احتمالاً وقتی صحبت از امنیت در موسسات مالی و شرکتهای فناوریمحور میشود، تصویری که بسیاری از ما در ذهن متصور میشویم افرادی هستند که با صورت عرق کرده پشت یکسری کامپیوتر با صفحه نمایش سیاه نشستهاند که کدهای سفید خیلی سریع از جلوی چشمشان رد میشود و افراد با سرعت تمام در حال کوبیدن انگشتانشان روی کیبوردها هستند!
این تصویرسازی اشتباه متاسفانه تصویری است که محصولات سینمایی به خورد ما دادهاند و هر کسی که اندکی در فضای فناوری اطلاعات کار کرده باشد به خوبی میداند که امنیت فناوری اطلاعات در سازمانها مجموعهای از چهارچوبها، قوانین و محدودیتها است که باید توسط افراد آن سازمان رعایت شوند و برای حفظ این اطلاعات نیز مجموعهای از ابزارها، نرمافزارها و راهکارها به کار گرفته میشود. به این جنبه از امنیت که توسط چهارچوبها، ابزارها، محدودیتها و نرمافزارها حفظ میشود، «امنیت سخت» گفته میشود که اتفاقاً بخش پررنگ ماجرا هم هست ولی وقتی به تمام اتفاقات امنیتی چند سال گذشته در فضای فناوریهای مالی ایران نگاه میکنیم، اغلب بازوهای امنیت سخت کار خود را به خوبی انجام دادهاند و مشکل از جای دیگری است که آن را «امنیت نرم» مینامیم. به همین بهانه با روحالله محمدخانی، مدیر امور امنیت و تداوم کسبوکار داتین گفتوگویی داشتیم تا ما را بیشتر با چیستی و جوانب امینت نرم و چالشهایش آشنا کند.
در هر سازمان مجموعه شرایطی وجود دارد که امنیت را تأمین میکند. بعضی از این شرایط به امنیت در حوزه فنی بر میگردد. اما ایجاد امنیت در برخی موارد آنقدر مشهود نیست که بتوان با ابزارهای فنی آن را کنترل کرد. بنابراین امنیت میتواند در ذهن افرادی باشد که در یک سازمان کار میکنند. این امنیت، حفظ ارزش همان اطلاعاتی است که فرد در مدت زمانی که در یک سازمان کار میکند، به آنها دسترسی داشته و با آنها کار میکند.
اینکه افراد چقدر باید به سازمان تعلقخاطر داشته باشند که اطلاعات را در همه حال برای سازمان حفظ کنند و افراد در موقعیت شغلی خود باید به چه سطحی از اطلاعات دسترسی داشته یا نداشته باشند، مسالهای است که در حوزه امنیت نرم قرار میگیرد. امنیتی که کمتر به آن توجه میشود و در عین حال این بیتوجهی میتواند مشکلاتی را برای سازمان ایجاد کند.
روحالله محمدخانی، مدیر امور امنیت و تداوم کسبوکار داتین معتقد است که امنیت نرم باید مانند چراغی باشد که تا وقتی روشن است کسی متوجه وجود آن چراغ نیست ولی همه از روشناییاش بهره میبرند و وقتی خاموش میشود تازه همه حس میکنند که نبود آن چقدر مشکل ایجاد میکند. محمدخانی میگوید: «امنیت باید در عین حال که حضور دارد، نامحسوس باشد.» گفتوگوی ما با او درباره اهمیت امنیت نرم در برابر امنیت سخت را در ادامه میخوانید.
چرا امنیت نرم؟
محمدخانی پیش از اینکه درباره تفاوت امنیت سخت و نرم توضیح دهد مقدمهای را گفت: «اگر بخواهیم واقعاً امنیت یک سازمان را تأمین کنیم، در کنار جنبههای ابزاری، باید بسیاری از جنبههای اجتماعی و حاکمیتی را هم در نظر بگیریم. شاید بد نباشد برای درک بهتر، یک شرکت را به یک کشور تشبیه کنیم. بهطور کلی هر کشور دو مرز دارد: جغرافیایی و هویتی؛ امنیت یک کشور ترکیبی از امنیت هر دوی این مرزهاست. یعنی هم باید مرز فیزیکی و جغرافیایی حفظ شود و هم مرز هویتی و تابعیتی. به اعتقاد من هر سازمانی هم این مرزها را دارد. سازمان هم دارای مرز فیزیکی است که مشخص میکند در کجا مستقر است و چه سرویسهایی در چه بستر و زیرساختی توسط آن ارائه میشود و هم دارای مرز هویتی است که بخش مهمی از آن توسط افراد عضو آن سازمان تعیین میشود. بنابراین ما اگر به دنبال امنیت هستیم باید هردوی این مرزها را بشناسیم و به آن توجه کنیم.»
او در ادامه گفت: «اگر بخواهیم به هر دوی این مرزها عنوانی دهیم، مرز جغرافیایی را Hard Security یا همان امنیت سخت و مرز هویتی را Soft Security یا همان امنیت نرم مینامیم. مرز جغرافیایی موارد خطکشی شده و مشخص با زیرساختهای فنی و تکنولوژی است که عمدتاً در حوزه فنی و ابزاری قرار میگیرد. در حوزه امنیت نرم نیز بهطور کلی این مساله عنوان میشود که به افراد حس تعلقخاطر دهیم. این خود بخش مهمی از امنیت عمومی و اجتماعی را شامل میشود. افراد باید به این اعتقاد درونی برسند که امنیت سازمان برای آنها مهم است و برای حفظ این امنیت تلاش کنند. این جنبههای اخلاقی و ذهنی که باعث درگیر شدن ذهن افراد سازمان با اهمیت موضوع امنیت میشود، موضوعاتی نیستند که در قالب امر و نهی به افراد منتقل کرد بلکه باید با توضیح و ایجاد حس مشارکت به آنها آموخت.»
امنیت نرم خود جنبههای گوناگون دارد؛ جنبه احساسی و خط فکری از جنبههای امنیت نرم است که محمدخانی درباره آن گفت: «اگر بخواهیم دوباره یک سازمان را به یک کشور تشبیه کنیم، جنبه احساسی همان ملیگرایی و وطنپرستی است که درگیر کردن افراد از هر دوی اینها بهدست میآید. یک جنبه زیرساختی هم وجود دارد که به رفاه برمیگردد. وقتی افراد رفاه اجتماعی خوبی داشته باشند، پایههای امنیت هم فراهم میشود. مجموع اینها در کنار هم امنیت نرم را تشکیل میدهد.
متقاعدسازی افراد سازمان مهمترین مقوله در امنیت نرم
به عقیده او در سازمانها روی متقاعدسازی افراد که جنبهای از امنیت است، کمتر کار شده، درحالیکه افراد باید درگیر این مساله باشند. اگر در پس زمینه برخی تجربیات صنعت نگاه کنیم میبینیم بعضاً اتفاقات ناامن مخربی رخ داده که حتی باعث از بین رفتن شرکتها هم شده است. عمده این اتفاقات نیز بر همین جنبه از امنیت تمرکز داشته است. درواقع افرادی با انگیزههای غیر سازمانی اطلاعاتی را منتشر کردهاند.
او ادامه داد: «این موضوع نشان میدهد که این نوع از امنیت پیچیده است. اینکه بدانیم در ذهنیت افراد چه میگذرد و به چه سمتی میرود، موضوع مهمی است. هرچند در مقابل باید روی امنیت سخت مانند تجیهزات و لجستیک هم کار کنیم و آنها لازم هستند ولی کافی نیستند. همراه کردن و متقاعدسازی افراد در خصوص سیاستهای امنیتی و محدودیتهای احتمالی ناشی از آنها یک مقوله مهم در امنیت نرم محسوب میشود.»
مدیر امور امنیت و تداوم کسبوکار داتین با اشاره به اینکه پرداختن به این جنبه از موضوع برای سازمانها مهم است و باید برای آن فکری کرد، توضیح داد: «مولانا در فیهمافیه میگوید که «منع جز رغبت را افزون نمیکند». بنابراین اگر بدون آگاهیرسانی و همراه سازی اعمال محدودیتی در راستای ارتقای سطح امنیت سازمان انجام شود، ممکن است انگیزه برای گروهی ایجاد شود که به حوزه امنیت آسیب وارد کنند. از این رو آگاهیرسانی و متقاعدسازی افراد، کماهمیت تر از ایجاد امنیت سخت نیست.»
