عاملهای انسانی در امنیت اطلاعات/نقش عوامل انسانی در حفاظت از اسرار تجاری
عوامل انسانی در حفاظت رموز تجارت از اطلاعات
امنیت اطلاعات سری (محرمانه) تجارت شامل یک آرایه چند بعدی از عوامل انسانی، حقوقی، و فنآوری میباشد. من استدلال میکنم که پیش نیازهای اساسی برای اجرای درست معیارهای امنیت حقوقی و فنی عبارتند از فرهنگ سازمانی، سیاستهای کارمندان، و دیگر عوامل انسانی. پس از معرفی مختصر قانون اسرار تجارت برای خواننده، یک شمای کلی از تعقیب قانونی اسرار تجاری و تجزیه و تحلیل استراتژیهای هک کامپیوتری ارائه خواهم داد تا بر این نکته تءکید کرده باشم که تا چه حد ابعاد حقوقی و تکنولوژیکی امنیت اطلاعات مخفی تجاری در مورد عوامل انسانی پیش می شوند. من با یک بحث در مورد اینکه سیاستهای منابع انسانی چگونه میتوانند حساسیت فرهنگی به اسرار تجاری به وجود آورند و خطر نشت اطلاعات را کاهش دهند، نتیجهگیری انجام خواهم داد.
اختلافهای ظریف مهم در قانون اسرار تجاری
[ویرایش]برای بحث در مورد نقش منابع انسانی (HR) در حفظ اسرار تجاری، یک مرور کوتاه بر قانون اسرار تجاری خواهیم داشت. در حالت کلی، اسرار تجاری یک شکل از مالکیت معنوی هستند که از اطلاعات محرمانه کسب و کار محافظت میکنند. قرارداد اسرار تجاری یکسان (UTSA)، قانون عملی اسرار تجاری در ۴۶ ایالت و ناحیه در کلمبیا اجرا میشود. برای آنکه اطلاعات به عنوان اطلاعات اسرار تجاری قابل محافظت تحت UTSA تلقی شوند، سه عنصر اصلی باید وجو داشته باشد:
- این اطلاعات باید ارزش بالفعل یا بالقوه داشته باشند
- این اطلاعات نباید به طور کلی برای عموم مردم شناخته شده باشند و یا به آسانی قابل شناخته شدن باشند
- اطلاعات باید با تلاش معقول محافظت شوند.
معانی حقوقی ظریف این عناصر نیازمند توضیح بیشتر است.
عنصر پنهانکاری فقط نیازمند آن است که اطلاعات نباید "برای عموم شناخته شده" و یا "به آسانی قابل شناخت" باشند. نمونههای معمول اسرار تجاری که شامل اطلاعات به شدت محافظت شده میباشند، از قبیل فرمول کوکا کولا، ممکن است این تصور گمراه کننده را ایجاد کنند که از پنهانکاری در سطح بالا یک شرط لازم برای قانون اسرار تجاری است. اگر چه تنها چند کارمند کارخانه کوکا کولا فرمول کوکا کولا را میدانند، اما این سطح از محرمانه بودن مطلق شرط لازم قانونی نیست. ثانیاً، ارزش اطلاعات باید از این واقعیت "مشتق" شده باشد که این اطلاعات به این دلیل با ارزشتر هستند که برای دیگران ناشناخته هستند. علاوه بر این، اطلاعات محرمانه ارزشمند باید با استفاده از تلاشهای "معقول برای حفظ محرمانه بودن آنها" محافظت شوند. در این زمینه ، شرط اینکه تلاشهای محفاظتی باید "معقول" باشند به این معنی که اطلاعات با ارزش تر باید در سطح بالاتری محافظت شوند. از کلمه "حفظ" استفاده میکنیم به این دلیل که حفاظت باید مداوم و مستمر باشد- زیرا محرمانه بودنی که یک بار فاش شود قابل ترمیم نخواهد بود. یک انحراف کوچک در حفاظت می تواند وضعیت سری بودن اطلاعات تجاری را از بین ببرد، بنابراین حفاظت پایدار ضروری است.
