خط رند ۹۱۲: یک کارشناس حوزه فناوری اطلاعات در نوشتاری در توضیح امنیت نرم و نقش آن در کسب وکارهای فناوری محور، این حوزه را شبیه افراد یک سازمان دانست که با حس تعلق خاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل می دهند.
به گزارش خط رند ۹۱۲ به نقل از ایسنا، در یادداشت روح الله محمدخانی آمده است: “اگر بخواهیم واقعاً امنیت یک سازمان را تامین نماییم در کنار جنبه های ابزاری، باید خیلی از جنبه های اجتماعی و حاکمیتی را هم در نظر بگیریم. شاید بد نباشد برای درک بهتر، یک شرکت را به یک کشور تشبیه نماییم. بطور کلی هر کشور دو مرز دارد؛ جغرافیایی و هویتی. امنیت یک کشور تلفیقی از امنیت هر دوی این مرزهاست. یعنی هم باید مرز فیزیکی و جغرافیایی حفظ شود و هم مرز هویتی و تابعیتی. هر سازمانی هم این مرزها را دارد. سازمان هم دارای مرز فیزیکی است که مشخص می کند در کجا مستقر است و چه سرویس هایی در چه بستر و زیرساختی توسط آن ارائه می شود و هم دارای مرز هویتی است که بخش مهمی از آن توسط افراد عضو آن سازمان تعیین می شود. بدین سبب ما اگر به دنبال امنیت هستیم باید هردوی این مرزها را بشناسیم و به آن دقت کنیم.
اگر بخواهیم به هر دوی این مرزها عنوانی دهیم، مرز جغرافیایی را Hard Security یا همان امنیت سخت و مرز هویتی را Soft Security یا همان امنیت نرم می نامیم.
مرز جغرافیایی موارد خط کشی شده و مشخص با زیرساخت های فنی و تکنولوژی است که عمدتاً در حوزه فنی و ابزاری قرار می گیرد. در حوزه امنیت نرم نیز بطور کلی این مساله عنوان می شود که به افراد حس تعلق خاطر دهیم. این خود بخش مهمی از امنیت عمومی و اجتماعی را شامل می شود. افراد باید به این اعتقاد درونی برسند که امنیت سازمان برای آنها مهمست و برای حفظ این امنیت تلاش کنند. این جنبه های اخلاقی و ذهنی که موجب درگیر شدن ذهن افراد سازمان با اهمیت موضوع امنیت می شود، موضوعاتی نیستند که در چارچوب امر و نهی به افراد منتقل کرد بلکه باید با توضیح و ایجاد حس مشارکت به آنها آموخت.
در سازمان ها روی متقاعدسازی افراد که جنبه ای از امنیت است کمتر کار شده، درحالی که افراد باید درگیر این مساله باشند. اگر در پس زمینه برخی تجربیات صنعت نگاه نماییم می بینیم بعضاً اتفاقات ناامن مخربی رخ داده که حتی موجب از بین رفتن شرکت ها هم شده است. عمده این اتفاقات نیز بر همین جنبه از امنیت تمرکز داشته است؛ در واقع افرادی با انگیزه های غیر سازمانی اطلاعاتی را منتشر نموده اند.
این موضوع نشان میدهد که این نوع از امنیت پیچیده است. اینکه بدانیم در ذهنیت افراد چه می گذرد و به چه سمتی می رود، موضوع مهمی است. هرچند در مقابل باید روی امنیت سخت مانند تجهیزات و لجستیک هم کار نماییم و آنها لازم هستند ولی کافی نیستند. همراه کردن و متقاعدسازی افراد درباب سیاست های امنیتی و محدودیت های احتمالی ناشی از آنها یک مقوله مهم در امنیت نرم شمرده می شود.
