نقش امنیت نرم در كسب وكارهای فناوری محور
ابرنت: یك كارشناس حوزه فناوری اطلاعات در نوشتاری در توضیح امنیت نرم و نقش آن در كسب وكارهای فناوری محور، این حوزه را شبیه افراد یك سازمان دانست كه با حس تعلق خاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شكل می دهند.
به گزارش ابرنت به نقل از ایسنا، در یادداشت روح الله محمدخانی آمده است: "اگر بخواهیم واقعاً امنیت یك سازمان را تامین نماییم در كنار جنبه های ابزاری، باید خیلی از جنبه های اجتماعی و حاكمیتی را هم در نظر بگیریم. شاید بد نباشد برای درك بهتر، یك شركت را به یك كشور تشبیه نماییم. بطور كلی هر كشور دو مرز دارد؛ جغرافیایی و هویتی. امنیت یك كشور تلفیقی از امنیت هر دوی این مرزهاست. یعنی هم باید مرز فیزیكی و جغرافیایی حفظ شود و هم مرز هویتی و تابعیتی. هر سازمانی هم این مرزها را دارد. سازمان هم دارای مرز فیزیكی است كه مشخص می كند در كجا مستقر است و چه سرویس هایی در چه بستر و زیرساختی توسط آن ارائه می شود و هم دارای مرز هویتی است كه بخش مهمی از آن توسط افراد عضو آن سازمان تعیین می شود. بدین سبب ما اگر به دنبال امنیت هستیم باید هردوی این مرزها را بشناسیم و به آن دقت كنیم.
اگر بخواهیم به هر دوی این مرزها عنوانی دهیم، مرز جغرافیایی را Hard Security یا همان امنیت سخت و مرز هویتی را Soft Security یا همان امنیت نرم می نامیم.
مرز جغرافیایی موارد خط كشی شده و مشخص با زیرساخت های فنی و تكنولوژی است كه عمدتاً در حوزه فنی و ابزاری قرار می گیرد. در حوزه امنیت نرم نیز بطور كلی این مساله عنوان می شود كه به افراد حس تعلق خاطر دهیم. این خود بخش مهمی از امنیت عمومی و اجتماعی را شامل می شود. افراد باید به این اعتقاد درونی برسند كه امنیت سازمان برای آنها مهمست و برای حفظ این امنیت تلاش كنند. این جنبه های اخلاقی و ذهنی كه موجب درگیر شدن ذهن افراد سازمان با اهمیت موضوع امنیت می شود، موضوعاتی نیستند كه در چارچوب امر و نهی به افراد منتقل كرد بلكه باید با توضیح و ایجاد حس مشاركت به آنها آموخت.
در سازمان ها روی متقاعدسازی افراد كه جنبه ای از امنیت است كمتر كار شده، درحالی كه افراد باید درگیر این مساله باشند. اگر در پس زمینه برخی تجربیات صنعت نگاه نماییم می بینیم بعضاً اتفاقات ناامن مخربی رخ داده كه حتی موجب از بین رفتن شركت ها هم شده است. عمده این اتفاقات نیز بر همین جنبه از امنیت تمركز داشته است؛ در واقع افرادی با انگیزه های غیر سازمانی اطلاعاتی را منتشر نموده اند.
این موضوع نشان میدهد كه این نوع از امنیت پیچیده است. اینكه بدانیم در ذهنیت افراد چه می گذرد و به چه سمتی می رود، موضوع مهمی است. هرچند در مقابل باید روی امنیت سخت مانند تجهیزات و لجستیك هم كار نماییم و آنها لازم هستند ولی كافی نیستند. همراه كردن و متقاعدسازی افراد درباب سیاست های امنیتی و محدودیت های احتمالی ناشی از آنها یك مقوله مهم در امنیت نرم شمرده می شود.
