گفتوگوی بخش امنیت دنیای کامپیوتر و ارتباطات با رئیس کمیسیون افتای سازمان نظام صنفی رایانهای
ساماندهی حوزه افتا از وظایف ماست
ایتنا- بهناز آریا: رسانه مهمترین نقش را در ارتقای دانش عمومی بازی میکند.
یاشار بهمند- همواره یکی از تلاشهای گروههای صنفی نظمبخشی و ساماندهی کسب و کار بوده و خواهد بود. نظام صنفی رایانهای که از جوانترین نهادهای صنفی کشور است هم از این امر مستثنی نبوده و یکی از اهداف خود را نظاممندی فعالیتهای صنفی دانسته است. کمیسیون افتا این سازمان که یکی از فعالترین زیر مجموعههای سازمان نظام صنفی رایانهای محسوب میشود، سال گذشته از فعالترین کمیسیونهای سازمان نظام صنفی در حوزه ساماندهی کسب و کار بوده است. در همین راستا و برای آشنایی با فعالیتهای این کمیسیون، به سراغ رئیس کمیسیون، خانم بهناز آریا رفتیم تا خوانندگان ما با کارهای انجام گرفته در این کمیسیون از یک سو و از سوی دیگر با دیدگاه مسئول امنیت صنف IT نسبت به مسائل این صنف آشنا شوند.
• سابقه شما در زمینه افتا اولین سئوال ما در این مصاحبه است. فعالیت IT من از کهکشان آغاز شد و با این شرکت ادامه یافت و امروز با ۱۳ سال سابقه در سمت قائم مقام کهکشان مشغول به فعالیت هستم. اما بخش اصلی کهکشان که همان آموزش است، ذات شرکت را دانشبنیان نموده است. این ذات دانشبنیان باعث شده که مدرسان مجموعه، همگی در تمام سالها تلاش کنند که در صف مقدم ورود فناوری اطلاعات به شرکت باشند و امنیت هم از این مستثنا نبود. چون علاقه به امنیت در مجموعه کهکشان از همان روزهای اول وجود داشت و متخصصان زیادی نیز در مجموعه حاضر بودند، در سال ۸۴ شرکت کهکشان مشاور ایمن را به عنوان یک شرکت مشاوره در حوزه امنیت در مجموعه کهکشان تاسیس کردیم و با این شرکت پروژههای مختلفی را انجام دادهایم. علاقه شخصی بنده در حوزه امنیت اطلاعات هم در زمینه مدیریت فناوری اطلاعات بود و چه در زمینه تدریس و آموزش و چه در حوزه پروژههای مشاوره فناوری اطلاعات که شرکت انجام داده در بخش مدیریت امنیت اطلاعات فعالیت داشتهام. کار دیگری که من انجام میدهم ممیزیهای استانداردهای حوزه امنیت است و اکنون به عنوان سرممیز اسنانداردهای ISO۲۷۰۰۰، ISO۲۰۰۰۰ و ES۲۵۹۹ هستم.
• برای بررسی بازار امنیت نیاز به شناخت بازیگران این حوزه داریم. آیا شما آماری از تعداد شرکتهای فعال در حوزه امنیت و توانمندیهای آنها دارید؟ متاسفانه هیچ دیتابیس قابل استنادی در مورد تعداد شرکتهای افتا در ایران وجود ندارد و یکی از کارهایی که در این کمیسیون مصر به انجام آن هستیم، برگزاری فراخوان و جمعآوری اطلاعات این شرکت هاست. متاسفانه شرکتهای حوزه افتا در زمینههایی که تاکنون وارد شدهایم همکاریهای لازم را انجام ندادهاند و اطلاعات کامل خود را ارائه نکردهاند؛ شاید نگران اطلاعات خود هستند یا این فراخوانها را جدی نمیگیرند. اما پس از سالها فعالیت در حوزه امنیت ما تعدادی از شرکتها را به عنوان شرکتهای حاضر در پروژهها میشناسیم، این عدد در حدود ۱۴۰ الی ۱۵۰ شرکت است. اما از اینکه گستره فعالیت این شرکتها چقدر است و اینکه شرکتها چه میزان توانایی دارند، اطلاعدرستی نداریم.
• با توجه به اینکه خود شما مدیریت بخش آموزش موسسهای آموزشی را بر عهده دارید، آیا میتوانیم آماری از تعداد متخصصان امنیت فناوری اطلاعات بخش خصوصی ارائه کنیم؟ تعداد دانشجوهایی که هر سال در موسسات آموزشی چون کهکشان به عنوان کارشناس امنیت تربیت میشوند، بسیار زیاد است اما فقط بخشی از اینها به متخصص ویژه امنیت تبدیل میشوند. بیشتر این کارشناسان افرادی هستند که دانش امنیتی را کسب میکنند که در کار خود از آن استفاده کنند ولی متخصص ویژه امنیت نیستند. تعداد متخصصین ویژه امنیت بسیار کم است. برای به دست آوردن برآورد سادهای از تعداد کارشناسان امنیت، به طور متوسط برای هر یک شرکت امنیتی ۶ یا ۷ کارمند در نظر میگیریم و با این برآورد تخمین ۱۰۰۰ نیروی متخصص امنیت عدد دور از ذهنی نیست. بار دیگر اعلام میکنم که هیچ یک از این اعداد آمار واقعی و قابل استنادی محسوب نمیشود و بیشتر بر روی حدس و گمان استوار است.
• با در نظر گرفتن تعداد حدودی شرکتها و متخصصین حوزه امنیت آیا میتوانیم برآورد صحیحی از توان امنیت فناوری اطلاعات در بخش خصوصی داشته باشیم؟ با توجه به انجام پروژههای ملی توسط بخش خصوصی میتوانیم بگوییم بخش خصوصی ما توانایی بسیار بالایی دارد براحتی از پس بزرگترین پروژهها بر آمده است. اما طبق آخرین برآوردی که سازمان فناوری اطلاعات انجام داده، حدود ۳۶۰۰ سازمان دولتی شناسایی شده است که نیاز به گرفتن خدمات امنیت اطلاعات از بخش خصوصی دارند. اگر به این تعداد سازمانهای خصوصی شده و شرکتهای خصوصی را اضافه کنید که حتی آنها هم بخشی از زیرساختهای حیاتی را تشکیل میدهند با حجم بالای از نیاز به امنیت فناوری اطلاعات مواجه میشویم که باید توسط بخش خصوصی پشتیبانی گردند و بخش خصوصی ما باید برای پاسخگویی به این نیاز آمادگی لازم را داشته باشد. امروز با توجه به تعداد حدودی شرکتهای امنیتی فکر میکنم این تعداد پاسخگو نیست. از سوی دیگر باید این نکته را نیز گوشزد کنم که از بین شرکتهای امنیتی فعال فقط تعداد محدودی از آنها (در حدود ۲۰ الی ۳۰ شرکت) توان واقعی ارائه خدمات به سازمانها و شرکتهای بزرگ را دارند. این نکته بسیار نگران کننده است و به نظر میرسد که هم از سوی بخش خصوصی و هم از سوی بخش دولتی باید اقدامات بسیاری انجام شود.
