روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ تا به حال با خود فکر کردید نشتیهای اطلاعاتی چه پیامدهایی برای کارمندان یک شرکت دارد؟ برای پاسخ به این سوال ابتدا علل اکثر این رخدادها را مورد بررسی قرار میدهیم؛ رخدادهایی که بنابر تجربههایی که داشتیم بیشتر ریشه در سهلانگاری، بیمسئولیتیِ کارمند یا مدیریت ناکارامد داشتهاند. به بیانی دیگر، فرقی ندارد چطور به آن نگاه میکنید، به هر حال عامل انسانی پشت این ماجرا خوابیده است. در ادامه با ما همراه شوید تا ارتباط بین نشتیهای اطلاعاتی و انگیزهی کارمند را خدمتتان شرح دهیم.
وقتی کارمندان مسئولیت قبول نمیکنند
از کارمندان بپرسید چه تغییراتی در جریان کاریشان باعث خواهد شد تا سطح بهرهوری و رضایتمندیِ شغلیشان ارتقا پیدا کند. افراد معمولاً جایی کار میکنند که برایشان مناسب است و هیچ چیزی هم در فرآیند کارشان تداخل ایجاد نمیکند. برای مثال، آنها روی کامپیوترهایشان حقوق ادمین میگیرند تا بتوانند هر نرمافزاری را نصب کرده، به دادهها و سیستمهای تیم خود دسترسی داشته باشند، میهمانانی به اداره دعوت کرده و چیزهایی از این قبیل. در عین حال، تقریباً هیچکس آمادهی پذیرفتن مسئولیت آنچه میخواهد و یا به او احساس راحتی میدهد نیست. بسیاری از کارمندان (و برخیاوقات مدیران آنها) این توهم را دارند که یکجورهایی همیشه تحت محافظت قرار دارند. گمان دارند فارغ از هر کاری که انجام میدهند امدادی غیبی از آنها مراقبت میکند. البته که ما متخصصین امنیت سایبریِ سازمانی همواره در تلاشیم بهترین محافظت را از کاربران بعمل آوریم اما دیگر قادر مطلق هم نیستیم.
تصمیمگیریهای بد مدیریتی
علت دیگر بیشتر این رخدادهای جدی (به معنای گستردهی آن) مدیریت ناکارامد پروسهی تجاریست که همچنین اقدامات یا تنبلی پرسنل بخش آیتی و امنیت اطلاعاتی را نیز دربرمیگیرد. شرکتی که مبحث امنیت سایبری را جدی میگیرد چندان آسیب جدی نخواهد خورد. در هر موردی، زنجیرهای از خطاها میبایست در ترکیبی مناسب رخ دهد:
- فرآیند کسب وکار طوری ساماندهی شده است که اجازهی چنین خطایی را بدهد،
- فردی مرتکب اشتباه شده و یا سیاستهای امنیت اطلاعات را زیر پا گذاشته است،
- سیستمهای اطلاعاتی یا سرویسهای زیرساختی شامل آسیبپذیریهایی پچنشده و یا شناسایینشده بودند،
- سیستمها بسیار پیچیده بودند و همین باعث شده برای تضمین امنیت تنظیمات منابع لازم وجود نداشته باشد، مدیریت پچ و پیادهسازی اقدامات امنیتی به موقع نباشد.
- دپارتمان امنیت (به دلیل عدم مهارت یا فرصت) نتوانسته پیش از بروز آسیب، رخداد را شناسایی کند.
بگذارید مثالی بارز بزنیم: بانکی مکرراً رخدادهایی را تجربه میکند که در نهایت هم به حملات خارجی و هم خطاهای کارمندان ختم میشود. در نتیجه، سیستمهای بانک مدتی از کار میافتد. مدیریت که سعی داشت همان اندازه که به کارکنان مسئول خود انگیزه میداد کسانی که کوتاهی کرده بودند را نیز تنبیه کند، شروع کرد که اخراج چندین کارمند خود در بخش آیتی و امنیت اطلاعات. همزمان، گرچه مدیریت میدانست سیستم خودکار بانکداری آسیبپذیریهای معماری دارد؛ اما هیچ بودجهای را برای ساخت سیستمی جدید و یا رفع سیستم قبلی اختصاص نداد. کارمندان باتجربه آگاه بودند که هر کس میتواند روزی مرتکب اشتباهی شود و این شرکت ترجیح داد به جای حل این این مشکل زیربنایی، نیروهای جدید به خدمت گیرد؛ حالا همان کارمندان ناآگاه اخراج شده در جاهای دیگر مشغول به کار شدهاند. کارمندان جدید هم درکی از سیستم شرکت نداشتند و در نتیجه حتی نسبت به کارمندان سابق هم بیشتر مرتکب خطا شدند و وقت بیشتری سر تعمیر و نگهداری سیستمها هدر شد. در نتیجه، مشتریان قید این بانک را زدند و این سازمان از جایگاه 50 بانک برتر به جایگاه 200 تنزل کرد.
چه کار باید کرد؟
پس یادتان باشد هیچگاه انگیزه را در کارمندان خود نکشید. در عوض، به آنها کمک کنید تا نسبت به مسئولیتهای خود، ارزشهای شرکت و اهمیت مشارکتهای همکارانشان به درک و آگاهی برسند. شما میتوانید تمام اینها را از طریق پشتیبانی مادی، احترام متقابل و تعیین قوانین و موازین شفاف به آنها نشان دهید.
قوانین امنیت اطلاعات سازمانی باید ساده بیان شود و شفاف مطرح شود چه چیزی به طور خاص مجاز است و چه چیز غیرمجاز؛ کدام نیروها باید در صورت رخداد سایبری فلان کار را انجام دهند و کدامها نباید. رهبر تیم میبایست روشن و شفاف به افراد گروه اطلاعات را منتقل کرد و حین (و بعد از) رخداد سایبری مشکل پیشآمده و پیامدهای آن را برایشان توضیح دهد (مجازات هم شامل میشود). این کار، اتمسفر تیم را سلامت نگه میدارد و جلوی اشتباههای تکراری را میگیرد. شما میتوانید برای تمرکز روی انگیزه تیم و کاهش تأثیر رخداد سایبری از نقشهی راه امنیت اطلاعات زیر استفاده کنید:
- نه تنها برای جلوگیری از چنین مشکلاتی که همچنین برای اینکه یاد بدهید یک مشکل میتواند چه شکلی باشد، کارکنان خود را آموزش دهید.
- به کارمندان خود انگیزه دهید.
- سعی کنید قرائن و قوانین امنیت اطلاعاتی شرکت (و اقدامات نظارتی) شفاف و بدون ابهام باشد.
- از ابزار شناسایی و واکنش به رخداد استفاده نمایید.
- برای محافظت شرکت از خطاها، رفتارهای سهلانگارانه یا احمقانه و اقدامات آلودهی افراد برونسازمانی سیستمهایی را پیادهسازی کنید.
- به صورت دورهای اقدامات فوق را تحلیل کنید تا میزان احتمال ارتکاب مشکل سابق کاهش داده شود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
