لزوم بررسی «ترک فعل مدیران» در حوزه امنیت سایبری بعد از حملات سایبری

به گزارش سیتنا، دکتر هاشم حبیبی در گفت‌وگوی ماه شماره 93 ماهنامه نسل چهارم به خبرنگار ما پیرامون موضوع امنیت سایبری در کشور، گفت: در بحث امنیت دو موضوع راهکار فنی و راهکار مدیریتی باید مدنظر قرار گیرد که در حال حاضر از لحاظ راهکار فنی در شرایط نسبتا مناسبی به سر می‌بریم و از محصولات و نیروی انسانی با توان فنی بالایی برخوردار هستیم. در حال حاضر در بازار ایران محصولات امنیتی داخلی و خارجی جهت امن‌سازی فضای مجازی وجود دارد که بسته به حساسیت سازمان‌ها در نگهداری و حفاظت از اطلاعات می‌توانند از آنها استفاده نمایند.

وی، ادامه داد: بزرگترین معضل ما در امنیت، نقص در ارائه راهکارهای مدیریتی است، منظور از راهکارهای مدیریتی، تدوین و ابلاغ بخش‌نامه‌ها، دستورالعمل‌ها، آیین‌نامه‌ها، قوانین و مقررات و همچنین تصویب بودجه‌های امنیتی و خرید و نوسازی تجهیزات و نرم‌افزارهای حوزه فناوری اطلاعات و امنیت سایبری و استخدام نیروهای فنی است. با توجه به اینکه راهکارهای فنی نمی‌توانند در همه حوزه‌های فناوری اطلاعات جوابگوی نیازهای امنیتی باشند، پس لازم است که در کنار فعالیت‌های فنی، مسائل مدیریتی نیز بطور جدی مدنظر قرار گیرد.

وی ادامه داد: در یکی دو سال اخیر حملات سایبری به زیرساخت‌های کشور شدت گرفته و در اکثر این حملات بزرگترین مشکلی که خودنمایی می‌کند، عدم حمایت مدیران ارشد سازمان‌های مورد حمله قرارگرفته از فعالیت‌های حوزه امنیت فناوری اطلاعات می‌باشد. این عدم حمایت‌ها از تخصیص ندادن بودجه کافی، اولویت ندادن به امنیت اطلاعات، تخصیص ندادن جایگاه امنیت اطلاعات و یا استخدام نکردن متخصص امنیت اطلاعات و مواردی از این قبیل می‌باشد. هرچند بعد از حمله و تا زمانی که نهادهای بالادستی پیگیری می‌کنند، مدیران ارشد به اهمیت حفاظت از اطلاعات تاکید می‌کنند، اما با گذشت زمان دوباره در بر همان پاشنه می‌چرخد و مدیران فراموش می‌کنند که یکی از مهمترین وظایف آنها حفاظت از دارایی‌ها و سرمایه‌های سازمان است. در این میان نیز اطلاعات از مهمترین دارایی‌های هر سازمان می‌باشد.

حبیبی گفت: یک اصل در تمامی سازمان‌ها و شرکت‌ها وجود دارد که مسوولیت امنیت اطلاعات با بالاترین رده هر سازمان است و این مسولیت قابل تفویض نمی‌باشد. بنابراین مدیران باید بدانند که هر اتفاقی در خصوص افشا اطلاعات محرمانه، عدم دسترسی به اطلاعات و یا خرابکاری در فرایندهای سایبری بیفتد، باید پاسخگو باشند. یکی از کارهای بسیار خوبی که اخیراً قوه‌قضاییه در خصوص بررسی عملکرد مدیران انجام می‌دهد و آیین‌نامه‌های آن را نیز منتشر کرده است، موضوع «ترک فعل مدیران» می‌باشد. فردی که قبول مسولیت می‌کند و بر صندلی مدیریت یک سازمان یا رده، تکیه می‌زند باید بداند که در قبال امنیت اطلاعات (محرمانگی، دسترس‌پذیری، جامعیت) آن سازمان یا رده مسولیت دارد و باید برای حفظ و حراست از اطلاعات برنامه داشته باشد. همانگونه که مدیر ارشد هر سازمانی یکی از مهمترین کارهایی که انجام می‌دهد، رسیدگی به امور مالی سازمان تحت امرش می‌باشد، باید برای موضوع امنیت اطلاعات نیز برنامه‌ریزی کند و اگر خودش تخصص ندارد با انتصاب فرد یا افراد متخصص و متعهد و حمایت از آنها این حوزه را نیز تقویت نماید.

