عاملهای انسانی در امنیت اطلاعات/آیا مدیریت امنیت اطلاعات یک چالش انسانی است؟
عنوان فارسی: آیا مدیریت امنیت اطلاعات یک چالش انسانی است؟
عنوان انگلیسی: ?Information Security management: A human challenge'
مقدمه
[ویرایش]این مقاله به بررسی این موضوع که مدیریت امنیت اطلاعات تا چه اندازه باعث چالش انسانی میشود، میپردازد. امنیت اطلاعات به تکنولوژی، فرایند و انسان، وابسته است ولی مهارت در دو حوزه مدیریت تکنولوژی (فناوری) و فرایند، دلیل به داشتن مهارت در مدیریت منابع انسانی نیز، نمیشود.
در اینجا سعی به بررسی این مطلب که چه عاملی در سازمان باعث چالش انسانی میشود و سپس ارتباط میان مدیریت سازمان و مدیریت امنیت اطلاعات را شفاف میکند؛ و در آخر به بررسی چالشهای مدیریت امنیت اطلاعات میپردازد. توجه به این نکته ضروری است که زمانی که سخن از انسان درون سازمان میشود نباید تنها به نقش او تحت هویت کاریش نگاه شود بلکه منظور از انسان تمام نگرشها و باورها و ادراکات فردی منحصر به فرد اوست. از طرف دیگر هر سازمان دارای فرهنگ سازمانی خاص خود است که بسیار حائز اهمیت است و باید توجه شود که تنها بخش کوچکی از فرهنگ سازمانی قابل مشاهده است و برخی از ابعاد آن مثل باورهای درونی فرد نهانی هستند.
منظور از مدیریت امنیت اطلاعات چیست؟
[ویرایش]مدیریت امنیت اطلاعات هم در عمق و هم در سطح گسترش یافته و حفاظت از همه اشکال اطلاعات در سازمان را پوشش می دهد. و به معنای حفاظت از اطلاعات منافع کسب و کار و تسهیل اشتراک کنترل شده اطلاعات و مدیریت ریسک های مربوط آن در محیطی است که دائما در حال تغییر است و و ما برای رسیدن به اهداف بالا نیازمند یک سیستم مدیریت قوی هستیم.
استاندارد ایزو ۲۷۰۰۱
[ویرایش]یکی از مهمترین استانداردها در زمینه مدیریت امنیت اطلاعات ایزو ۲۷۰۰۱ است که مدیریت امنیت اطلاعات را به عنوان بخشی از سیستم مدیریت مبتنی بر رویکرد یک کسب و کار در معرض ریسک، برای ایجاد، پیادهسازی و اجرای و نظارت و بررسی و بهبود امنیت اطلاعات، تعریف میکند. ایزو معمولاً در سازمان برای تطبیق یک مفهوم سازگار، قابل بازرسی برای پرداختن به موضوعات امنیت اطلاعات پیادهسازی میشود. یکی از مهمترین چالشهای سازمان، پیکربندی منابع است که مدیریت امنیت اطلاعات به احتمال زیاد قادر به پیکربندی منابع موجود به صورت بهینه و قادر به ایجاد پیوند میان امنیت اطلاعات و سایر فرایندهای سازمان خواهد شد.
چالش انسانی امنیت اطلاعات
[ویرایش]حال پس از امنیت اطلاعات نوبت آن است که بپرسیم چرا مدیریت کردن انسانها در زمینه امنیت اطلاعات دشوار است؟ چالشهای اصلی در ایجاد روابط موفق برای مدیریت اطلاعات چیست؟ و چه مهارتهایی از امنیت اطلاعات برای توسعه و رسیدن به موفقیت مورد نیاز است. مدیریت امنیت اطلاعات چیزی بیش از قفل کردن ورودی هاست ودر ارتباط با گروه بندی و رفتارهای اجتماعی است. چون انسان غیرقابل پیش بینی است و چون یک موجود اتوماتیک عمل نمیکند، که یک ورودی را بگیریدو به صورت خروجی مشخص پردازش کند؛ و همان طور که گفته شد نقشهای سازمانی ترکیبی از شخصیت و هویت اجتماعی فردی است که فرهنگ سازمانی را تشکیل میدهد. در مدیریت امنیت اطلاعات ما شاهد دو رویکرد هستیم. رویکرد کنترلی و دیگری رویکرد آکادمیک. در رویکرد کنترلی مدیر امنیت اطلاعات به صورت یک متخصص فنی با دیدگاه مدیریتی، فرماندهنده میشود؛ که تصمیمات امنیتی را بدون درگیرکردن کارمندان برای مزاکره انجام میدهد. اما از انجایی که مدیریت امنیت اطلاعات قوی وابسته به انسان و فرایند و تکتولوژی است بنابراین سعی میشود که یک رویکرد آکادمیک جایگزین آن شود. آما در این صورت نیز ممکن است حداقل در کوتاه مدت شاهد رخ دادن حوادث و اشتباهات بیشتری شویم، که نیازمند پذیرش و سرمایه گزاری بیشتری برای بهبود خواهد بود. در مصاحبه با مدیران امنیت اطلاعات نشان داده شده که آنها بر روی صحبت، ارائه و تقویت ایدهها بیشتر تمرکز دارند تا گوش دادن به کاربر نهایی.
ارتباط مؤثر
[ویرایش]یکی دیگر از چالشهای انسانی امنیت اطلاعات، برقراری ارتباط مؤثر است. مدیران امنیت اطلاعات میبایست قادر به ارتباط مؤثر با کاربران نهایی و از طرف دیگر مدیران ارشد و هیئت مدیره باشند. هر چند خود به اهمیت این رابطه واقفند ولی اکثراً فاقد مهارت برقراری این ارتباط به خصوص با کاربر نهایی هستند؛ و از طرف دیگر به دلیل نگرش نادرست، مدیران ارشد که میپندارند امنیت اطلاعات یک موضوع صرفاً فنی است و بهترین مدیریت از طرف کارکنان فنی صورت میگیرد، باعث ایجاد یک شکاف بین مدیران امنیت اطلاعات و سایر مدیران ارشد شده است. در کل یک مدیر امنیت اطلاعات علاوه بر توسعه مهارتهای تخصصی خود مثل آشنایی با سیستم عاملهای مختلف، مدیریت فایروال و پرتکلهای رمزنگاری و انتقال میبایست دارای مهارتهای ارتباطی، هوش سیاسی و قدرت مذاکره برای منابع و خرید و مدیریت منابع کلیدی داشته باشد؛ که تمام این مهارتها نرم هستند و به اصلاح و تغییر فرهنگ سازمانی کمک میکنند.
نتیجهگیری
[ویرایش]در یک جمله چالشهای انسانی مدیریت امنیت اطلاعات مربوط به تغییر فرهنگ سازمانی هویت مدیر امنیت اطلاعات، برقراری ارتباط مؤثر و توسعه مهارتهای برای رویارویی با چالش هاست. مدیریت امنیت اطلاعات منابع را برای یافتن اهداف امنیت اطلاعات که باعث موفقیت در سازمان میشود، پیکربندی میکند. یک چالش اساسی تلاش برای تغییر فرهنگ سازمانی است که وابسته به توسعه هویتی بهتر برای مدیر امنیت اطلاعات با ایجاد یک چرخه ارتباط خوب با کاربران نهایی و مدیران ارشد است.