یک کارشناس حوزه فناوری اطلاعات در نوشتاری در توضیح امنیت نرم و نقش آن در کسبوکارهای فناوریمحور، این حوزه را شبیه افراد یک سازمان دانست که با حس تعلقخاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل میدهند.
در یادداشت روحالله محمدخانی آمده است: "اگر بخواهیم واقعاً امنیت یک سازمان را تأمین کنیم در کنار جنبههای ابزاری، باید بسیاری از جنبههای اجتماعی و حاکمیتی را هم در نظر بگیریم. شاید بد نباشد برای درک بهتر، یک شرکت را به یک کشور تشبیه کنیم. بهطور کلی هر کشور دو مرز دارد؛ جغرافیایی و هویتی. امنیت یک کشور ترکیبی از امنیت هر دوی این مرزهاست. یعنی هم باید مرز فیزیکی و جغرافیایی حفظ شود و هم مرز هویتی و تابعیتی. هر سازمانی هم این مرزها را دارد. سازمان هم دارای مرز فیزیکی است که مشخص میکند در کجا مستقر است و چه سرویسهایی در چه بستر و زیرساختی توسط آن ارائه میشود و هم دارای مرز هویتی است که بخش مهمی از آن توسط افراد عضو آن سازمان تعیین میشود. بنابراین ما اگر به دنبال امنیت هستیم باید هردوی این مرزها را بشناسیم و به آن توجه کنیم.
اگر بخواهیم به هر دوی این مرزها عنوانی دهیم، مرز جغرافیایی را Hard Security یا همان امنیت سخت و مرز هویتی را Soft Security یا همان امنیت نرم مینامیم.
مرز جغرافیایی موارد خطکشی شده و مشخص با زیرساختهای فنی و تکنولوژی است که عمدتاً در حوزه فنی و ابزاری قرار میگیرد. در حوزه امنیت نرم نیز بهطور کلی این مساله عنوان میشود که به افراد حس تعلقخاطر دهیم. این خود بخش مهمی از امنیت عمومی و اجتماعی را شامل میشود. افراد باید به این اعتقاد درونی برسند که امنیت سازمان برای آنها مهم است و برای حفظ این امنیت تلاش کنند. این جنبههای اخلاقی و ذهنی که باعث درگیر شدن ذهن افراد سازمان با اهمیت موضوع امنیت میشود، موضوعاتی نیستند که در قالب امر و نهی به افراد منتقل کرد بلکه باید با توضیح و ایجاد حس مشارکت به آنها آموخت.
در سازمانها روی متقاعدسازی افراد که جنبهای از امنیت است کمتر کار شده، درحالیکه افراد باید درگیر این مساله باشند. اگر در پس زمینه برخی تجربیات صنعت نگاه کنیم میبینیم بعضاً اتفاقات ناامن مخربی رخ داده که حتی باعث از بین رفتن شرکتها هم شده است. عمده این اتفاقات نیز بر همین جنبه از امنیت تمرکز داشته است؛ در واقع افرادی با انگیزههای غیر سازمانی اطلاعاتی را منتشر کردهاند.
این موضوع نشان میدهد که این نوع از امنیت پیچیده است. اینکه بدانیم در ذهنیت افراد چه میگذرد و به چه سمتی میرود، موضوع مهمی است. هرچند در مقابل باید روی امنیت سخت مانند تجهیزات و لجستیک هم کار کنیم و آنها لازم هستند ولی کافی نیستند. همراه کردن و متقاعدسازی افراد در خصوص سیاستهای امنیتی و محدودیتهای احتمالی ناشی از آنها یک مقوله مهم در امنیت نرم محسوب میشود.
مولانا در فیهمافیه میگوید که «منع جز رغبت را افزون نمیکند»؛ بنابراین اگر بدون آگاهیرسانی و همراهسازی اعمال محدودیتی در راستای ارتقای سطح امنیت سازمان انجام شود، ممکن است انگیزه برای گروهی ایجاد شود که به حوزه امنیت آسیب وارد کنند. از اینرو آگاهیرسانی و متقاعدسازی افراد، کماهمیتتر از ایجاد امنیت سخت نیست.
موضوع دیگری که سازمانها در حوزه امنیت کمتر به آن توجه میکنند و از اجزای اصلی امنیت نرم محسوب میشود، ارتقای مداوم سطح آگاهی سرمایههای انسانی سازمان در خصوص رعایت نکات امنیتی حین انجام ماموریتهای سازمانی است. در ریشهیابی و آسیبشناسی بسیاری از مواردی که نشت اطلاعاتی و یا خلل امنیتی در سازمانها رخ میدهد، ملاحظه میکنیم که انگیزه عامدانهای وجود نداشته و صرفاً عدم آگاهی افراد از اصول پایهای حفظ امنیت در حین انجام فعالیتهای سازمانی باعث این موارد شده است؛ لذا جریان داشتن سازوکار اطلاعرسانی در حوزه امنیت به افراد سازمان، میتواند بخش خوبی از اهداف امنیت نرم را محقق کند.
در نظام مدیریت امنیت اطلاعات (ISMS) توصیه شده که افراد سازمان باید از نظام مدیریت امنیت اطلاعات و سیاستها و خطمشی امنیتی سازمان، «آگاهی» داشته باشند. در صورتی که در بسیاری از سازمانها این آگاهی به «آموزش» ختم میشود تازه آن هم در سطح مدیران ارشد. این در حالی است که معمولاً در دیگر لایههای سازمان، نهتنها آگاهیرسانی صورت نگرفته که حتی همان آموزش را هم ندیدهاند.
آموزش یعنی اینکه به یک فرد نشان دهیم «چگونه» یک کار را انجام دهد یا انجام ندهد در صورتی که آگاهیرسانی یعنی اینکه به فرد نشان دهیم «چرا» یک کاری را باید انجام دهد یا انجام ندهد. به عبارت دیگر باید با در نظر گرفتن مجموعه ملاحظاتی به فرد این آگاهی را بدهیم تا با دانش به چرایی لزوم انجام یا عدم انجام یک رفتار، او را به انجامش ترغیب کنیم. این آگاهیرسانی کمک میکند حتی در زمان یا مکانی که ابزار نظارتی به هر دلیلی وجود نداشت، فرد با میل درونی آن رفتارهای امن را انجام دهد و از انجام رفتار غیرامن خودداری کند.
در عصر حاضر به دلیل گسترش ارتباطات ناشی از تاثیر شبکه (Network Effect) دیگر به سختی میتوان در حوزه امنیت سخت مزیت رقابتی جدیای برای سازمانها متصور بود؛ چرا که تقریباً تمام ایدههای فناوریمحور امنسازی فضای تبادل اطلاعات به سرعت در فضای شبکه ارتباطی متخصصان شناسایی شده و قابل کپیبرداری است. چیزی که نمیتوان با آن رقابت کرد در حوزه امنیت نرم است. این حوزه، افراد یک سازمان هستند که با حس تعلقخاطر و همدلی سازمانی مزیت رقابتی اصلی آن سازمان را شکل میدهند.
افراد در بحث امنیت نباید فکر کنند که کنترل میشوند. اگر از این دید به موضوع نگاه کنیم که کسی نگران امنیت ماست و کمک میکند که امنیت ما و سازمان در خطر نیفتد، بحث کنترل کردن وجود نخواهد داشت، بلکه همه با هم در تلاش هستیم تا کسبوکار سازمان دچار مخاطره نشود.
امنیت نرم باید مانند چراغی باشد که تا وقتی روشن است کسی متوجه وجود آن چراغ نیست ولی همه از روشناییاش بهره میبرند و وقتی خاموش میشود تازه همه حس میکنند که نبود آن چقدر مشکل ایجاد میکند. امنیت باید در عین حال که حضور دارد، نامحسوس باشد.
منبع: ایسنا