این کارشناس امنیت سایبری، ادامه داد یکی از مواردی که باید پس از حملات سایبری حتماً مورد بررسی قرار گیرد، موضوع ترک فعل مدیران در حوزه امنیت سایبری می‌باشد. اگر مدیر امنیت فناوری اطلاعات درخواست بودجه، نیرو یا حمایت در ابلاغ دستورالعمل‌ها را داشته و مورد توجه مدیر مربوطه قرار نگرفته باید مطابق با قوانین و مقررات قضایی با آن مدیر برخورد شود. با ورود خوب و به موقع قوه‌قضاییه در موضوع ترک فعل مدیران در موضوع امنیت سایبری می‌توان انتظار داشت که تعداد حملات موفق سایبری بسیار کاهش یابد.

حبیبی، تاکید کرد: ذات انسان به‌گونه‌ای است که همواره سعی می‌کند ساده‌ترین راهکار و راه فرار از بسیاری از موقعیت‌ها را پیدا کند و در موضوع امنیت سایبری هم چنانچه نهادهای متولی با یکدیگر هماهنگ نباشند، موقعیت‌هایی را فراهم می‌کنند که سازمان‌ها از این ناهماهنگی نهادهای بالادستی بیشترین بهره را ببرند. لذا تا زمانی که فضای سایبری کشور در وضعیت آرام به سر می‌برد باید این سازمان‌ها با هم همدست و هماهنگ شوند.

وی در ادامه پیرامون وضعیت امنیت سایبری در کشورهای توسعه یافته، گفت: در حال حاضر کشورهای توسعه یافته دنیا به این نتیجه رسیده‌اند که اگر خواهان پیشرفت و ایجاد امنیت سایبری هستند، باید بر روی جوانان و نوجوانان تمرکز کنند. در کشور ما نیز باید هنرستان‌های سایبری تاسیس شود و در این هنرستان‌ها جوانانی تربیت شوند که پس از گرفتن دیپلم توانایی حضور در بازار امنیت سایبری را داشته باشند.

وی خاطرنشان کرد: در کشورهای توسعه‌یافته بر روی نوجوانان از حدود سنین ۱۵ سالگی برنامه آموزشی و تربیتی در حوزه سایبری اجرا می‌کنند و در حدود ۲۰ تا ۲۵ سالگی به عنوان نیروی کار مفید از آنها استفاده می‌نمایند و در سنین ۳۰ سالگی به بعد به عنوان مدیران ارشد سایبری از آنها نام برده می‌شود. به عبارتی سن کار عملیاتی و فنی در فضای سایبری از حدود ۱۵ سالگی تا حدود۳۰ سالگی می‌باشد، و بالاتر از این سن بیشتر فعالیت‌های مدیریتی این حوزه را باید انجام دهند، هرچند استثنا در همه جا وجود دارد.

این کارشناس امنیت سایبری، اشاره کرد: ما نیز در بخش امنیت سایبری باید به مسیری وارد شویم که کشور و آینده به آن نیاز دارد و وزارت آموزش و پرورش باید با آموزش نوجوانان در حوزه امنیت سایبری نیروی کار این حوزه را تربیت نماید، و با کمک وزارت علوم، تحقیقات و فناوری مدیران عالی رتبه در امنیت سایبری را تحویل جامعه نمایند.

انتهای پیام