ضعف در پیاده‌سازی استانداردها، دلیل اصلی تکرار حوادث امنیتی

بهناز آریا، رئیس کمیسیون صنعت افتا در سازمان نظام صنفی رایانه‌ای استان تهران، از کم‌توجهی گسترده به استاندارد‌های امنیت اطلاعات در کشور انتقاد کرد.

او با اشاره به پایین بودن میزان استقبال سازمان‌ها از استاندارد‌های امنیتی، این وضعیت را نه‌تنها محدود به مصرف‌کنندگان خدمات، بلکه در میان تولیدکنندگان و ارائه‌دهندگان راهکار‌های فناوری نیز نگران‌کننده دانست.

آریا این وضعیت را ناشی از یک «فقر فرهنگی» در درک اهمیت استاندارد‌ها دانست و افزود: "متأسفانه بسیاری از سازمان‌ها استاندارد را صرفاً در حد تهیه مستندات و دریافت گواهی تلقی می‌کنند، در حالی که هدف اصلی، جاری شدن روح استاندارد در فرایند‌های سازمانی است. "

او همچنین به یک باور اشتباه رایج اشاره کرد و گفت: "بسیاری تصور می‌کنند رعایت استاندارد مساوی با رسیدن به نهایت کیفیت است، در حالی که استاندارد‌ها صرفاً حداقل‌های قابل‌قبول را مشخص می‌کنند. "

آریا با اشاره به مجموعه استاندارد‌های ISO/IEC ۲۷۰۰۰ و SC ۲۷، وجود ده‌ها استاندارد تخصصی برای حوزه‌های مختلف مانند انرژی، مخابرات، هوش مصنوعی و بلاک‌چین را یادآور شد و اظهار داشت: "متأسفانه در ایران اغلب این استاندارد‌ها ناشناخته مانده‌اند و تنها استانداردی که تا حدودی شناخته‌شده است، ISO/IEC ۲۷۰۰۱ است؛ آن‌هم بیشتر به‌واسطه تلاش نهاد‌های رسمی مانند افتا و سازمان فناوری اطلاعات. "

به گفته او، بسیاری از رخداد‌های امنیتی اخیر، در صورت استقرار ساختار مدیریت امنیت اطلاعات مبتنی بر استاندارد، قابل پیشگیری بودند. اما ضعف در پیاده‌سازی و حتی آشنایی ابتدایی با این استانداردها، موجب تکرار این حوادث شده است.

آریا در پایان بر نقش کلیدی ارائه‌دهندگان خدمات و راهکار‌های فناوری اطلاعات در نهادینه‌سازی استاندارد‌ها تأکید کرد و گفت: "فارغ از الزامات حاکمیتی، مسئولیت این بازیگران حیاتی است که استاندارد‌ها را جدی بگیرند و در فرآیند‌های خود اعمال کنند. پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) می‌تواند ساختار پایش‌پذیر و کنترل‌های مبتنی بر ریسک را در سازمان‌ها نهادینه کند و آنها را در مسیر بهبود مستمر امنیت اطلاعات قرار دهد. "