اخبار

امنیت نرم چیست و در کسب‌وکارهای بانکداری و پرداخت چه جایگاهی دارد؟ / نگاه متفاوت مدیر امور امنیت و تداوم کسب‌وکار داتین به مقوله امنیت در کسب‌وکارهای مالی

احتمالاً وقتی صحبت از امنیت در موسسات مالی و شرکت‌های فناوری‌محور می‌شود، تصویری که بسیاری از ما در ذهن متصور می‌شویم افرادی هستند که با صورت عرق کرده پشت یک‌سری کامپیوتر با صفحه نمایش سیاه نشسته‌اند که کدهای سفید خیلی سریع از جلوی چشم‌شان رد می‌شود و افراد با سرعت تمام در حال کوبیدن انگشتان‌شان روی کیبوردها هستند!

این تصویرسازی اشتباه متاسفانه تصویری است که محصولات سینمایی به خورد ما داده‌اند و هر کسی که اندکی در فضای فناوری اطلاعات کار کرده باشد به خوبی می‌داند که امنیت فناوری اطلاعات در سازمان‌ها مجموعه‌ای از چهارچوب‌ها، قوانین و محدودیت‌ها است که باید توسط افراد آن سازمان رعایت شوند و برای حفظ این اطلاعات نیز مجموعه‌ای از ابزارها، نرم‌افزارها و راهکارها به کار گرفته می‌شود. به این جنبه از امنیت که توسط چهارچوب‌ها، ابزارها، محدودیت‌ها و نرم‌افزارها حفظ می‌شود، «امنیت سخت» گفته می‌شود که اتفاقاً بخش پررنگ ماجرا هم هست ولی وقتی به تمام اتفاقات امنیتی چند سال گذشته در فضای فناوری‌های مالی ایران نگاه می‌کنیم، اغلب بازوهای امنیت سخت کار خود را به خوبی انجام داده‌اند و مشکل از جای دیگری است که آن را «امنیت نرم» می‌نامیم. به همین بهانه با روح‌الله محمدخانی، مدیر امور امنیت و تداوم کسب‌وکار داتین گفت‌وگویی داشتیم تا ما را بیشتر با چیستی و جوانب امینت نرم و چالش‌هایش آشنا کند.

در هر سازمان مجموعه شرایطی وجود دارد که امنیت را تأمین می‌کند. بعضی از این شرایط به امنیت در حوزه فنی بر می‌گردد. اما ایجاد امنیت در برخی موارد آنقدر مشهود نیست که بتوان با ابزارهای فنی آن را کنترل کرد. بنابراین امنیت می‌تواند در ذهن افرادی باشد که در یک سازمان کار می‌کنند. این امنیت، حفظ ارزش همان اطلاعاتی است که فرد در مدت زمانی که در یک سازمان کار می‌کند، به آنها دسترسی داشته و با آنها کار می‌کند.

اینکه افراد چقدر باید به سازمان تعلق‌خاطر داشته باشند که اطلاعات را در همه حال برای سازمان حفظ کنند و افراد در موقعیت شغلی خود باید به چه سطحی از اطلاعات دسترسی داشته یا نداشته باشند، مساله‌ای است که در حوزه امنیت نرم قرار می‌گیرد. امنیتی که کمتر به آن توجه می‌شود و در عین حال این بی‌توجهی می‌تواند مشکلاتی را برای سازمان ایجاد کند.

روح‌الله محمدخانی، مدیر امور امنیت و تداوم کسب‌وکار داتین معتقد است که امنیت نرم باید مانند چراغی باشد که تا وقتی روشن است کسی متوجه وجود آن چراغ نیست ولی همه از روشنایی‌اش بهره می‌برند و وقتی خاموش می‌شود تازه همه حس می‌کنند که نبود آن چقدر مشکل ایجاد می‌کند. محمدخانی می‌گوید: «امنیت باید در عین حال که حضور دارد، نامحسوس باشد.» گفت‌وگوی ما با او درباره اهمیت امنیت نرم در برابر امنیت سخت را در ادامه می‌خوانید.

چرا امنیت نرم؟

محمدخانی پیش از اینکه درباره تفاوت امنیت سخت و نرم توضیح دهد مقدمه‌ای را گفت: «اگر بخواهیم واقعاً امنیت یک سازمان را تأمین کنیم، در کنار جنبه‌های ابزاری، باید بسیاری از جنبه‌های اجتماعی و حاکمیتی را هم در نظر بگیریم. شاید بد نباشد برای درک بهتر، یک شرکت را به یک کشور تشبیه کنیم. به‌طور کلی هر کشور دو مرز دارد: جغرافیایی و هویتی؛ امنیت یک کشور ترکیبی از امنیت هر دوی این مرزهاست. یعنی هم باید مرز فیزیکی و جغرافیایی حفظ شود و هم مرز هویتی و تابعیتی. به‌ اعتقاد من هر سازمانی هم این مرزها را دارد. سازمان هم دارای مرز فیزیکی است که مشخص می‌کند در کجا مستقر است و چه سرویس‌هایی در چه بستر و زیرساختی توسط آن ارائه می‌شود و هم دارای مرز هویتی است که بخش مهمی از آن توسط افراد عضو آن سازمان تعیین می‌شود. بنابراین ما اگر به دنبال امنیت هستیم باید هردوی این مرزها را بشناسیم و به آن توجه کنیم.»

او در ادامه گفت: «اگر بخواهیم به هر دوی این مرزها عنوانی دهیم، مرز جغرافیایی را Hard Security یا همان امنیت سخت و مرز هویتی را Soft Security یا همان امنیت نرم می‌نامیم. مرز جغرافیایی موارد خط‌کشی شده و مشخص با زیرساخت‌های فنی و تکنولوژی است که عمدتاً در حوزه فنی و ابزاری قرار می‌گیرد. در حوزه امنیت نرم نیز به‌طور کلی این مساله عنوان می‌شود که به افراد حس تعلق‌خاطر دهیم. این خود بخش مهمی از امنیت عمومی و اجتماعی را شامل می‌شود. افراد باید به این اعتقاد درونی برسند که امنیت سازمان برای آنها مهم است و برای حفظ این امنیت تلاش کنند. این جنبه‌های اخلاقی و ذهنی که باعث درگیر شدن ذهن افراد سازمان با اهمیت موضوع امنیت می‌شود، موضوعاتی نیستند که در قالب امر و نهی به افراد منتقل کرد بلکه باید با توضیح و ایجاد حس مشارکت به آنها آموخت.»

امنیت نرم خود جنبه‌های گوناگون دارد؛ جنبه احساسی و خط فکری از جنبه‌های امنیت نرم است که محمدخانی درباره آن گفت: «اگر بخواهیم دوباره یک سازمان را به یک کشور تشبیه کنیم، جنبه احساسی همان ملی‌گرایی و وطن‌پرستی است که درگیر کردن افراد از هر دوی اینها به‌دست می‌آید. یک جنبه زیرساختی هم وجود دارد که به رفاه برمی‌گردد. وقتی افراد رفاه اجتماعی خوبی داشته باشند، پایه‌های امنیت هم فراهم می‌شود. مجموع اینها در کنار هم امنیت نرم را تشکیل می‌دهد.

متقاعدسازی افراد سازمان مهم‌ترین مقوله در امنیت نرم

به عقیده او در سازمان‌ها روی متقاعدسازی افراد که جنبه‌ای از امنیت است، کمتر کار شده، درحالی‌که افراد باید درگیر این مساله باشند. اگر در پس زمینه برخی تجربیات صنعت نگاه کنیم می‌بینیم بعضاً اتفاقات ناامن مخربی رخ داده که حتی باعث از بین رفتن شرکت‌ها هم شده است. عمده این اتفاقات نیز بر همین جنبه از امنیت تمرکز داشته است. درواقع افرادی با انگیزه‌های غیر سازمانی اطلاعاتی را منتشر کرده‌اند.

او ادامه داد: «این موضوع نشان می‌دهد که این نوع از امنیت پیچیده است. اینکه بدانیم در ذهنیت افراد چه می‌گذرد و به چه سمتی می‌رود، موضوع مهمی است. هرچند در مقابل باید روی امنیت سخت مانند تجیهزات و لجستیک هم کار کنیم و آنها لازم هستند ولی کافی نیستند. همراه کردن و متقاعدسازی افراد در خصوص سیاست‌های امنیتی و محدودیت‌های احتمالی ناشی از آنها یک مقوله مهم در امنیت نرم محسوب می‌شود.»

مدیر امور امنیت و تداوم کسب‌وکار داتین با اشاره به اینکه پرداختن به این جنبه از موضوع برای سازمان‌ها مهم است و باید برای آن فکری کرد، توضیح داد: «مولانا در فیه‌ما‌فیه می‌گوید که «منع جز رغبت را افزون نمی‌کند». بنابراین اگر بدون آگاهی‌رسانی و همراه سازی اعمال محدودیتی در راستای ارتقای سطح امنیت سازمان انجام شود، ممکن است انگیزه‌ برای گروهی ایجاد شود که به حوزه امنیت آسیب وارد کنند. از این رو آگاهی‌رسانی و متقاعدسازی افراد، کم‌اهمیت تر از ایجاد امنیت سخت نیست.»

تمرکز بیشتر بر افزایش سطح آگاهی سازمانی به عنوان عاملی پیشگیرانه در ارتقای سطح امنیت سازمان

موضوع دیگری که در سازمان‌ها در حوزه امنیت کمتر مورد توجه قرار می‌گیرد و از اجزای اصلی امنیت نرم محسوب می‌شود، ارتقای مداوم سطح آگاهی سرمایه‌های انسانی سازمان در خصوص رعایت نکات امنیتی حین انجام ماموریت‌های سازمانی است. در ریشه‌یابی و آسیب‌شناسی بسیاری از مواردی که نشت اطلاعاتی و یا خلل امنیتی در سازمان‌ها رخ می‌دهد، ملاحظه می‌کنیم که انگیزه عامدانه‌ای وجود نداشته و صرفاً عدم آگاهی افراد از اصول پایه‌ای حفظ امنیت در حین انجام فعالیت‌های سازمانی باعث این موارد شده است. لذا جریان داشتن سازوکار اطلاع‌رسانی در حوزه امنیت به افراد سازمان، می‌تواند بخش خوبی از اهداف امنیت نرم را محقق کند.

به‌گفته او در نظام مدیریت امنیت اطلاعات (ISMS) توصیه شده که افراد سازمان باید از نظام مدیریت امنیت اطلاعات و سیاست‌ها و خط‌مشی امنیتی سازمان، «آگاهی» داشته باشند. در صورتی که در بسیاری از سازمان‌ها این آگاهی به «آموزش» ختم می‌شود تازه آن هم در سطح مدیران ارشد. این در حالی است که معمولا در لایه کارشناسان که اغلب نقطه شکست سازمان‌ها در نمونه‌های اخیر امنیتی هستند، نه‌تنها آگاهی‌رسانی صورت نگرفته که حتی همان آموزش را هم ندیده‌اند.

آموزش یعنی اینکه به یک فرد نشان دهیم «چگونه» یک کار را انجام دهد یا انجام ندهد در صورتی که آگاهی‌رسانی یعنی اینکه به فرد نشان دهیم «چرا» یک کاری را باید انجام دهد یا انجام ندهد. به عبارت دیگر باید با در نظر گرفتن مجموعه ملاحظاتی، به فرد این آگاهی را بدهیم تا با دانش به چرایی لزوم انجام یا عدم انجام یک رفتاری، او را به انجامش ترغیب کنیم. این آگاهی‌رسانی کمک می‌کند حتی در زمان یا مکانی که ابزار نظارتی به هر دلیلی وجود نداشت، فرد با میل درونی آن رفتارهای امن را انجام دهد و از انجام رفتار غیرامن خودداری کند.

امنیت نرم مزیت رقابتی سازمان‌ها در فضای امن‌سازی

محمدخانی معتقد است که در عصر حاضر به دلیل گسترش ارتباطات ناشی از تاثیر شبکه (Network Effect) دیگر به سختی می‌توان در حوزه امنیت سخت مزیت رقابتی جدی‌ای برای سازمان‌ها متصور بود؛ چرا که تقریباً تمام ایده‌های فناوری‌محور امن‌سازی فضای تبادل اطلاعات به سرعت در فضای شبکه ارتباطی متخصصان شناسایی شده و قابل کپی‌برداری است. چیزی که نمی‌توان با آن رقابت کرد در حوزه امنیت نرم است. این حوزه، افراد یک سازمان هستند که با حس تعلق‌خاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل می‌دهند.

مدیر امور امنیت و تداوم کسب‌وکار داتین در ادامه این موضوع را مطرح کرد که: «افراد در بحث امنیت نباید فکر کنند که کنترل می‌شوند. اگر از این دید به موضوع نگاه کنیم که کسی نگران امنیت ماست و کمک می‌کند که امنیت ما و سازمان در خطر نیفتد، بحث کنترل کردن وجود نخواهد داشت، بلکه همه با هم در تلاش هستیم تا کسب و کار سازمان دچار مخاطره نشود.»