نقش سیستم مدیریت امنیت اطلاعات در دادهورزی سداد
امروزه مهمترین اقدام در راستای امنسازی یک سازمان، ایجاد یک چارچوب قدرتمند مدیریت اقدامات امنیتی است. فرآیند امنسازی سازمان بدون لحاظ نمودن مسائل مدیریت امنیت و گسترش آن در سطح همه بخشهای حساس و استراتژیک سازمان میسر نیست. سیستم مدیریت امنیت اطلاعات یا همان ISMS با انتخاب کنترلهای امنیتی کافی و متناسب، محافظت از داراییهای اطلاعاتی را تضمین میکند. به این ترتیب راهحلهای امنیتی استاندارد به تمامی سختافزارها، نرمافزارها، ارتباطات و بسترهای آنها اعمال میشود تا سازمان را در جهت نیل به موفقیت در سایه داشتن محیطی امن یاری کند.
در شرکت دادهورزی سداد نیز با توجه به پروژهها و ذینفعان مختلف، مدیریت امنیت اطلاعات اهمیت ویژهای دارد. تیم سیستم مدیریت امنیت اطلاعات این شرکت از 4 نفر تشکیل شده است که مستقیما تحت نظر معاونت عملیات شرکت دادهورزی سداد در حال اجرای پروژه پیادهسازی سیستم مدیریت امنیت اطلاعات هستند. ما در مطلب ادامه، ضمن معرفی اعضای این تیم، به تشریح نقش این تیم در دادهورزی سداد و خاطرات و پیشنهادات آنها میپردازیم:
در ابتدا اعضای تیم ISMS دادهورزی سداد را معرفی میکنیم؛
ملیحه احمدی، دارای مدرک کارشناسی مهندسی صنایع گرایش تحلیل سیستمها و کارشناسی ارشد مدیریت صنعتی است و حدود 3 سال است که از حضور او در شرکت سداد میگذرد. احمدی در حال حاضر کارشناس حوزه سیستم مدیریت امنیت اطلاعات است.
مریم خنجریان، کارشناسی علوم کامپیوتر و کارشناسی ارشد مدیریت اجرایی دارد و 12 سال است که به صورت حرفهای در زمینه مشاوره و پیادهسازی سیستم مدیریت امنیت اطلاعات فعالیت میکند. خنجریان در حال حاضر کارشناس ارشد سیستم مدیریت امنیت اطلاعات در شرکت سداد است.
امیرحسین شیوازاد، کارشناسی ارشد خود را در رشته مدیریت اجرایی دانشگاه علامه طباطبایی گذرانده است. شیوازاد در حال حاضر، مدیر دفتر راهبری معاونت عملیات است و به عنوان مدیر پروژه در گروه پروژه سیستم مدیریت امنیت اطلاعات نیز شناخته میشود.
علی طاهریان، تحصیلات خود را در دوره کارشناسی ارشد رشته امنیت اطلاعات و همچنین MBA به پایان رسانده است و دارای مدارک بینالمللی CISM و CISA از ISACA است. طاهریان در حال حاضر به عنوان کارشناس امنیت اطلاعات مشغول به همکاری با بازوی IT بانک ملی یعنی شرکت دادهورزی سداد است.
نقش تیم سیستم مدیریت امنیت اطلاعات
در آغاز این میزگرد، اعضای تیم سیستم مدیریت امنیت اطلاعات شرکت دادهورزی سداد به تشریح نقش این تیم پرداختند.
امیرحسین شیوازاد، مدیر دفتر راهبری معاونت عملیات با اشاره به اینکه در سالیان گذشته اقدامات ارزشمند بسیاری در زمینه امنیت اطلاعات صورت گرفته است، بیان کرد: «عمده اقدامات، به بهبود امنیت اطلاعات سرویسهای ارائه شده به مشتریان و امنیت شبکه معطوف شده است. پروژه ISMS با هدف بهبود امنیت سرویسهای مشتریان از طریق سیاستگذاری کلان و بلندمدت، بهبود امنیت درون سازمان، افزایش رضایتمندی کارکنان و ارتقای سرویسها تعریف شده و جهت پیادهسازی در دستور کار قرار گرفته است.»
ملیحه احمدی، کارشناس حوزه سیستم مدیریت امنیت اطلاعات، نیز گفت: «در دنیای امروز داشتن نگاهی ریسک محور در مدیریت امنیت اطلاعات و تصمیمگیریهای مرتبط غیر قابل چشمپوشی است. بنابراین تلاش داریم تا با پیادهسازی سیستم مدیریت امنیت اطلاعات به سداد کمک کنیم تا تصمیمات حوزه امنیت اطلاعات را مبتنی بر مدیریت ریسکهای شناسایی شده اتخاذ کنیم.»
مریم خنجریان، کارشناس ارشد سیستم مدیریت امنیت اطلاعات ادامه داد: «با توجه به گستردگی حوزه ISMS، ما قصد داریم که به امنیت اطلاعات از منظرهای مختلف کسبوکاری، فنی، حقوقی، منابع انسانی و … پرداخته و با همراهی واحدهای تخصصی به ارتقای سازمان در حوزههای مختلف و بهبود فرایندها و روالهای سازمانی کمک کنیم.»
علی طاهریان، کارشناس امنیت اطلاعات نیز اینگونه توضیح داد: «به طور کاملا جدی به دنبال بهبود و به بلوغ رساندن فرهنگ امنیت اطلاعات در میان همکاران سدادی از طریق اجرای برنامهای مستند و بلندمدت در حوزه آگاهیرسانی امنیت اطلاعات هستیم. بخشی از مطالب تولید شده را میتوانید در کانال آپارات و حساب اینستاگرام سداد ببینید.»
تعریف کوتاهی از ISMS و نقش آن در سداد
شیوازاد، در رابطه با نقش سیستم امنیت اطلاعات (ISMS) در شرکت دادهورزی سداد بیان کرد: «با توجه به هدف سداد برای ایجاد تنوع در سبد محصولات خود، فراهم نمودن سطح مناسبی از امنیت اطلاعات، از طریق پیادهسازی ISMS، یکی از مهمترین مزیتهای رقابتی سداد در آینده خواهد بود.»
طاهریان نیز اینگونه توضیح داد: «سیستم امنیت اطلاعات را میتوان به عنوان همنواساز (Orchestrator) فعالیتهای امنیتی یک سازمان دانست. به عبارت دیگر ISMS به سازمانها کمک میکند که یک نگاه کلنگر و معقولانه در مدیریت کردن امنیت اطلاعات داشته و روشی راهبردی برای سرمایهگذاری در حوزه امنیت سازمان ایجاد کند.»
خنجریان با اشاره به اینکه سیستم امنیت اطلاعات (ISMS) با توجه به گستردگی خود تقریبا همه بخشهای سازمان را زیر چتر امنیت قرار داده است، افزود: «این سیستم به وضوح موجب بهبود عملکرد کلی امنیت سازمان به خصوص در بخشهای فناوری محور میشود. در دادهورزی سداد، ISMS به عنوان اولین سیستم مدیریتی پیادهسازی شده است و بناست که فرآیندهای اجرایی سازمان را بهبود داده و به کل سازمان کمک کند تا به همراستایی برسند.»
احمدی نیز در رابطه با نقش سیستم امنیت اطلاعات (ISMS) بیان کرد: «شرکت دادهورزی سداد به عنوان بازوی فناوری اطلاعات بانک ملی ایران وظیفه سنگینی در حوزه حفظ اطلاعات مشتریان بانک ملی ایران دارد و با پیاده سازی ISMS قصد دارد قدمهای محکمتری در این راستا بردارد.»
یک خاطره شیرین و تلخ
در ادامه این پنل از اعضای تیم سیستم مدیریت امنیت اطلاعات شرکت سداد خواستیم تا به روایت خاطرات شیرین و تلخ خود بپردازند.
خنجریان خاطره شیرین خود را اینگونه روایت کرد: «کارهای مدیریتی برخلاف امور فنی عموما خیلی زود بازده نیستند و به همین دلیل نیازمند صبر و تحمل زیادی هستند، بنابراین وقتی بعد از مدتها تلاش شاهد بهبود یک بخش یا فرآیند از سازمان هستیم، یکی از شیرینترین لحظاتی است که در سازمان تجربه میکنیم.»
احمدی نیز گفت که تا کنون خاطره تلخی نداشته است، اما قطعا کار تیم سیستم مدیریت امنیت اطلاعات همانند تمام فرآیندهای مدیریتی همراه با سختیها و مقاومتهای بسیاری بوده که با صبر و همکاری همه گروه به تدریج پیشرفتهایی حاصل شده است.
شیوازاد خاطره تلخ را مرتبط به این روزها دانست که به دلیل شرایط کنونی، ارتباطات بیشتر از بستر صفحه نمایش و دوربینها صورت میگیرد. او توضیح داد: «هرچند این هم به نوبه خود تجربه بدیع و جالبی است، اما برای ما که ارتباط با افراد را در بستر فرایندها و روالها میدانیم، این دوره طولانی کمی سخت گذشته است.»
شیرینترین خاطره طاهریان از سداد در روزهای اول پیوستن به این مجموعه اتفاق افتاده است. او در این رابطه گفت: «در مرداد 98 رویدادی به مناسبت روز جهانی صمیمیت و دوستی توسط واحد روابط عمومی برگزار شد که در آن همکاران به هم گل دادن و عکس سلفی گرفتن و در گروه عمومی شرکت با هم به اشتراک گذاشتند. برای کسی که تازه وارد یک سازمان بزرگ شده و افرادی کمی رو میشناخت، این اتفاق ، حرکت جالبی بود و باعث ایجاد یک حال خوب و حس تعلق به یک خانواده بزرگ شد.»
پیشنهادهایی برای بهبود فرایندها یا ارتقای راهکارهای سداد
در پایان این پنل از اعضای تیم سیستم مدیریت امنیت اطلاعات شرکت سداد درباره پیشنهادشان برای بهبود راهکارهای دادهورزی سداد سوال کردیم.
احمدی در پاسخ به این سوال گفت: «به دلیل وجود رابطه تنگاتنگ بین شرکت دادهورزی سداد و بانک ملی ایران، در جهت پیادهسازی و بهبود راهکارهای ارائه شده توسط ISMS نیاز است که بانک ملی در این زمینه همکاری نزدیک با گروه ISMS داشته باشد و با اعلام نظرات و تجربیات بانک در حوزههای مختلف مسیر حرکت در راستای ایجاد سیستم مدیریت اطلاعات به بهبود فرهنگ امنیت اطلاعات کمک کند.»
خنجریان نیز اینگونه توضیح داد: «سداد هم مانند بسیاری از سازمانهایی که رابطه نزدیکی با سیستمهای دولتی داارند، برای تغییر و بهبود نیازمند تحول و تغییر دیدگاه است که به لطف همکاران و مدیریت محترم عامل، چند سالی است این تغییر به روشهای مختلف در شرکت جاری شده و تحولات مناسبی در این زمینه رخ داده است. همچنین توجه به استانداردهای ارائه سرویس در دنیا و تلاش برای رسیدن به این استانداردها مستلزم خلاقیت، تفکرات جدید و اعتماد به این نوع جدید انجام کار در سازمان است.»
شیوازاد نیز پیشنهاد خود برای ارتقای راهکارهای سداد را اینگونه بیان کرد: «مهمترین مساله در هر مجموعهای که قصد پیادهسازی و استمرار حرکت در مسیر یک استاندارد را دارد، همراهی و هم مسیر شدن بخشهای مختلف آن در راستای هدف مشترک است. سداد هم از این موضوع مستثنی نیست و امیدواریم با ادامه روند موجود، در کنار هم این گذار را با کیفیت بهتری طی کنیم.»
طاهریان در پایان افزود: «سداد مانند هر سازمان دیگری نیاز دارد تا تمرکز بیشتری را معطوف به ایجاد فضای ارتقا علمی و حرفهای کارکنان خود و نگهداشت آنها نماید. در این مسیر برنامهریزی و فرهنگسازی لازم در خصوص مدیریت منابع انسانی میتواند علاوه بر جذب نیروهای متخصص و افراد جوان، موجب ایجاد نگرشهای جدید و خلاقانه به بدنه سازمان شود.»