مصاحبه با يكی از تحليلگران گارتنر در مورد امنيت شبكه

نويسنده: Denise Dubie
Network World
مترجم: مريم پويان‌پور

John Pescatore از گارتنر مانند بسياری از تحليلگران صنعت از كار عملی در تكنولوژی شروع كرد. او كار خود را در ادارات دولتی آغاز نمود و سپس 11 سال در GTE كار كرد. Pescatore كه در حال حاضر به عنوان قائم‌مقام گارتنر فعاليت می‌كند و بخش حريم خصوصی و امنيت را سرپرستی می‌كند اخيرا در مورد شروع كارش در IT با سردبير Network World مصاحبه‌ای انجام داده و در مورد اينكه چگونه شاهد تكامل بازار در طول 25 سال فعاليتش بوده توضيحاتی داده است. در اينجا مصاحبه را به صورت پرسش و پاسخ آورده‌ايم:

- درباره چگونگی شروع كارتان در عرصه IT صحبت كنيد.

وقتی در سال 1978 كالج را تمام كردم در National Security Agency مشغول به كار شدم. اين كار قبل از كار در بخش امنيت كامپيوتر و امنيت شبكه بود. كار تماما درباره امنيت اطلاعات و امنيت ارتباطات بود. من حدود چهار سال ديگر در كار دولتی ماندم و مشغول كار در U.S. Secret Service شدم. در آنجا سيستم‌های امنيتی را می‌ساختم . هيچ‌كس آنجا را دپارتمان IT نمی‌ناميد اما ما سيستم های IT را برای استفاده‌های خاص می‌ساختيم.

سپس من كار دولتی را رها كرده و به مدت 11 سال در GTE كار كردم. من آنجا به عنوان پيمانكار پشتيبان در ساخت سيستم‌های محاسباتی امن برای جامعه هوشمند كار می‌كردم. در اين شغل نگرانی‌های زيادی درباره سيستم‌های محاسباتی امن پيش روی اينترنت مثل ملزومات NSA و Orange Book برای امنيت چند سطحی وجود داشت. در اين شغل از سال 1985 تا 1990 فعاليت داشتم.

- چه چيزی شما را وادار ساخت از كاركردن در تكنولوژی دست كشيده و به تحليل بازار و توصيه و مشاوره دادن به ديگران بپردازيد؟

با كار كردن در اين عرصه متوجه شدم كه متخصصان امنيت اين راه را بسيار پيچيده ساخته‌اند. قبل از آن دنيای كامپيوترها از ترمينال‌های بی صدا و (Digital Equipment Corp) DEC VAXe ساخته شده بود كه فراتر از مين‌فريم بود و كامپيوتر شخصی حضور در صحنه را آغاز نمود. اين بود آن چيزی كه بر من تاثير گذاشت و به خود گفتم: اگر امنيت بتواند فقط به تجارت نه بگويد پس شكست می‌خورد. اين چيزی  بود كه در دنيای امنيت چند سطحی اتفاق افتاد. بنابراين بعد از 11 سال كار كردن در GTE هم بر روی پروژه‌های دولتی و هم كاركردن بر روی پروژه‌های تجاری تشخيص دادم كه وقت تغيير برای من فرارسيده است. در ضمن من با فروشندگانی كار كردم كه چشمان مرا باز كردند.

- از كار كردن با فروشندگان بگوييد.

من به مدت 3 سال برای فروشندگان محصولات امنيتی كار كردم. كارهايی كه انجام دادم عبارتند از: كار در صنايع PKI و فايروال، مديريت گروه‌های مشاوره‌ای و كمك به شركت‌ها در راه‌اندازی سازمان‌ها، معماری و سياست‌های امنيتی. بار ديگر متوجه شدم كه متخصصان امنيت به جای ارائه راهكارهايی برای ايمن ساختن كارهای تجاری فقط می‌توانند كارها را متوقف سازند.

دومين مسئله‌ای را كه فهميدم اين بود كه صنعت فروش  راهكارهای امنيتی روش دفاع و آگاهی را در پيش گرفته بود. پيغام فروشندگان به مشتريان اين است : هر چه خريداری می‌كرديد باز هم بخريد و محصول مرا نيز خريداری نماييد. من با خود فكر كردم كه اين كار احمقانه است. بيشتر وقت‌ها وقتی مشاوره‌ می‌دهيد به مردم می‌گوييد كه (شما به نام دفاع و آگاهی) 3 محصول داريد كه دقيقا يك كار مشابه انجام می‌دهند. بدين طريق در سال 1999 به گارتنر رفتم.

- چگونگی شروع به همكاری با گارتنر را توضيح دهيد.

