عاملهای انسانی در امنیت اطلاعات/فرهنگ امنیت اطلاعات، یک دیدگاه مدیریتی
مقدمه
ویرایشدر جهان امروز اطلاعات شاید عنصر اولیهای باشند که بدون آن تقریباً هیچ کار تجاریای انجام پذیر نبوده و بنابراین از آن بعنوان یک کالای مصرفی ارزشمند در تمامی جوانب زندگی تجاری و خصوصی یاد میشود. بسیاری از سازمانها برای موفقیت و حتی بقای خود به سیستمهایی نیاز دارند که بتوانند منابع و اطلاعات لازم را در زمان مناسب، به مقدار کافی و بصورت طبقهبندی شده در اختیار آنها قرار دهند و بنابراین فن آوری اطلاعات هم اکنون به بخش جدایی ناپذیری از زندگی مدرن تبدیل شده است. از طرف دیگر سازمانها باید نسبت به حفاظت از منابع و داراییهای اطلاعاتی خود جدی و حساس باشند. اما متاسفانه بسیاری از بازرگانان و مدیران تجاری معمولاً توجه چندانی به این مساله نشان نمیدهند زیرا از دیدگاه تجاری هر سیستم و راه حلی زمانی مورد نیاز میباشد که قیمت آن توجیه پذیر بوده و کارایی و سادگی استفاده در آن لحاظ شده باشد.
در حالیکه سیستمهای امنیتی و حفاظتی میزان کارایی و سادگی دسترسی به اطلاعات را کاهش داده، هزینهبر نیز هستند و اینها در تضاد با افزایش کارایی سازمان و کاهش هزینههای آن میباشد. این تضاد مهمترین مسالهای است که متخصصان و مدیران امنیت اطلاعات باید در یک سازمان با آن دست و پنجه نرم کنند. البته این مساله بخش کوچک و محدودی از مبحث تضاد منافع بین ذینفعان یک سازمان میباشد که به هرحال باید توسط مدیران ارشد و صاحبان سازمان مورد توجه قرار گیرد. در یک نگاه کلی امنیت اطلاعات شامل فرآیندهای مختلفی میشود که عملکرد صحیح بسیاری از آنها تا حد زیادی به رفتارها و همکاری انسانی وابستگی دارد. کارکنان یک سازمان، چه به صورت عمد و یا به دلیل سهل انگاری ناشی از عدم آگاهی و دانش کافی، خود بزرگترین تهدید برای امنیت اطلاعات سازمان هستند بطوریکه بسیاری از روشها و راه حلهای امنیتی بدون مشارکت و همکاری کارکنان ثمربخش نبوده و به نتیجه نخواهند رسید. براساس پژوهشهای انجام شده استقرار یک فرهنگ نهفته در سازمان برای امنیت اطلاعات به عنوان کلید مدیریت عاملهای انسانی در بحث امنیت اطلاعات بطور گستردهای پذیرفته شده است. با ایجاد این فرهنگ کارکنان بجای اینکه تهدید امنیتی در نظر گرفته شوند بعنوان یک دارایی امنیتی محسوب خواهند شد. البته حتی با ایجاد این فرهنگ سازمانی مزایا و معایب و تضاد منافع همچنان وجود خواهد داشت که این مساله میبایستی به طور جداگانهای مدیریت و رسیدگی شود.
متن اصلی
ویرایشاین مقاله براساس روش تحقیق کیفی پایهگذاری شده است تا نقش فرهنگ یک سازمان را با تمرکز بر بحث امنیت مورد بررسی و کنکاش قراردهد و هدف آن ارائه یک مدل جامع و مفهومی برای فرهنگ امنیت اطلاعات میباشد تا بتواند براساس متغیرهای مختلف موجود، اثر متقابل آنها بریکدیگر را بررسی نماید.
برای ایجاد این فرهنگ ابتدا میبایستی به موضوع فرهنگ سازمانی توجه کنیم. فرهنگ سازمانی به منزله شخصیت سازمان است که آن را از سایر سازمانها متمایز میسازد و روشی است که کارمندان سازمان کارهای مختلف را در آن انجام میدهند تا سازمان به موفقیت برسد. ادگار هنری شاین فرهنگ سازمانی را به صورت مجموعهای از عقاید و ارزشهای مشترک و یا ادراکات عمومی که بوسیله سازمان حفظ میشود تعریف کرد و برای آن سه سطح در نظر گرفت که به صورت وسیعی مورد قبول قرار گرفت. سطح اول مصنوعات و ابداعات نام دارد که شامل تمام پدیدههایی که یک فرد میتواند ببیند، بشنود و احساس کند مانند زبان، مراسم، ساختار سازمانی و فرآیندها انجام کارها این سطح قابل مشاهده است. (آنچه هست) سطح دوم ارزشهای حمایتی نام دارد که شامل ارزشهایی است در مورد اینکه، کارها چگونه باید انجام شوند و یا در یک وضعیت جدید یک فرد چه عکسالعملی باید از خود نشان دهد و رفتار کند. همینطور اهداف و فلسفهها و استراتژیهای سازمان در این سطح قرار میگیرد که کمتر قابل مشاهده است. (آنچه باید باشد) و سطح سوم یا پایینتر سطح مفروضات اساسی نام دارد که شامل عقاید، احساسات، ارزشها و برداشتهای شخصی کارکنان در مورد اینکه یک سازمان چگونه باید عمل کند میباشد. (آنچه میتواند باشد) این سطح در ذهن افراد بوده و قابل مشاهده نیست. ادگار با توجه به این سه سطح، فرهنگ را این گونه تعریف میکند: فرهنگ سازمانی مجموعهای از فرضیات اساسی است که افراد سازمان در مواجهه با مسائل، برای انطباق با محیط و دستیابی به وحدت و انسجام داخلی، ایجاد کرده و در نتیجه این فرهنگ به عنوان روش صحیح ادراک، تفکر و احساس به اعضای جدید نیز انتقال مییابد.
این مقاله در واقع با تمرکز برمدل ادگار شاین سعی میکند که سطح چهارم با نام دانش را به گونهای اضافه نماید که سه سطح اول را مورد حمایت و پشتیبانی قرارداده و با آنها سازگاری ایجاد نماید. مدل مفهومی که در این مقاله ارائه شده است استدلال میکند که با اضافه نمودن لایه چهارم با عنوان دانش و تخصص کارکنان در ارتباط با امنیت اطلاعات به سه لایه سازمانی ارائه شده توسط ادگار شاین، میتوان یک فرهنگ امنیت اطلاعات در سازمان ایجاد کرد. بطوریکه در آن یک رابطه غیررسمی بین آنچه سطح اول مصنوعات با سه سطح دیگر وجود دارد به عبارتی آنچه که در مورد امنیت اطلاعات توسط کارکنان در سازمان انجام میشود تابعی از مجموعه ارزشهای حمایتی، مفروضات اساسی و آگاهی و دانش کارکنان میباشد.
برای تحلیل کیفی این موضوع از مفهوم کشش استفاده میشود. حساسیتِ تغییرات یک متغیر در مقابل متغیر دیگر، در علم اقتصاد به کشش یا ارتجاع پذیری تعبیر میگردد که توسط آلفرد مارشال(۱۸۴۲- ۱۹۲۴) وارد علم اقتصاد شده است.
در این مقاله با اقتباس از مفهوم کشش در علم اقتصاد (انعطافپذیری یا ارتجاع پذیری قیمت در برابر میزان عرضه کالا) برای درک اثرات متقابل متغیرهای مختلف در یک فرهنگ امنیت اطلاعات استفاده میشود. به این ترتیب که میزان امنیت اطلاعات مورد تقاضای مدیریت در دو بعد تمایل و کوشش کارکنان برای ایجاد امنیت و همینطور مقدار دانش و تجربه آنها سنجیده میشود. به طوری که هرچه میزان مورد تقاضای امنیت توسط مدیریت افزایش یابد میبایستی تمایل و کوشش کارکنان و یا مقدار دانش و تجربه آنها و یا هردوعامل افزایش یابد. این مدل همچنین تلاش میکند که نشان دهد که تقاضای مدیریت برای امنیت بیشتر و مشارکت کارکنان بطور جدی با هم رابطه متقابل دارد به این ترتیب که یک کشش و یا انعطافپذیری بین ارزشهای حمایتی و مفروضات اساسی قابل مشاهده است و هر تغییری در مفروضات اساسی موجب تغییر در ارزشهای حمایتی خواهد شد و هرچه این کشش کمتر باشد و به عبارتی تغییر در مفروضات اساسی موجب تغییر کمتری در ارزشهای حمایتی بشود تطابق و همسویی بین مفروضات اساسی و ارزشهای حمایتی بیشتر خواهد بود و انطباق این دو در اثر کاهش کشش، مورد نظر مدیریت میباشد؛ بنابراین با توجه به این مدل در یک سازمان بررسی میکنیم که آیا در طول زمان مفروضات اساسی با ارزشهای حمایتی با هم منطبق و همسو خواهند شد یا خیر. البته کارایی و موفقیت این فرهنگ مبتنی بر این مدل بستگی به میزان قوت و اشتیاق هریک از این لایهها دارد.
علاوه برآن میزان هماهنگی و همسویی هریک از این لایه با لایههای دیگر بیانگر این موضوع است که فرهنگ سازمان تا چه اندازه قابل پیش بینی و پذیرش بوده و در نتیجه دارای ثبات و استحکام است؛ بنابراین در یک فرهنگ ایده آل امنیت اطلاعات، هریک از چهار لایه میبایستی مستحکم تر از حداقل حد قابل قبول بوده و با یکدیگر هماهنگ و همسو نیز باشند. در این مدل چارچوبی برای سهولت بخشیدن به تفکر مفهومی و همینطور تبادل نظر بر روی فرهنگ امنیت اطلاعات مطرح میشود. به عنوان مثال در یک سازمان که مدیر آن اطمینان دارد که ارزشهای حمایتی از قدرت کافی برخوردارند و کارکنان هم دانش کافی را در اختیار دارند ناگهان متوجه میشود که آنچه که کارکنان در مورد امنیت اطلاعات انجام میدهند در حد کافی و مطلوب نیستند و بنابراین ممکن است به این نتیجه برسد که عدم تطابق اعتقادات و ارزشهای شخصی کارکنان (مفروضات اساسی) با ارزشهای حمایتی سازمان موجب این عدم همسویی شده است. با توجه به این مدل و کشش بین مفروضات اساسی و ارزشهای حمایتی مدیر میتواند که با تشویق کارکنان به پذیرش ارزشهای حمایتی سازمان، مصنوعات و ابداعات را نیز برای آنان سادهتر و قابل پیش بینی تر نماید؛ و یا به عنوان یک راه حل دیگر ارزشهای حمایتی را تعدیل نموده تا با عقاید و برداشتهای کارکنان در مورد امنیت مطابقت داشته باشد که در این صورت فرهنگ ایجاد شده امنیت کمتری دارد اما درک، پیش بینی و پذیرش آن برای کارکنان سادهتر خواهدبود.
نتیجهگیری
ویرایشهمانطور که گفته شد هرکدام از دو مثال بالا این مدل دیدگاه کامل و جامعی برای مدیریت فرهنگ امنیت اطلاعات ارائه نمیکند زیرا هدف از این مدل فقط ارائه یک مدل مفهومی برای درک بهتر ارتباط بین عوامل و لایههای موجود مؤثر بر امنیت اطلاعات در یک سازمان در نظرگرفته شده است. به عنوان مثال کاربردی میتوان در یک مقیاس کوچک از امنیت اطلاعات، با ترسیم ارتباط بین این ۴ لایه استفاده از گذرواژه را مورد بررسی قرار داد. البته برای کاربردی کردن این مدل لازم است که تحقیقات بیشتری انجام شده و لایه مختلف در این مدل به صورت کمی مورد تجزیه و تحلیل قرار گیرند تا بتوان با تهیه یک مقیاس اندازهگیری بر اساس مشاهدات آماری، نظارت و کنترل لازم را برروی فرهنگ امنیت اطلاعات در یک سازمان انجام داد.
منبع
ویرایشhttp://www.sciencedirect.com/science/article/pii/S0167404809001126
شماره دانشجويي 89231520