الزامات فنی تداوم کسبوکار بانکها
سید سینا قاضی دزفولی
مدیر راهکارهای مشتری محور شرکت داتیس آرین قشم
چند سال قبل، زمانی که به یک موسسه مالی در شهر ابوظبی رفته بودم تا تنظیماتی روی یکی از سرورها انجام دهم، از مدیر فناوری آن مجموعه پرسیدم آیا از اطلاعات سرور، پشتیبان دارید و او با اشاره به اینکه نسخهای حرفهای از بهترین نرمافزار پشتیبانگیر را خریداری کردهاند که بهصورت منظم از همه سرورها نسخه پشتیبان تهیه میکند تایید کرد که همه اطلاعات موجود است و اصلا جای هیچ نگرانی نیست. پرسیدم آخرین باری که نسخه پشتیبان خود را آزمایش کردهاند چه زمانی بوده است، به من نگاهی کرد و گفت هیچ وقت.
سید سینا قاضی دزفولی
مدیر راهکارهای مشتری محور شرکت داتیس آرین قشم
چند سال قبل، زمانی که به یک موسسه مالی در شهر ابوظبی رفته بودم تا تنظیماتی روی یکی از سرورها انجام دهم، از مدیر فناوری آن مجموعه پرسیدم آیا از اطلاعات سرور، پشتیبان دارید و او با اشاره به اینکه نسخهای حرفهای از بهترین نرمافزار پشتیبانگیر را خریداری کردهاند که بهصورت منظم از همه سرورها نسخه پشتیبان تهیه میکند تایید کرد که همه اطلاعات موجود است و اصلا جای هیچ نگرانی نیست. پرسیدم آخرین باری که نسخه پشتیبان خود را آزمایش کردهاند چه زمانی بوده است، به من نگاهی کرد و گفت هیچ وقت. وقتی سوال کردم آیا فرآیندی مشخص برای بازیابی نسخه پشتیبان دارید، باز با پاسخ منفی مواجه شدم. به او گفتم فقط با قبول همه مسوولیتها از سمت شما میتوانیم عملیات درخواستی را روی سرور اعمال کنیم.
در تجربهای دیگر، برای یک بانک، مرکز دادهای برای «بازیابی فاجعه» در شهر اینترنتی دبی برقرار کردیم و از طریق ارتباط اختصاصی ماهوارهای، از سرورهای آنها بهصورت بلادرنگ نسخه پشتیبان تهیه میکردیم. همه چیز بسیار منظم و سازماندهی شده بود تا اینکه در یک واقعه، مرکز داده اصلی بانک با مشکل تامین برق مواجه شد. پس از تشکیل کمیته اضطرار، برای تداوم کسبوکار، تصمیم گرفته شد از مرکز داده جایگزینی که بهمنظور بازیابی فاجعه در شهر اینترنتی دبی مستقر بود، استفاده شود. طی عملیات شبانه، همه مقدمات از لحاظ شبکه، پایگاه داده و نرمافزار آماده شد، اما در لحظه آغاز به کار عملیات، شعب بانک با مشکلی بدون راه حل روبهرو شدند که دارا بودن مرکز داده بازیابی فاجعه نمیتوانست هیچ کمکی به آن بکند. ورود به رایانهها توسط سامانه احراز هویت مرکزی کنترل میشد و از آنجا که سیاست امنیتی تنظیم شده، دسترسی به سرور اصلی را برای هر بار ورود به رایانههای عضو شبکه الزامآور کرده بود، هیچیک از پرسنل نتوانستند آن روز و روز بعد تا پایان رفع مشکل برق مرکز داده اصلی بانک، کاری انجام دهند.
از همگسیختگی و عدم امکان انجام کار از آنجا ناشی شد که کارگروه امنیت و شبکه با کارگروه نرمافزار و عملیات، هماهنگیهای لازم را انجام نداده بودند و در حین تنظیم سیاستهای امنیتی به تداوم کسبوکار دقت نکرده بودند. حاصل درس آموخته شده از این واقعه آن بود که هر ماه، دو روز عملیات بانک الزاما با استفاده از مرکز داده جایگزین صورت پذیرد و گزارش عملکرد آزمون تداوم کسبوکار برای همه مدیران ارشد بانک ارسال شود.
مجموعه چنین رخدادهایی در دنیای فناوری اطلاعات باعث شد سازمان جهانی استاندارد در سال ۲۰۱۱ بهعنوان بخشی از ISMS، استانداردی بینالمللی از استانداردهای خانواده ISO۲۷۰۰۰ با شماره ۲۷۰۳۱ را تدوین کند که بهصورت تخصصی به راهنمایی برای آمادگی زیرساخت فناوری اطلاعات برای تداوم کسبوکار میپردازد. اصول این استاندارد شامل پیشگیری از اتفاق، تشخیص اتفاق، پاسخگویی به واقعه، بازیابی و بهینهسازی است. همچنین عناصر تاثیرگذار متفاوتی شناسایی و راهنماییهایی برای هرکدام از این عوامل به شرح زیر ارائه شد:
۱. افراد: سازمانها باید سطح آگاهی و دانش پرسنل خود را بهصورت مستمر از طریق آموزش و اطلاعرسانی افزایش دهند و فرآیندی برای سنجش موثر بودن آموزشهای ارائه شده داشته باشند. همچنین سازمانها باید کارمندان خود را از نقشآفرینی هر کدام از آنها به منظور بهدست آوردن اهداف تداوم کسبوکار آگاه کنند.
۲. زیرساخت: مراکز داده جایگزین برای تداوم کسبوکار باید در محلی متفاوت از مرکز داده اصلی قرار گیرد تا اتفاق یا بلایای طبیعی (سیل، زلزله و آتشسوزی شامل حال مرکز داده جایگزین نشود.
۳. فناوری: یک یا چند استراتژی درخصوص فناوری باید اجرا شود؛ برای مثال hot-standby که در آن هر آنچه در مرکز داده اصلی است بهصورت بلادرنگ پشتیبانگیری میشود یا warm-standby که در این استراتژی بازیابی در مرکز داده جایگزین، صورت میگیرد و زیرساخت، تا بخشی آمادگی لازم را دارد. دیگر استراتژیها شامل cold-standby، ship-in و pick-and-mix هستند که بنا به اولویتها و میزان بودجه یک سازمان قابل تعریفاند.
۴. اطلاعات: هماهنگیهای لازم براساس استراتژیهای مدیریت برای دسترسپذیر بودن اطلاعات در صورت بروز حادثه باید اجرا شود. برای مثال در اختیار گذاشتن فضای بیشتر ذخیرهسازی اطلاعات در ساختاری که بتوان آن را در زمان نیاز بازیابی کرد یا استفاده از مراکز داده غیره در صورتی که بتوان محرمانگی و امنیت اطلاعات را تضمین کرد.
۵. فرآیندها: مستند فرآیندها باید بهصورت کاملا واضح و با جزئیات مورد نیاز در اختیار افراد دارای توانمندی برای اجرا قرار گیرد. اصولا فرآیندهای مرتبط با تداوم کسبوکار با کارهای روزمره متفاوتند.
۶. تامینکنندگان: سازمانها باید طی فرآیند خرید نسبت به توانمندی تامینکنندگان اجزای حیاتی خود اطمینان حاصل کنند که حتی در شرایط بحرانی تامینکنندگان توان ارائه خدمت، پشتیبانی، قطعات یا محصولات را دارا هستند. بسیاری بانکها در ایران برنامههای جامعی در حوزه ISMS دارند. درک این نیاز و سرمایهگذاری در ایجاد بسترهای لازم برای امنیت، تداوم کسبوکار و بازیابی فاجعه، نشان از رشد و بلوغ بانکهای کشورمان دارد که خود را در برابر شرایط پیشبینی نشده به گونهای بیمه میکنند.
رشد فزاینده استفاده از راهکارهای مجازیسازی و رایانش ابری خصوصی، نیز هزینه تمامشده راهاندازی مرکز داده جایگزین برای تداوم کسبوکار و بازیابی فاجعه را نسبت به گذشته مقرون به صرفهتر کرده است.اینکه بانکها در چه مرحلهای هستند سوالی است که نمیتوان پاسخی دقیق به آن ارائه داد، اما باید توجه داشت که رویکرد به ISMS جامع و همهجانبه باشد. یادمان نرود که خطر فقط از سوی خرابکاران نیست و حفظ امنیت فقط به تست نفوذ ختم نمیشود. حفاظت اطلاعات مشتریان در شرایط بحرانی و تداوم کسبوکار به واسطه سرمایهگذاری متناسب در راهکارهای بازیابی فاجعه میتواند موجب ایجاد آسایش خاطر مشتریان بانکها شود. اگر بانکی نتواند تضمین کند که اطلاعات حساب مشتریان را در هر شرایطی حفظ میکند، چگونه میتواند از مردم انتظار داشته باشد تا پولشان را به آنها بسپارند؟
ارسال نظر