رفتن به آنجا تا حدی تصادفی بود (همانطور كه اكثر كارها برای من اين گونه بود) اگر برای مدت زمان زيادی يك جا كار كنيد، مثل زمانيكه من 11 سال برای GTE كار كردم، مسئوليت های زيادی بر دوشتان خواهد بود. من تمام كارهای تحقيقاتی و بودجه‌بندی توسعه را مديريت می‌كردم و تمام سرمايه‌گذاری‌ها و تجهيزات بودجه را تنظيم می‌نمودم. برای اينكار بايد واقعا يك تحليلگر بود و بتوان تصميم‌گيری كرد . بسيار خوب من اين مقدار پول را برای R&D دارم، اين نرم‌افزارها و تجهيزات را دارم و اين شركت‌های تجاری اين درخواست‌ها را كرده‌اند، حال چگونه اين درخواست‌ها را در مقابل كارهای تجاری و نيازهای شركت آناليز كنيم، آيا اين پروژه‌ها كافی و كامل هستند. در انتهای يازدهمين سال كاری تشخيص دادم كه كارهای مهندسی انجام نمی‌دهم. رشته من مهندسی برق بوده اما در اين رابطه كار نمی‌كنم. من در حال آناليز كردن آنچه ديگران انجام می‌داند بودم. داشتم آن را با نيازهای يك تصور بزرگ مقايسه می‌كردم. بدين گونه توصيه‌هايی در باره اينكه در كجا سرمايه‌گذاری كنيم و چگونه اين كار را انجام دهيم به رئيس واحد تجاری كردم. من گزارشات فراوانی می‌نوشتم و تحقيقات مفصلی انجام می‌دادم بنابراين وقتی موقعيتی پيش آمد تا يك تحليلگر شوم متوجه شدم كه آنها نيز همين كار را انجام می‌دهند اما به جای يك شركت برای شركت‌های متعدد كار می‌كنند.

- فكر می‌كنيد چه تجاربی از كار كردن با تكنولوژی‌های امنيتی اكنون به شما كمك می‌كند كارتان را به عنوان يك تحليلگر صنعت به خوبی انجام دهيد؟

دو چيز وجود دارد كه بايد به عنوان يك تحليلگر انجام دهيد. گفتن اينكه تصوير بزرگ را ببين آسان است، اما بايد بدانيد كه تصوير بزرگ برای همه يكسان نيست. برای يك تحليلگر آسان است كه بگويد: اين آن چيزی است كه بايد انجام شود. اما بايد دانست كه چه چيزی به طور واقعی می‌تواند انجام شود و چه چيزی بايد انجام شود. مجددا دفاع و آگاهی در تئوری عالی است و همه ما می‌توانيم بگوييم: امنيت مقصد نيست، بلكه يك سفر است. اما اگر در مسافرت هستيد بايد بدانيد كجا می‌خواهيد برويد، بايد در مورد مسير درست تصميم‌گيری كنيد و نمی‌توانيد هر كاری را انجام دهيد. برای كنترل بودجه مجدد R&D و كنترل 50 فردی كه می‌خواهند 5 برابر بودجه تعيين شده هزينه كنند مجبوريد مبادلاتی انجام دهيد.

وقتی صحبت از امنيت می‌شود چگونه می‌توانيد مشتريان را به سازش كردن توصيه نماييد؟ به نظر می‌رسد توجيه مضايقه در بودجه اندكی مشكل باشد.

امنيت همه‌اش درباره اولويت‌بندی، ريسك‌ها و مبادلات است. شما نمی‌توانيد هر چه را فروشندگان به شما توصيه می‌كنند خريداری كنيد و نمی‌توانيد به هر پروژه‌ای كه واحدهای تجاری می‌خواهند جواب مثبت بدهيد. امنيت همه‌اش درباره رسيدن به نقطه مصالحه انجام همه كارهايی است كه می‌توانيد انجام دهيد و رسيدن به امنيتی كه می‌توانيد داشته باشيد.

- چه جنبه‌ای از كار كردن در گارتنر به شما كمك می‌كند مسايل و مشكلات امروزی موجود در امنيت شبكه را درك كنيد؟

نيمی از روزهای هفته من با سرويس گيرندگان شركت تلفنی صحبت می‌كنم. اين كار چشم مرا باز نموده است. من تجربه كار در IT را برای ساليان دراز داشته‌ام، اما 11 سال با GTE كار كردم كه يك شركت در يك صنعت می‌باشد. در گارتنر، در طول هفته من با 20 سرويس گيرنده از 20 شركت مختلف و 5 صنعت مختلف صحبت می‌كنم. اين همان بخشی است كه به من كمك می‌كند.

- چگونه صحبت كردن با چند شركت با تجربه عملی خودتان با تكنولوژی مقايسه می‌شود؟

بسياری از سيستم‌های ساخته شده برای NSA برای آنچه آنها تحليلگر می‌نامند ساخته شده‌اند، اما معنای واقعی آن تحليلگر هوشمند است. آنچه تحليلگران هوشمند انجام می‌دهند بررسی بخش‌های كوچكی از ديتا است. البته چه كارشان را درست انجام دهند چه اشتباه كاملا مشخص خواهد شد. اما آنها هميشه يك تصوير ناقص دارند و ورودی‌ها را از منابع زيادی دريافت می كنند. تحليلگران بايد الگو را بشناسند و گرايشات را نيز شناسايی نمايند. در اينجا نيز همينطور است تجربه من در كار كردن در يك محل مدتی طولانی الگوی چگونگی عملكرد GTE را به من نشان داد. اما در گارتنر من می‌توانم با صحبت كردن با تعداد زيادی از مشتريان الگوهای نيازهای واقعی آنها را بشناسم. و وقتی فروشندگان به صحبت كردن درباره ساخت چيزی كه با هزينه هماهنگ باشد می‌رسند ما آن را يك خوش‌بينی می‌بينيم. زيرا مسير آنها با مسير كاربر نهايي در ارتباط است.

- وقتی بدعت گذاران اشتباه می‌كنند چه اتفاقی می‌افتد؟ با تكنولوژی‌هايی كه درباره آنها گزافه‌گويی شده چگونه رفتار می‌كنيد؟

فروشندگان و افرادی مثل شما از ما می‌خواهند به عنوان يكپارچگی فيزيكی و امنيت اطلاعات را توضيح دهيم و می‌خواهند بدانند چرا اين مسئله يك گرايش جديد است. من مجبورم به آنها بگويم خير اين يك گزارش نيست. سرويس گيرنده‌هايی وجود دارند كه ممكن است سيستم‌های سرهم بندی شده را خريداری نمايند اما اين يك گرايش گسترده نيست. گاهی صحبت‌هايی می‌شود و عملی نمی‌گردند. كاركردن در IT كمك می‌كند محدوديت‌های دنيای واقعی را كه متخصصان امنيت IT ايجاد می‌كنند، بشناسيد. حقيقت در جايی است كه شركت‌های تحليلگر با شركت‌های تجاری گفتگو می‌كنند. صادقانه بايد بگويم به اين دليل من مدتها در گارتنر مانده‌ام. بدون تعامل با سرويس گيرنده‌ها توصيه‌هايتان غيرمفيد است.

- امنيت با چه روش‌هايی تكامل يافته است؟

امروزه امنيت واقعا قدرتی برای نه گفتن ندارد. اين بزرگترين تغييری است كه از اوايل دهه 1980 با ظهور كامپيوترهای شخصی و اينترنت آغاز شد. اگر يك تكنولوژی جديد يا حتی يك فرآيند تجاری ظاهر شود و تجارت بتواند با آن پول به دست آورد حتما آن را به كارخواهد گرفت. اكنون امنيت به جای گفتن نه ما نمی‌توانيم تكنولوژی بی‌سيم داشته باشيم مجبور است كه بگويد بسيار خوب ما بايد بی‌سيم داشته باشيم حال چگونه می‌توانيم از آن با امنيت كامل استفاده كنيم.

- به نظر می‌رسد تهديدهای زيادی وجود داشته باشند كه بايد تحت كنترل قرار گيرند. برای كنترل خطرات چه راهكارهايی داريد؟

تغيير بزرگ ديگر در مورد تهديدها می‌باشد. انگيزه‌های زيادی برای تهديدها ايجاد شده است و اين اتفاق از سال 2003 به بعد افتاده است. تا قبل از سال 2003 انواع Wormها، ويروس‌ها و بعضی دردسرها تهديد به شمار می‌رفتند. گاهی اوات دردسرها بر كارهای تجاری تاثيری گذاشت و بيشتر به شكل قطع برق همه را آزار می‌‌داد. از آن به بعد انگيزه‌های مالی با حملات ديده می‌شد. اين گونه حملات تاثير بزرگی بر كارهای تجاری می‌گذارند. اين مسئله فشار بيشتری بر متخصصان امنيت وارد می‌آورد و آنها نمی‌توانند فقط با گفتن اينكه ما به شما گفته بوديم اين كار را نكنيد خود را راحت كنند.

- امروزه صنعت امنيت تا چه حد با رشته‌ای كه در كالج خوانده‌ايد قابل مقايسه است؟

اكنون امنيت بسيار مهم تلقی شده و هجوم به طرف آن ديده می‌شود زيرا بسيار قابل رويت شده است. بسياری از سرمايه‌گذاران با جرئت در آن سرمايه ‌گذاری می‌كنند. تا 10 سال پيش امنيت چندان اهميت نداشت فقط تعدادی از مردم در اين حوزه كار می‌كردند. موضوع امنيت نيز مانند منبع باز بود. همه با هم كار می‌كردند و تمام موضوع امنيت به اين برمی‌گشت كه امنيت خوب است. اما وقتی موضوع پول به ميان آمد همه چيز تغيير كرد. امنيت نيز مانند بسياری ديگر از بازارها اهميت پيدا  كرده. اين تغيير بزرگی است. امنيت نيز اكنون بازار خودش را دارد.

Copyright 1998-2007 PC World Iran All rights reserved.
Copyright 1977-2007 Electronics and Computer Magazine (GSRP). All rights reserved.
Copyright 2000-2007. International Data Corp. Inc.. All right Reserved.