حجم بالای ابلاغیه‌ها توان عملیاتی واحد فناوری بانک‌ها را رو به تحلیل می برد

چابک آنلاین، حدیث اسماعیل زاده، "حسین امین زاده " درششمین رویداد سالانه فناوری مالی و دومین رویداد فین تک، گفت: در حوزه دارایی ‌های سایبری، دارایی ‌ها به دو بخش اصلی و پشتیبان تقسیم می‌ شوند که دارایی اصلی شامل داده‌ های سامانه و فرآیندهای کاری مرتبط با پردازش آن داده‌هاست، هرچند که دارایی‌های پشتیبان نیز سخت‌افزار، نرم‌افزار، نیروی انسانی، مستندات و اماکن حفاظت‌شده را دربر می‌گیرد.

وی، افزود: زمانی که شرایط آرام است و در حال طراحی یک سرویس هستیم، هیچ تهدیدی به ما حمله نمی‌کند، اما باید از همان زمان مراقبت از دارایی‌ها را آغاز کنیم. 

عضو هیات عامل  بانک کشاورزی، بیان کرد: لازم است تهدیداتی را که ممکن است دارایی‌ها را هدف قرار دهند شناسایی و برای مقابله با آن ‌ها کنترل‌های پیشگیرانه طراحی کنیم.

وی تصریح کرد که  تهدید سایبری همواره در کمین دارایی‌های داده ای است و سازمان ها  باید برای محافظت از آن‌ها برنامه ‌ریزی داشته باشد.

امین زاده با اشاره به ضرورت آمادگی در زمان مدیریت  بحران، گفت: در هنگام حمله سایبری، باید توان مواجهه با شرایط را داشت و  اگر حمله‌ای باعث کندی پایگاه داده شود، باید ظرفیت‌ سازی صورت گیرد. 

وی توضیح دادکه در صورت وقوع فاجعه، باید سناریویی برای بازیابی از بحران وجود داشته باشد تا بتوان از وضعیت اضطراری به حالت عادی بازگشت.

امین زاده، ادامه داد: در زمان ارائه یک محصول جدید، می ‌توان پروژه‌هایی تعریف کرد که نگرانی ‌های امنیتی را پوشش دهد اما  در شرایط مخاطره سایبری، آمادگی سازمان باید در ابعادی مانند نیروی انسانی، مراکز داده، تجهیزات و فرآیندها سنجیده شود تا اطمینان حاصل شود که در صورت بروز حادثه، داده‌ها بدون آسیب جدی حفظ خواهند شد. 

معاون فناوری بانک کشاورزی گفت که مفهوم «تاب‌آوری» در این میان اهمیت دارد؛ یعنی اینکه چگونه با پیش ‌بینی ‌های قبلی می‌توان حملات را خنثی، بی ‌اثر یا کم ‌اثر کرد.

وی، اذعان کرد: در زمان وقوع حادثه سایبری، باید برنامه مشخصی برای ارائه حداقل سرویس‌ های حیاتی به مشتریان وجود داشته باشد که  برای تدوین یک برنامه عملیاتی کارآمد نیز لازم است به چهار بُعد اصلی توجه شود: طرح و برنامه، نیروی انسانی، فناوری و زیرساخت و ساختار سازمانی.

 امین زاده ، بیان کرد: هر یک از این ابعاد شامل دو بخش مدیریتی و عملیاتی است؛ در بخش مدیریتی سازوکارهای اجرایی باید تدوین شود و در بخش عملیاتی همه اقدامات به اجرا درآید.

وی با اشاره به حجم بالای دستورالعمل ‌ها و الزامات امنیت شبکه و زیر ساخت، گفت: ابلاغیه‌ ها آن‌قدر زیاد است که واحد فناوری مجبور می ‌شود لیستی از درخواست ‌ها و الزامات تنظیم کند تا بداند هر نهاد چه چیزی مطالبه کرده است.

معاون فناوری بانک کشاورزی، بیان داشت: این حجم از تکالیف گاه باعث می‌شود توان موجود تحلیل رود و نتوان از ظرفیت ‌ها به‌صورت بهینه استفاده کرد، هرچند که اقدامات ضروری ‌اند، اما اجرای مؤثر آن‌ها نیز اهمیت دارد و گاهی سازمان‌ها در تعدد ابلاغیه‌ها سردرگم می ‌شوند و نمی ‌دانند از کدام بخش باید شروع کنند تا پاسخگو باشند.

 امین‌ زاده، تصریح کرد: چهار عامل اصلی که  ممکن است که باعث سردرگمی شوند شامل مواردی چون  تعدد تنظیم‌گران، فرآیندها و دستورالعمل‌های متعدد، مشکلات زیرساختی و تجهیزات، و چهارم کمبود نیروی انسانی متخصص است. 

معاون فناوری بانک کشاورزی، ابراز کرد: برای دستیابی به امنیت مؤثر، باید از سطح نهادها آغاز کرد و  نهادهای مسئول لازم است آیین ‌نامه ‌های خود را یکپارچه کنند و یک متولی واحد برای ساماندهی امور امنیتی شبکه ها مشخص شود.

امین زاده، بیان داشت که در حوزه فرآیندی باید روش واحدی برای سنجش امنیت شبکه  تعریف شود و شاخص ‌های یکسانی به‌ صورت مستمر مورد پایش قرار گیرد؛ نه اینکه تنها در زمان بحران به این موضوع پرداخته شود. 

وی، گفت: در بعد انسانی نیز لازم است دانشگاه‌ ها و پژوهشگاه‌ ها نیروی متخصص تربیت کرده و به صنعت بانک داری  معرفی کنند، البته که می ‌توان با ایجاد نظام ارزیابی و رتبه ‌بندی بر اساس سنجه‌ های مشخص، میان سازمان ‌ها رقابت سالم ایجاد کرد.

معاون فناوری بانک کشاورزی، تاکید کرد: اصل سادگی باید در طراحی نظام ‌های امنیتی  زیرساخت و شبکه رعایت شود، تمرکز باید بر موارد کلیدی و اثرگذار باشد، نه بر جزئیات پراکنده ‌ای که انرژی سازمان را هدر می ‌دهد.

امین زاده، توضیح داد: یکی دیگر از محورهای مهم، حرکت به‌سوی سرویس‌های سبک، مراکز داده کوچک و ساختارهای غیرمتمرکز است زیرا  سال‌ها تلاش شد تا تمرکز ایجاد شود و سامانه‌های یکپارچه مانند Core Banking شکل بگیرند، اما اکنون در شرایط جدید لازم است نگهداری آن هسته‌ ها به‌صورت توزیع‌شده و مقاوم در برابر حملات دنبال شود.