ﺳﻪشنبه 27 آذر 1397  
حاکميت امنيت در شبکه بانکي

سردبیری شماره 32:حاکميت امنيت در شبکه بانکي

دکتر سيد محسن هاشمي صاحب امتياز و مدير مسوول

امنيت بايد يک فرآيند در سازمان باشد و با توجه به چارچوبها و استانداردهاي مربوطه در يک چرخه بهبود مستمر قرار گيرد تا اثربخش و کارا باشد. امروزه فناوري اگر باعث صرفهجويي در زمان و سرمايه سازمانها نشود، باعث بقاي آنها خواهد شد. از طرفي اينترنت از آغاز به منظور انجام تجارت ايجاد نشده و تکامل فناوريها اين نياز را به ارمغان آورده است. همين مساله باعث توجه بيشتر به مقوله امنيت در زيرساختها و نرمافزارهاي اينترنت شده است.

يک تهديد امنيتي، هر چيز يا هرکسي است که ميتواند باعث شود سيستم، عملي را انجام دهد که شما نميخواهيد آن عمل انجام شود يا عملکرد معمول سيستم را مختل کند. مشکل اصلي در تعيين تهديدها و مخاطرات امنيتي همينجا است، چراکه تعيين دقيق مجموعه عمليات مورد نظر توسط افراد خود سازمان کار سادهاي نيست. همچنين بايد در نظر داشته باشيم که امنيت کامل وجود ندارد؛ اما مخاطرات امنيت بايد قابل مديريت باشند. هنگامي که به صورت موثري مخاطرات امنيتي را مديريت ميکنيد، يک طرح امنيتي کسب وکار قدرتمند در اختيار داريد که چيزي بيش از مديريت هزينه امنيت است. امنيت در حقيقت مربوط به همه است، نه فقط کساني که به يک سيستم حمله ميکنند، بلکه کساني که از آن سيستم مراقبت ميکنند را نيز دربر ميگيرد. اگر مي‌‌‌خواهيد يک طرح امنيتي در سازمان کار کند، مجبور هستيد به افراد اعتماد کنيد. اين مقولهها در حاکميت امنيت جاي دارد.

حاکميت امنيت اطلاعات و سيستمها، حلقه مفقوده توسعه بانکها است که در صورتي که نياز آن به صورت صحيح درک شود، با سياستگذاريهاي مناسب امکان برنامهريزي مديريت امنيت اطلاعات بانکها ميسر خواهد شد. در نظر داشته باشيد که از سال 2013، کليه استانداردهاي امنيت اطلاعات بخش معيني را به حاکميت امنيت اطلاعات اختصاص دادهاند که ضرورت توجه بر آنها را نشان ميدهد و نبايد از اين مقوله غافل شد. در شکل زير مهمترين مولفههاي موثر در افزايش سطح امنيتي يک سازمان نشان داده شده است.


 

بانکداري مجازي چيست و خدمات متقابل بانکداري مجازي و بانکداري اسلامي چگونه تحقق مي‌يابند؟

پيشنهاد به رييس کل بانک مرکزي

سردبیری شماره 31: بانکداري مجازي چيست و خدمات متقابل بانکداري مجازي و بانکداري اسلامي چگونه تحقق مييابند؟


هر روز نياز کسبوکارها و شهروندان به بانکداري بيشتر ميشود و نياز آنها به بانکها کمتر! از هماکنون جهت توسعه فرآيند بانکداري به جاي توسعه بانکها تدبير کنيم. بپذيريم که با توجه به نرخ رشد فناوريهاي بانکداري در جهان و نرخ رشد نيازهاي شهروندان ايراني و هزينه درمانهاي سطحي و منطقي، ديگر نميتوان کاري براي ساختار بيمار بانکداري الکترونيکيکشور از طريق نسخههاي بهبوددهنده (مثل؛ طرح، برنامه و سيستم) انجام داد. زمان توسعه و گذر از بانکداري الکترونيکي به بانکداري مجازي در کشور فرا رسيده است؛ چرا که هرچه ديرتر شروع کنيم، بيشتر ضرر خواهيم کرد. چه مناسب است در اين فرصتِ نوسازيِ تفکرِ توسعه بانکداري، به اصول بانکداري اسلامي نيز بيشتر توجه شود. زيرا اهداف تحقق بانکداري اسلامي و اهداف توسعه بانکداري مجازي دقيقا يکسان هستند و ميتوان با سياستگذاري جدي در توسعه و ايجاد بانکهاي مجازي، هم بانکداري اسلامي را در سياستگذاري تقويت کرد، هم روش تحقق بانکداري اسلامي را که تنها از طريق بانکداري مجازي قابل پيادهسازي است، تشويق نمود. در واقع ميتوان با يک تير دو هدف را نشانه گرفت. اگر به دنبال تحقق اهداف بانکداري اسلامي از قبيل کاهش هزينه خدمات بانکي، کيفيت بهتر ارايه خدمات بانکي، رفاه شهروندان، شفافيت، عدالت، کارايي و احکام در يک جامعه اخلاقمدار هستيم، تنها يک راه باقيمانده است و آن اينکه بانک مرکزي در سريعترين زمان ممکن، تسهيلگر و مشوق توسعه بانکداري مجازي در کشور شود. شايد چندان مهم نباشد که تفاوت بانکداري اسلامي در ايران و جهان در چه مولفههايي است و شايد صحيح نباشد که توقع داشته باشيم پس از گذشت دو سال از استقرار دولت جديد، چند بانک مجازي در کشور ايجاد شده باشد، اما انتظار وجود تدوين مقدمات و ارايه چند گام اوليه در جهت تحقق بانکداري مجازي، انتظار معقولي از رياست محترم بانک مرکزي است که پس از گذشت دو سال از مسووليت ايشان، قابل تامل خواهد بود.

در حال حاضر بانکداري اسلامي در دنيا تنها يک مدل درآمدي است و صاحبان زر و زور به خوبي دريافتهاند که اين مدل حداقل قادر به جذب سرمايههاي جمعيت مسلمان در کشورهاي آنها خواهد شد و چنين است که کشورهاي اروپايي مجوزهاي ايجاد بانکهاي اسلامي را صادر ميکنند. آنچه مهم است اين که فارغ از ديگر مسايل تخصصي بانکداري اسلامي، آيا کشورهاي اسلامي نبايد از چنين فرصتهاي اقتصادي بيشتر استفاده کنند؟

پيشنهاد ميشود بانک مرکزي، تاييد مجوز ايجاد يا توسعه بانکهاي ناکارآمد فيزيکي يا ارايه خدمات جديد آنها را متوقف کند. بانک مرکزي تنها نهادي است که ميتواند با تشويقها، تهديدها، معافيتها، امتيازها و مجوزهاي به موقع، روند جايگزيني بانکداري مجازي به جاي بانکداري سنتي و بانکداري الکترونيکي را تسريع کند. اما بانکداري مجازي چيست؟ بانکداري اسلامي چيست؟ و خدمات متقابل بانکداري مجازي و بانکداري اسلامي چگونه تحقق مييابد؟ پاسخ سوال اول در نتايج تحقيقات 5 ساله ماهنامه بانکداري مجازي به عنوان نخستين مجله صنعت بانکداري کشور تهيه و بخشهاي منتخب آن نيز منتشر شده است و پاسخ سوال دوم در مصاحبه با متخصصين اين حوزه در ادامه تشريح شده است. براي پاسخ به سوال سوم، بخشهايي از هجدهمين جلسه کميته علمي ماهنامه بانکداري مجازي را در اين شماره در قالب يک گفتگوي Multidisciplinary درج شده است که حداقل دربرگيرنده طرح چند سوال مهم در اين زمينه است.

دکتر سيد محسن‌ هاشمي‌

 صاحب امتياز و مدير مسوول


هول حليم پساتحريم!

سردبیری شماره 30: هول حليم  پساتحريم!

زمان آن رسيده است که اين اصل را سرلوحه برنامهريزي نظام بانکي کشور قرار دهيم که بانکداري مجازي نياز کشور است و بانکداري مجازي يعني؛ هر روز نياز ما به بانکداري بيشتر و هر روز نياز ما به بانکها کمتر ميشود. با اهميتترين مولفه زيرساخت توسعه بانکداري مجازي، سامانه بانکداري متمرکز (Core Banking) است. اگر چه تاکنون وزير اقتصاد دولت تدبير و اميد درخصوص توسعه بانکداري مجازي و سامانه بانکداري متمرکز اظهارنظري نکردهاند، اما وزير اقتصاد دولت سابق يکي از مهمترين نقاط ضعف نظام بانکي کشور را عدم استقرار يک سامانه بانکداري متمرکز در کشور دانستند. چنانکه خبر آن در شماره اول مجله بانکداري مجازي در سال 1391 نيز درج شده است. ظاهرا پيشبيني ايشان در حال تحقق است، اگر چه عدهاي نسبت به اظهار نظر ايشان برنتابيدند و همه چيز گفتند جز اينکه روزي خودشان نيز ممکن است سخن ايشان را با دل و جان در عمل بپذيرند و چون در ايران Core Banking مناسبي وجود ندارد، بروند سراغ شرکتهاي خارجي. جالب اينجا است که آنها که تا ديروز دم از استقلال

Core Banking ميزدند (چون بازار در انحصار آنها بود و کلام مدقن پاسخ مشکلات جامع بانکداري در کشور را توسعه محصولات داخلي ميدانستهاند و وابستگي به ديگر کشورها و نشت احتمالي اطلاعات مشتريان بانکها را مهمترينِ ضعفهاي استفاده از سيستمهاي خارجي عنوان ميکردهاند)، يک شبه مدعي و ناجي مشکلات بانکهاي کشور شده و راه حل را در برخي رسانهها (به عنوان شاهد حماسههاي ايجاد تفاهم با برندهاي شايد مطلوب جهان)، فارغ از اينکه نياز بانکهاي ايران در واقع چه چيزي است، محصولات خارجي ميدانند.

 

در اين خصوص به چند نکته قبل از هر گونه اقدامي بايد توجه داشت:

1- آيا سطح بلوغ محصولات خارجي از محصولات داخلي بالاتر است و در تعامل با آنها، انتقال دانش به داخل کشور رخ خواهد داد؟

2- آيا از تاريخچه موفقيتها و ناموفقيتهاي شرکتهاي خارجي در خارج و داخل ايران اطلاع داريم؟ نکند به سرنوشت پيادهسازيهاي ناموفق قبلي در کشور دوباره دچار شويم؟

3- آيا وضعيت رونق شرکتهاي خارجي در حال حاضر در جهان مناسب است يا قرار است با پروژههاي ايراني متحول گردد؟


کلام آخر اينکه مواظب باشيم از هول حليم پساتحريم، شرکتهاي خارجي منابع ملي را از تهِ ديگِ روشنِ فعليِ بانکها نبلعند که فردا مسوول خواهيم بود!


دکتر سيد محسن‌ هاشمي‌

 صاحب امتياز و مدير مسوول

آيا بانک مرکزي چارچوبي براي حاکميت و مديريت فناوري اطلاعات سازمان خود دارد؟

سردبیری شماره ۲۸ ماهنامه بانکداری مجازی: ۱۵ پرسش علمی از بانک مرکزی


مالکيت فرآيندهاي بانک مرکزي

مدتها است که بخش‌هاي مرتبط با IT بانک مرکزي (اعم از مدير IT و ...) در خصوص مسايلي اظهارنظر مي‌کنند که کمتر ارتباط با شرح وظايف آنها دارد. در نظر بگيريد مدير IT بانک مرکزي بعضي مواقع در مورد قواعد کسب‌وکار و فرآيندهاي بانک مرکزي اظهارنظر مي‌کند، مثلاً چه کسي کارمزد بگيرد، چه کسي کارمزد بدهد، طرحها از چه زماني اجرايي شوند. از لحاظ فرآيندي اين مطالب به بخش‌هاي ديگر بانک مرکزي بيشتر مرتبط است تا به بخش IT. از اين دست موارد بسيار وجود دارد که برعکس آن نيز مشهود است. مسوولين کسب‌وکار بانک مرکزي راجع به فني‌ترين مقوله‌هاي IT اظهارنظر مي‌کنند. اين گونه دخالت افراد و نقش‌ها در کليه امور يک پيام دارد که شايد سازمان فاقد برنامه جامعي براي مديريت منابع و فرآيندها است و اقدامي موثر در تعيين وظايف واحدهاي مختلف بانک مرکزي در دو سال گذشته نيز انجام نشده است يا اينکه از نظر رييس کل بانک مرکزي، در حال حاضر بهبود وضعيت جاري فرآيندهاي سازمان، اولويتي در برنامه‌ها ندارد.

بانک مرکزي براي موفقيت بيشتر، نيازمند جايگزيني  افراد نيست و قطعا اين عمل نتيجه‌اي دربر نخواهد داشت. بانک مرکزي نيازمند افزايش ظرفيتهاي موثر موجود در کشور است و پيشنهاد مي‌شود در صورت امکان، پاسخگويي به پرسشگران، استمداد از همه بخش‌هاي علمي و با تجربه در برنامه‌ريزي سازمان، پذيرش مقوله تاثير تجربه و تحصيلات تکميلي در جلوگيري از هدر رفتن منابع و تعيين مالکين فرآيندهاي سازمان را در سال ۹۴ در دستور کار خود قرار دهد.

دو سال از عمر دولت تدبير و اميد مي‌گذرد و جا دارد از نتايج ارزنده توافقات بين‌المللي اخير تشکر شود. در اين زمان مناسب است پرسشهاي ذيل مطرح شوند و انتظار مي‌رود بانک مرکزي پاسخي شايسته و علمي به آنها ارايه دهد.

۱- آيا در بانک مرکزي تاکنون اقدامي در زمينه حسابرسي فرآيندهاي کسب‌وکار انجام شده است؟ يا اين کار در برنامه‌هاي آتي قرار گرفته است؟

۲- آيا در بانک مرکزي تاکنون اقدامي در زمينه حسابرسي فناوري اطلاعات انجام شده است؟ يا اين کار در برنامه‌هاي آتي قرار گرفته است؟

۳- آيا بانک مرکزي در شرايط فعلي شرح وظايف مدوني متناسب با نيازهاي اقتصادي کشور و شرايط بين‌المللي دارد؟

۴- آيا خدمات بانک مرکزي در حوزه فناوري اطلاعات دسته‌بندي شده است؟

۵- آيا مالکين، ورودي‌ها و خروجي‌ها و متاثرين فرآيندهاي بانک مرکزي مشخص هستند؟

۶- آيا با وجود پروژه‌هاي انجام شده در بانک مرکزي، اين سازمان داراي اهداف سازماني، اهداف فناوري اطلاعات، فرآيندها و خدمات معين و مرتبط است؟

۷- آيا رابطه معناداري بين اهداف سازماني بانک مرکزي، اهداف فناوري اطلاعات بانک مرکزي، فرآيندها و خدمات بانک مرکزي وجود دارد؟

۸- آيا بانک مرکزي قصد بکارگيري نخبگان فناوري اطلاعات در صنعت بانکداري را در برنامه‌هاي آتي دارد؟

۹- آيا در توسعه بانکداري مجازي، بانک مرکزي در ۲ سال گذشته اقدامي انجام داده است؟ چند بانک مجازي در عصر اطلاعات در کشور در اين ۲ سال مجوز فعاليت دريافت کرده‌اند؟

۱۰- آيا براي حاکميت و مديريت بهتر سازمان، به الگوهاي جامع حاکميت و مديريت سازمان IT نياز است؟

 

نقضغرض در اقدامات بانک مرکزي! آيا نيازي به اعضاي هيات مديره و مديرعامل در بانکها وجود دارد؟

سوال: چرا اگر يک کارشناس ساده، معمولي يا ارشد در يک بانک باشيد، هيچ چيزي به اندازه تغيير اعضاي هيات مديره و مديرعامل باعث خوشحالي شما نخواهد شد؟

جواب: چون حداقل تا يکسال پس از تغيير اعضاي هيات مديره و مديرعامل، کسي به شما کاري ندارد و مي‌توانيد به راحتي روزنامه بخوانيد و همواره به جستجو در اينترنت بپردازيد.

سوال: چرا اگر يک مدير ساده، معمولي يا ارشد يا پيمانکار يک بانک باشيد، هيچ چيزي به اندازه تغيير اعضاي هيات مديره و مديرعامل باعث ناراحتي شما نخواهد شد؟

جواب: چون حداقل تا يکسال پس از تغيير اعضاي هيات مديره و مديرعامل بايد براي اثبات مجدد توانمنديهاي مديريتي به اعضاي هيات‌مديره و مديرعامل جديد تلاش کرد، تا چه قبول افتد و کار که در نظر آيد!

شايد تغييرات اعضاي هيات‌مديره و مديرعاملان، حتي به دلايل فني لازم باشد، اما آنچه مشاهده مي‌شود، تغيير به معني افزايش ظرفيتهاي جديد مديريتي نيست، بلکه صرفا جابجايي مديران و اعضاي هيات‌مديره بانکها از بانکي يا موسسه‌اي به بانکي يا موسسه‌اي ديگري است. در ادبيات حاکميت و مديريت منابع سازماني، اين جابجايي جز افراط و تفريط در صرف منابع و افزايش ريسکهاي مترتب بر بانکها، پيامد ديگري درپي نخواهد داشت. در اين فضا که ديگر اعضاي هيات‌مديره و مدير عاملان بانکها حداکثر تدبيرشان براي ابقاي خويش است، چگونه به توسعه بانکها مي‌توان اميد داشت و فراتر اينکه چگونه به توسعه بانکداري مجازي مي‌توان اميدوار بود.

در اينجا پاسخ به چند پرسش ذيل نيز قابل قدرداني خواهد بود.

۱۱- آيا اعضاي هيات‌مديره و مديرعاملان که در بانکها تغيير مي‌کنند، فاقد صلاحيت هستند؟ اگر آري چرا جابجا مي‌شوند؟ اگر نه چرا تغيير مي‌کنند؟

۱۲- اگر قرار است هيچ ظرفيت‌سازي جديدي براي مديران جوان بانکي صورت نپذيرد، آيا نظام بانکي کشور از اين مديران که سطح توانمندي آنها معين بوده و بارها ثابت شده است، خسته نخواهد شد؟ آيا وقت آن نيست که در ترکيب اعضاي هيات‌مديره و مديرعاملان بانکها، متخصصين فناوري اطلاعات حضور داشته باشند؟!

۱۳- آيا پايان سال شمسي زمان صحيحي براي تغيير اعضاي هيات‌مديره و مديرعاملان بانکها است؟

۱۴- اگر اعضاي هيات‌مديره و مديرعاملان بانکها اينچنين تغيير مي‌کنند و هيچ اتفاقي در امور جاري بانکها نمي‌افتد، اصلا چه نيازي به هيات‌مديره و مديرعامل براي بانکها وجود دارد؟

۱۵- آيا توجه‌اي به ثبت تجربيات موفق و ناموفق اعضاي هيات‌مديره و مديرعاملان بانکها در کشور مي‌شود؟ تا اگر تجربه ارزنده‌اي وجود داشت، ديگر اعضاي هيات‌مديره و مديرعاملان بانکها نيز ملزم به پيروي از آن شوند و تجربيات ارزنده! آنها مکررا در ديگر بانکهاي کشور هزينه ايجاد نکند!

 

گام نخست در توسعه بانکداري مجازي در کشور

حال که قرار است تا تحريم‌ها برداشته شود، انتظار مي‌رود بانک مرکزي علاوه بر مشارکت در برنامه‌هاي بين‌المللي، توسعه کارت اعتباري، نظامهاي پرداخت نوين و توسعه بانکداري مجازي در کشور را نيز در دستور کار قرار دهد. در اين جهت به عنوان يک گام علمي و عملي، پيشنهاد مي‌شود بانک مرکزي فرهنگ‌سازي و نهادينه‌سازي دانش بانکداري مجازي را همه جانبه مورد حمايت قرار دهد.

شايد که در پايان سال ۹۴، حداقل چند بانک مجازي در کشور ايجاد شده باشد.