مولانا در فیه مافیه می گوید كه «منع جز رغبت را افزون نمی كند»؛ بدین سبب اگر بدون آگاهی رسانی و همراه سازی اعمال محدودیتی در امتداد ارتقای سطح امنیت سازمان صورت گیرد، ممكنست انگیزه برای گروهی ایجاد شود كه به حوزه امنیت لطمه وارد كنند. بدین جهت آگاهی رسانی و متقاعدسازی افراد، كم اهمیت تر از ایجاد امنیت سخت نیست.
موضوع دیگری كه سازمان ها در حوزه امنیت كمتر به آن توجه می كنند و از اجزای اصلی امنیت نرم شمرده می شود، ارتقای مداوم سطح آگاهی سرمایه های انسانی سازمان درباب رعایت نكات امنیتی حین انجام ماموریت های سازمانی است. در ریشه یابی و لطمه شناسی خیلی از مواردی كه نشت اطلاعاتی و یا خلل امنیتی در سازمان ها رخ می دهد، ملاحظه می نماییم كه انگیزه عامدانه ای وجود نداشته و صرفاً عدم آگاهی افراد از اصول پایه ای حفظ امنیت در حین انجام كارهای سازمانی موجب این موارد شده است؛ پس جریان داشتن سازوكار اطلاع رسانی در حوزه امنیت به افراد سازمان، می تواند بخش خوبی از اهداف امنیت نرم را محقق كند.
در نظام مدیریت امنیت اطلاعات (ISMS) سفارش شده كه افراد سازمان باید از نظام مدیریت امنیت اطلاعات و سیاست ها و خط مشی امنیتی سازمان، «آگاهی» داشته باشند. در صورتیكه در خیلی از سازمان ها این آگاهی به «آموزش» ختم می شود تازه آن هم در سطح مدیران ارشد. این در حالیست كه معمولاً در دیگر لایه های سازمان، نه تنها آگاهی رسانی صورت نگرفته كه حتی همان آموزش را هم ندیده اند.
آموزش یعنی اینكه به یك فرد نشان دهیم «چگونه» یك كار را انجام دهد یا انجام ندهد در صورتیكه آگاهی رسانی یعنی اینكه به فرد نشان دهیم «چرا» یك كاری را باید انجام دهد یا انجام ندهد. به عبارت دیگر باید با در نظر گرفتن مجموعه ملاحظاتی به فرد این آگاهی را بدهیم تا با دانش به چرایی ضرورت انجام یا عدم انجام یك رفتار، او را به انجامش ترغیب نماییم. این آگاهی رسانی كمك می نماید حتی در زمان یا مكانی كه ابزار نظارتی بهر دلیلی وجود نداشت، فرد با میل درونی آن رفتارهای امن را انجام دهد و از انجام رفتار غیرامن خودداری كند.
در عصر حاضر به سبب گسترش ارتباطات ناشی از تاثیر شبكه (Network Effect) دیگر به سختی می توان در حوزه امنیت سخت مزیت رقابتی جدی ای برای سازمان ها متصور بود؛ چونكه تقریباً تمام ایده های فناوری محور امن سازی فضای تبادل اطلاعات به سرعت در فضای شبكه ارتباطی متخصصان شناسایی شده و قابل كپی برداری است. چیزی كه نمی توان با آن رقابت كرد در حوزه امنیت نرم است. این حوزه، افراد یك سازمان هستند كه با حس تعلق خاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شكل می دهند.
افراد در بحث امنیت نباید فكر كنند كه كنترل می شوند. اگر از این دید به موضوع نگاه نماییم كه كسی نگران امنیت ماست و كمك می نماید كه امنیت ما و سازمان در خطر نیفتد، بحث كنترل كردن وجود نخواهد داشت، بلكه همه با هم در تلاش هستیم تا كسب وكار سازمان گرفتار مخاطره نشود.
امنیت نرم باید مانند چراغی باشد كه تا وقتی روشن است كسی متوجه وجود آن چراغ نیست ولی همه از روشنایی اش بهره می برند و وقتی خاموش می شود تازه همه حس می كنند كه نبود آن چقدر مشكل به وجود می آورد. امنیت باید در عین حال كه حضور دارد، نامحسوس باشد.
منبع: ابرنت
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب