ابرآمد

8 عاملی که بر روی حفظ امنیت اطلاعات یک سازمان تأثیر دارند

امنیت اطلاعات

افزایش امنیت اطلاعات از دغدغه‌های هر سازمانی است. عوامل مختلفی ممکن است باعث افزایش یا کاهش سطح امنیت اطلاعات در یک سازمان شود. در سال‌های گذشته تمرکز زیادی روی الگوها و تکنیک‌های فنی در جهت حفظ امنیت ایجادشده است اما باید دقت داشت که عوامل انسانی نیز در این حوزه مؤثر هستند و شاید هنوز بسیاری از کسب‌وکارها نمی‌دانند بهترین راهکارهای فنی هم بدون توجه به عوامل انسانی اثری نخواهند داشت.

واکنش‌های افراد در شرایط بحرانی و در شرایط عادی متفاوت است. حتی افراد در شرایط عادی مستعد بی‌احتیاطی، بی‌تفاوتی و یا سهل‌انگاری می‌شوند.

چهار عامل محیطی و چهار عامل انسانی می‌توانند باعث ایجاد تعارض در یک سازمان شود به همین دلیل برای افزایش کارآمدی و اثربخشی سازمان، لازم است در این حوزه‌ها آگاهی پرسنل افزایش یابد. در ادامه به بررسی این عوامل می‌پردازیم:

امنیت سایبری

عوامل محیطی

1. اصطکاک (Friction)

به نیرویی گفته می‌شود که در برابر هر عملی مقاومت می‌کند. این رفتار فعالیتی ساده را دشوار و کاری دشوار را غیرممکن جلوه می‌دهد. از نمونه‌های اصطکاک می‌توان به مقاومت مدیران در برابر تغییر الگوهای غلط یا عدم پذیرش فرایندهای جدید توسط کارکنان اشاره کرد. در بسیاری از سازمان‌ها مقاومت زیادی در برابر رعایت یا اصلاح قوانین امنیت اطلاعات وجود دارد. اغلب حملات سایبری و نشت‌های اطلاعاتی به‌خاطر عدم توجه به جزئیات یک فرایند امنیتی بوده است.

2. عدم قطعیت (Uncertainty)

دنیای فناوری پر از نوآوری و البته ابهام است. کافی است چند روز خبرهای این حوزه را دنبال کنید تا متوجه شوید پیشرفته‌ترین پلتفرم‌ها نیز از خطرات مربوط به حملات سایبری در امان نیستند.

بسیاری از تصمیمات بر اساس اطلاعات فعلی و در دسترس اتخاذ می‌شود. اطلاعاتی که قطعاً کاستی‌هایی دارند. درنتیجه «عدم قطعیت» مفهومی جدایی‌ناپذیر در حوزه امنیت اطلاعات محسوب می‌شود.

بااین‌حال می‌توان با به‌کارگیری اصول مدیریت ریسک، جمع‌آوری و بهبود مداوم اطلاعات، انجام تست نفوذ و تجزیه‌وتحلیل داده‌ها راهکارهای دقیق‌تر و کارآمدتری برای مقابله با حملات امنیتی طراحی کرد. شاید حفظ امنیت اطلاعات را بتوان به نبرد در مه تشبیه کرد. قطعاً در چنین نبردی باید برای هر اتفاقی آماده بود و البته از نقاط حیاتی به‌شدت مراقبت کرد.

طراحی برنامه امنیت سایبری یکی از وظایف مهم مدیران سازمانی است اما متأسفانه هیچ حالت ایده‌آلی وجود ندارد. تنها می‌توان به کمک نظم و انضباط، احتمال آسیب‌پذیری را کاهش داد. یکی از اقدامات مهم در این زمینه ایجاد آمادگی در نیروی انسانی است. در دنیای امنیت اطلاعات هیچ قطعیتی وجود ندارد؛ پس سازمان‌هایی موفق‌تر خواهند بود که کمترین فرصت را در اختیار دشمنان قرار دهند.

3. انعطاف‌پذیری (Fluidity)

یکی دیگر از عوامل سازمانی امنیت اطلاعات، انعطاف‌پذیری است. اگر امروز یک حمله سایبری را به‌خوبی کنترل کرده‌اید، هیچ تضمینی وجود ندارد که فردا نیز در این امر موفق باشید. راهکارها و روش‌های مجرمان اینترنتی دائماً در حال به‌روز شدن است. سازمانی که نتواند خودش را با شرایط منطبق کند، احتمالاً خیلی زود از دور رقابت حذف خواهد شد. در برخی موارد حملات سایبری به‌صورت مرحله‌ای صورت می‌پذیرد؛ بنابراین مقاومت در مرحله اول به معنای پیروزی نخواهد بود.

