27/08/1403  
 
شنبه, ۰۴ خرداد ۱۳۹۲ ۰۸:۳۳ ۸۸
طبقه بندی:
  • اخبار سازمان
  • صنفی
چچ
ساماندهی حوزه افتا از وظایف ماست

گفت‌وگوی بخش امنیت دنیای کامپیوتر و ارتباطات با رئیس کمیسیون افتای سازمان نظام صنفی رایانه‌ای

ساماندهی حوزه افتا از وظایف ماست

ایتنا- بهناز آریا: رسانه مهم‌ترین نقش را در ارتقای دانش عمومی بازی می‌کند.

یاشار بهمند- همواره یکی از تلاش‌های گروه‌های صنفی نظم‌بخشی و ساماندهی کسب و کار بوده و خواهد بود. نظام صنفی رایانه‌ای که از جوان‌ترین نهادهای صنفی کشور است هم از این امر مستثنی نبوده و یکی از اهداف خود را نظام‌مندی فعالیت‌های صنفی دانسته است.
کمیسیون افتا این سازمان که یکی از فعال‌ترین زیر مجموعه‌های سازمان نظام صنفی رایانه‌ای محسوب می‌شود، سال گذشته از فعال‌ترین کمیسیون‌های سازمان نظام صنفی در حوزه ساماندهی کسب و کار بوده است. 
در همین راستا و برای آشنایی با فعالیت‌های این کمیسیون، به سراغ رئیس کمیسیون، خانم بهناز آریا رفتیم تا خوانندگان ما با کارهای انجام گرفته در این کمیسیون از یک سو و از سوی دیگر با دیدگاه مسئول امنیت صنف IT نسبت به مسائل این صنف آشنا شوند. 


• سابقه شما در زمینه افتا اولین سئوال ما در این مصاحبه است.
فعالیت IT من از کهکشان آغاز شد و با این شرکت ادامه یافت و امروز با ۱۳ سال سابقه در سمت قائم مقام کهکشان مشغول به فعالیت هستم. اما بخش اصلی کهکشان که همان آموزش است، ذات شرکت را دانش‌بنیان نموده است. این ذات دانش‌بنیان باعث شده که مدرسان مجموعه، همگی در تمام سال‌ها تلاش کنند که در صف مقدم ورود فناوری اطلاعات به شرکت باشند و امنیت هم از این مستثنا نبود. 
چون علاقه به امنیت در مجموعه کهکشان از همان روزهای اول وجود داشت و متخصصان زیادی نیز در مجموعه حاضر بودند، در سال ۸۴ شرکت کهکشان مشاور ایمن را به عنوان یک شرکت مشاوره در حوزه امنیت در مجموعه کهکشان تاسیس کردیم و با این شرکت پروژه‌های مختلفی را انجام داده‌ایم. 
علاقه شخصی بنده در حوزه امنیت اطلاعات هم در زمینه مدیریت فناوری اطلاعات بود و چه در زمینه تدریس و آموزش و چه در حوزه پروژه‌های مشاوره فناوری اطلاعات که شرکت انجام داده در بخش مدیریت امنیت اطلاعات فعالیت داشته‌ام. کار دیگری که من انجام می‌دهم ممیزی‌های استانداردهای حوزه امنیت است و اکنون به عنوان سرممیز اسنانداردهای ISO۲۷۰۰۰، ISO۲۰۰۰۰ و ES۲۵۹۹ هستم.

• برای بررسی بازار امنیت نیاز به شناخت بازیگران این حوزه داریم. آیا شما آماری از تعداد شرکت‌های فعال در حوزه امنیت و توانمندی‌های آنها دارید؟
متاسفانه هیچ دیتابیس قابل استنادی در مورد تعداد شرکت‌های افتا در ایران وجود ندارد و یکی از کارهایی که در این کمیسیون مصر به انجام آن هستیم، برگزاری فراخوان و جمع‌آوری اطلاعات این شرکت هاست. 
متاسفانه شرکت‌های حوزه افتا در زمینه‌هایی که تاکنون وارد شده‌ایم همکاری‌های لازم را انجام نداده‌اند و اطلاعات کامل خود را ارائه نکرده‌اند؛ شاید نگران اطلاعات خود هستند یا این فراخوان‌ها را جدی نمی‌گیرند. 
اما پس از سال‌ها فعالیت در حوزه امنیت ما تعدادی از شرکت‌ها را به عنوان شرکت‌های حاضر در پروژه‌ها می‌شناسیم، این عدد در حدود ۱۴۰ الی ۱۵۰ شرکت است. اما از اینکه گستره فعالیت این شرکت‌ها چقدر است و اینکه شرکت‌ها چه میزان توانایی دارند، اطلاع‌درستی نداریم.

• با توجه به اینکه خود شما مدیریت بخش آموزش موسسه‌ای آموزشی را بر عهده دارید، آیا می‌توانیم آماری از تعداد متخصصان امنیت فناوری اطلاعات بخش خصوصی ارائه کنیم؟
تعداد دانشجوهایی که هر سال در موسسات آموزشی چون کهکشان به عنوان کارشناس امنیت تربیت می‌شوند، بسیار زیاد است اما فقط بخشی از این‌ها به متخصص ویژه امنیت تبدیل می‌شوند. بیشتر این کارشناسان افرادی هستند که دانش امنیتی را کسب می‌کنند که در کار خود از آن استفاده کنند ولی متخصص ویژه امنیت نیستند. 
تعداد متخصصین ویژه امنیت بسیار کم است. برای به دست آوردن برآورد ساده‌ای از تعداد کارشناسان امنیت، به طور متوسط برای هر یک شرکت امنیتی ۶ یا ۷ کارمند در نظر می‌گیریم و با این برآورد تخمین ۱۰۰۰ نیروی متخصص امنیت عدد دور از ذهنی نیست. بار دیگر اعلام می‌کنم که هیچ یک از این اعداد آمار واقعی و قابل استنادی محسوب نمی‌شود و بیشتر بر روی حدس و گمان استوار است. 

• با در نظر گرفتن تعداد حدودی شرکت‌ها و متخصصین حوزه امنیت آیا می‌توانیم برآورد صحیحی از توان امنیت فناوری اطلاعات در بخش خصوصی داشته باشیم؟
با توجه به انجام پروژه‌های ملی توسط بخش خصوصی می‌توانیم بگوییم بخش خصوصی ما توانایی بسیار بالایی دارد براحتی از پس بزرگ‌ترین پروژه‌ها بر آمده است. اما طبق آخرین برآوردی که سازمان فناوری اطلاعات انجام داده، حدود ۳۶۰۰ سازمان دولتی شناسایی شده است که نیاز به گرفتن خدمات امنیت اطلاعات از بخش خصوصی دارند. 
اگر به این تعداد سازمان‌های خصوصی شده و شرکت‌های خصوصی را اضافه کنید که حتی آنها هم بخشی از زیرساخت‌های حیاتی را تشکیل می‌دهند با حجم بالای از نیاز به امنیت فناوری اطلاعات مواجه می‌شویم که باید توسط بخش خصوصی پشتیبانی گردند و بخش خصوصی ما باید برای پاسخگویی به این نیاز آمادگی لازم را داشته باشد. 
امروز با توجه به تعداد حدودی شرکت‌های امنیتی فکر می‌کنم این تعداد پاسخگو نیست. از سوی دیگر باید این نکته را نیز گوشزد کنم که از بین شرکت‌های امنیتی فعال فقط تعداد محدودی از آنها (در حدود ۲۰ الی ۳۰ شرکت) توان واقعی ارائه خدمات به سازمان‌ها و شرکت‌های بزرگ را دارند. این نکته بسیار نگران کننده است و به نظر می‌رسد که هم از سوی بخش خصوصی و هم از سوی بخش دولتی باید اقدامات بسیاری انجام شود.