بنابراین، حفاظت اطلاعات مخفی تجاری شامل چهار مرحله اساسی است:
- شناسایی اطلاعات محرمانه
- ارزش گذاری اطلاعات
- ارزیابی ریسک در ارتباط با اطلاعات
- اجرای اقدامات امنیتی متناسب با ارزش و ریسک اطلاعات.
پیروی از این مراحل به جلوگیری از بروز و نشت اطلاعات و همچنین به ایجاد سابقه حفاظت اطلاعات که برای اجرای قانون اسرار تجاری از طریق تعقیب قانونی لازم است کمک میکند.
نقش مشروط شارع برای حفظ اسرار تجاری
[ویرایش]برای به دست آوردن یک راهکار قانونی در مورد سرقت اسرار تجاری، صاحب اسرار تجاری باید موارد پنهانکاری، ارزش گذاری، و حفاظت که تا اینجا بحث شد را رعایت کند. دادگاهها اغلب برای تعیین اینکه آیا اطلاعات به اندازه کافی محافظت شدهاند یا نه، به سیاستهای منابع انسانی از جمله سطح آموزش کارکنان توجه می کنند. به همین دلیل ، یک سابقه مستند و قابل اثبات از شیوههای منابع انسانی که چنین محافظتهایی را نشان دهد برای موارد طرح دعوی قضایی توسط شاکی بسیار مهم است. در مقابل، سابقه حفاظت ناکافی را می توان به منزله نشت برخی از اطلاعات به بیرون در نظر گرفت که در نهایت مانع می شود ازاینکه شاکی مشکل تامین امنیت اطلاعات خود را چاره کند.
اولین گام در ایجاد چنین سابقهای از حفاظتها، داشتن یک توافقنامه محضری عدم افشا متناسب با شغل (NDAs) برای همه کارکنانی است که به اطلاعات محرمانه دسترسی دارند. با این وجود توجه شود که NDAs همه آنچه که برای حفظ اسرار تجاری لازم است نیست بلکه تنها یک نقطه شروع است. NDAs کارکنان را تحت تعهدات حفظ اسرار قرار میدهد اما به صورت مختصر و کوتاه است و به صورت راهنماییهای روشن برای چگونگی رفتارها نیست.
حفظ اسرار تجاری نیازمند چیزی بیش از گرفتن یک قول از کارمندان برای خودداری از افشای اطلاعات است. بعد از اینکه NDAs به اجرا در آمد، سیاستها و روشهای خاصی باید برای فراهم آوردن روشهای ویژه برای حفظ اطلاعات حساس و کاهش احتمال افشای غیرعمدی آنها اتخاذ شود. HR باید تضمین کند که این معیارها به شدت توسط کارکنان اجرا می شوند. هنگامی که اسرار تجاری در دادگاه مطرح می شوند کیفیت چنین محافظتهایی میتواند تعیین کننده باشد.
چشم انداز ریسکهای امنیت رایانهای
[ویرایش]چشمانداز هکرهای رایانهای را میتوان با توجه به ارتباط بین امنیت تکنولوژیکی و امنیت اطلاعات به خوبی بررسی کرد. Kevin Mitnick یک هکر ماهر است که برای شرایط محدود بی سابقه آزدادی او از زندان مشهور است. عباراتی که در حکم آزادی او وجود داشت مشتمل بود بر خود داری کامل از بهره برداری از هر وسیله الکترونیکی که قابلیت دسترسی به شبکه یا سیستم رایانه را داشته باشد. او پس از آزادی تحت این شرایط، گواه حرفه ای در مورد امنیت رایانه ای را پیش روی مجلس و سنا ارائه داده است. در این گواهی، او تاکید کرده است که موثرترین روشها برای کنار زدن امنیت تکنولوژیکی کمتر از حدی که انتظار می رود دارای ویژگی های فنی و تکنولوژیکی هستند[. استراتژی حمله او بیشتر متمرکز بود بر اینکه از نظر روانی مردم را تحریک می کرد تا اطلاعات حساسی را که فکر نمی کردند کاربردی برای مصارف مضر داشته باشند را به طور عمدی افشا سازند .
