تاریخ انتشار: ۳۰ دی ۱۳۸۵ - ۰۵:۰۱

ترجمه-عمید نمازی‌خواه: مصاحبه با یکی از تحلیلگران گارتنر در مورد امنیت آی تی.

جان پسکیتر از گارتنر مانند بسیاری از تحلیلگران صنعت از کار عملی در تکنولوژی شروع کرد.

او کار خود را در ادارات دولتی آغاز کرد و سپس 11 سال در GTE کار کرد. پسکیتر که در حال حاضر به عنوان قائم‌مقام گارتنر فعالیت می‌کند و بخش حریم خصوصی و امنیت را سرپرستی می‌کند اخیرا در مورد شروع کارش در IT با سردبیر Network World مصاحبه‌ای انجام داده و در مورد اینکه چگونه شاهد تکامل بازار در طول 25 سال فعالیتش بوده توضیحاتی داده است که مختصری از آن را می خوانیم.

  • درباره چگونگی شروع کارتان در عرصه IT صحبت کنید.

وقتی در سال 1978 کالج را تمام کردم در National Security Agency مشغول به کار شدم. این کار قبل از کار در بخش امنیت کامپیوتر و امنیت شبکه بود. کار تماما درباره امنیت اطلاعات و امنیت ارتباطات بود. من حدود چهار سال دیگر در کار دولتی ماندم و مشغول کار در U.S. Secret Service شدم.

 در آنجا سیستم‌های امنیتی را می‌ساختم. هیچ‌کس آنجا را دپارتمان IT نمی‌نامید اما ما سیستم های IT را برای استفاده‌های خاص می‌ساختیم.


سپس من کار دولتی را رها کرده و به مدت 11 سال در GTE کار کردم. من آنجا به عنوان پیمانکار پشتیبان در ساخت سیستم‌های محاسباتی امن برای جامعه هوشمند کار می‌کردم. در این شغل نگرانی‌های زیادی درباره سیستم‌های محاسباتی امن پیش روی اینترنت مثل ملزومات NSA و Orange Book برای امنیت چند سطحی وجود داشت. در این شغل از سال 1985 تا 1990 فعالیت داشتم.

  • چه چیزی باعث شد  شما از کارکردن در تکنولوژی دست کشیده و به تحلیل بازار و توصیه و مشاوره دادن به دیگران بپردازید؟

با کار کردن در این عرصه متوجه شدم که متخصصان امنیت این راه را بسیار پیچیده ساخته‌اند. قبل از آن دنیای کامپیوترها از ترمینال‌های بی صدا و Digital Equipment Corp) DEC VAXe) ساخته شده بود که فراتر از مین‌فریم بود و کامپیوتر شخصی حضور در صحنه را آغاز کرد.

 این موضوع بر من تاثیر گذاشت و به خود گفتم: اگر امنیت بتواند فقط به تجارت نه بگوید پس شکست می‌خورد. این چیزی  بود که در دنیای امنیت چند سطحی اتفاق افتاد. بنابراین بعد از 11 سال کار کردن در GTE هم بر روی پروژه‌های دولتی و هم کارکردن بر روی پروژه‌های تجاری تشخیص دادم که وقت تغییر برای من فرارسیده است. در ضمن من با فروشندگانی کار کردم که چشمان مرا باز کردند.

  •  از کار کردن با فروشندگان بگویید.

من به مدت 3 سال برای فروشندگان محصولات امنیتی کار کردم. کارهایی که انجام دادم عبارتند از: کار در صنایع PKI و فایروال، مدیریت گروه‌های مشاوره‌ای و کمک به شرکت‌ها در راه‌اندازی سازمان‌ها، معماری و سیاست‌های امنیتی. بار دیگر متوجه شدم که متخصصان امنیت به جای ارائه راهکارهایی برای ایمن ساختن کارهای تجاری فقط می‌توانند کارها را متوقف سازند.


دومین مسئله‌ای را که فهمیدم این بود که صنعت فروش  راهکارهای امنیتی روش دفاع و آگاهی را در پیش گرفته بود. پیغام فروشندگان به مشتریان این است : هر چه خریداری می‌کردید باز هم بخرید و محصول مرا نیز خریداری کنید. من با خود فکر کردم که این کار احمقانه است. بیشتر وقت‌ها وقتی مشاوره‌ می‌دهید به مردم می‌گویید که (شما به نام دفاع و آگاهی) 3 محصول دارید که دقیقا یک کار مشابه انجام می‌دهند. بدین طریق در سال 1999 به گارتنر رفتم.

  • چگونگی شروع به همکاری با گارتنر را توضیح دهید.

رفتن به آنجا تا حدی تصادفی بود (همانطور که اکثر کارها برای من این گونه بود) اگر برای مدت زمان زیادی یک جا کار کنید، مثل زمانیکه من 11 سال برای GTE کار کردم، مسئولیتهای زیادی بر دوشتان خواهد بود.

 من تمام کارهای تحقیقاتی و بودجه‌بندی توسعه را مدیریت می‌کردم و تمام سرمایه‌گذاری‌ها و تجهیزات بودجه را تنظیم می‌نمودم. برای اینکار باید واقعا یک تحلیلگر بود و بتوان تصمیم‌گیری کرد . بسیار خوب من این مقدار پول را برای R&D دارم، این نرم‌افزارها و تجهیزات را دارم و این شرکت‌های تجاری این درخواست‌ها را کرده‌اند، حال چگونه این درخواست‌ها را در مقابل کارهای تجاری و نیازهای شرکت آنالیز کنیم، آیا این پروژه‌ها کافی و کامل هستند.

در انتهای یازدهمین سال کاری تشخیص دادم که کارهای مهندسی انجام نمی‌دهم. رشته من مهندسی برق بوده اما در این رابطه کار نمی‌کنم. من در حال آنالیز کردن آنچه دیگران انجام می‌دادند بودم. داشتم آن را با نیازهای یک تصور بزرگ مقایسه می‌کردم. بدین گونه توصیه‌هایی در باره اینکه در کجا سرمایه‌گذاری کنیم و چگونه این کار را انجام دهیم به رئیس واحد تجاری کردم.

 من گزارشات فراوانی می‌نوشتم و تحقیقات مفصلی انجام می‌دادم بنابراین وقتی موقعیتی پیش آمد تا یک تحلیلگر شوم متوجه شدم که آنها نیز همین کار را انجام می‌دهند اما به جای یک شرکت برای شرکت‌های متعدد کار می‌کنند.

  • فکر می‌کنید چه تجاربی از کار کردن با تکنولوژی‌های امنیتی اکنون به شما کمک می‌کند کارتان را به عنوان یک تحلیلگر صنعت به خوبی انجام دهید؟

دو چیز وجود دارد که باید به عنوان یک تحلیلگر انجام دهید. گفتن اینکه تصویر بزرگ را ببین آسان است، اما باید بدانید که تصویر بزرگ برای همه یکسان نیست. برای یک تحلیلگر آسان است که بگوید: این آن چیزی است که باید انجام شود.

 اما باید دانست که چه چیزی به طور واقعی می‌تواند انجام شود و چه چیزی باید انجام شود. مجددا دفاع و آگاهی در تئوری عالی است و همه ما می‌توانیم بگوییم: امنیت مقصد نیست، بلکه یک سفر است.

 اما اگر در مسافرت هستید باید بدانید کجا می‌خواهید بروید، باید در مورد مسیر درست تصمیم‌گیری کنید و نمی‌توانید هر کاری را انجام دهید. برای کنترل بودجه مجدد تحقیق و گسترش(R&D) و کنترل 50 فردی که می‌خواهند 5 برابر بودجه تعیین شده هزینه کنند مجبورید مبادلاتی انجام دهید.

  • وقتی صحبت از امنیت می‌شود چگونه می‌توانید مشتریان را به سازش کردن توصیه نمایید؟ به نظر می‌رسد توجیه مضایقه در بودجه اندکی مشکل باشد.

امنیت همه‌اش درباره اولویت‌بندی، ریسک‌ها و مبادلات است. شما نمی‌توانید هر چه را فروشندگان به شما توصیه می‌کنند خریداری کنید و نمی‌توانید به هر پروژه‌ای که واحدهای تجاری می‌خواهند جواب مثبت بدهید. امنیت همه‌اش درباره رسیدن به نقطه مصالحه انجام همه کارهایی است که می‌توانید انجام دهید و رسیدن به امنیتی که می‌توانید داشته باشید.

  •  چه جنبه‌ای از کار کردن در گارتنر به شما کمک می‌کند مسایل و مشکلات امروزی موجود در امنیت شبکه را درک کنید؟

نیمی از روزهای هفته من با سرویس گیرندگان شرکت تلفنی صحبت می‌کنم. این کار چشم مرا باز کرده است. من تجربه کار در IT را برای سالیان دراز داشته‌ام، اما 11 سال با GTE کار کردم که یک شرکت  صنعتی است. در گارتنر، در طول هفته من با 20 سرویس گیرنده از 20 شرکت مختلف و 5 صنعت مختلف صحبت می‌کنم. این همان بخشی است که به من کمک می‌کند.

  • چگونه صحبت کردن با چند شرکت با تجربه عملی خودتان با تکنولوژی مقایسه می‌شود؟

بسیاری از سیستم‌های ساخته شده برای NSA برای آنچه آنها تحلیلگر می‌نامند ساخته شده‌اند، اما معنای واقعی آن تحلیلگر هوشمند است. آنچه تحلیلگران هوشمند انجام می‌دهند بررسی بخش‌های کوچکی از دیتا است.

 البته چه کارشان را درست انجام دهند چه اشتباه کاملا مشخص خواهد شد. اما آنها همیشه یک تصویر ناقص دارند و ورودی‌ها را از منابع زیادی دریافت می کنند. تحلیلگران باید الگو را بشناسند و گرایشات را نیز شناسایی کنند.

 در اینجا نیز همینطور است تجربه من در کار کردن در یک محل مدتی طولانی الگوی چگونگی عملکرد GTE را به من نشان داد. اما در گارتنر من می‌توانم با صحبت کردن با تعداد زیادی از مشتریان الگوهای نیازهای واقعی آنها را بشناسم. و وقتی فروشندگان به صحبت کردن درباره ساخت چیزی که با هزینه هماهنگ باشد می‌رسند ما آن را یک خوش‌بینی می‌بینیم. زیرا مسیر آنها با مسیر کاربر نهایی در ارتباط است.

  • وقتی بدعت گذاران اشتباه می‌کنند چه اتفاقی می‌افتد؟ با تکنولوژی‌هایی که درباره آنها گزافه‌گویی شده چگونه رفتار می‌کنید؟

فروشندگان و افرادی مثل شما از ما می‌خواهند به عنوان تحلیلگر یکپارچگی فیزیکی و امنیت اطلاعات را توضیح دهیم و می‌خواهند بدانند چرا این مسئله یک گرایش جدید است. من مجبورم به آنها بگویم خیر این یک گزارش نیست. سرویس گیرنده‌هایی وجود دارند که ممکن است سیستم‌های سرهم بندی شده را خریداری کنند اما این یک گرایش گسترده نیست.

 گاهی صحبت‌هایی می‌شود و عملی نمی‌گردند. کارکردن در IT کمک می‌کند محدودیت‌های دنیای واقعی را که متخصصان امنیت IT ایجاد می‌کنند، بشناسید. حقیقت در جایی است که شرکت‌های تحلیلگر با شرکت‌های تجاری گفتگو می‌کنند. صادقانه باید بگویم به این دلیل من مدتها در گارتنر مانده‌ام. بدون تعامل با سرویس گیرنده‌ها توصیه‌هایتان غیرمفید است.

  • امنیت با چه روش‌هایی تکامل یافته است؟

امروزه امنیت واقعا قدرتی برای نه گفتن ندارد. این بزرگترین تغییری است که از اوایل دهه 1980 با ظهور کامپیوترهای شخصی و اینترنت آغاز شد. اگر یک تکنولوژی جدید یا حتی یک فرآیند تجاری ظاهر شود و تجارت بتواند با آن پول به دست آورد حتما آن را به کارخواهد گرفت. اکنون امنیت به جای گفتن نه ما نمی‌توانیم تکنولوژی بی‌سیم داشته باشیم مجبور است که بگوید بسیار خوب ما باید بی‌سیم داشته باشیم حال چگونه می‌توانیم از آن با امنیت کامل استفاده کنیم.

  • به نظر می‌رسد تهدیدهای زیادی وجود داشته باشند که باید تحت کنترل قرار گیرند. برای کنترل خطرات چه راهکارهایی دارید؟

تغییر بزرگ دیگر در مورد تهدیدها است. انگیزه‌های زیادی برای تهدیدها ایجاد شده است و این اتفاق از سال 2003 به بعد افتاده است. تا قبل از سال 2003 انواع Wormها، ویروس‌ها و بعضی دردسرها تهدید به شمار می‌رفتند.

گاهی اوقات دردسرها بر کارهای تجاری تاثیری گذاشت و بیشتر به شکل قطع برق همه را آزار می‌‌داد. از آن به بعد انگیزه‌های مالی با حملات دیده می‌شد. این گونه حملات تاثیر بزرگی بر کارهای تجاری می‌گذارند. این مسئله فشار بیشتری بر متخصصان امنیت وارد می‌آورد و آنها نمی‌توانند فقط با گفتن اینکه ما به شما گفته بودیم این کار را نکنید خود را راحت کنند.

  •  امروزه صنعت امنیت تا چه حد با رشته‌ای که در کالج خوانده‌اید قابل مقایسه است؟

اکنون امنیت بسیار مهم تلقی شده و هجوم به طرف آن دیده می‌شود زیرا بسیار قابل رویت شده است. بسیاری از سرمایه‌گذاران با جرأت در آن سرمایه ‌گذاری می‌کنند. تا 10 سال پیش امنیت چندان اهمیت نداشت فقط تعدادی از مردم در این حوزه کار می‌کردند.

موضوع امنیت نیز مانند منبع باز بود. همه با هم کار می‌کردند و تمام موضوع امنیت به این برمی‌گشت که امنیت خوب است. اما وقتی موضوع پول به میان آمد همه چیز تغییر کرد. امنیت نیز مانند بسیاری دیگر از بازارها اهمیت پیدا  کرده. این تغییر بزرگی است. امنیت نیز اکنون بازار خودش را دارد.


Network World