• تعامل دولت و بخش خصوصی در حوزه امنیت چگونه است؟ آیا حمایت‌های لازم از بخش خصوصی توسط دولت انجام می‌شود؟
در سال‌های گذشته وضعیت تعامل دولت با بخش خصوصی به ویژه در حوزه امنیت اصلاً خوب نبود. البته پروژه‌هایی از سوی دولت تعریف و توسط بخش خصوصی انجام می‌شد ولی منظور ما از تعامل هماهنگی بیشتر بین صنف و بخش دولتی است که بسیار ضعیف بود. 
البته در سال گذشته تعاملات خوبی بین بخش خصوصی و قسمت‌هایی از بدنه دولت انجام پذیرفت ولی همچنان برای ما راضی‌کننده نیست. بزرگ‌ترین مسئله تا سال‌های گذشته عدم وجود سیاست‌های کلان و ساختارهای سیاستگذاری در دولت بود که آن هم با تشکیل شورای عالی فضای مجازی به انجام رسید. 
ما امیدواریم با تشکیل این سازمان سطح تعاملات بالاتر برود و بخش دولتی از توانایی‌های شرکت‌های خصوصی مطلع شوند. ما چند مشکل در تعامل بین مدیران بخش دولتی و خصوصی در حوزه امنیت داریم که یکی از مهم‌ترین آنها عدم دیدگاه یکسان در بین این دو است. 
متاسفانه بخش دولتی هنوز محصول محور عمل می‌کند و ایجاد امنیت را در خرید چند محصول نرم‌افزاری و سخت‌افزاری مانند ضدبدافزارها می‌بینند، در صورتی که این محصولات بخشی از دیدگاه فراگیر نسبت به مدیریت امنیت فناوری اطلاعات است. مشکل دیگر دیدگاه گروهی از مدیران دولتی است که امنیت را به عنوان بحث عمده نمی‌بینند و تا جایی که ممکن است تلاش می‌کنند هزینه‌های امنیتی را کم کنند. 
سوی دیگر رفتار این مدیران وقتی است که از بخش خصوصی متوقعند که فضای بسیار امنی را فراهم سازد که این امر چیزی در حد غیرممکن است. عدم پرداخت‌های به موقع در پروژه‌ها یکی دیگر از معضلات بخش خصوصی است که به ویژه شرکت‌های ارائه‌دهنده محصولات خارجی با آن بیشتر درگیرند و این امر باعث شده تعدادی از شرکت‌ها در وضعیت بحران به سر ببرند.

• پیشتر از این بعضی از شرکت‌ها از نبود اعتماد بین بخش خصوصی و دولتی می‌گفتند، آیا این اعتماد ایجاد شده است؟
وضعیت اعتماد بسیار بهتر شده است. وقتی بخش دولتی اجرای مرکز عملیات امنیت و همچنین موضوع آموزش را به بخش خصوصی می‌سپارد یعنی اعتماد بسیار بیشتر شده است. ولی اعتماد کافی نیست، اعتماد باید همراه با حمایت و تامین بودجه همراه باشد تا بخش خصوصی بتواند خودش را تقویت کند. 

• برای این حمایت پیشنهاد خاصی دارید؟
مطمئناً باید حمایت به صورت مالی باشد.

• آیا منظور شما اعطای وام و ... است؟
خیر. ما بخش خصوصی را آماده انجام کار و پروژه می‌دانیم. اگر تعداد پروژه‌ها بیشتر شود و حجم مناقصات افزایش یابد قطعاً بخش خصوصی تقویت شده و می‌تواند باعث اطمینان دولت از جانب حملات سایبری انجام شده باشد. 
البته بسیاری از پروژه‌های تعریف شده باید با اعداد منطقی ارائه شوند تا بخش خصوصی بتواند امنیت را در سازمان‌ها اجرائی نماید. کشور ما هر روزه در معرض تعدیدات بسیاری قرار دارد و توقعات بخش دولتی از پیمانکاران خصوصی کم نیست ولی با اعداد پایین نمی‌توان امنیت را به طور کامل پیاده‌سازی نمود.

•  آیا سازمان نظام صنفی توانسته به نقطه تعامل بخش خصوصی و دولتی تبدیل شود؟
خوشبختانه در سال گذشته تعامل بسیار خوبی با سازمان فناوری اطلاعات داشتیم. پیش از این هم که تعاملاتی با سازمان پدافند غیرعامل و همچنین پلیس فتا داشتیم. اما متاسفانه با توجه به تازه کار بودن شورای عالی فضای مجازی هنوز نتوانسته‌ایم به میزانی که باید با این سازمان رابطه مناسبی داشته باشیم. تلاش‌هایی در شروع به کار شورای عالی فضای مجازی انجام شد تا نماینده‌ای از صنف در این شورا حضور یابد ولی قرار شد بعد از مدتی از فعالیت این شورا ساز و کاری طراحی شود که سازمان نظام صنفی رایانه‌ای به روشی مورد مشاوره این شورا قرار بگیرد.

• تعدد مراجع تصمیم‌گیری در حوزه افتا زیاد نیست؟
یکی از مشکلات ما تعدد این مراکز و موازی‌کاری‌های انجام شده توسط این سازمان‌هاست. یکی از دلایلی که صنف فناوری اطلاعات و یا به طور خاص کمیسیون افتا از تشکیل شورای عالی فضای مجازی استقبال نمود، امید به تصویب سیاست‌های کلان در حوزه امنیت است. 
ما تک به تک با هما این سازمان‌ها همکاری لازم را داریم ولی سیاست‌های اتخاذ شده توسط برخی از این سازمان‌ها حتی با یکدیگر تداخل دارد. برای مثال شرکت‌های فعال در حوزه افتا برای فعالیت در بخش‌های مختلف دولت باید مجوزهای لازم برای حضور در آن بخش خاص را کسب کنند. 
برای مثال مجوز فعالیت در حوزه نفت با مجوز فعالیت در حوزه مخابرات متفاوت است و .... امید ما به شورای عالی فضای مجازی تدوین استراتژی امنیت کشور و ایجاد تمرکز و خط مشی برای این سازمان‌هاست.

• کمیسیون افتای نظام صنفی چند عضو دارد و چه تعداد از شرکت‌های حوزه افتا در جلسات این کمیسیون شرکت می‌کنند؟
هریک از کمیسیون‌های سازمان نظام صنفی ۱۵ عضو دارد که این اعضا حق شرکت در رای‌گیری‌ها را دارند ولی در جلساتی مانند کارگروه ساماندهی ضدبدافزارها تا ۳۵ شرکت در برخی جلسات حضور پیدا می‌کردند. البته جون در اکثر موارد جلسات ما علنی است، در جلسات علنی حضور شرکت‌های عضو سازمان نظام صنفی در جلسات بلامانع است، برخی شرکت‌ها هم در این جلسات حضور پیدا می‌گردند. ولی به طور کل می‌توان گفت حدود ۵۰ شرکت فعال در حوزه امنیت با کمیسیون افتا سازمان ارتباط دارند.

