گلستانه: حاکمیت داده در مراکز داده باید به نظارت مستمر و حسابرسی فناورانه متصل شود

محمدحسن گلستانه، مدیرعامل شرکت «آدفاست»، در گفت‌وگو با زیمانیوز در حاشیه نمایشگاه تراکنش تهران، از محصول جدید این شرکت به نام ربسک بان در حوزه حاکمیت، ریسک و انطباق فناوری اطلاعات و ارتباطات رونمایی کرد؛ سامانه‌ای که با هدف پایش لحظه‌ای ریسک براساس میزان انطباق زیرساخت‌های فناوری اطلاعات و ارتباطات سازمان‌ها طراحی شده است. به گفته‌ی او، این محصول می‌تواند پلی میان حسابرسی فناوری اطلاعات، بیمه سایبری و حاکمیت داده در کشور ایجاد کند.

آقای گلستانه، کمی درباره محصول جدید آدفا توضیح می‌دهید؟

محصول جدید ما در واقع در حوزه حاکمیت فناوری و ممیزی زیرساخت است. این سیستم به سازمان‌ها کمک می‌کند تا بتوانند در لحظه، میزان انطباق زیرساخت فناوری خود از جمله امنیت، ارتباطات، منابع سخت‌افزاری و نرم افزاری را به‌صورت یکپارچه روی داشبورد مدیریتی مشاهده کنند. هر سطح مدیریتی، از هیئت‌مدیره گرفته تا کمیته حسابرسی و معاونت فناوری، می‌تواند بر اساس نیاز خود، وضعیت انطباق یا عدم انطباق با الزامات داخلی و بین‌المللی را پایش کند.

به نظر می‌رسد این موضوع با چالش‌های اخیر حوزه فناوری هم مرتبط است؟

دقیقاً. بعد از برخی رویدادهای اخیر، مشخص شد که بسیاری از چالش‌های این حوزه در کشور به نحوه اجرا و مدیریت برمی‌گردد. خوشبختانه امروز حاکمیت به این نتیجه رسیده که روش‌های گذشته در نظارت و ممیزی زیرساخت‌ها نیازمند بازنگری و ارتقاست.

یکی از اتفاقات مهم هم ورود بانک مرکزی به بحث حسابرسی فناوری اطلاعات است. طبق ابلاغیه اخیر، از سال آینده گزارش حسابرسی فناوری باید هم‌زمان با گزارش مالی در مجمع شرکت‌ها قرائت شود. این یعنی اهمیت این حوزه برای نظام مالی کشور به‌طور رسمی پذیرفته شده است.

در صحبت‌هایتان اشاره‌ای به بیمه سایبری داشتید؛ این حوزه چه ارتباطی با حسابرسی فناوری دارد؟

به‌نظر من، حسابرسی فناوری و بیمه سایبری دو بازوی مکمل هستند.بیمه گر زمانی می تواند سازمانی را تحت پوشش بیمه سایبری قرار دهد که بتواند سطح ریسک سازمان یا خدمت مورد نظر را دقیق بسنجد. هرچه ریسک بالاتر باشد، هزینه بیمه هم بیشتر می‌شود. اما اگر ریسک به‌درستی شناسایی نشود، بیمه هم نمی‌تواند خسارت واقعی را پوشش دهد. اینجا حسابرسی فناوری وارد عمل می‌شود و ریسک سازمان را با استناد به استانداردهای داخلی و بین‌المللی مشخص می‌کند.

در واقع، حسابرسی فناوری اطلاعات و ارتباطات پیشران توسعه بیمه سایبری است؛ چون بدون داده‌های دقیق از وضعیت زیرساخت فناوری، هیچ بیمه‌گری نمی‌تواند پوشش واقعی بدهد.

با توجه به تغییرات سریع فناوری، چگونه می‌توان ریسک را به‌روز نگه داشت؟

در دنیا بحث انطباق مستمر یا Continuous Compliance مطرح است؛ یعنی پایش مداوم وضعیت سازمان بر اساس آخرین استانداردها. چون در فضای فناوری هر روز تهدید یا به‌روزرسانی جدیدی رخ می‌دهد. محصول ما دقیقاً بر همین اساس طراحی شده است: ریسک سازمان را به‌صورت لحظه‌ای می‌سنجد و در صورت بروز تغییر، هشدار می‌دهد.

این رویکرد به بیمه‌گر هم کمک می‌کند تا در صورت وقوع حادثه، میزان خسارت را دقیق‌تر محاسبه کند و به سازمان‌ها انگیزه می‌دهد که سطح ریسک خود را کاهش دهند.

آیا این سامانه نیاز به زیرساخت جدید دارد؟

خیر. ما هیچ زیرساخت جدیدی به سازمان تحمیل نمی‌کنیم. داده‌ها و گزارش‌های لازم از پیش در واحدهای مختلف سازمان وجود دارد، اما پراکنده‌اند. محصول ما این داده‌ها را تجمیع و یکپارچه می‌کند و با استفاده از الگوریتم‌های یادگیری ماشین و تحلیل ریسک، خروجی مدیریتی قابل‌درک برای سطوح مختلف سازمان تولید می‌کند.

الان در چه مرحله‌ای هستید و هزینه پیاده‌سازی به چه شکل است؟

در مرحله نخست، ما صرفاً هزینه نفر-ساعت پیاده‌سازی را دریافت می‌کنیم تا سیستم در سازمان‌ها استقرار یابد. هدف اصلی ما فرهنگ‌سازی است، نه فروش فوری. اگر بتوانیم چند نمونه موفق اجرا کنیم، مدل به‌سرعت در اکوسیستم فناوری کشور پذیرفته می‌شود. در گام بعد، با همکاری شرکت‌های توانمند دیگر، خدمات تکمیلی مثل امن سازی (Hardening)خودکار و تحلیل مدل های پیش‌بینانه ریسک را اضافه می‌کنیم.البته این مدل در حوزه ها و صنایع دیگر که میزان ریسک در آنها حائر اهمیت می باشد نیز قابل پیاده سازی می باشد.

چشم‌انداز شما برای آینده این حوزه چیست؟

امیدوارم تا یک سال آینده، نظام حسابرسی فناوری و بیمه سایبری در کشور به شکل رسمی اجرایی شود. این اتفاق می‌تواند به شفافیت، پاسخگویی و امنیت بیشتر در سازمان‌ها منجر شود و زمینه‌ساز اشتغال برای متخصصان حوزه زیرساخت، امنیت و استانداردهای فناوری باشد.

لینک کوتاه: