عامل‌های انسانی در امنیت اطلاعات/فرهنگ امنیت اطلاعات، یک دیدگاه مدیریتی

ویکی‎کتاب، کتابخانهٔ آزاد

مقدمه[ویرایش]

در جهان امروز اطلاعات شاید عنصر اولیه‌ای باشند که بدون آن تقریباً هیچ کار تجاری‌ای انجام پذیر نبوده و بنابراین از آن بعنوان یک کالای مصرفی ارزشمند در تمامی جوانب زندگی تجاری و خصوصی یاد می‌شود. بسیاری از سازمان‌ها برای موفقیت و حتی بقای خود به سیستم‌هایی نیاز دارند که بتوانند منابع و اطلاعات لازم را در زمان مناسب، به مقدار کافی و بصورت طبقه‌بندی شده در اختیار آن‌ها قرار دهند و بنابراین فن آوری اطلاعات هم اکنون به بخش جدایی ناپذیری از زندگی مدرن تبدیل شده است. از طرف دیگر سازمان‌ها باید نسبت به حفاظت از منابع و دارایی‌های اطلاعاتی خود جدی و حساس باشند. اما متاسفانه بسیاری از بازرگانان و مدیران تجاری معمولاً توجه چندانی به این مساله نشان نمی‌دهند زیرا از دیدگاه تجاری هر سیستم و راه حلی زمانی مورد نیاز می‌باشد که قیمت آن توجیه پذیر بوده و کارایی و سادگی استفاده در آن لحاظ شده باشد.

در حالیکه سیستم‌های امنیتی و حفاظتی میزان کارایی و سادگی دسترسی به اطلاعات را کاهش داده، هزینه‌بر نیز هستند و این‌ها در تضاد با افزایش کارایی سازمان و کاهش هزینه‌های آن می‌باشد. این تضاد مهمترین مساله‌ای است که متخصصان و مدیران امنیت اطلاعات باید در یک سازمان با آن دست و پنجه نرم کنند. البته این مساله بخش کوچک و محدودی از مبحث تضاد منافع بین ذینفعان یک سازمان می‌باشد که به هرحال باید توسط مدیران ارشد و صاحبان سازمان مورد توجه قرار گیرد. در یک نگاه کلی امنیت اطلاعات شامل فرآیندهای مختلفی می‌شود که عملکرد صحیح بسیاری از آنها تا حد زیادی به رفتارها و همکاری انسانی وابستگی دارد. کارکنان یک سازمان، چه به صورت عمد و یا به دلیل سهل انگاری ناشی از عدم آگاهی و دانش کافی، خود بزرگترین تهدید برای امنیت اطلاعات سازمان هستند بطوریکه بسیاری از روش‌ها و راه حل‌های امنیتی بدون مشارکت و همکاری کارکنان ثمربخش نبوده و به نتیجه نخواهند رسید. براساس پژوهش‌های انجام شده استقرار یک فرهنگ نهفته در سازمان برای امنیت اطلاعات به عنوان کلید مدیریت عامل‌های انسانی در بحث امنیت اطلاعات بطور گسترده‌ای پذیرفته شده است. با ایجاد این فرهنگ کارکنان بجای اینکه تهدید امنیتی در نظر گرفته شوند بعنوان یک دارایی امنیتی محسوب خواهند شد. البته حتی با ایجاد این فرهنگ سازمانی مزایا و معایب و تضاد منافع همچنان وجود خواهد داشت که این مساله می‌بایستی به طور جداگانه‌ای مدیریت و رسیدگی شود.

متن اصلی[ویرایش]

این مقاله براساس روش تحقیق کیفی پایه‌گذاری شده است تا نقش فرهنگ یک سازمان را با تمرکز بر بحث امنیت مورد بررسی و کنکاش قراردهد و هدف آن ارائه یک مدل جامع و مفهومی برای فرهنگ امنیت اطلاعات می‌باشد تا بتواند براساس متغیرهای مختلف موجود، اثر متقابل آنها بریکدیگر را بررسی نماید.

برای ایجاد این فرهنگ ابتدا می‌بایستی به موضوع فرهنگ سازمانی توجه کنیم. فرهنگ سازمانی به منزله شخصیت سازمان است که آن را از سایر سازمان‌ها متمایز می‌سازد و روشی است که کارمندان سازمان کارهای مختلف را در آن انجام می‌دهند تا سازمان به موفقیت برسد. ادگار هنری شاین فرهنگ سازمانی را به صورت مجموعه‌ای از عقاید و ارزشهای مشترک و یا ادراکات عمومی که بوسیله سازمان حفظ می‌شود تعریف کرد و برای آن سه سطح در نظر گرفت که به صورت وسیعی مورد قبول قرار گرفت. سطح اول مصنوعات و ابداعات نام دارد که شامل تمام پدیده‌هایی که یک فرد می‌تواند ببیند، بشنود و احساس کند مانند زبان، مراسم، ساختار سازمانی و فرآیندها انجام کارها این سطح قابل مشاهده است. (آنچه هست) سطح دوم ارزش‌های حمایتی نام دارد که شامل ارزشهایی است در مورد اینکه، کارها چگونه باید انجام شوند و یا در یک وضعیت جدید یک فرد چه عکس‌العملی باید از خود نشان دهد و رفتار کند. همینطور اهداف و فلسفه‌ها و استراتژیهای سازمان در این سطح قرار می‌گیرد که کمتر قابل مشاهده است. (آنچه باید باشد) و سطح سوم یا پایین‌تر سطح مفروضات اساسی نام دارد که شامل عقاید، احساسات، ارزش‌ها و برداشت‌های شخصی کارکنان در مورد اینکه یک سازمان چگونه باید عمل کند می‌باشد. (آنچه می‌تواند باشد) این سطح در ذهن افراد بوده و قابل مشاهده نیست. ادگار با توجه به این سه سطح، فرهنگ را این گونه تعریف می‌کند: فرهنگ سازمانی مجموعه‌ای از فرضیات اساسی است که افراد سازمان در مواجهه با مسائل، برای انطباق با محیط و دستیابی به وحدت و انسجام داخلی، ایجاد کرده و در نتیجه این فرهنگ به عنوان روش صحیح ادراک، تفکر و احساس به اعضای جدید نیز انتقال می‌یابد.

این مقاله در واقع با تمرکز برمدل ادگار شاین سعی می‌کند که سطح چهارم با نام دانش را به گونه‌ای اضافه نماید که سه سطح اول را مورد حمایت و پشتیبانی قرارداده و با آنها سازگاری ایجاد نماید. مدل مفهومی که در این مقاله ارائه شده است استدلال می‌کند که با اضافه نمودن لایه چهارم با عنوان دانش و تخصص کارکنان در ارتباط با امنیت اطلاعات به سه لایه سازمانی ارائه شده توسط ادگار شاین، می‌توان یک فرهنگ امنیت اطلاعات در سازمان ایجاد کرد. بطوریکه در آن یک رابطه غیررسمی بین آنچه سطح اول مصنوعات با سه سطح دیگر وجود دارد به عبارتی آنچه که در مورد امنیت اطلاعات توسط کارکنان در سازمان انجام می‌شود تابعی از مجموعه ارزش‌های حمایتی، مفروضات اساسی و آگاهی و دانش کارکنان می‌باشد.

برای تحلیل کیفی این موضوع از مفهوم کشش استفاده می‌شود. حساسیتِ تغییرات یک متغیر در مقابل متغیر دیگر، در علم اقتصاد به کشش یا ارتجاع پذیری تعبیر می‌گردد که توسط آلفرد مارشال(۱۸۴۲- ۱۹۲۴) وارد علم اقتصاد شده است.

در این مقاله با اقتباس از مفهوم کشش در علم اقتصاد (انعطاف‌پذیری یا ارتجاع پذیری قیمت در برابر میزان عرضه کالا) برای درک اثرات متقابل متغیرهای مختلف در یک فرهنگ امنیت اطلاعات استفاده می‌شود. به این ترتیب که میزان امنیت اطلاعات مورد تقاضای مدیریت در دو بعد تمایل و کوشش کارکنان برای ایجاد امنیت و همینطور مقدار دانش و تجربه آنها سنجیده می‌شود. به طوری که هرچه میزان مورد تقاضای امنیت توسط مدیریت افزایش یابد می‌بایستی تمایل و کوشش کارکنان و یا مقدار دانش و تجربه آنها و یا هردوعامل افزایش یابد. این مدل همچنین تلاش می‌کند که نشان دهد که تقاضای مدیریت برای امنیت بیشتر و مشارکت کارکنان بطور جدی با هم رابطه متقابل دارد به این ترتیب که یک کشش و یا انعطاف‌پذیری بین ارزشهای حمایتی و مفروضات اساسی قابل مشاهده است و هر تغییری در مفروضات اساسی موجب تغییر در ارزشهای حمایتی خواهد شد و هرچه این کشش کمتر باشد و به عبارتی تغییر در مفروضات اساسی موجب تغییر کمتری در ارزشهای حمایتی بشود تطابق و همسویی بین مفروضات اساسی و ارزش‌های حمایتی بیشتر خواهد بود و انطباق این دو در اثر کاهش کشش، مورد نظر مدیریت می‌باشد؛ بنابراین با توجه به این مدل در یک سازمان بررسی می‌کنیم که آیا در طول زمان مفروضات اساسی با ارزش‌های حمایتی با هم منطبق و همسو خواهند شد یا خیر. البته کارایی و موفقیت این فرهنگ مبتنی بر این مدل بستگی به میزان قوت و اشتیاق هریک از این لایه‌ها دارد.

علاوه برآن میزان هماهنگی و همسویی هریک از این لایه با لایه‌های دیگر بیانگر این موضوع است که فرهنگ سازمان تا چه اندازه قابل پیش بینی و پذیرش بوده و در نتیجه دارای ثبات و استحکام است؛ بنابراین در یک فرهنگ ایده آل امنیت اطلاعات، هریک از چهار لایه می‌بایستی مستحکم تر از حداقل حد قابل قبول بوده و با یکدیگر هماهنگ و همسو نیز باشند. در این مدل چارچوبی برای سهولت بخشیدن به تفکر مفهومی و همینطور تبادل نظر بر روی فرهنگ امنیت اطلاعات مطرح می‌شود. به عنوان مثال در یک سازمان که مدیر آن اطمینان دارد که ارزش‌های حمایتی از قدرت کافی برخوردارند و کارکنان هم دانش کافی را در اختیار دارند ناگهان متوجه می‌شود که آنچه که کارکنان در مورد امنیت اطلاعات انجام می‌دهند در حد کافی و مطلوب نیستند و بنابراین ممکن است به این نتیجه برسد که عدم تطابق اعتقادات و ارزشهای شخصی کارکنان (مفروضات اساسی) با ارزش‌های حمایتی سازمان موجب این عدم همسویی شده است. با توجه به این مدل و کشش بین مفروضات اساسی و ارزشهای حمایتی مدیر می‌تواند که با تشویق کارکنان به پذیرش ارزشهای حمایتی سازمان، مصنوعات و ابداعات را نیز برای آنان ساده‌تر و قابل پیش بینی تر نماید؛ و یا به عنوان یک راه حل دیگر ارزشهای حمایتی را تعدیل نموده تا با عقاید و برداشت‌های کارکنان در مورد امنیت مطابقت داشته باشد که در این صورت فرهنگ ایجاد شده امنیت کمتری دارد اما درک، پیش بینی و پذیرش آن برای کارکنان ساده‌تر خواهدبود.

نتیجه‌گیری[ویرایش]

همانطور که گفته شد هرکدام از دو مثال بالا این مدل دیدگاه کامل و جامعی برای مدیریت فرهنگ امنیت اطلاعات ارائه نمی‌کند زیرا هدف از این مدل فقط ارائه یک مدل مفهومی برای درک بهتر ارتباط بین عوامل و لایه‌های موجود مؤثر بر امنیت اطلاعات در یک سازمان در نظرگرفته شده است. به عنوان مثال کاربردی می‌توان در یک مقیاس کوچک از امنیت اطلاعات، با ترسیم ارتباط بین این ۴ لایه استفاده از گذرواژه را مورد بررسی قرار داد. البته برای کاربردی کردن این مدل لازم است که تحقیقات بیشتری انجام شده و لایه مختلف در این مدل به صورت کمی مورد تجزیه و تحلیل قرار گیرند تا بتوان با تهیه یک مقیاس اندازه‌گیری بر اساس مشاهدات آماری، نظارت و کنترل لازم را برروی فرهنگ امنیت اطلاعات در یک سازمان انجام داد.

منبع[ویرایش]

http://www.sciencedirect.com/science/article/pii/S0167404809001126

شماره دانشجويي 89231520