• عمده فعالیت‌های کمیسیون افتا در این دوره را می‌توانید ذکر کنید؟
نمی‌توان برچسب زمانی بر روی برخی از فعالیت‌های کمیسیون گذاشت، چرا که شروع این فعالیت‌ها در دوره گذشته بوده و در این دوره ادامه داشته است. یکی از این کارها که در سال گذشته نهایی شد، ارائه تعرفه خدمات امنیت فناوری اطلاعات برای اولین بار بود. 
تا قبل از این حتی لیستی از خدمات امنیت فناوری اطلاعات وجود نداشت و تهیه این لیست و استخراج تعرفه برای آنها حدود یک سال و نیم طول کشید. برای ۱۹۰ سرویس در حوزه امنیت تعرفه مشخص شده است، حتی برای هریک از این خدمات سطح کارشناسی که آنها را ارائه می‌کند نیز مشخص شده است. 
این تعرفه به عنوان تعرفه کشوری در سازمان نشام صنفی کشور نیز به تصویب رسیده است و تنها تعرفه موجود در حوزه افتاست. هم اکنون تعرفه سال ۹۱ بر روی سایت سازمان قابل دسترس است و در ماه آینده این تعرفه بازنگری شده و با تغییراتی برای سال ۹۲ نیز عرضه خواهد شد. 
بسیاری از سازمان‌ها اکنون به صورت غیررسمی این تعرفه را لحاظ می‌کنند و تلاش ما در سال جاری تعامل با برخی سازمان‌هاست تا این تعرفه را به صورت مرجع در پروژه‌ها و برآورد قیمت پایه استفاده نمایند. کمیسیون افتا یکی از اهداف خود را آگاهی رسانی می‌داند و با این منظور سری سمینارهایی را با عنوان آشنایی با مفاهیم روز امنیت اطلاعات برگزار می‌کنیم. 
از این مجموعه حدود ۱۰ سمینار برگزار شده است و تلاش ما این بوده که سطح عمومی امنیت را در بین کارشناسان بالا ببریم. خوشبختانه از این سمینارها استقبال خوبی شده است و بسیاری از شرکت‌ها حتی مشتریان خود را برای حضور در این سمینار تشویق نموده‌اند. 
همانگونه که در پاسخ به یکی از سوالات شما گفتم یکی از اهداف ما در این کمیسیون تعامل با سازمان‌های فعال در این حوزه بود. نقطه پررنگ تعاملات ما در این دوره تعامل با سازمان فناوری اطلاعات بود.

• اگر اشتباه نکرده باشم این تعامل همان موضوع مبحث ساماندهی ضدبدافزارهای خارجی بود؟
بله، بعد از اتفاقی که در سال گذشته برای سیستم‌های کامپیوتری شرکت نفت افتاد، آقای تقی‌پور وزیر پیشین فناوری اطلاعات و ارتباطات ورود نرم‌افزارهای امنیتی خارجی را ممنوع دانست. تعامل در این امر بسیار مهم بود، چرا که به نظر ما این امر امکان‌پذیر نبود. بسیاری از شرکت‌های فعال در حوزه افتا به ارائه ضدبدافزارهای خارجی می‌پردازند و تنها یک شرکت تولیدکننده ضدبدافزار ایرانی وجود داشت که آن شرکت هم در شرف تعطیلی بود. 
ما هم مانند آنها معتقد بوده و هستیم که امنیت وارداتی نیست و باید در حوزه امنیت بومی‌سازی انجام شود، اما این را می‌دانستیم که در کوتاه مدت این امر شدنی نیست، پس به دنبال یک راه‌حل میان مدت بودیم. نتیجه تعاملات ما ساماندهی ضدبدافزارهای خارجی به جای ممنوعیت کامل آنها بود. هدف ما از این ساماندهی بیشتر استخراج ملاک‌هایی بود که از طریق آن بتوان به احراز صلاحیت شرکت‌ها پرداخت. 

• ساماندهی را باید یکی از کارهای اصلی شما دانست؟
واقعاْ در تک‌تک احزای افتا نیاز به ساماندهی داریم. ما در کمیسیون افتا ما به بحث ساماندهی بسیار علاقه‌مندیم. چه در شرکت‌های فعال بازار افتا، و چه در تعرفه خدمات و یا در ضدبدافزارهای خارجی. به نظر من ساماندهی اصلی‌ترین وظیفه صنف است.