مولانا در فیه مافیه می گوید که «منع جز رغبت را افزون نمی کند»؛ بدین سبب اگر بدون آگاهی رسانی و همراه سازی اعمال محدودیتی در امتداد ارتقای سطح امنیت سازمان صورت گیرد، ممکنست انگیزه برای گروهی ایجاد شود که به حوزه امنیت لطمه وارد کنند. بدین جهت آگاهی رسانی و متقاعدسازی افراد، کم اهمیت تر از ایجاد امنیت سخت نیست.
موضوع دیگری که سازمان ها در حوزه امنیت کمتر به آن توجه می کنند و از اجزای اصلی امنیت نرم شمرده می شود، ارتقای مداوم سطح آگاهی سرمایه های انسانی سازمان درباب رعایت نکات امنیتی حین انجام ماموریت های سازمانی است. در ریشه یابی و لطمه شناسی خیلی از مواردی که نشت اطلاعاتی و یا خلل امنیتی در سازمان ها رخ می دهد، ملاحظه می نماییم که انگیزه عامدانه ای وجود نداشته و صرفاً عدم آگاهی افراد از اصول پایه ای حفظ امنیت در حین انجام کارهای سازمانی موجب این موارد شده است؛ پس جریان داشتن سازوکار اطلاع رسانی در حوزه امنیت به افراد سازمان، می تواند بخش خوبی از اهداف امنیت نرم را محقق کند.
در نظام مدیریت امنیت اطلاعات (ISMS) سفارش شده که افراد سازمان باید از نظام مدیریت امنیت اطلاعات و سیاست ها و خط مشی امنیتی سازمان، «آگاهی» داشته باشند. در صورتیکه در خیلی از سازمان ها این آگاهی به «آموزش» ختم می شود تازه آن هم در سطح مدیران ارشد. این در حالیست که معمولاً در دیگر لایه های سازمان، نه تنها آگاهی رسانی صورت نگرفته که حتی همان آموزش را هم ندیده اند.
آموزش یعنی اینکه به یک فرد نشان دهیم «چگونه» یک کار را انجام دهد یا انجام ندهد در صورتیکه آگاهی رسانی یعنی اینکه به فرد نشان دهیم «چرا» یک کاری را باید انجام دهد یا انجام ندهد. به عبارت دیگر باید با در نظر گرفتن مجموعه ملاحظاتی به فرد این آگاهی را بدهیم تا با دانش به چرایی ضرورت انجام یا عدم انجام یک رفتار، او را به انجامش ترغیب نماییم. این آگاهی رسانی کمک می نماید حتی در زمان یا مکانی که ابزار نظارتی بهر دلیلی وجود نداشت، فرد با میل درونی آن رفتارهای امن را انجام دهد و از انجام رفتار غیرامن خودداری کند.
در عصر حاضر به سبب گسترش ارتباطات ناشی از تاثیر شبکه (Network Effect) دیگر به سختی می توان در حوزه امنیت سخت مزیت رقابتی جدی ای برای سازمان ها متصور بود؛ چونکه تقریباً تمام ایده های فناوری محور امن سازی فضای تبادل اطلاعات به سرعت در فضای شبکه ارتباطی متخصصان شناسایی شده و قابل کپی برداری است. چیزی که نمی توان با آن رقابت کرد در حوزه امنیت نرم است. این حوزه، افراد یک سازمان هستند که با حس تعلق خاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل می دهند.
افراد در بحث امنیت نباید فکر کنند که کنترل می شوند. اگر از این دید به موضوع نگاه نماییم که کسی نگران امنیت ماست و کمک می نماید که امنیت ما و سازمان در خطر نیفتد، بحث کنترل کردن وجود نخواهد داشت، بلکه همه با هم در تلاش هستیم تا کسب وکار سازمان گرفتار مخاطره نشود.
امنیت نرم باید مانند چراغی باشد که تا وقتی روشن است کسی متوجه وجود آن چراغ نیست ولی همه از روشنایی اش بهره می برند و وقتی خاموش می شود تازه همه حس می کنند که نبود آن چقدر مشکل به وجود می آورد. امنیت باید در عین حال که حضور دارد، نامحسوس باشد.
منبع: خط رند ۹۱۲