4. اختلال (Disorder)

اصطکاک، عدم قطعیت و عدم انعطاف منجر به ایجاد اختلال می‌شوند. اختلال، هرج‌ومرج و بی‌نظمی یکی از اصلی‌ترین پیامدهای حملات و بحران‌های امنیتی است. در حوزه فناوری اطلاعات اتفاقات غیرقابل‌پیش‌بینی زیادی وجود دارد. درنتیجه سازمانی که بتواند بی‌نظمی‌های ناشی از بحران‌های اطلاعاتی را به‌خوبی مدیریت کند می‌تواند به حفظ امنیت اطلاعات امیدوار باشد. در این مواقع باید دستورالعمل‌های مشخصی برای جلوگیری از تشدید بی‌نظمی ایجاد شود. همچنین نیروهای انسانی باید آماده تحمل فشارهای سنگین روانی باشند. تصمیم‌گیری در شرایط غیرمتمرکز کار آسانی نخواهد بود. زمانی که کارکنان سازمان چنین قابلیتی را به دست آورند، می‌توانند بحران‌ها و حملات سایبری را به‌خوبی کنترل کنند.

بحران‌های امنیتی

عوامل انسانی

نیل پاتل، کارشناس و کارآفرین بازاریابی در مجله فوربس، می‌گوید “احساسات بر کل فرایند تصمیم‌گیری تأثیر می‌گذارد.” در این قسمت به چهار عامل احساسی و انسانی که به‌طور بالقوه می‌توانند بر هر فرد و درنهایت توانایی تیم برای عملکرد در یک موقعیت بحرانی تأثیر بگذارند اشاره می‌کنیم.

1. انکار (Denial)

ذهن انسان به‌طور ناخودآگاه باور دارد که اتفاقات و حوادث برای او رخ نخواهد داد. این نگرش بسیار خطرناک است. به همین دلیل انسان‌ها پس از پشت سر گذاشتن حوادث می‌گویند: «نمی‌توانم باور کنم این اتفاق برای ما افتاده است». اگر کارکنان سازمانی در مورد حملات سایبری و نفوذهای اطلاعاتی چنین موضعی داشته باشند اوضاع بسیار خطرناک خواهد بود. تیم‌های امنیتی باید همیشه آماده باشند؛ حتی زمانی که همه تصور می‌کنند هیچ اتفاقی رخ نخواهد داد.

2. واکنش‌های اولیه (Primal Reactions)

طبیعی است هر انسانی در مواجه با بحران‌ها دچار خشم و ترس شود اما برای افزایش امنیت اطلاعات باید سریعاً از این احساسات عبور کرد. در همان ابتدای کار واکنش‌های غریزی به سراغ هر فردی خواهد رفت اما یک نیروی متخصص یا تیم متبحر باید بتواند واکنش‌های اولیه‌اش را کنترل کرده و بهترین تصمیم‌ها را بگیرد. یکی از اهداف هر حمله سایبری و اقدام ضد‌امنیتی ایجاد ترس و دستپاچگی در بین کارکنان سازمان است؛ پس نگذارید دشمنان به اهدافشان برسد.

3. دید تونلی (Tunnel Vision)

انسان‌ها تمایل دارند تا از روش‌هایی استفاده کنند که قبلاً امتحان خودشان را پس داده‌اند. گرچه این رفتار اشتباه نیست اما در حوزه امنیت اطلاعات همیشه کارآمد نخواهد بود. تفکر خارج از چارچوب به ما کمک می‌کند تا راهکارهای جدیدی برای افزایش امنیت اطلاعات پیدا کنیم. اگر در یک تیم همه یکسان فکر کنند، در حقیقت هیچ‌کس فکر نمی‌کند.

4. کندی در تصمیم‌گیری (Decision Fatigue)

وقتی وارد یک تیم یا سازمان جدید می‌شوید، شور و شوق زیادی برای تصمیم‌های مبتکرانه خواهید داشت اما به‌مرور هیجان شما فروکش خواهد کرد. به‌این‌ترتیب فرد پس از هفته‌ها دیگر توانایی فکری، جسمی و حتی عاطفی برای مقابله با بحران‌ها را ندارد. نتیجه این اتفاق ایجاد حفره‌های امنیتی در پروتکل‌های اطلاعاتی سازمان است. برای این‌که همیشه در امنیت به سر ببرید باید بتوانید دائماً خودتان را تهییج کنید.

12 موضوع ضروری در امنیت داده‌ که باید در سال جدید از آن آگاه باشید

برنامه امنیت سایبری
جمع‌بندی

افزایش امنیت اطلاعات سازمان یکی از چالش‌های مربوط به مدیریت است. در زمان بروز حملات اطلاعاتی عوامل مختلفی روی کارکنان تأثیر خواهند گذاشت. این عوامل به دودسته محیطی و انسانی تقسیم‌بندی می‌شوند. اصطکاک، عدم قطعیت، انعطاف‌پذیری و اختلال عوامل محیطی مؤثر بر امنیت اطلاعات هستند. همچنین انکار، واکنش‌های اولیه، دید تونلی و کندی در تصمیم‌گیری جزو عوامل انسانی مؤثر بر امنیت اطلاعات محسوب می‌شوند. با شناخت دقیق این عوامل و طراحی راهکارهای مؤثر امنیتی می‌توان به افزایش امنیت اطلاعات کمک کرد و خطرات ناشی از حملات سایبری را به حداقل رساند. بااین‌حال هیچ سازمانی نمی‌تواند ادعا کند در امنیت کامل به سر می‌برد.

منبع:

cybertheory


به این مطلب امتیاز دهید

برای امتیاز به این نوشته کلیک کنید!
[کل: 0 میانگین: 0]