 

دکتر سيد محسن‌ هاشمي‌

 صاحب امتياز و مدير مسوول

 

 

 بقیه مطالب را پس از دریافت کد اشتراک در شماره ۲۸ بخوانید


همه چیز درمورد COBIT5

وظايف حسابرسIT  براي تحقق حاكميت IT

معرفيIT GRC  براي بانکها و موسسات مالي

مروري بر برخي استانداردهاي حاکميت و مديريت IT

COBIT 5، چارچوبي  براي حاکميت و مديريت سازمان IT

تغييرات عمده چارچوب استانداردCOBIT5  نسبت به استاندارد COBIT4

تجارب پيادهسازي COBIT5  در دنيا

چرا، چه زماني و چگونه به COBIT5   مهاجرت کنيم؟

 COBIT5براي اطمينان بخشي فرآيند حسابرسي IT

پياده سازي چارچوب COBIT5، راهي براي تحقق اصول چارچوب COSO  در سازمانها

اهميت فرآيندهاي چارچوبCOBIT5   از ديدگاه مديرانIT  بانکهاي ايراني


COBIT is a registered trademark by SACA (http://www.isaca.org/)

اتفاقات ناگوار در راه هستند!

سردبیری شماره 26: اتفاقات ناگوار در راه هستند!

 

آيا نبايد از مهمترين مخاطرات کسب و کار خود آگاه باشيد؟

آيا از وضعيت جاري IT سازمان  خود خبر داريد؟

آيا برنامهاي براي بهبود وضعيت آتي IT سازمان خود داريد؟

یک مدیر ارشد سازمان باید بتواند به سوالات زیر پاسخ دهد، حداقل به خودش! یا حداقل این سوالات را به زیرمجموعه خود بدهد تا پاسخهای معقولی برای آنها بیابند.

چگونه با استفاده از IT سود ببرم؟ آیا کاربران نهایی از کیفیت سرویسهای IT راضی هستند؟ چگونه کارایی IT را مدیریت کنم؟ چگونه فرصتها و فناوریهای جدید را شناسایی کنم؟ چگونه بخش IT خود را به بهترین نحو بسازم؟ چقدر به ارایهدهندگان خارجی وابسته هستم؟ چقدر قراردادهای خارجی IT مدیریت میشوند؟ چگونه از ارایهدهندگان خارجی اطمینان حاصل کنم؟  نیازمندیهای اطلاعات چه هستند؟ آیا به ریسکهای مربوط به IT دقت کردهام؟ آیا فعالیت IT کارآمد دارم؟ چگونه هزینه IT را کنترل کنم؟ چگونه از منابع IT به روش بهینه استفاده کنم؟ بهترین راهحلهای خارجی کدام هستند؟ آیا افراد کافی برای IT دارم؟ چگونه مهارتهای آنها را مدیریت کنم و چگونه کارایی آنها را مدیریت کنم؟ چگونه از IT اطمینان حاصل کنم؟ آیا از اطلاعات پردازش شده به خوبی محافظت میشود؟ چگونه چابکی تجارت را از طریق محیط IT منعطف بهبود بخشم؟  IT چقدر برای پایداری کسبوکار سازمان حیاتی است؟ اگر IT در دسترس نباشد باید چه کار کنم؟ چه فرآیندهایی از کسبوکار به IT وابسته هستند و نیازمندیهای آنها چیست؟ هزینه میانگین IT چقدر است؟ هر چند وقت یکبار پروژههای IT از بودجه خود فراتر میروند؟ چقدر از تلاشهای IT بیهوده است؟ آیا منابع و زیرساخت کافی IT برای پاسخگویی به نیازمندیهای کسب وکار وجود دارد؟ چقدر زمان برای گرفتن تصمیمات مهم IT سازمان صرف میشود؟ آیا تمامی تلاش و سرمایهگذاریهای IT شفاف است؟ آیا فرآیندهای IT به اهداف خود میرسند؟ اگر نمیرسند چرا؟ آیا IT در مقابل اجرای استراتژی کسبوکار ایستاده است؟ آیا IT از ارایه خدمات سازمان پشتیبانی میکند؟


دکتر سيد محسن‌ هاشمي‌

 صاحب امتياز و مدير مسوول