امنيت اطلاعات يك مسألة حياتي است و امروزه سازمانها در سراسر دنيا با آن روبهرو هستند. امنيت سيستمهاي اطلاعاتي، هم فناوري و هم افراد (عوامل انساني) را در برميگيرد.
یکی از جنبههای مهم در مدیریت امنیت اطلاعات در سازمان، توجه به امنیت از منظر منابع انسانی است، بهطوری که بدون در نظرگرفتن عوامل انسانی راهحلهای فنی چندان تاثیری در مدیریت امنیت اطلاعات نخواهند داشت. بنابراین منابع انسانی یکی از با ارزشترین داراییهای اطلاعاتی سازمانها محسوب میشود که از جهت دیگر میتواند یکی از تهدیدهای اصلی امنیت اطلاعات نیز به شمار رود.
در حالیکه کارکنان با ارزشترین دارایی سازمان هستند، میتوانند به عنوان بزرگترین تهدید از نظر امنیت اطلاعات برای سازمان نیز در نظر گرفته شوند. ولد (۲۰۰۴) در قسمتی از پژوهش خود به یک واقعه تاریخی اشاره میکند:
در اواخر سال ۱۲۰۰ میلادی، کوبلای خان و ایل و تبار مغولی او، سعی در عبور از دیوار چین داشتند، اما دیوار بسیار محکم و طولانی بود. عاقبت به صورت آرام و ساکت، با تطمیع دروازهبان، ترتیبی اتخاذ کردند تا با پیروزی بر آن موانع، توانستند بخش بزرگی از کشور چین را فتح کنند. مفهوم این گفته این است که مهم نیست کنترلهای فنی به چه میزان قوی باشند، بلکه امنیت همیشه به افراد داخل سازمان بستگی دارد و انسان آسیبپذیرترین عنصر در حلقه امنیت اطلاعات میباشد.
امروزه به نظر ميرسد، موفقيت امنيت اطلاعات تا حد زيادي به رفتار اثربخش نیرو های انسانی وابسته است. رفتارهاي درست و سازنده توسط نیروهای انسانی، مديران سيستم و افراد ديگر ميتواند اثربخشي امنيت اطلاعات را تا حد زيادي بالا ببرد؛ در حالي كه رفتارهاي نادرست و مخرب، در حقيقت ميتواند مانع اثربخشي آن شود.
شاخصهای موثر در امنیت نیروی انسانی که میتواند سبب بروز اختلال در فعالیتهای نیروی انسانی شوند، عبارتند از:
کار زیاد
نداشتن مهارت کافی
عدم اطلاع از میزان ارزش اطلاعات
نداشتن انگیزه
کوتاهی و بیمسئولتی
فراموشکاری
یکی از جنبهها و راهکارهای مهم برای حفاظت و مدیریت امنیت اطلاعات، ارتقا آگاهی کاربران از امنیت اطلاعات است.در این صورت افراد، آگاهیهای لازم و مربوط به نقش و مسئولیت خویش در حفظ امنیت اطلاعات در کار مربوط به خود را کسب میکنند. پرسنل میبایست در زمینه فعالیت خود آگاهیرسانیهای مناسب و بهروز متناسب با خطمشی و رویههای سازمانی را دریافت نمایند، به طوری که به وظایف شغلی آنها مربوط باشد، توصیه میشود که آموزش مستمر بوده و شامل الزامات امنیتی و نیز آموزش استفاده صحیح از تجهیزات پردازش اطلاعات مانند رویه برقراری ارتباط با سیستم، نرمافزارها و آگاهیهای عمومی برای پرسنل باشد.
از دیگر راهکارها در توسعه امنیت منابع انسانی، همواره بایستی ظرفیتها و امکانات جدید تکنولوژی را در این زمینه شناخت، تا توسعه قابلیتهای امنیت منابع انسانی بهصورت یک فرآیند دائمی انجام شود. تحقق این امر در بهکارگیری از تکنولوژی و پیادهسازی سیستمهایی مانند سیستم مدیریت امنیت اطلاعات (ISMS) و استفاده شرکتها و سازمانهای مشاور امنیت اطلاعات میباشد.
راهکارها و اقدامات موثر در افزایش امنیت منابع انسانی
نقشها و مسئولیتهای امنیتی کارکنان با توجه به خطمشی امنیت اطلاعات سازمان، تعریف و مستندسازی شوند.
کارکنان تعهدنامهای درباره نقشها و مسئولیتهای امنیتی خود امضا کنند.
یک فرآیند انضباطی رسمی برای کارکنانی که مرتکب یک نقض پیمان رخنه امنیتی میشوند، وجود داشته باشد.
تمامی کارکنان سازمان آموزش آگاهسازی مناسب و بهروزرسانی قاعدهمند خط مشیها و رویههای سازمانی را آنگونه که با وظایف شغلی آنها مرتبط است، دریافت کنند.
مدیریت سازمان باید اطمینان حاصل کند که کلیه کارمندان در مورد اهمیت اقدامات مرتبط با امنیت اطلاعات آگاهی لازم را دارند و میدانند که چگونه باید با همکاری یکدیگر اهداف امنیتی را برآورده نمایند.
برگزاری سمینارهای امنیتی
آموزش كاربران اطلاعاتي سازمان در چگونگي استفاده از تجهيزات سختافزاري و نرمافزاري سازمان و نيز آموزش راههايي كه نفوذگران براي كسب اطلاعات سازمان استفاده ميكنند.
سازمانها باید علاوه بر سرمایهگذاری بر راهحلهای فنی برای حفظ امنیت اطلاعات، به عوامل غیر فنی و انسانی از جمله ارتقاء امنیت منابع انسانی توجه بیشتری داشته باشند و در جهت کاهش مخاطرات امنیت اطلاعات با بهرهگیری از تکنولوژی و پیادهسازی سیستم مدیریت امنیت اطلاعات، مشاور امنیت اطلاعات نسبت به تحقق و افزایش امنیت اطلاعات در سازمان اقدام نمایند.
گردآورنده: محمد رئوفی