عامل‌های انسانی در امنیت اطلاعات/آیا مدیریت امنیت اطلاعات یک چالش انسانی است؟

این مقاله به بررسی این موضوع که مدیریت امنیت اطلاعات تا چه اندازه باعث چالش انسانی می‌شود، می‌پردازد. امنیت اطلاعات به تکنولوژی، فرایند و انسان، وابسته است ولی مهارت در دو حوزه مدیریت تکنولوژی (فناوری) و فرایند، دلیل به داشتن مهارت در مدیریت منابع انسانی نیز، نمی‌شود.

در اینجا سعی به بررسی این مطلب که چه عاملی در سازمان باعث چالش انسانی می‌شود و سپس ارتباط میان مدیریت سازمان و مدیریت امنیت اطلاعات را شفاف می‌کند؛ و در آخر به بررسی چالش‌های مدیریت امنیت اطلاعات می‌پردازد. توجه به این نکته ضروری است که زمانی که سخن از انسان درون سازمان می‌شود نباید تنها به نقش او تحت هویت کاریش نگاه شود بلکه منظور از انسان تمام نگرش‌ها و باورها و ادراکات فردی منحصر به فرد اوست. از طرف دیگر هر سازمان دارای فرهنگ سازمانی خاص خود است که بسیار حائز اهمیت است و باید توجه شود که تنها بخش کوچکی از فرهنگ سازمانی قابل مشاهده است و برخی از ابعاد آن مثل باورهای درونی فرد نهانی هستند.

مدیریت امنیت اطلاعات هم در عمق و هم در سطح گسترش یافته و حفاظت از همه اشکال اطلاعات در سازمان را پوشش می دهد. و به معنای حفاظت از اطلاعات منافع کسب و کار و تسهیل اشتراک کنترل شده اطلاعات و مدیریت ریسک های مربوط آن در محیطی است که دائما در حال تغییر است و و ما برای رسیدن به اهداف بالا نیازمند یک سیستم مدیریت قوی هستیم.

یکی از مهمترین استانداردها در زمینه مدیریت امنیت اطلاعات ایزو ۲۷۰۰۱ است که مدیریت امنیت اطلاعات را به عنوان بخشی از سیستم مدیریت مبتنی بر رویکرد یک کسب و کار در معرض ریسک، برای ایجاد، پیاده‌سازی و اجرای و نظارت و بررسی و بهبود امنیت اطلاعات، تعریف می‌کند. ایزو معمولاً در سازمان برای تطبیق یک مفهوم سازگار، قابل بازرسی برای پرداختن به موضوعات امنیت اطلاعات پیاده‌سازی می‌شود. یکی از مهمترین چالش‌های سازمان، پیکربندی منابع است که مدیریت امنیت اطلاعات به احتمال زیاد قادر به پیکربندی منابع موجود به صورت بهینه و قادر به ایجاد پیوند میان امنیت اطلاعات و سایر فرایندهای سازمان خواهد شد.

حال پس از امنیت اطلاعات نوبت آن است که بپرسیم چرا مدیریت کردن انسانها در زمینه امنیت اطلاعات دشوار است؟ چالش‌های اصلی در ایجاد روابط موفق برای مدیریت اطلاعات چیست؟ و چه مهارت‌هایی از امنیت اطلاعات برای توسعه و رسیدن به موفقیت مورد نیاز است. مدیریت امنیت اطلاعات چیزی بیش از قفل کردن ورودی هاست ودر ارتباط با گروه بندی و رفتارهای اجتماعی است. چون انسان غیرقابل پیش بینی است و چون یک موجود اتوماتیک عمل نمی‌کند، که یک ورودی را بگیریدو به صورت خروجی مشخص پردازش کند؛ و همان طور که گفته شد نقش‌های سازمانی ترکیبی از شخصیت و هویت اجتماعی فردی است که فرهنگ سازمانی را تشکیل می‌دهد. در مدیریت امنیت اطلاعات ما شاهد دو رویکرد هستیم. رویکرد کنترلی و دیگری رویکرد آکادمیک. در رویکرد کنترلی مدیر امنیت اطلاعات به صورت یک متخصص فنی با دیدگاه مدیریتی، فرماندهنده می‌شود؛ که تصمیمات امنیتی را بدون درگیرکردن کارمندان برای مزاکره انجام می‌دهد. اما از انجایی که مدیریت امنیت اطلاعات قوی وابسته به انسان و فرایند و تکتولوژی است بنابراین سعی می‌شود که یک رویکرد آکادمیک جایگزین آن شود. آما در این صورت نیز ممکن است حداقل در کوتاه مدت شاهد رخ دادن حوادث و اشتباهات بیشتری شویم، که نیازمند پذیرش و سرمایه گزاری بیشتری برای بهبود خواهد بود. در مصاحبه با مدیران امنیت اطلاعات نشان داده شده که آنها بر روی صحبت، ارائه و تقویت ایده‌ها بیشتر تمرکز دارند تا گوش دادن به کاربر نهایی.

یکی دیگر از چالش‌های انسانی امنیت اطلاعات، برقراری ارتباط مؤثر است. مدیران امنیت اطلاعات می‌بایست قادر به ارتباط مؤثر با کاربران نهایی و از طرف دیگر مدیران ارشد و هیئت مدیره باشند. هر چند خود به اهمیت این رابطه واقفند ولی اکثراً فاقد مهارت برقراری این ارتباط به خصوص با کاربر نهایی هستند؛ و از طرف دیگر به دلیل نگرش نادرست، مدیران ارشد که می‌پندارند امنیت اطلاعات یک موضوع صرفاً فنی است و بهترین مدیریت از طرف کارکنان فنی صورت می‌گیرد، باعث ایجاد یک شکاف بین مدیران امنیت اطلاعات و سایر مدیران ارشد شده است. در کل یک مدیر امنیت اطلاعات علاوه بر توسعه مهارت‌های تخصصی خود مثل آشنایی با سیستم عامل‌های مختلف، مدیریت فایروال و پرتکل‌های رمزنگاری و انتقال می‌بایست دارای مهارت‌های ارتباطی، هوش سیاسی و قدرت مذاکره برای منابع و خرید و مدیریت منابع کلیدی داشته باشد؛ که تمام این مهارت‌ها نرم هستند و به اصلاح و تغییر فرهنگ سازمانی کمک می‌کنند.

در یک جمله چالش‌های انسانی مدیریت امنیت اطلاعات مربوط به تغییر فرهنگ سازمانی هویت مدیر امنیت اطلاعات، برقراری ارتباط مؤثر و توسعه مهارت‌های برای رویارویی با چالش هاست. مدیریت امنیت اطلاعات منابع را برای یافتن اهداف امنیت اطلاعات که باعث موفقیت در سازمان می‌شود، پیکربندی می‌کند. یک چالش اساسی تلاش برای تغییر فرهنگ سازمانی است که وابسته به توسعه هویتی بهتر برای مدیر امنیت اطلاعات با ایجاد یک چرخه ارتباط خوب با کاربران نهایی و مدیران ارشد است.