افزایش امنیت اطلاعات از دغدغههای هر سازمانی است. عوامل مختلفی ممکن است باعث افزایش یا کاهش سطح امنیت اطلاعات در یک سازمان شود. در سالهای گذشته تمرکز زیادی روی الگوها و تکنیکهای فنی در جهت حفظ امنیت ایجادشده است اما باید دقت داشت که عوامل انسانی نیز در این حوزه مؤثر هستند و شاید هنوز بسیاری از کسبوکارها نمیدانند بهترین راهکارهای فنی هم بدون توجه به عوامل انسانی اثری نخواهند داشت.
واکنشهای افراد در شرایط بحرانی و در شرایط عادی متفاوت است. حتی افراد در شرایط عادی مستعد بیاحتیاطی، بیتفاوتی و یا سهلانگاری میشوند.
چهار عامل محیطی و چهار عامل انسانی میتوانند باعث ایجاد تعارض در یک سازمان شود به همین دلیل برای افزایش کارآمدی و اثربخشی سازمان، لازم است در این حوزهها آگاهی پرسنل افزایش یابد. در ادامه به بررسی این عوامل میپردازیم:
عوامل محیطی
1. اصطکاک (Friction)
به نیرویی گفته میشود که در برابر هر عملی مقاومت میکند. این رفتار فعالیتی ساده را دشوار و کاری دشوار را غیرممکن جلوه میدهد. از نمونههای اصطکاک میتوان به مقاومت مدیران در برابر تغییر الگوهای غلط یا عدم پذیرش فرایندهای جدید توسط کارکنان اشاره کرد. در بسیاری از سازمانها مقاومت زیادی در برابر رعایت یا اصلاح قوانین امنیت اطلاعات وجود دارد. اغلب حملات سایبری و نشتهای اطلاعاتی بهخاطر عدم توجه به جزئیات یک فرایند امنیتی بوده است.
2. عدم قطعیت (Uncertainty)
دنیای فناوری پر از نوآوری و البته ابهام است. کافی است چند روز خبرهای این حوزه را دنبال کنید تا متوجه شوید پیشرفتهترین پلتفرمها نیز از خطرات مربوط به حملات سایبری در امان نیستند.
بسیاری از تصمیمات بر اساس اطلاعات فعلی و در دسترس اتخاذ میشود. اطلاعاتی که قطعاً کاستیهایی دارند. درنتیجه «عدم قطعیت» مفهومی جداییناپذیر در حوزه امنیت اطلاعات محسوب میشود.
بااینحال میتوان با بهکارگیری اصول مدیریت ریسک، جمعآوری و بهبود مداوم اطلاعات، انجام تست نفوذ و تجزیهوتحلیل دادهها راهکارهای دقیقتر و کارآمدتری برای مقابله با حملات امنیتی طراحی کرد. شاید حفظ امنیت اطلاعات را بتوان به نبرد در مه تشبیه کرد. قطعاً در چنین نبردی باید برای هر اتفاقی آماده بود و البته از نقاط حیاتی بهشدت مراقبت کرد.
طراحی برنامه امنیت سایبری یکی از وظایف مهم مدیران سازمانی است اما متأسفانه هیچ حالت ایدهآلی وجود ندارد. تنها میتوان به کمک نظم و انضباط، احتمال آسیبپذیری را کاهش داد. یکی از اقدامات مهم در این زمینه ایجاد آمادگی در نیروی انسانی است. در دنیای امنیت اطلاعات هیچ قطعیتی وجود ندارد؛ پس سازمانهایی موفقتر خواهند بود که کمترین فرصت را در اختیار دشمنان قرار دهند.
3. انعطافپذیری (Fluidity)
یکی دیگر از عوامل سازمانی امنیت اطلاعات، انعطافپذیری است. اگر امروز یک حمله سایبری را بهخوبی کنترل کردهاید، هیچ تضمینی وجود ندارد که فردا نیز در این امر موفق باشید. راهکارها و روشهای مجرمان اینترنتی دائماً در حال بهروز شدن است. سازمانی که نتواند خودش را با شرایط منطبق کند، احتمالاً خیلی زود از دور رقابت حذف خواهد شد. در برخی موارد حملات سایبری بهصورت مرحلهای صورت میپذیرد؛ بنابراین مقاومت در مرحله اول به معنای پیروزی نخواهد بود.
4. اختلال (Disorder)
اصطکاک، عدم قطعیت و عدم انعطاف منجر به ایجاد اختلال میشوند. اختلال، هرجومرج و بینظمی یکی از اصلیترین پیامدهای حملات و بحرانهای امنیتی است. در حوزه فناوری اطلاعات اتفاقات غیرقابلپیشبینی زیادی وجود دارد. درنتیجه سازمانی که بتواند بینظمیهای ناشی از بحرانهای اطلاعاتی را بهخوبی مدیریت کند میتواند به حفظ امنیت اطلاعات امیدوار باشد. در این مواقع باید دستورالعملهای مشخصی برای جلوگیری از تشدید بینظمی ایجاد شود. همچنین نیروهای انسانی باید آماده تحمل فشارهای سنگین روانی باشند. تصمیمگیری در شرایط غیرمتمرکز کار آسانی نخواهد بود. زمانی که کارکنان سازمان چنین قابلیتی را به دست آورند، میتوانند بحرانها و حملات سایبری را بهخوبی کنترل کنند.
عوامل انسانی
نیل پاتل، کارشناس و کارآفرین بازاریابی در مجله فوربس، میگوید “احساسات بر کل فرایند تصمیمگیری تأثیر میگذارد.” در این قسمت به چهار عامل احساسی و انسانی که بهطور بالقوه میتوانند بر هر فرد و درنهایت توانایی تیم برای عملکرد در یک موقعیت بحرانی تأثیر بگذارند اشاره میکنیم.
1. انکار (Denial)
ذهن انسان بهطور ناخودآگاه باور دارد که اتفاقات و حوادث برای او رخ نخواهد داد. این نگرش بسیار خطرناک است. به همین دلیل انسانها پس از پشت سر گذاشتن حوادث میگویند: «نمیتوانم باور کنم این اتفاق برای ما افتاده است». اگر کارکنان سازمانی در مورد حملات سایبری و نفوذهای اطلاعاتی چنین موضعی داشته باشند اوضاع بسیار خطرناک خواهد بود. تیمهای امنیتی باید همیشه آماده باشند؛ حتی زمانی که همه تصور میکنند هیچ اتفاقی رخ نخواهد داد.
2. واکنشهای اولیه (Primal Reactions)
طبیعی است هر انسانی در مواجه با بحرانها دچار خشم و ترس شود اما برای افزایش امنیت اطلاعات باید سریعاً از این احساسات عبور کرد. در همان ابتدای کار واکنشهای غریزی به سراغ هر فردی خواهد رفت اما یک نیروی متخصص یا تیم متبحر باید بتواند واکنشهای اولیهاش را کنترل کرده و بهترین تصمیمها را بگیرد. یکی از اهداف هر حمله سایبری و اقدام ضدامنیتی ایجاد ترس و دستپاچگی در بین کارکنان سازمان است؛ پس نگذارید دشمنان به اهدافشان برسد.
3. دید تونلی (Tunnel Vision)
انسانها تمایل دارند تا از روشهایی استفاده کنند که قبلاً امتحان خودشان را پس دادهاند. گرچه این رفتار اشتباه نیست اما در حوزه امنیت اطلاعات همیشه کارآمد نخواهد بود. تفکر خارج از چارچوب به ما کمک میکند تا راهکارهای جدیدی برای افزایش امنیت اطلاعات پیدا کنیم. اگر در یک تیم همه یکسان فکر کنند، در حقیقت هیچکس فکر نمیکند.
4. کندی در تصمیمگیری (Decision Fatigue)
وقتی وارد یک تیم یا سازمان جدید میشوید، شور و شوق زیادی برای تصمیمهای مبتکرانه خواهید داشت اما بهمرور هیجان شما فروکش خواهد کرد. بهاینترتیب فرد پس از هفتهها دیگر توانایی فکری، جسمی و حتی عاطفی برای مقابله با بحرانها را ندارد. نتیجه این اتفاق ایجاد حفرههای امنیتی در پروتکلهای اطلاعاتی سازمان است. برای اینکه همیشه در امنیت به سر ببرید باید بتوانید دائماً خودتان را تهییج کنید.
12 موضوع ضروری در امنیت داده که باید در سال جدید از آن آگاه باشید
جمعبندی
افزایش امنیت اطلاعات سازمان یکی از چالشهای مربوط به مدیریت است. در زمان بروز حملات اطلاعاتی عوامل مختلفی روی کارکنان تأثیر خواهند گذاشت. این عوامل به دودسته محیطی و انسانی تقسیمبندی میشوند. اصطکاک، عدم قطعیت، انعطافپذیری و اختلال عوامل محیطی مؤثر بر امنیت اطلاعات هستند. همچنین انکار، واکنشهای اولیه، دید تونلی و کندی در تصمیمگیری جزو عوامل انسانی مؤثر بر امنیت اطلاعات محسوب میشوند. با شناخت دقیق این عوامل و طراحی راهکارهای مؤثر امنیتی میتوان به افزایش امنیت اطلاعات کمک کرد و خطرات ناشی از حملات سایبری را به حداقل رساند. بااینحال هیچ سازمانی نمیتواند ادعا کند در امنیت کامل به سر میبرد.
منبع:
این مقاله را به اشتراک بگذرید
