امنیت نرم چیست؟ - راه ساری

به گزارش خبرنگاران، در یادداشت روح الله محمدخانی آمده است: اگر بخواهیم واقعاً امنیت یک سازمان را تأمین کنیم در کنار جنبه های ابزاری، باید بسیاری از جنبه های اجتماعی و حاکمیتی را هم در نظر بگیریم. شاید بد نباشد برای درک بهتر، یک شرکت را به یک کشور تشبیه کنیم. به طور کلی هر کشور دو مرز دارد؛ جغرافیایی و هویتی. امنیت یک کشور ترکیبی از امنیت هر دوی این مرزهاست. یعنی هم باید مرز فیزیکی و جغرافیایی حفظ گردد و هم مرز هویتی و تابعیتی. هر سازمانی هم این مرزها را دارد. سازمان هم دارای مرز فیزیکی است که معین می نماید در کجا مستقر است و چه سرویس هایی در چه بستر و زیرساختی توسط آن ارائه می گردد و هم دارای مرز هویتی است که بخش مهمی از آن توسط افراد عضو آن سازمان معین می گردد. بنابراین ما اگر به دنبال امنیت هستیم باید هردوی این مرزها را بشناسیم و به آن توجه کنیم.

اگر بخواهیم به هر دوی این مرزها عنوانی دهیم، مرز جغرافیایی را Hard Security یا همان امنیت سخت و مرز هویتی را Soft Security یا همان امنیت نرم می نامیم.

مرز جغرافیایی موارد خط کشی شده و معین با زیرساخت های فنی و تکنولوژی است که عمدتاً در حوزه فنی و ابزاری قرار می گیرد. در حوزه امنیت نرم نیز به طور کلی این مساله عنوان می گردد که به افراد حس تعلق خاطر دهیم. این خود بخش مهمی از امنیت عمومی و اجتماعی را شامل می گردد. افراد باید به این اعتقاد درونی برسند که امنیت سازمان برای آنها مهم است و برای حفظ این امنیت کوشش نمایند. این جنبه های اخلاقی و ذهنی که باعث درگیر شدن ذهن افراد سازمان با اهمیت موضوع امنیت می گردد، موضوعاتی نیستند که در قالب امر و نهی به افراد منتقل کرد بلکه باید با شرح و ایجاد حس مشارکت به آنها آموخت.

در سازمان ها روی متقاعدسازی افراد که جنبه ای از امنیت است کمتر کار شده، درحالی که افراد باید درگیر این مساله باشند. اگر در پس زمینه بعضی تجربیات صنعت نگاه کنیم می بینیم بعضاً اتفاقات ناامن مخربی اتفاق افتاده که حتی باعث از بین رفتن شرکت ها هم شده است. عمده این اتفاقات نیز بر همین جنبه از امنیت تمرکز داشته است؛ در واقع افرادی با انگیزه های غیر سازمانی اطلاعاتی را منتشر نموده اند.

این موضوع نشان می دهد که این نوع از امنیت پیچیده است. اینکه بدانیم در ذهنیت افراد چه می گذرد و به چه سمتی می رود، موضوع مهمی است. هرچند در مقابل باید روی امنیت سخت مانند تجهیزات و لجستیک هم کار کنیم و آنها لازم هستند ولی کافی نیستند. همراه کردن و متقاعدسازی افراد در مورد سیاست های امنیتی و محدودیت های احتمالی ناشی از آنها یک مقوله مهم در امنیت نرم محسوب می گردد.

مولانا در فیه مافیه می گوید که منع جز رغبت را افزون نمی نماید؛ بنابراین اگر بدون آگاهی رسانی و همراه سازی اعمال محدودیتی در راستای ارتقای سطح امنیت سازمان انجام گردد، ممکن است انگیزه برای گروهی ایجاد گردد که به حوزه امنیت آسیب وارد نمایند. از این رو آگاهی رسانی و متقاعدسازی افراد، کم اهمیت تر از ایجاد امنیت سخت نیست.