تاکید Mitnick بر عوامل انسانی امنیت اطلاعات به توضیح ناکامی WikiLeaks کمک کرد و امنیت اطلاعات را به صف اول هوشیاری عمومی آورد. رخنه در WikiLeaks در اثر یک حمله تکنولوژیکی پیچیده نبود. یک تحلیلگر 21 ساله ارتش آمریکا که ظاهرا اسنادی را برای WikiLeaks تامین می کرد از طریق یک شبکه فایلهایی را دریافت می کند که صلاحیت دسترسی به آنها را دارد. او این فایلها را دانلود کرده و به سادگی آنها را بر روی سی دی رایت می کند. به خاطر کمبود سیاست منابع انسانی در شرکت مورد نظر عامل حمله قادر به فعالیت می شود. احتمالا سیاست منع استفاده از رسانه های قابل جدا شدن [مانند فلاپی، فلش یا سی دی] در آنجا وجود نداشته و یا اجرا نمی شده است. سناریوی WikiLeaks ارتباط مداوم دیدگاه WikiLeaks را نشان می دهد که امنیت در درجه اول یک مشکل افراد است ، حتی در مواردی که به ظاهر رخنه تکنولوژیکی وجود دارد.
سیاست حفظ امنیت تجاری و ملاحظات HR
[ویرایش]به منظور حفظ اطلاعات محرمانه، باید کارکنان سازمان را از اهمیت امنیت اطلاعات را آگاه کرد. برای توسعه این هوشیاری، بسیاری از شرکتها یک طرح محافظت از اسرار تجاری به عنوان بخشی از سیاست شرکت ایجاد می کنند. طرح های حفاظت از اسرار تجاری روشهای ویژه ای برای حفظ اطلاعات محرمانه تجاری فراهم می آورند و به ایجاد هوشیاری برای امنیت اطلاعات کمک می کنند. آنها معمولا روشهای ویژه ای برای تخصیص اطلاعات محرمانه، کنترل دسترسی فیزیکی، برنامه های آموزش کارکنان و امنیت رایانه ای ارائه می دهند. روشهای تخصیص و توزیع اطلاعات محرمانه باید درخط مشی شرکت ایجاد شوند. در هنگام تخصیص اطلاعات محرمانه، مخصوصا باید به طور دقیق تعیین شود که کدام قسمت از اطلاعات محرمانه هستند، چه موقع باید مطرح شوند، و چه اشخاص یا گروه هایی مجاز به دسترسی به آنها هستند. در بیان و شرح اطلاعات صریح باشید و از تخصیص نابجای اطلاعات پرهیز کنید. اسناد محرمانه در فرمهای کاغذی یا دیجیتالی باید با رعایت پنهان کاری (واترمارک) باشند و باید تنها بر اساس نیاز توزیع شوند.
دسترسی فیزیکی به ادارات و تاسیسات باد هم برای کارکنان و هم برای بازدید کنندگان قانونمند باشد. هدف این قواعد محدود کردن دسترسی به پرسنل ذی صلاح و اسکورت بازدید کنندگان و همچنین جلوگیری از ویزیتورهای اسکورت نشده شنیدن، تماشا و یا هرگونه دسترسی به اطلاعات محرمانه است. معیارهای امنیت فیزیکی به طور قابل توجهی در بین صنایع متفاوت هستند. برای مثال، شرکتهای دارو سازی که تحقیقات علمی گران قیمتی انجام می دهند ممکن است نیازمند اعتبارسنجی بیومتریک برایورود به تاسیسات سری باشند. کارکنان آنها احتمالا در همه زمانها باید علائم تعیین هویت تصویری داشته باشند و بازدیدکنندگان آنها احتمالا باید اسکورت شوند. برای شرکتهایی با بودجه محدود یا شرکتهایی که ملزومات امنیتی کمتری نیاز دارند بکارگیری یک صفحه ورود که شامل یک عبارت مختصر کسب اعتماد است می تواند مناسب باشد.