تمرکز بیشتر بر افزایش سطح آگاهی سازمانی به عنوان عاملی پیشگیرانه در ارتقای سطح امنیت سازمان
موضوع دیگری که در سازمانها در حوزه امنیت کمتر مورد توجه قرار میگیرد و از اجزای اصلی امنیت نرم محسوب میشود، ارتقای مداوم سطح آگاهی سرمایههای انسانی سازمان در خصوص رعایت نکات امنیتی حین انجام ماموریتهای سازمانی است. در ریشهیابی و آسیبشناسی بسیاری از مواردی که نشت اطلاعاتی و یا خلل امنیتی در سازمانها رخ میدهد، ملاحظه میکنیم که انگیزه عامدانهای وجود نداشته و صرفاً عدم آگاهی افراد از اصول پایهای حفظ امنیت در حین انجام فعالیتهای سازمانی باعث این موارد شده است. لذا جریان داشتن سازوکار اطلاعرسانی در حوزه امنیت به افراد سازمان، میتواند بخش خوبی از اهداف امنیت نرم را محقق کند.
بهگفته او در نظام مدیریت امنیت اطلاعات (ISMS) توصیه شده که افراد سازمان باید از نظام مدیریت امنیت اطلاعات و سیاستها و خطمشی امنیتی سازمان، «آگاهی» داشته باشند. در صورتی که در بسیاری از سازمانها این آگاهی به «آموزش» ختم میشود تازه آن هم در سطح مدیران ارشد. این در حالی است که معمولا در لایه کارشناسان که اغلب نقطه شکست سازمانها در نمونههای اخیر امنیتی هستند، نهتنها آگاهیرسانی صورت نگرفته که حتی همان آموزش را هم ندیدهاند.
آموزش یعنی اینکه به یک فرد نشان دهیم «چگونه» یک کار را انجام دهد یا انجام ندهد در صورتی که آگاهیرسانی یعنی اینکه به فرد نشان دهیم «چرا» یک کاری را باید انجام دهد یا انجام ندهد. به عبارت دیگر باید با در نظر گرفتن مجموعه ملاحظاتی، به فرد این آگاهی را بدهیم تا با دانش به چرایی لزوم انجام یا عدم انجام یک رفتاری، او را به انجامش ترغیب کنیم. این آگاهیرسانی کمک میکند حتی در زمان یا مکانی که ابزار نظارتی به هر دلیلی وجود نداشت، فرد با میل درونی آن رفتارهای امن را انجام دهد و از انجام رفتار غیرامن خودداری کند.
امنیت نرم مزیت رقابتی سازمانها در فضای امنسازی
محمدخانی معتقد است که در عصر حاضر به دلیل گسترش ارتباطات ناشی از تاثیر شبکه (Network Effect) دیگر به سختی میتوان در حوزه امنیت سخت مزیت رقابتی جدیای برای سازمانها متصور بود؛ چرا که تقریباً تمام ایدههای فناوریمحور امنسازی فضای تبادل اطلاعات به سرعت در فضای شبکه ارتباطی متخصصان شناسایی شده و قابل کپیبرداری است. چیزی که نمیتوان با آن رقابت کرد در حوزه امنیت نرم است. این حوزه، افراد یک سازمان هستند که با حس تعلقخاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل میدهند.
مدیر امور امنیت و تداوم کسبوکار داتین در ادامه این موضوع را مطرح کرد که: «افراد در بحث امنیت نباید فکر کنند که کنترل میشوند. اگر از این دید به موضوع نگاه کنیم که کسی نگران امنیت ماست و کمک میکند که امنیت ما و سازمان در خطر نیفتد، بحث کنترل کردن وجود نخواهد داشت، بلکه همه با هم در تلاش هستیم تا کسب و کار سازمان دچار مخاطره نشود.»