امن‌سازی فرآیندی پویاست که سازمان‌ها همیشه باید انجام بدهند

در ابتدا لطفا در مورد حوزه فعالیت شرکت کمی‌‌توضیح بدهید.

به طور کلی شرکت در سه حوزه امنیت، شبکه و آموزش فعالیت دارد که در سال‌های اخیر تمرکز اصلی شرکت روی خدمات امنیت بوده است و توانستیم در این چند سال در بازار امنیت اعتبار قابل قبولی کسب کنیم.  

 اگر سازمانی بخواهد یک ارزیابی از وضعیت امنیت خودش داشته باشد یا نمره خودش در امنیت را بداند، شرکت اوژن تدبیر پارس چه کاری می‌تواند برای او انجام ‌دهد؟

بهترین راه ارزیابی برای این‌که وضعیت امنیت یک سازمان مشخص شود، از طریق راهکارهای سنجش بلوغ است که این کار بر اساس استانداردها و بهین‌تجربیات موجود در دنیا انجام می‌شود. در واقع تعدادی پرسشنامه در قالب طرح بلوغ یا سنجش بلوغ سایبری توسط یک تیم خبره و متخصص با همکاری خود سازمان تکمیل می‌شود و به یک سنجش منطقی می‌رسیم. نتایج این کار در قالب نمودارهای گرافیکی تحلیل می‌شود و نمره امنیت سازمان محاسبه می‌‌شود که به‌همراه راهکارهایی برای بهبود امنیت در سازمان خواهد بود. 

به نظر شما، مناسب‌ترین استاندارد و چارچوب امنیت برای ارتقاء امنیت سازمان کدام هست؟

استاندارد ایزو ۲۷۰۰۱ از اساسی‌ترین و پایه‌ای‌ترین استانداردها است که تحت عنوان پروژه ISMS پیاده‌سازی می‌شود. تمایز اصلی این سرویس، با دیگر سرویس‌های امنیت در شمول تمام جنبه‌های امنیت در سازمان است که شامل امنیت فیزیکی و منابع انسانی در سطح سازمان و تکنولوژی می‌‌شود. در این سرویس دو اقدام اساسی صورت می‌‌گیرد که یکی از آن‌ها، مدیریت ریسک‌های امنیت هست و برای هر ریسک، اقدامات متناظر جهت کاهش/رفع ریسک انجام می‌‌شود. اقدام مهم دیگر هم تدوین خط مشی‌ها، روش‌های اجرایی و دستورالعمل‌های امنیت است. در فرآیند‌های مدیریت ریسک و امن‌سازی، برخی از آسیب‌پذیری‌ها برطرف می‌‌شود؛ اگر بخواهیم کامل برطرف شود، باید تست نفوذ انجام بشود.

 در خصوص سرویس تست نفوذ شرکت توضیح می‌‌دهید؟ 

بله. در سرویس تست نفوذ یا ارزیابی امنیتی، پروسه شبیه‌سازی رفتار هکر صورت می‌‌پذیرد و در نتیجه تمام نقطه‌ضعف‌ها پوشش داده می‌‌شود.

تفاوت ما با هکر‌ها در این است که هکر‌ها زمانی که بتوانند جایی کاری بکنند، اطلاعاتی بردارند یا دسترسی ایجاد کنند و مواردی از این قبیل، حتما حرکت مخربی انجام می‌‌دهند. اما کسانی که در شرکت ما یا شرکت‌های همکار فعالیت دارند، افراد مورد اعتماد و مورد تایید هستند. در خصوص شبیه‌سازی نیز، این افراد بر اساس تجربه‌ای که دارند، ریسک‌های کار را از قبل می‌‌دانند و خطری بابت این موضوع ندارند. در شرکت اوژن از تجهیزات شبکه گرفته تا برنامه‌های کاربردی تحت وب و برنامه‌های موبایل تست نفوذ می‌‌شوند.

برای راه‌های نفوذی که در این سرویس کشف می‌‌شود، سازمان باید چه اقدامی‌‌انجام دهد؟ 

مشابه حالت قبل است هر زمانی که امکانی برای نفوذ یا ایجاد دسترسی پیدا شود، راهکار رفع آسیب‌پذیری هم پیشنهاد می‌‌شود و این موضوع دوباره چک می‌‌شود. البته سرویس دیگری نیز داریم، به اسم سرویس «‌هاردنینگ» یا امن‌سازی که در این سرویس بر اساس تعدادی چک‌لیست تنظیماتی که لازم است برای آن تجهیز یا سرویس اعمال شود، پیشنهاد داده شده و پیاده‌سازی می‌‌شود.

آیا بین این مواردی که اشاره کردید توالی و ترتیبی هم وجود دارد یا هر سازمانی هر کدام را که بخواهد می‌تواند استفاده کند؟

 بهترین حالت این است که از پیاده‌سازی استاندارد شروع شود، بعد تست نفوذ یا امن‌سازی انجام شود و یا اول امن‌سازی و بعد تست نفوذ انجام شود. اما در کل هیچ ترتیب و توالی خاصی ندارد. با هر اقدامی‌‌که شروع شود، یک سری از آسیب‌پذیری‌ها پوشش داده می‌‌شود و اینطور نیست که چون امن‌سازی انجام شده، تست نفوذ و پیاده‌سازی استاندارد نیازی نیست و بالعکس. همه این موارد در راستای فرآیند امن‌سازی هستند. 

اشاره کردید به فرایند امن‌سازی؛ منظورتان از فرایند چیست؟

فناوری اطلاعات در سازمان‌ها کاملا پویا است و امنیت از آن پویاتر. حتا اگر هیچ چیزی در فناوری اطلاعات سازمان تغییر نکند، باز هم امنیت پویایی خودش را دارد. کما این‌که به ازای هر تغییری در فناوری اطلاعات، امنیت هم باید بازنگری شود. اقدامات مختلف در لایه‌های مختلف امنیت می‌‌بایست انجام بشود. امن‌سازی فرآیندی پویا است که سازمان‌ها همیشه باید انجام دهند، به عبارتی یک جزئی از کارها و فرایندهای روتین سازمان هست که باید انجام شود. 

خاطرم هست که قبلا اشاره کردید که یکی از تخصص‌های مجموعه شما در خصوص رسیدگی به رخدادهای امنیت است. در این خصوص هم توضیح می‌‌دهید؟

هم در زمینه مرکز عملیات امنیت و هم در زمینه مرکز رسیدگی به رخدادها، توانمندی و رزومه خوبی داریم. در این خصوص هم تجربه طراحی و پیاده‌سازی این دو مرکز را داشتیم و هم تجربه راهبری. 

در خصوص لزوم وجود این دو سرویس هم مختصر توضیح می‌دهید؟

ببینید به‌رغم همه تمهیداتی که در خصوص تامین امنیت انجام می‌‌شود، همیشه امکان حمله و رخداد امنیتی وجود دارد. هر حمله امنیتی که رخ می‌دهد می‌تواند برای سازمان تبعاتی داشته باشد. مرکز عملیات امنیت وظیفه شناسایی نفوذ، و مرکز رسیدگی به رخداد، وظیفه پیدا کردن راهکار مناسب جهت برطرف‌سازی رخداد را دارد.

اگر سازمانی با رخداد امنیتی مواجه شد، شرکت اوژن چه کمکی می‌‌تواند انجام بدهد؟

در این موارد، تیم تخصصی از شرکت اعزام می‌‌شود. رخداد مورد بررسی قرار می‌‌گیرد و در نهایت راهکار مناسب به سازمان پیشنهاد می‌‌شود.

با توجه به تعدد خدمات، چطور یک شرکت می‌‌تواند این همه خدمات را ارائه کند؟

نکته‌ مهم این است که خدمات به مرور به سبد سرویس اضافه می‌شوند. در سال ۹۷ که صحبت کردیم، در شرکت اوژن فقط یک یا دو سرویس قابل ارائه بود. اما ما در یک مسیر روبه‌رشد، سرویس‌ها را اضافه کردیم.  ابتدا فقط با آموزش امنیت شروع کردیم، به‌تدریج، سرویس‌های ارزیابی امنیت، سیستم مدیریت امنیت، مرکز عملیات امنیت، رسیدگی به رخداد و فورنسیک اضافه گردیدند. 

آیا اوژن خدمات دیگری هم ارائه می‌دهد؟

بله. شرکت در زمینه طراحی شبکه، اتاق سرور، تامین تجهیزات و آموزش هم فعال است که رزومه قابل قبولی داریم. 

تا کنون در چه حوزه‌های کاری فعالیت داشتید؟

تقریبا در اکثر حوزه‌ها فعال بودیم. البته عمده فعالیت ما در حوزه مالی (بانک و بورس و بیمه) و حوزه انرژی (نفت و گاز و پتروشیمی) است. 

در حوزه امنیت صنعتی هم فعالیت داشتید؟

بله. تقریبا از حدود دو سال پیش، فعالیت‌هایی در این خصوص شروع شده و پروژه‌هایی رو هم به انجام رسیده و دانش و توانمندی قابل قبولی در این حوزه ایجاد شده است.

به‌عنوان سوال آخر، در مورد اوژن چیزی هست که بخواهید اضافه کنید؟

اوژن یک شرکت پویا و توانمند هست که نسبتا با سرعت قابل توجهی در حال رشد است. سعی ما در اوژن بر این است که بتوانیم نیازمندی‌های کارفرمایان و صنعت را پوشش دهیم.