیرفعال‌سازی پورت‌های اضافی، هاردنینگ سیستم‌عامل را رعایت کرده و هرچند در کشورمان هنوز استاندارد (PCIDSS (Payment Card Industry Data Security Standard اجباری نشده‌است تا حد امکان روی این موضوع حساس هستیم و نکات امنیتی را لحاظ می‌کنیم.

با همین ملاحظات، محصولات خودپرداز ما با تجهیزات امنیتی طراحی شده توسط خود ما پشتیبانی می‌شوند، نظیر آنتی‌اسکیمینگ، دوربین و ATM Guard. با فراهم کردن سیستم مانیتورینگ از راه دور ایرما (Irma) نیز ابزار کنترلی دقیقی روی عملکرد کل شبکه خودپرداز در اختیار بانک قرار می‌دهیم.

ذکر این نکته هم ضروری است که در مدیریت نیروی انسانی هم ملاحظاتی به کارگرفته شده تا ریسک‌های امنیتی به حداقل برسد و خوشبختانه حسن عملکرد طولانی مدت فرادیس در این زمینه هم موید این نکته است. بدین‌ترتیب در حوزه‌های مرتبط با فرادیس البرز اقدامات موثری انجام شده‌است.

زیرساخت‌های کشور تا چه اندازه در تامین این امنیت کمک‌کننده‌اند و چه میزان تغییراتی به نظر می‌رسد نیاز باشد تا شرکتی مانند مجموعه شما بتواند خدمات خود را با بهترین کیفیت ممکن ارائه دهد؟
همان‌طور که در پاسخ سؤال قبلی‌تان گفته شد، فرادیس نقش خود را در این یک اکوسیستم به‌خوبی درک کرده و سعی می‌کند به بهترین نحوه این نقش را ایفا کند. در یک نگاه کلی امنیت کل اکوسیستم بانکی، نیازمند همکاری کلیه بازیگران آن است. ما به عنوان کسی که ATM در اختیار بانک‌های مختلف قرار می‏دهیم در تامین امنیت فیزیکی آن هم به الزاماتی ازجمله آنتی‌اسکیمینگ، دوربین داخلی، دوربین خارجی و چیزهایی از این قبیل نیاز داریم که امنیت فیزیکی آن را تا حد خیلی خوبی تأمین کند و اینها باید وجود داشته‌‌باشند. فکر می‌کنم لازم است یک‌سری زیرساخت اساسی در کشور تقویت شود. استانداردسازی‌ و تدوین مقررات متناسب باعث می‌شود با پیروی از همین حداقل‌های لازم بتوانیم از جایی این کنترل را بر اکوسیستم داشته‌‌باشیم و یکپارچگی ایجاد کنیم. تدوین مقررات متناسب، تمام اکوسیستم را به سمتی می‌برد که در نتیجه‌ آن یک مجموعه ارائه‌دهنده، کیفیت‌ مطلوب ایجاد کرده و اعتبار آن پایدار می‌ماند.

موضوع دیگر، وجود نهاد پرقدرت ممیز است که تقلب، پول‌شویی یا تراکنش‌های غیرواقعی و تخلفاتی از این قبیل را به شدت هرچه تمام‌تر کنترل کند. البته کارهای خوبی در این مورد انجام شده‌است و شرکت کاشف با همین هدف روی کار آمد و امیدواریم بتواند به عنوان بازوی نظارتی بانک مرکزی، موانع را بردارد.

آیا جایگزینی صد درصدی محصولات بومی در شبکه و زیرساخت‌ها در حال حاضر گزینه‌ای مطلوب است یا فکر می‌کنید که در مواردی بهتر است این‌گونه نباشد؟
بومی‌سازی یعنی اینکه ما یک‌سری محصولات را با تکیه بر توان، دانش و ابزار داخلی تولید کنیم و پشتیبانی آن را هم ارائه دهیم. باید توانمندی در این حوزه را افزایش دهیم تا توان شانه‌به‌شانه بودن با دنیا را در همه بخش‌های تکنولوژی در خود ‌بینیم. خوب است که از بومی‌سازی حمایت شود، اما به‌صورت موازی؛ یعنی هم‌زمان در کنار استفاده از محصولات خارجی دارای کیفیت مطلوب و ایمن، محصولات بومی‌ را به کار گیریم و کم‌کم این جایگزینی‌ها را انجام‌دهیم تا به محیط پویای بومی‌سازی اجازه رشد بدهیم.

با توجه به توان‌سنجی‌های انجام شده حرکت ناگهانی و یک‌باره راهگشا نیست؛ چراکه محصولات بومی ما هنوز با سایر محصولات موجود در سیستم به یکپارچگی نرسیده‌اند و البته ریسک‌هایی هم در استفاده از محصولات خارجی داریم. قطعا در یک زمان کوتاه نمی‌توانیم تمام محصولات به کار رفته در سیستم را بومی‌سازی کنیم. باید محصولی که بومی‌سازی می‌کنیم بتواند با دیگر اجزا و سایر محصولاتی که در سازمان استفاده می‌شوند و احتمالا از برندهای مختلف هستند هم‌خوانی داشته‌باشد و بتواند آنها را پشتیبانی کند.

از آنجایی که بیشترین اتفاقات امنیتی طبق آمار، ناشی از اشتباهات کارکنان است، آیا برنامه‌هایی برای ارتقای آگاهی کارکنان و ملزم کردن آنها به رعایت موارد امنیتی دارید؟
با وجود استفاده از تمام آنتی‌ویروس‌ها و فایروال‌ها و ابزار امنیتی روز، اگر ادمین و کاربر اصلی یک سیستم از دانش امنیتی کافی برخوردار نباشد تمام اطلاعات یک سازمان احتمال نشر و نشت به بیرون را خواهند داشت. ما در فرادیس یک پروژه مهم و بزرگ آگاهی‌رسانی امنیت اطلاعات داریم که بر اساس اصول مدیریت پروژه با تحقیق کافی منابع به شکل فازبندی، تدوین شده‌‌است تا هم بر فرهنگ سازمانی و هم بر دانش امنیت اطلاعات افراد سازمان در تمامی سطوح کاملاً تعیین شده از عمومی تا تخصصی، کار کند و به افراد به تناسب شرح وظایف دانش امنیتی لازم را بیاموزد.
مرجع : شماره هشتم کتاب سال افتا