موضوع دیگری که سازمان ها در حوزه امنیت کمتر به آن توجه می نمایند و از اجزای اصلی امنیت نرم محسوب می گردد، ارتقای مداوم سطح آگاهی سرمایه های انسانی سازمان در مورد رعایت نکات امنیتی حین انجام ماموریت های سازمانی است. در ریشه یابی و آسیب شناسی بسیاری از مواردی که نشت اطلاعاتی و یا خلل امنیتی در سازمان ها رخ می دهد، ملاحظه می کنیم که انگیزه عامدانه ای وجود نداشته و صرفاً عدم آگاهی افراد از اصول پایه ای حفظ امنیت در حین انجام فعالیت های سازمانی باعث این موارد شده است؛ لذا جریان داشتن سازوکار اطلاع رسانی در حوزه امنیت به افراد سازمان، می تواند بخش خوبی از اهداف امنیت نرم را محقق کند.

در نظام مدیریت امنیت اطلاعات (ISMS) توصیه شده که افراد سازمان باید از نظام مدیریت امنیت اطلاعات و سیاست ها و خط مشی امنیتی سازمان، آگاهی داشته باشند. در صورتی که در بسیاری از سازمان ها این آگاهی به آموزش ختم می گردد تازه آن هم در سطح مدیران ارشد. این در حالی است که معمولاً در دیگر لایه های سازمان ، نه تنها آگاهی رسانی صورت نگرفته که حتی همان آموزش را هم ندیده اند.

آموزش یعنی اینکه به یک فرد نشان دهیم چگونه یک کار را انجام دهد یا انجام ندهد در صورتی که آگاهی رسانی یعنی اینکه به فرد نشان دهیم چرا یک کاری را باید انجام دهد یا انجام ندهد. به عبارت دیگر باید با در نظر دریافت مجموعه ملاحظاتی به فرد این آگاهی را بدهیم تا با دانش به چرایی لزوم انجام یا عدم انجام یک رفتار، او را به انجامش ترغیب کنیم. این آگاهی رسانی یاری می نماید حتی در زمان یا مکانی که ابزار نظارتی به هر دلیلی وجود نداشت، فرد با میل درونی آن رفتارهای امن را انجام دهد و از انجام رفتار غیرامن خودداری کند.

در عصر حاضر به دلیل گسترش ارتباطات ناشی از تاثیر شبکه (Network Effect) دیگر به سختی می توان در حوزه امنیت سخت مزیت رقابتی جدی ای برای سازمان ها متصور بود؛ چرا که تقریباً تمام ایده های فناوری محور امن سازی فضای تبادل اطلاعات به سرعت در فضای شبکه ارتباطی متخصصان شناسایی شده و قابل کپی برداری است. چیزی که نمی توان با آن رقابت کرد در حوزه امنیت نرم است. این حوزه، افراد یک سازمان هستند که با حس تعلق خاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل می دهند.

افراد در بحث امنیت نباید فکر نمایند که کنترل می شوند. اگر از این دید به موضوع نگاه کنیم که کسی نگران امنیت ماست و یاری می نماید که امنیت ما و سازمان در خطر نیفتد، بحث کنترل کردن وجود نخواهد داشت، بلکه همه با هم در کوشش هستیم تا کسب وکار سازمان دچار مخاطره نگردد.

امنیت نرم باید مانند چراغی باشد که تا وقتی روشن است کسی متوجه وجود آن چراغ نیست ولی همه از روشنایی اش بهره می برند و وقتی خاموش می گردد تازه همه حس می نمایند که نبود آن چقدر مشکل ایجاد می نماید. امنیت باید در عین حال که حضور دارد، نامحسوس باشد.

asiaro.ir: سفر به آسیا، جنوب شرقی آسیا، آسای مرکزی و خاورمیانه