• ساماندهی ضدبدافزارها در ابتدا پرخبر و با سر و صدا بود ولی بعد از چند جلسه اول هیج خبری در این مورد منتشر نشد؟
عدم اطلاع‌رسانی در این حوزه نشان کار نکردن ما نبود. ۱۵ جلسه با حضور بیشتر فعالین این حوزه برگزار شد و از منظر فنی بحث‌های بسیار زیادی انجام دادیم و تلاش کردیم بدون توجه به نام‌های تجاری، شاخص‌هایی استخراج کنیم که ضدبدافزار مطلوب و شرکت‌های ارائه‌کننده خدمات مناسب به سازمان‌های دولتی را شناسایی نماید. 
هدف ما این بود که از این پس شرکتی نامعتبر نتواند آنتی‌ویروس Crack به سازمان‌های دولتی ارائه کند. اما ما برای اطلاع‌رسانی دو چالش داشتیم. 
از یک سو ما تلاش کرده بودیم تا بزرگان بازار و تاثیرذاران حوزه ضدبدافزار را در این جلسات دور هم جمع کنیم و از نظرات کارشناسی آنها استفاده کردیم. اطلاع‌رسانی بدموقع می‌توانست مانع از به نتیجه رسیدن بحث‌های کارشناسی شود و موجب تشتت آرا می‌شد. 
از سوی دیگر نگاه حاکمیت هم این بود که نتایج تا زمان نهایی نشدن ارائه نشود. نتایج این جلسات ۲ ماه قبل از عید آماده و جهت اعمال نظرات حاکمیتی تقدیم سازمان فناوری اطلاعات شد. 
آخرین روزهای قبل از عید آخرین نسخه از سوی سازمان فناوری اطلاعات آماده شد و قرار شده است در چند روز آینده در اختیار ما قرار بگیرد تا ما بتوانیم نظرات نهایی خود را بعد از تغییرات اعلام کنیم. من فکر می‌کنم نتیجه این جلسات تا یک یا دو ماه آینده رسماْ منتشر خواهد شد.

• در این آیین‌نامه به جز تعیین شاخص‌های ضدبدافزار مطلوب و همچنین شرکت ارائه دهنده خدمات، به چه مواردی اشاره شده است؟
ما تلاش کردیم در این آیین‌نامه نکاتی از مدیریت امنیت اطلاعات ذکر کنیم. مثلا ما اولین قدم در تامین امنیت یک سازمان را داشتن سیستم امنیت اطلاعات (ISMS) دانسته‌ایم. بعد تلاش کردیم جایگاه ضدبدافزار در امنیت سیستم‌های کامپیوتری را معین نماییم. تلاش ما این بوده که این دیدگاه که با نصب ضدبدافزار صرف امنیت اطلاعات تامین می‌شود را تغییر دهیم. 
در بخشی دیگری از این آیین‌نامه وظایف سرویس‌گیرنده و سرویس‌دهنده مشخص شده است. یعنی با مطالعه این آیین‌نامه می‌توان فهمید که چه انتظاری می‌توان از یک آنتی‌ویروس داشت. در آیین‌نامه مواردی را به احراز صلاحیت شرکت‌های ارائه دهنده خدمات امنیتی اختصاص داده‌ایم.

• در سال گذشته مشکلاتی در حوزه UTM داشتیم. از یک سو محصولات خارجی فروخته شده که پورت‌های آن بسته است و از یک سو تعداد شرکت‌هایی که مدعی تولید UTM شده‌اند، در حال افزایش است. این آیین‌نامه شامل حوزه سخت‌افزارهای امنیتی هم می‌شود؟
خیر. قدم اول مدیران دولتی و علاقه اصلی آنها، ساماندهی نرم‌افزارهای ضدبدافزار خارجی بود. اما همانگونه که گفتم، ما در این آیین‌نامه به ضدبافزارهای نرم‌افزاری به عنوان یک بخش از دیدگاه جامع امنیتی یک سازمان نگاه کردیم و قطعاْ این برای کامل شدن دیدگاه جامع باید به قطعات دیگر این پازل هم توجه کرد. از جمله سخت‌افزارهای امنیتی و آموزش در حوزه امنیت و... اما سازمان فناوری اطلاعات به ساماندهی این حوزه هم علاقه نشان داده است و این امر از سال گذشته آغاز شده است. 
در مرحله اول فراخوان «ارزیابی امنیتی محصولات حوزه فتا» بر روی سایت این سازمان قرار داده شده است و اکنون فقط از تجهیزاتی که مجوز آزمایشگاه‌های مورد تایید سازمان فناوری اطلاعات را کسب کنند، امکان فروش به سازمان‌های حیاتی را دارند. اعضای کمیسیون افتا در بحث سخت‌افزار نیز با مدیران سازمان فناوری اطلاعات در حال رایزنی هستند و قصد داریم در فاز بعدی، نسبت به ساماندهی سخت‌افزارها هم اجرا نماییم.

• در دو جا به اهمیت آموزش در حوزه امنیت اشاره کردید. آیا ساماندهی در این حوزه هم انجام خواهد شد؟
اگر به اتفاق‌های یک سال گذشته نگاهی بیاندازیم، بیشتر رویدادهای امنیتی ماحصل عدم وجود دانش در یک سیستم بوده است. برای مثال در یکی از سازمان‌های بزرگ که سال گذشته مورد هدف قرار گرفت، لاگ رفتار مشکوک در شبکه وجود داشته ولی عدم دانش باعث شد که این رفتار مشکوک به یک صدمه بزرگ منجر شود. ما ارتقای دانش را به دو بخش آموزش و آگاهی‌رسانی تقسیم می‌کنیم. 
آموزش امنیت فناوری اطلاعات برای تربیت متخصصان امنیتی است اما در آگاهی‌رسانی، هدف آشنا ساختن افراد شرکت، جامعه، سازمان با مقوله امنیت اطلاعات و آموزش آنهاست. 
در گام اول ما توجه افراد را به مقوله امنیت جلب می‌کنیم. اما در گام‌های بعدی نسبت به افزایش آگاهی افراد در حوزه امنیت اقدام می‌شود و در این مرحله به برخی از موارد موضوعات تخصصی نیز آموزش داده می‌شود. ما در هر دو بخش آموزش تخصصی و آگاهی‌رسانی نیاز به ساماندهی داریم. موسساتی داریم که به سازمان‌ها آگاهی غلطی ارائه می‌کنند، به طوری که در برخی موارد به جای ایجاد دید مثبت نسبت به امنیت، کارمندان را به مخالف درجه یک ایجاد امنیت در سازمان‌ها تبدیل کرده‌اند. 
در حوزه آموزش هم برخی از آموزشگاه‌ها علاوه بر ارائه آموزش‌های غیراستاندارد و غیرکاربردی، مدارک خارج از رده و بی‌اعتباری را معرفی می‌کنند و با ارائه اطلاعات غلط دانشجویان و علاقه‌مندان را منحرف می‌کنند. ما از سال گذشته با همکاری کمیسیون آموزش سازمان نظام صنفی اقدام به اجرای فاز اول برای ساماندهی این حوزه نموده‌ایم.

• این کار توسط کمیسیون افتا انجام می‌شود یا کمیسیون آموزش؟
کمیسیون آموزش باید به صورت افقی در چارت بقیه کمیسیون‌ها حضور داشته باشد و رفتار ایزوله این کمیسیون قابل تصور نیست، چرا که مبحث آموزش در تک‌تک کمیسیون‌ها وجود دارد و با این دیدگاه کمیسیون آموزش با همه کمیسیون‌ها همکاری می‌کند.

• آیا با ساماندهی که انجام می‌دهید، نابسامانی در بخش مدارک هم حل می‌شود؟
این نابسامانی که در حوزه مدارک به آن اشاره کردید، بیشتر از سوی تعدادی از آموزشگاه‌های متخلف هدایت و جهت‌دهی می‌شود. بیشتر مدارک موجود از سوی موسسات معتبری که گستره فعالیت آنها بین‌المللی است، تعریف شده‌اند. این موسسات که به دو صورت مستقل و وابسته به یک شرکت تولیدکننده هستند، مدارک خود را در هر یک از حوزه‌های معین تعریف می‌کنند. 
متقاضی با توجه به نیاز و درخواست خود، می‌تواند در آزمون‌هایی که غالباْ به صورت بین‌المللی برگزار می‌شود، حضور پیدا کرده و در صورت کسب نمرات، مدرک را کسب نماید. اما نکته مهم اینجاست که متقاضی باید با توجه به شرح شغلی خود برای اخذ این مدارک اقدام کند. 
یکی از عواملی که نابسامانی مورد اشاره را ایجاد نموده است، مشخص نبودن شرح شغل‌هاست. سازمان فناوری اطلاعات نظام ملی امنیت اطلاعات(نما) را برای متخصصین و کارشناسان حوزه مدیریت امنیت اطلاعات انجام شد. در این نظام برای تمامی مشاغل این بخش این کار انجام شد و مشخص شده است که تک‌تک افراد باید چه دانشی داشته باشند و چه مدارکی را باید گذرانده باشند. 
سال گذشته همکاری که ما با کمیسیون آموزش انجام دادیم، هم شناسایی تمام مشاغل موجود در حوزه امنیت بود. ما سطح حداقل مهارت و مدارک لازم برای هریک از این مشاغل را نیز استخراج نمودیم.

• این مصاحبه در قالب بخش ویژه امنیت ماهنامه دنیای کامپیوتر و ارتباطات چاپ خواهد شد. به عنوان آخرین سئوال به نظر شما رسانه و به ویژه رسانه‌های تخصصی در حوزه امنیت چه نقشی در چرخه امنیت دارند و ایجاد رسانه تخصصی که فقط به مقوله امنیت بپردازد را چطور ارزیابی می‌کنید؟
در پاسخ به سئوالات قبلی شما من به نقش مهم آگاهی‌رسانی و ارتقای دانش در تامین امنیت سازمان‌ها اشاره کردم. رسانه مهم‌ترین نقش را در ارتقای دانش عمومی بازی می‌کند، اما متاسفانه تا به حال این امر نه از سوی صنف و نه از سوی رسانه‌ها به قدر کافی جدی گرفته نشده است. 
یکی از وظایف ما به عنوان فعالین حوزه امنیت، انتقال دانش به رسانه‌هاست. حمایت بخش خصوصی و دولت از این رسانه‌ها لازم است. این حمایت‌ها می‌تواند انگیزه لازم را برای انجام فعالیت آگاهی‌رسانی به یک رسانه بدهد. 
به نظر من تعریف بودجه‌هایی از طرف دولت باید برای این رسانه‌ها باید در دستور کار مراجع ذی‌ربط قرار بگیرد. به نظر من انتقادی که به فعالین حوزه امنیت چه دولتی و چه خصوصی وارد بود، عدم وجود رسانه تخصص با رویکرد کاملاْ امنیتی است. چرا نباید یک ماهنامه کاملاْ امنیتی وجود داشته باشد؟ 
به نظر من این نقص بسیار بزرگی بود که با هوشیاری مجموعه دنیای کامپیوتر در حال برطرف شدن است و در هر بُعدی که شروع به فعالیت کنید، قابل تقدیر است. امیدوارم این اقدام شما با حمایت شرکت‌ها و سازمان‌ها رشد کرده و به زودی به صورت کامل‌تر و پرمحتواتر انتشار یابد.

منبع:
آدرس کوتاه شده: