فرادیس البرز سابقه طولانی در اجرای (VSAT (Very Small Aperture Terminal و ATM دارد و تقریباً برای همه بانکها نامی آشناست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ندا کریمی، مدیر ریسک و امنیت اطلاعات شرکت دادهورزی فرادیس البرز، تأمین امنیت را متکی به تکتک عناصر موجود در یک اکوسیستم میداند و میگوید که برای تحقق امنیتی مطلوب و پایدار باید سیستمی یکپارچه در سایه استانداردها و قوانین جامع داشتهباشیم. گفتوگوی ما را با مدیر ریسک و امنیت اطلاعات شرکت دادهورزی فرادیس البرز در ادامه میخوانید.
یکی از بخشهایی که وجود امنیت در آن ضرورت دارد اکوسیستم بانکی هر کشور است. فرادیس چگونه امنیت خدمات خود را به این حوزه تضمین میکند؟
شرکت دادهورزی فرادیس البرز همواره کوشیدهاست محصولات با استاندارد بالا و کیفیت جهانی را ارائه دهد که کارکرد آنها برای سالها تضمین شده باشد. دارا بودن نمایندگی رسمی یک برند معتبر جهانی تاییدی بر این موضوع است. همچنین بیش از ۱۳۰ دفتر عملیاتی در سراسر کشور، پشتیبانی خوب ما را ضمانت می کند که این ویژگی، خدمات شرکت را در داخل کشور شاخص و متمایز کردهاست.
از طرفی ما روی نرمافزار ATM، انجام تستهای نفوذپذیری، مدیریت دسترسیها، غیرفعالسازی پورتهای اضافی، هاردنینگ سیستمعامل را رعایت کرده و هرچند در کشورمان هنوز استاندارد (PCIDSS (Payment Card Industry Data Security Standard اجباری نشدهاست تا حد امکان روی این موضوع حساس هستیم و نکات امنیتی را لحاظ میکنیم.
با همین ملاحظات، محصولات خودپرداز ما با تجهیزات امنیتی طراحی شده توسط خود ما پشتیبانی میشوند، نظیر آنتیاسکیمینگ، دوربین و ATM Guard. با فراهم کردن سیستم مانیتورینگ از راه دور ایرما (Irma) نیز ابزار کنترلی دقیقی روی عملکرد کل شبکه خودپرداز در اختیار بانک قرار میدهیم.
ذکر این نکته هم ضروری است که در مدیریت نیروی انسانی هم ملاحظاتی به کارگرفته شده تا ریسکهای امنیتی به حداقل برسد و خوشبختانه حسن عملکرد طولانی مدت فرادیس در این زمینه هم موید این نکته است. بدینترتیب در حوزههای مرتبط با فرادیس البرز اقدامات موثری انجام شدهاست.
زیرساختهای کشور تا چه اندازه در تامین این امنیت کمککنندهاند و چه میزان تغییراتی به نظر میرسد نیاز باشد تا شرکتی مانند مجموعه شما بتواند خدمات خود را با بهترین کیفیت ممکن ارائه دهد؟
همانطور که در پاسخ سؤال قبلیتان گفته شد، فرادیس نقش خود را در این یک اکوسیستم بهخوبی درک کرده و سعی میکند به بهترین نحوه این نقش را ایفا کند. در یک نگاه کلی امنیت کل اکوسیستم بانکی، نیازمند همکاری کلیه بازیگران آن است. ما به عنوان کسی که ATM در اختیار بانکهای مختلف قرار میدهیم در تامین امنیت فیزیکی آن هم به الزاماتی ازجمله آنتیاسکیمینگ، دوربین داخلی، دوربین خارجی و چیزهایی از این قبیل نیاز داریم که امنیت فیزیکی آن را تا حد خیلی خوبی تأمین کند و اینها باید وجود داشتهباشند. فکر میکنم لازم است یکسری زیرساخت اساسی در کشور تقویت شود. استانداردسازی و تدوین مقررات متناسب باعث میشود با پیروی از همین حداقلهای لازم بتوانیم از جایی این کنترل را بر اکوسیستم داشتهباشیم و یکپارچگی ایجاد کنیم. تدوین مقررات متناسب، تمام اکوسیستم را به سمتی میبرد که در نتیجه آن یک مجموعه ارائهدهنده، کیفیت مطلوب ایجاد کرده و اعتبار آن پایدار میماند.
موضوع دیگر، وجود نهاد پرقدرت ممیز است که تقلب، پولشویی یا تراکنشهای غیرواقعی و تخلفاتی از این قبیل را به شدت هرچه تمامتر کنترل کند. البته کارهای خوبی در این مورد انجام شدهاست و شرکت کاشف با همین هدف روی کار آمد و امیدواریم بتواند به عنوان بازوی نظارتی بانک مرکزی، موانع را بردارد.
آیا جایگزینی صد درصدی محصولات بومی در شبکه و زیرساختها در حال حاضر گزینهای مطلوب است یا فکر میکنید که در مواردی بهتر است اینگونه نباشد؟
بومیسازی یعنی اینکه ما یکسری محصولات را با تکیه بر توان، دانش و ابزار داخلی تولید کنیم و پشتیبانی آن را هم ارائه دهیم. باید توانمندی در این حوزه را افزایش دهیم تا توان شانهبهشانه بودن با دنیا را در همه بخشهای تکنولوژی در خود بینیم. خوب است که از بومیسازی حمایت شود، اما بهصورت موازی؛ یعنی همزمان در کنار استفاده از محصولات خارجی دارای کیفیت مطلوب و ایمن، محصولات بومی را به کار گیریم و کمکم این جایگزینیها را انجامدهیم تا به محیط پویای بومیسازی اجازه رشد بدهیم.
با توجه به توانسنجیهای انجام شده حرکت ناگهانی و یکباره راهگشا نیست؛ چراکه محصولات بومی ما هنوز با سایر محصولات موجود در سیستم به یکپارچگی نرسیدهاند و البته ریسکهایی هم در استفاده از محصولات خارجی داریم. قطعا در یک زمان کوتاه نمیتوانیم تمام محصولات به کار رفته در سیستم را بومیسازی کنیم. باید محصولی که بومیسازی میکنیم بتواند با دیگر اجزا و سایر محصولاتی که در سازمان استفاده میشوند و احتمالا از برندهای مختلف هستند همخوانی داشتهباشد و بتواند آنها را پشتیبانی کند.
از آنجایی که بیشترین اتفاقات امنیتی طبق آمار، ناشی از اشتباهات کارکنان است، آیا برنامههایی برای ارتقای آگاهی کارکنان و ملزم کردن آنها به رعایت موارد امنیتی دارید؟
با وجود استفاده از تمام آنتیویروسها و فایروالها و ابزار امنیتی روز، اگر ادمین و کاربر اصلی یک سیستم از دانش امنیتی کافی برخوردار نباشد تمام اطلاعات یک سازمان احتمال نشر و نشت به بیرون را خواهند داشت. ما در فرادیس یک پروژه مهم و بزرگ آگاهیرسانی امنیت اطلاعات داریم که بر اساس اصول مدیریت پروژه با تحقیق کافی منابع به شکل فازبندی، تدوین شدهاست تا هم بر فرهنگ سازمانی و هم بر دانش امنیت اطلاعات افراد سازمان در تمامی سطوح کاملاً تعیین شده از عمومی تا تخصصی، کار کند و به افراد به تناسب شرح وظایف دانش امنیتی لازم را بیاموزد.