در ابتدا لطفا در مورد حوزه فعالیت شرکت کمیتوضیح بدهید.
به طور کلی شرکت در سه حوزه امنیت، شبکه و آموزش فعالیت دارد که در سالهای اخیر تمرکز اصلی شرکت روی خدمات امنیت بوده است و توانستیم در این چند سال در بازار امنیت اعتبار قابل قبولی کسب کنیم.
اگر سازمانی بخواهد یک ارزیابی از وضعیت امنیت خودش داشته باشد یا نمره خودش در امنیت را بداند، شرکت اوژن تدبیر پارس چه کاری میتواند برای او انجام دهد؟
بهترین راه ارزیابی برای اینکه وضعیت امنیت یک سازمان مشخص شود، از طریق راهکارهای سنجش بلوغ است که این کار بر اساس استانداردها و بهینتجربیات موجود در دنیا انجام میشود. در واقع تعدادی پرسشنامه در قالب طرح بلوغ یا سنجش بلوغ سایبری توسط یک تیم خبره و متخصص با همکاری خود سازمان تکمیل میشود و به یک سنجش منطقی میرسیم. نتایج این کار در قالب نمودارهای گرافیکی تحلیل میشود و نمره امنیت سازمان محاسبه میشود که بههمراه راهکارهایی برای بهبود امنیت در سازمان خواهد بود.
به نظر شما، مناسبترین استاندارد و چارچوب امنیت برای ارتقاء امنیت سازمان کدام هست؟
استاندارد ایزو ۲۷۰۰۱ از اساسیترین و پایهایترین استانداردها است که تحت عنوان پروژه ISMS پیادهسازی میشود. تمایز اصلی این سرویس، با دیگر سرویسهای امنیت در شمول تمام جنبههای امنیت در سازمان است که شامل امنیت فیزیکی و منابع انسانی در سطح سازمان و تکنولوژی میشود. در این سرویس دو اقدام اساسی صورت میگیرد که یکی از آنها، مدیریت ریسکهای امنیت هست و برای هر ریسک، اقدامات متناظر جهت کاهش/رفع ریسک انجام میشود. اقدام مهم دیگر هم تدوین خط مشیها، روشهای اجرایی و دستورالعملهای امنیت است. در فرآیندهای مدیریت ریسک و امنسازی، برخی از آسیبپذیریها برطرف میشود؛ اگر بخواهیم کامل برطرف شود، باید تست نفوذ انجام بشود.
در خصوص سرویس تست نفوذ شرکت توضیح میدهید؟
بله. در سرویس تست نفوذ یا ارزیابی امنیتی، پروسه شبیهسازی رفتار هکر صورت میپذیرد و در نتیجه تمام نقطهضعفها پوشش داده میشود.
تفاوت ما با هکرها در این است که هکرها زمانی که بتوانند جایی کاری بکنند، اطلاعاتی بردارند یا دسترسی ایجاد کنند و مواردی از این قبیل، حتما حرکت مخربی انجام میدهند. اما کسانی که در شرکت ما یا شرکتهای همکار فعالیت دارند، افراد مورد اعتماد و مورد تایید هستند. در خصوص شبیهسازی نیز، این افراد بر اساس تجربهای که دارند، ریسکهای کار را از قبل میدانند و خطری بابت این موضوع ندارند. در شرکت اوژن از تجهیزات شبکه گرفته تا برنامههای کاربردی تحت وب و برنامههای موبایل تست نفوذ میشوند.
برای راههای نفوذی که در این سرویس کشف میشود، سازمان باید چه اقدامیانجام دهد؟
مشابه حالت قبل است هر زمانی که امکانی برای نفوذ یا ایجاد دسترسی پیدا شود، راهکار رفع آسیبپذیری هم پیشنهاد میشود و این موضوع دوباره چک میشود. البته سرویس دیگری نیز داریم، به اسم سرویس «هاردنینگ» یا امنسازی که در این سرویس بر اساس تعدادی چکلیست تنظیماتی که لازم است برای آن تجهیز یا سرویس اعمال شود، پیشنهاد داده شده و پیادهسازی میشود.
آیا بین این مواردی که اشاره کردید توالی و ترتیبی هم وجود دارد یا هر سازمانی هر کدام را که بخواهد میتواند استفاده کند؟
بهترین حالت این است که از پیادهسازی استاندارد شروع شود، بعد تست نفوذ یا امنسازی انجام شود و یا اول امنسازی و بعد تست نفوذ انجام شود. اما در کل هیچ ترتیب و توالی خاصی ندارد. با هر اقدامیکه شروع شود، یک سری از آسیبپذیریها پوشش داده میشود و اینطور نیست که چون امنسازی انجام شده، تست نفوذ و پیادهسازی استاندارد نیازی نیست و بالعکس. همه این موارد در راستای فرآیند امنسازی هستند.
اشاره کردید به فرایند امنسازی؛ منظورتان از فرایند چیست؟
فناوری اطلاعات در سازمانها کاملا پویا است و امنیت از آن پویاتر. حتا اگر هیچ چیزی در فناوری اطلاعات سازمان تغییر نکند، باز هم امنیت پویایی خودش را دارد. کما اینکه به ازای هر تغییری در فناوری اطلاعات، امنیت هم باید بازنگری شود. اقدامات مختلف در لایههای مختلف امنیت میبایست انجام بشود. امنسازی فرآیندی پویا است که سازمانها همیشه باید انجام دهند، به عبارتی یک جزئی از کارها و فرایندهای روتین سازمان هست که باید انجام شود.
خاطرم هست که قبلا اشاره کردید که یکی از تخصصهای مجموعه شما در خصوص رسیدگی به رخدادهای امنیت است. در این خصوص هم توضیح میدهید؟
هم در زمینه مرکز عملیات امنیت و هم در زمینه مرکز رسیدگی به رخدادها، توانمندی و رزومه خوبی داریم. در این خصوص هم تجربه طراحی و پیادهسازی این دو مرکز را داشتیم و هم تجربه راهبری.
در خصوص لزوم وجود این دو سرویس هم مختصر توضیح میدهید؟
ببینید بهرغم همه تمهیداتی که در خصوص تامین امنیت انجام میشود، همیشه امکان حمله و رخداد امنیتی وجود دارد. هر حمله امنیتی که رخ میدهد میتواند برای سازمان تبعاتی داشته باشد. مرکز عملیات امنیت وظیفه شناسایی نفوذ، و مرکز رسیدگی به رخداد، وظیفه پیدا کردن راهکار مناسب جهت برطرفسازی رخداد را دارد.
اگر سازمانی با رخداد امنیتی مواجه شد، شرکت اوژن چه کمکی میتواند انجام بدهد؟
در این موارد، تیم تخصصی از شرکت اعزام میشود. رخداد مورد بررسی قرار میگیرد و در نهایت راهکار مناسب به سازمان پیشنهاد میشود.
با توجه به تعدد خدمات، چطور یک شرکت میتواند این همه خدمات را ارائه کند؟
نکته مهم این است که خدمات به مرور به سبد سرویس اضافه میشوند. در سال ۹۷ که صحبت کردیم، در شرکت اوژن فقط یک یا دو سرویس قابل ارائه بود. اما ما در یک مسیر روبهرشد، سرویسها را اضافه کردیم. ابتدا فقط با آموزش امنیت شروع کردیم، بهتدریج، سرویسهای ارزیابی امنیت، سیستم مدیریت امنیت، مرکز عملیات امنیت، رسیدگی به رخداد و فورنسیک اضافه گردیدند.
آیا اوژن خدمات دیگری هم ارائه میدهد؟
بله. شرکت در زمینه طراحی شبکه، اتاق سرور، تامین تجهیزات و آموزش هم فعال است که رزومه قابل قبولی داریم.
تا کنون در چه حوزههای کاری فعالیت داشتید؟
تقریبا در اکثر حوزهها فعال بودیم. البته عمده فعالیت ما در حوزه مالی (بانک و بورس و بیمه) و حوزه انرژی (نفت و گاز و پتروشیمی) است.
در حوزه امنیت صنعتی هم فعالیت داشتید؟
بله. تقریبا از حدود دو سال پیش، فعالیتهایی در این خصوص شروع شده و پروژههایی رو هم به انجام رسیده و دانش و توانمندی قابل قبولی در این حوزه ایجاد شده است.
بهعنوان سوال آخر، در مورد اوژن چیزی هست که بخواهید اضافه کنید؟
اوژن یک شرکت پویا و توانمند هست که نسبتا با سرعت قابل توجهی در حال رشد است. سعی ما در اوژن بر این است که بتوانیم نیازمندیهای کارفرمایان و صنعت را پوشش دهیم.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