• تعامل دولت و بخش خصوصی در حوزه امنیت چگونه است؟ آیا حمایتهای لازم از بخش خصوصی توسط دولت انجام میشود؟ در سالهای گذشته وضعیت تعامل دولت با بخش خصوصی به ویژه در حوزه امنیت اصلاً خوب نبود. البته پروژههایی از سوی دولت تعریف و توسط بخش خصوصی انجام میشد ولی منظور ما از تعامل هماهنگی بیشتر بین صنف و بخش دولتی است که بسیار ضعیف بود. البته در سال گذشته تعاملات خوبی بین بخش خصوصی و قسمتهایی از بدنه دولت انجام پذیرفت ولی همچنان برای ما راضیکننده نیست. بزرگترین مسئله تا سالهای گذشته عدم وجود سیاستهای کلان و ساختارهای سیاستگذاری در دولت بود که آن هم با تشکیل شورای عالی فضای مجازی به انجام رسید. ما امیدواریم با تشکیل این سازمان سطح تعاملات بالاتر برود و بخش دولتی از تواناییهای شرکتهای خصوصی مطلع شوند. ما چند مشکل در تعامل بین مدیران بخش دولتی و خصوصی در حوزه امنیت داریم که یکی از مهمترین آنها عدم دیدگاه یکسان در بین این دو است. متاسفانه بخش دولتی هنوز محصول محور عمل میکند و ایجاد امنیت را در خرید چند محصول نرمافزاری و سختافزاری مانند ضدبدافزارها میبینند، در صورتی که این محصولات بخشی از دیدگاه فراگیر نسبت به مدیریت امنیت فناوری اطلاعات است. مشکل دیگر دیدگاه گروهی از مدیران دولتی است که امنیت را به عنوان بحث عمده نمیبینند و تا جایی که ممکن است تلاش میکنند هزینههای امنیتی را کم کنند. سوی دیگر رفتار این مدیران وقتی است که از بخش خصوصی متوقعند که فضای بسیار امنی را فراهم سازد که این امر چیزی در حد غیرممکن است. عدم پرداختهای به موقع در پروژهها یکی دیگر از معضلات بخش خصوصی است که به ویژه شرکتهای ارائهدهنده محصولات خارجی با آن بیشتر درگیرند و این امر باعث شده تعدادی از شرکتها در وضعیت بحران به سر ببرند.
• پیشتر از این بعضی از شرکتها از نبود اعتماد بین بخش خصوصی و دولتی میگفتند، آیا این اعتماد ایجاد شده است؟ وضعیت اعتماد بسیار بهتر شده است. وقتی بخش دولتی اجرای مرکز عملیات امنیت و همچنین موضوع آموزش را به بخش خصوصی میسپارد یعنی اعتماد بسیار بیشتر شده است. ولی اعتماد کافی نیست، اعتماد باید همراه با حمایت و تامین بودجه همراه باشد تا بخش خصوصی بتواند خودش را تقویت کند.
• برای این حمایت پیشنهاد خاصی دارید؟ مطمئناً باید حمایت به صورت مالی باشد.
• آیا منظور شما اعطای وام و ... است؟ خیر. ما بخش خصوصی را آماده انجام کار و پروژه میدانیم. اگر تعداد پروژهها بیشتر شود و حجم مناقصات افزایش یابد قطعاً بخش خصوصی تقویت شده و میتواند باعث اطمینان دولت از جانب حملات سایبری انجام شده باشد. البته بسیاری از پروژههای تعریف شده باید با اعداد منطقی ارائه شوند تا بخش خصوصی بتواند امنیت را در سازمانها اجرائی نماید. کشور ما هر روزه در معرض تعدیدات بسیاری قرار دارد و توقعات بخش دولتی از پیمانکاران خصوصی کم نیست ولی با اعداد پایین نمیتوان امنیت را به طور کامل پیادهسازی نمود.
• آیا سازمان نظام صنفی توانسته به نقطه تعامل بخش خصوصی و دولتی تبدیل شود؟ خوشبختانه در سال گذشته تعامل بسیار خوبی با سازمان فناوری اطلاعات داشتیم. پیش از این هم که تعاملاتی با سازمان پدافند غیرعامل و همچنین پلیس فتا داشتیم. اما متاسفانه با توجه به تازه کار بودن شورای عالی فضای مجازی هنوز نتوانستهایم به میزانی که باید با این سازمان رابطه مناسبی داشته باشیم. تلاشهایی در شروع به کار شورای عالی فضای مجازی انجام شد تا نمایندهای از صنف در این شورا حضور یابد ولی قرار شد بعد از مدتی از فعالیت این شورا ساز و کاری طراحی شود که سازمان نظام صنفی رایانهای به روشی مورد مشاوره این شورا قرار بگیرد.
• تعدد مراجع تصمیمگیری در حوزه افتا زیاد نیست؟ یکی از مشکلات ما تعدد این مراکز و موازیکاریهای انجام شده توسط این سازمانهاست. یکی از دلایلی که صنف فناوری اطلاعات و یا به طور خاص کمیسیون افتا از تشکیل شورای عالی فضای مجازی استقبال نمود، امید به تصویب سیاستهای کلان در حوزه امنیت است. ما تک به تک با هما این سازمانها همکاری لازم را داریم ولی سیاستهای اتخاذ شده توسط برخی از این سازمانها حتی با یکدیگر تداخل دارد. برای مثال شرکتهای فعال در حوزه افتا برای فعالیت در بخشهای مختلف دولت باید مجوزهای لازم برای حضور در آن بخش خاص را کسب کنند. برای مثال مجوز فعالیت در حوزه نفت با مجوز فعالیت در حوزه مخابرات متفاوت است و .... امید ما به شورای عالی فضای مجازی تدوین استراتژی امنیت کشور و ایجاد تمرکز و خط مشی برای این سازمانهاست.
• کمیسیون افتای نظام صنفی چند عضو دارد و چه تعداد از شرکتهای حوزه افتا در جلسات این کمیسیون شرکت میکنند؟ هریک از کمیسیونهای سازمان نظام صنفی ۱۵ عضو دارد که این اعضا حق شرکت در رایگیریها را دارند ولی در جلساتی مانند کارگروه ساماندهی ضدبدافزارها تا ۳۵ شرکت در برخی جلسات حضور پیدا میکردند. البته جون در اکثر موارد جلسات ما علنی است، در جلسات علنی حضور شرکتهای عضو سازمان نظام صنفی در جلسات بلامانع است، برخی شرکتها هم در این جلسات حضور پیدا میگردند. ولی به طور کل میتوان گفت حدود ۵۰ شرکت فعال در حوزه امنیت با کمیسیون افتا سازمان ارتباط دارند.
• عمده فعالیتهای کمیسیون افتا در این دوره را میتوانید ذکر کنید؟ نمیتوان برچسب زمانی بر روی برخی از فعالیتهای کمیسیون گذاشت، چرا که شروع این فعالیتها در دوره گذشته بوده و در این دوره ادامه داشته است. یکی از این کارها که در سال گذشته نهایی شد، ارائه تعرفه خدمات امنیت فناوری اطلاعات برای اولین بار بود. تا قبل از این حتی لیستی از خدمات امنیت فناوری اطلاعات وجود نداشت و تهیه این لیست و استخراج تعرفه برای آنها حدود یک سال و نیم طول کشید. برای ۱۹۰ سرویس در حوزه امنیت تعرفه مشخص شده است، حتی برای هریک از این خدمات سطح کارشناسی که آنها را ارائه میکند نیز مشخص شده است. این تعرفه به عنوان تعرفه کشوری در سازمان نشام صنفی کشور نیز به تصویب رسیده است و تنها تعرفه موجود در حوزه افتاست. هم اکنون تعرفه سال ۹۱ بر روی سایت سازمان قابل دسترس است و در ماه آینده این تعرفه بازنگری شده و با تغییراتی برای سال ۹۲ نیز عرضه خواهد شد. بسیاری از سازمانها اکنون به صورت غیررسمی این تعرفه را لحاظ میکنند و تلاش ما در سال جاری تعامل با برخی سازمانهاست تا این تعرفه را به صورت مرجع در پروژهها و برآورد قیمت پایه استفاده نمایند. کمیسیون افتا یکی از اهداف خود را آگاهی رسانی میداند و با این منظور سری سمینارهایی را با عنوان آشنایی با مفاهیم روز امنیت اطلاعات برگزار میکنیم. از این مجموعه حدود ۱۰ سمینار برگزار شده است و تلاش ما این بوده که سطح عمومی امنیت را در بین کارشناسان بالا ببریم. خوشبختانه از این سمینارها استقبال خوبی شده است و بسیاری از شرکتها حتی مشتریان خود را برای حضور در این سمینار تشویق نمودهاند. همانگونه که در پاسخ به یکی از سوالات شما گفتم یکی از اهداف ما در این کمیسیون تعامل با سازمانهای فعال در این حوزه بود. نقطه پررنگ تعاملات ما در این دوره تعامل با سازمان فناوری اطلاعات بود.
• اگر اشتباه نکرده باشم این تعامل همان موضوع مبحث ساماندهی ضدبدافزارهای خارجی بود؟ بله، بعد از اتفاقی که در سال گذشته برای سیستمهای کامپیوتری شرکت نفت افتاد، آقای تقیپور وزیر پیشین فناوری اطلاعات و ارتباطات ورود نرمافزارهای امنیتی خارجی را ممنوع دانست. تعامل در این امر بسیار مهم بود، چرا که به نظر ما این امر امکانپذیر نبود. بسیاری از شرکتهای فعال در حوزه افتا به ارائه ضدبدافزارهای خارجی میپردازند و تنها یک شرکت تولیدکننده ضدبدافزار ایرانی وجود داشت که آن شرکت هم در شرف تعطیلی بود. ما هم مانند آنها معتقد بوده و هستیم که امنیت وارداتی نیست و باید در حوزه امنیت بومیسازی انجام شود، اما این را میدانستیم که در کوتاه مدت این امر شدنی نیست، پس به دنبال یک راهحل میان مدت بودیم. نتیجه تعاملات ما ساماندهی ضدبدافزارهای خارجی به جای ممنوعیت کامل آنها بود. هدف ما از این ساماندهی بیشتر استخراج ملاکهایی بود که از طریق آن بتوان به احراز صلاحیت شرکتها پرداخت.
• ساماندهی را باید یکی از کارهای اصلی شما دانست؟ واقعاْ در تکتک احزای افتا نیاز به ساماندهی داریم. ما در کمیسیون افتا ما به بحث ساماندهی بسیار علاقهمندیم. چه در شرکتهای فعال بازار افتا، و چه در تعرفه خدمات و یا در ضدبدافزارهای خارجی. به نظر من ساماندهی اصلیترین وظیفه صنف است.
• ساماندهی ضدبدافزارها در ابتدا پرخبر و با سر و صدا بود ولی بعد از چند جلسه اول هیج خبری در این مورد منتشر نشد؟ عدم اطلاعرسانی در این حوزه نشان کار نکردن ما نبود. ۱۵ جلسه با حضور بیشتر فعالین این حوزه برگزار شد و از منظر فنی بحثهای بسیار زیادی انجام دادیم و تلاش کردیم بدون توجه به نامهای تجاری، شاخصهایی استخراج کنیم که ضدبدافزار مطلوب و شرکتهای ارائهکننده خدمات مناسب به سازمانهای دولتی را شناسایی نماید. هدف ما این بود که از این پس شرکتی نامعتبر نتواند آنتیویروس Crack به سازمانهای دولتی ارائه کند. اما ما برای اطلاعرسانی دو چالش داشتیم. از یک سو ما تلاش کرده بودیم تا بزرگان بازار و تاثیرذاران حوزه ضدبدافزار را در این جلسات دور هم جمع کنیم و از نظرات کارشناسی آنها استفاده کردیم. اطلاعرسانی بدموقع میتوانست مانع از به نتیجه رسیدن بحثهای کارشناسی شود و موجب تشتت آرا میشد. از سوی دیگر نگاه حاکمیت هم این بود که نتایج تا زمان نهایی نشدن ارائه نشود. نتایج این جلسات ۲ ماه قبل از عید آماده و جهت اعمال نظرات حاکمیتی تقدیم سازمان فناوری اطلاعات شد. آخرین روزهای قبل از عید آخرین نسخه از سوی سازمان فناوری اطلاعات آماده شد و قرار شده است در چند روز آینده در اختیار ما قرار بگیرد تا ما بتوانیم نظرات نهایی خود را بعد از تغییرات اعلام کنیم. من فکر میکنم نتیجه این جلسات تا یک یا دو ماه آینده رسماْ منتشر خواهد شد.
• در این آییننامه به جز تعیین شاخصهای ضدبدافزار مطلوب و همچنین شرکت ارائه دهنده خدمات، به چه مواردی اشاره شده است؟ ما تلاش کردیم در این آییننامه نکاتی از مدیریت امنیت اطلاعات ذکر کنیم. مثلا ما اولین قدم در تامین امنیت یک سازمان را داشتن سیستم امنیت اطلاعات (ISMS) دانستهایم. بعد تلاش کردیم جایگاه ضدبدافزار در امنیت سیستمهای کامپیوتری را معین نماییم. تلاش ما این بوده که این دیدگاه که با نصب ضدبدافزار صرف امنیت اطلاعات تامین میشود را تغییر دهیم. در بخشی دیگری از این آییننامه وظایف سرویسگیرنده و سرویسدهنده مشخص شده است. یعنی با مطالعه این آییننامه میتوان فهمید که چه انتظاری میتوان از یک آنتیویروس داشت. در آییننامه مواردی را به احراز صلاحیت شرکتهای ارائه دهنده خدمات امنیتی اختصاص دادهایم.
• در سال گذشته مشکلاتی در حوزه UTM داشتیم. از یک سو محصولات خارجی فروخته شده که پورتهای آن بسته است و از یک سو تعداد شرکتهایی که مدعی تولید UTM شدهاند، در حال افزایش است. این آییننامه شامل حوزه سختافزارهای امنیتی هم میشود؟ خیر. قدم اول مدیران دولتی و علاقه اصلی آنها، ساماندهی نرمافزارهای ضدبدافزار خارجی بود. اما همانگونه که گفتم، ما در این آییننامه به ضدبافزارهای نرمافزاری به عنوان یک بخش از دیدگاه جامع امنیتی یک سازمان نگاه کردیم و قطعاْ این برای کامل شدن دیدگاه جامع باید به قطعات دیگر این پازل هم توجه کرد. از جمله سختافزارهای امنیتی و آموزش در حوزه امنیت و... اما سازمان فناوری اطلاعات به ساماندهی این حوزه هم علاقه نشان داده است و این امر از سال گذشته آغاز شده است. در مرحله اول فراخوان «ارزیابی امنیتی محصولات حوزه فتا» بر روی سایت این سازمان قرار داده شده است و اکنون فقط از تجهیزاتی که مجوز آزمایشگاههای مورد تایید سازمان فناوری اطلاعات را کسب کنند، امکان فروش به سازمانهای حیاتی را دارند. اعضای کمیسیون افتا در بحث سختافزار نیز با مدیران سازمان فناوری اطلاعات در حال رایزنی هستند و قصد داریم در فاز بعدی، نسبت به ساماندهی سختافزارها هم اجرا نماییم.
• در دو جا به اهمیت آموزش در حوزه امنیت اشاره کردید. آیا ساماندهی در این حوزه هم انجام خواهد شد؟ اگر به اتفاقهای یک سال گذشته نگاهی بیاندازیم، بیشتر رویدادهای امنیتی ماحصل عدم وجود دانش در یک سیستم بوده است. برای مثال در یکی از سازمانهای بزرگ که سال گذشته مورد هدف قرار گرفت، لاگ رفتار مشکوک در شبکه وجود داشته ولی عدم دانش باعث شد که این رفتار مشکوک به یک صدمه بزرگ منجر شود. ما ارتقای دانش را به دو بخش آموزش و آگاهیرسانی تقسیم میکنیم. آموزش امنیت فناوری اطلاعات برای تربیت متخصصان امنیتی است اما در آگاهیرسانی، هدف آشنا ساختن افراد شرکت، جامعه، سازمان با مقوله امنیت اطلاعات و آموزش آنهاست. در گام اول ما توجه افراد را به مقوله امنیت جلب میکنیم. اما در گامهای بعدی نسبت به افزایش آگاهی افراد در حوزه امنیت اقدام میشود و در این مرحله به برخی از موارد موضوعات تخصصی نیز آموزش داده میشود. ما در هر دو بخش آموزش تخصصی و آگاهیرسانی نیاز به ساماندهی داریم. موسساتی داریم که به سازمانها آگاهی غلطی ارائه میکنند، به طوری که در برخی موارد به جای ایجاد دید مثبت نسبت به امنیت، کارمندان را به مخالف درجه یک ایجاد امنیت در سازمانها تبدیل کردهاند. در حوزه آموزش هم برخی از آموزشگاهها علاوه بر ارائه آموزشهای غیراستاندارد و غیرکاربردی، مدارک خارج از رده و بیاعتباری را معرفی میکنند و با ارائه اطلاعات غلط دانشجویان و علاقهمندان را منحرف میکنند. ما از سال گذشته با همکاری کمیسیون آموزش سازمان نظام صنفی اقدام به اجرای فاز اول برای ساماندهی این حوزه نمودهایم.
• این کار توسط کمیسیون افتا انجام میشود یا کمیسیون آموزش؟ کمیسیون آموزش باید به صورت افقی در چارت بقیه کمیسیونها حضور داشته باشد و رفتار ایزوله این کمیسیون قابل تصور نیست، چرا که مبحث آموزش در تکتک کمیسیونها وجود دارد و با این دیدگاه کمیسیون آموزش با همه کمیسیونها همکاری میکند.
• آیا با ساماندهی که انجام میدهید، نابسامانی در بخش مدارک هم حل میشود؟ این نابسامانی که در حوزه مدارک به آن اشاره کردید، بیشتر از سوی تعدادی از آموزشگاههای متخلف هدایت و جهتدهی میشود. بیشتر مدارک موجود از سوی موسسات معتبری که گستره فعالیت آنها بینالمللی است، تعریف شدهاند. این موسسات که به دو صورت مستقل و وابسته به یک شرکت تولیدکننده هستند، مدارک خود را در هر یک از حوزههای معین تعریف میکنند. متقاضی با توجه به نیاز و درخواست خود، میتواند در آزمونهایی که غالباْ به صورت بینالمللی برگزار میشود، حضور پیدا کرده و در صورت کسب نمرات، مدرک را کسب نماید. اما نکته مهم اینجاست که متقاضی باید با توجه به شرح شغلی خود برای اخذ این مدارک اقدام کند. یکی از عواملی که نابسامانی مورد اشاره را ایجاد نموده است، مشخص نبودن شرح شغلهاست. سازمان فناوری اطلاعات نظام ملی امنیت اطلاعات(نما) را برای متخصصین و کارشناسان حوزه مدیریت امنیت اطلاعات انجام شد. در این نظام برای تمامی مشاغل این بخش این کار انجام شد و مشخص شده است که تکتک افراد باید چه دانشی داشته باشند و چه مدارکی را باید گذرانده باشند. سال گذشته همکاری که ما با کمیسیون آموزش انجام دادیم، هم شناسایی تمام مشاغل موجود در حوزه امنیت بود. ما سطح حداقل مهارت و مدارک لازم برای هریک از این مشاغل را نیز استخراج نمودیم.
• این مصاحبه در قالب بخش ویژه امنیت ماهنامه دنیای کامپیوتر و ارتباطات چاپ خواهد شد. به عنوان آخرین سئوال به نظر شما رسانه و به ویژه رسانههای تخصصی در حوزه امنیت چه نقشی در چرخه امنیت دارند و ایجاد رسانه تخصصی که فقط به مقوله امنیت بپردازد را چطور ارزیابی میکنید؟ در پاسخ به سئوالات قبلی شما من به نقش مهم آگاهیرسانی و ارتقای دانش در تامین امنیت سازمانها اشاره کردم. رسانه مهمترین نقش را در ارتقای دانش عمومی بازی میکند، اما متاسفانه تا به حال این امر نه از سوی صنف و نه از سوی رسانهها به قدر کافی جدی گرفته نشده است. یکی از وظایف ما به عنوان فعالین حوزه امنیت، انتقال دانش به رسانههاست. حمایت بخش خصوصی و دولت از این رسانهها لازم است. این حمایتها میتواند انگیزه لازم را برای انجام فعالیت آگاهیرسانی به یک رسانه بدهد. به نظر من تعریف بودجههایی از طرف دولت باید برای این رسانهها باید در دستور کار مراجع ذیربط قرار بگیرد. به نظر من انتقادی که به فعالین حوزه امنیت چه دولتی و چه خصوصی وارد بود، عدم وجود رسانه تخصص با رویکرد کاملاْ امنیتی است. چرا نباید یک ماهنامه کاملاْ امنیتی وجود داشته باشد؟ به نظر من این نقص بسیار بزرگی بود که با هوشیاری مجموعه دنیای کامپیوتر در حال برطرف شدن است و در هر بُعدی که شروع به فعالیت کنید، قابل تقدیر است. امیدوارم این اقدام شما با حمایت شرکتها و سازمانها رشد کرده و به زودی به صورت کاملتر و پرمحتواتر انتشار یابد.