ذخیره و ارسال اسناد دیجیتال نیز نیازمند روشهای ویژه است. اصولا فایلهای دیجیتال که حاوی اطلاعات محرمانه با ارزش هستند باید به وسیله پسورد با حداقل 8 کاراکتر محافظت شوند. اگر رایانه های اداره که اطلاعات محرمانه را ذخیره می کنند به اینترنت متصل هستند ، هر دستگاه باید پسورد داشته باشد. اطلاعات بسیار حساس تنها باید در رایانه هایی که در محل های امن قرار دارند بارگذاری شوند و این رایانه ها باید به طور ویژه برای برآورده سازی ملزومات امنیتی پیکربندی شوند. در نهایت، این سیاستها و خط مشی ها به کاکنان و پیمانکارانی که تازه استخدام شده اند آموزش داده شوند و به صورت دوره ای در صورت نیاز دوباره آموزش داده شوند. آموزش مجدد دوره ای از نظر دادگاه ها دلیلی برای نشان دادن تلاش های حفاظتی مناسب و معقول است . اگر با اطلاعات محرمانه بر یک مبنای روتین و منظم و یا به عنوان بخشی از یک پروژه طولانی مدت سروکار هست، صدور یادآوری های دوره ای برای تذکر اهمیت اطلاعات به پرسنل را در نظر داشته باشید.
این روشها تنها نمونه هایی برای توضیح مطلب هستند و لازم است که هر شرکت روش های خاص خود را برای تعیین سطح خاص محافظت بر مبنای ارزش و ریسک افشای اطلاعات تجاری خود ایجاد کند. با این وجود، در همه شرایط هدف این است که یک سطح امنیت متناسب با ارزش اسرار تجاری ایجاد شود.
نتیجهگیری
[ویرایش]متخصصین HR نقش مداوم ومهمی در حفاظت اسرار تجاری ایفا می کنند که حداقل به اهمیت نقش متخصصین IT است. اگرچه امنیت اطلاعات و محافظت اسرار تجاری به ترتیب مفاهیمی تکنولوژیکی (فناورانه) و قانونی هستند، اما منجر می شوند به مدیریت مناسب افراد. بزرگترین تهدید برای امنیت اسرار تجاری در محیطهای تجاری کنونی افرادی هستند که این اطلاعات را فاش می کنند. این ریسک را می توان با استفاده از خط مشی های حفاظت اسرار تجاری که کنترل های داخلی برای اطلاعات حساس وضع می کنند مدیریت کرد. این به کارکنان می آموزد که محافظت از اسرار محرمانه نه تنها نیازمند یک تعهد مختصر است بلکه نیازمند عمل جدی نیز هست. بعد از اینکه خط مشی های حفظ اسرار تجاری اتخاذ شدند، تبعیت کارکنان از این خط مشی های باید به طور مداوم تحت نظارت قرار گیرد تا یک سابقه حفاظت تدوین شود به طوری که در صورت فاش شدن اطلاعات بتوان در دادگاه یک دفاع قانونی به عمل آورد.
اینکه تلاش های محافظتی مداوم توسط قانون ملزم شده اند ممکن است به سادگی فراموش شود. تنها یک لحظه کوتاه غفلت برای فاش شدن یک راز کافی است.
منابع
[ویرایش]عنوان انگلیسی مقاله:Human Factors in Information-Age Trade Secret Protection
عنوان فارسی مقاله:عوامل انسانی در حفاظت رموز تجارت از اطلاعات