وحید خدابخشی مدیر ریسک و امنیت شرکت شاپرک معتقد است امنیت در ایران به مقوله قابل‌رقابت تبدیل نشده است و ارزشی که سازمان‌ها برای امنیت قائل می‌شوند از میزان درکی که از ریسک در آن سازمان وجود دارد، نشئت می‌گیرد.

به گزارش روابط‌عمومی هلدینگ فناوری اطلاعات بانک شهر، دومین نشست از سلسله‌نشست‌های کافه تیف روز چهارشنبه گذشته با عنوان «ارتقای سطح بلوغ امنیت اطلاعات در صنایع مالی؛ از نظریه تا عمل» برگزار شد.خدابخشی در ابتدا با اشاره به این که در سطح مدیران حاکمیتی نیز دیدگاه ریسک محور وجود دارد، گفت: ریسک و به‌تبع آن امنیت به سنجه احتیاج دارد چرا که لزوماً این‌گونه نیست که همیشه اتفاقی رخ دهد تا متوجه خطر امنیتی شویم.

این در حالی است که به نظر من مدیران ارشد سازمان‌ها یا حتی مدیران ارشد کشور در سطح حاکمیت، دیدگاه ریسک محور دارند. میزان ریسک باعث می‌شود تا سقف هزینه‌کرد مشخص شود. ریسک باید به‌درستی اندازه‌گیری و محاسبه شود.

او افزود: به‌طورکلی روش‌های مختلفی برای محاسبه وجود دارد. بردارهایی که در هم ضرب می‌شوند نشان می‌دهد که یک احتمال و یک ارزش وجود دارد. ریسک احتمال وقوع یک تهدید است و وقتی از فضای احتمال صحبت می‌شود؛ یعنی درباره آینده صحبت می‌کنیم.

او اضافه کرد: بلوغ ضامن تداوم کسب‌وکار یک سازمان است. بااین‌همه باید دید که چه چیزی برای یک مدیر ارشد مهم است؛ هر عاملی که کسب‌وکار آن سازمان را به مخاطره بیندازد ریسک سازمانی است. میزان ارزشی که برای امنیت قائل می‌شوند نیز از همان ریسک می‌آید. امنیت تنها یک کار انجام می‌دهد؛ ریسک‌ها را از طریق تحت‌تأثیر قراردادن ارزش یا احتمال، کم می‌کند پس وقتی ریسکی وجود ندارد نباید هزینه‌ای برایش پرداخت شود.

خدابخشی در ادامه با اشاره به مواردی که سبب شدند تا نتوان ریسک‌ها را به‌درستی اندازه‌گیری کرد، ادامه داد: از مواردی که باعث می‌‌شود نتوانیم به‌درستی ریسک‌ها را اندازه‌گیری کنیم، فضای پر تلاطم اقتصادی، سیاسی و اجتماعی است. نمی‌توان کشور را در فضای دربسته نگه داریم و فقط داخل آن را ببینیم. خصوصاً اینکه کشور ما نسبت به جهان و کشورهای دیگر مخاطرات بیشتری دارد پس نمی‌توانیم شرایطش را مقایسه کنیم.

مدیر ریسک و امنیت شاپرک در پاسخ به این سؤال که تبدیل امنیت به مقوله‌ای قابل‌ارزیابی وظیفه کیست، گفت: این موضوع وظیفه حاکمیت است و از این منظر انتقاداتی به مجموعه‌های حاکمیتی، نظارتی و رگولاتورهای سطح بالا وجود دارد. آنها می‌توانستند و باید با تعیین جرایم یا تشویق‌ها، سازمان‌ها را از لحاظ امنیت رتبه‌بندی کرده و در میان آنها رقابت ایجاد کنند.

خدابخشی ادامه داد: بااین‌حال از نظر من ایجاد یک روش قابل‌اجرا برای اندازه‌گیری رقابت‌پذیری سازمان‌ها در حوزه امنیت باید بر عهده بخش خصوصی باشد و این‌گونه نیست که این موضوع تنها و تنها بر عهده نهادهای حاکمیتی باشد. به‌طورکلی همواره هر اتفاق خوبی که در تمام دنیا رخ‌داده از سمت بخش خصوصی بوده و نتیجه مطلوبی هم داشته است. حاکمیت همین که برای شرکت‌های خصوصی سنگ‌اندازی نکند، کمک شایانی کرده است. اگر بتوان برای سنجش میزان رقابت‌پذیری امنیتی سازمان‌ها و کسب‌وکارها روشی تدوین کرد، آن وقت می‌توان با این رقابت‌پذیری آنها را رتبه‌بندی کرد تا در پی این رتبه‌بندی، رقابت و انگیزه ایجاد ‌شود. باید در قبال تهدیداتی که هم دارایی‌های در واقع مستقیم و مشهود و هم دارایی‌های غیرمشهود را هدف‌گذاری می‌کنند، آماده بود. اگر چنین تهدیداتی رخ داد باید رتبه‌بندی افت و هزینه افزایش پیدا کند.

در این نشست سید مهدی خرازی دانشیار گروه علوم و مهندسی دانشگاه صنعتی شریف، وحید خدابخشی مدیر ریسک و امنیت شرکت شاپرک، هاشم حبیبی مدیرعامل شرکت امن افزار شریف و احسان کریمی اسکندری کارشناس حوزه امنیت و زیرساخت فناوری اطلاعات نیز حضور داشتند.