مقالات

روان‌شناسی سایبری، کلید امن‌سازی عامل انسانی در سازمان‌ها

  • منتشر شده توسط author-avatar
۲۷ اسفند

کوین میتنیک در سال ۲۰۰۲ گفت که ضعیف‌ترین حلقه در زنجیره امنیت اطلاعات عنصر انسانی است و از آن پس ما این حرف به کرات شنیده‌ایم. به‌صورت کلی محیط فعلی ما در بهترین حالت محیطی ناامن است. با یادگیری برخی درس‌ها و آموزش‌های روان‌شناسی سایبری، عامل انسانی می‌تواند از ضعیف‌ترین حلقه زنجیر به قدرتمندترین بخش آن تبدیل شود.

روان‌شناسی سایبری چیست؟
روان‌شناسی سایبری به‌عنوان یک نظام به بررسی تعامل میان ذهن و رفتار (انسان) در قالب فرم‌های مختلف فناوری ارتباطات و اطلاعات می‌پردازد. این فرم‌ها نه فقط شامل ایمیل، اینترنت یا رسانه‌های اجتماعی می‌شوند که واقعیت مجازی، بازی‌ها و دستگاه‌های هوشمند را نیز در بر می‌گیرند.
در عمل، نهایت همه این داستان‌ها درک این موضوع است که انسان‌ها فناوری را چگونه درک می‌کنند. با یک مثال پیش برویم. همکار شما موهایش را با مدلی تازه کوتاه کرده‌است. تعریف‌کردن از او نشانه ادب شماست. شما می‌توانید این موضوع را در اداره بر زبان بیاورید، می‌توانید به او پیامک بزنید، می‌توانید در صفحه فیس‌بوکش در این باره بنویسید یا حتی یادداشتی بنویسید و به شیشه ماشین‌اش بچسبانید.
اگر فقط داده‌ها را در نظر بگیریم در همه این حالت‌ها شما محتوای واحدی را منتقل کرده‌اید، اما درک اشارات و دلالت‌های ضمنی رسانه‌ای که برای انتقال این پیام انتخاب کرده‌اید و انتخاب بهترین گزینه ممکن در واقع عصاره و چکیده روان‌شناسی سایبری است.
اگر بخواهیم با اصطلاحات عملکردی برای حرفه‌ای‌های امنیت صحبت‌کنیم باید انطباق با سیاست‌های امنیتی را مد‌نظر بگیرید. فرض کنیم شما تغییری را در سیاست امنیتی سازمان‌تان اعمال کرده‌اید. بهترین راه اطلاع‌رسانی در این زمینه چیست؟ در بیشتر موارد این کار از طریق ایمیل صورت‌می‌گیرد، اما آیا این واقعاً بهترین شیوه است؟ به‌طور مشابهی اگر تصمیم داشته‌باشید که افراد واقعاً رفتارشان را عوض‌کنند، ارسال یک ایمیل به همه کارکنان روش مناسبی برای اعمال تغییر است؟ اولین درس روان‌شناسی سایبری این است که «بستر انتقال پیام خود پیام است.»
درس دوم هم درست به همین اندازه مهم است. اگر دوباره به مثال چسباندن یادداشت به شیشه ماشین برگردیم، انتخاب بستر انتقال پیام کاملاً به این بستگی دارد که مخاطب شما کیست و توجه به همین نکته برای شما کافی است. روان‌شناسی به تنوع وسیع رفتارهای آدمی توجه دارد و در‌نتیجه روان‌شناسی سایبری توجه به همین موضوع در حوزه فناوری اطلاعات است.
برای داشتن امنیت رو به پیشرفت و مناسب، نیازمند درک و پذیرش از سوی همه اعضای سازمان از مدیرعامل گرفته تا پیمانکاران موقت هستیم. به این ترتیب روان‌شناسی سایبری یعنی از مرز کاربر نهایی هم فراتر برویم تا به این ترتیب بتوانیم درک کنیم که افراد در دنیای واقعی به‌واسطه جنسیت، سن، شخصیت، تجربه‌های قبلی، فرهنگ و البته میزان حقوق با هم متفاوت هستند.
می‌دانیم که آنچه در اینترنت اتفاق می‌افتد به‌نوعی متفاوت با دنیای واقعی است، اما در عین حال آنچه در اینترنت روی می‌دهد کم‌کم خود زندگی واقعی است. شاید چند مفهوم کلاسیک موضوع را آشکارتر کند.
اول اینکه اینترنت طراحی شده تا ارتباطات را ساده کند به این ترتیب ما کاملاً در آن غرق می‌شویم. این همان چیزی است که از آن با نام حضور از راه دور یا Telepresence یاد می‌کنند. یک کارمند معمولی شما به احتمال زیاد نمی‌داند که چه حجمی از محاسبات پیچیده باید صورت‌بگیرد تا او بتواند از طریق تلفن هوشمند و شبکه‌های وای‌فای عمومی به ایمیل کاری خود دسترسی پیدا کند. از دید مهندسان انجام چنین کاری بسیار ساده و راحت است، اما از دید مدیر امنیت اطلاعات شرکت فرایندی بسیار دشوار خواهد‌بود.
با توجه به اینکه کارمندان از همه اتفاقاتی که در پس‌زمینه رخ می‌دهد غافل هستند، نمی‌دانند که چنین کاری تا چه حد خطرناک خواهد‌بود. آگاهی درباره امنیت سایبری مستلزم شکستن این تصور «حضور از راه دور» است.
دوم اینکه در هرجای اینترنت که بگردید، چیزی در حدود ۹۰ درصد افرادی که به یک فروم سر می‌زنند، فقط مطالب را می‌خوانند و در حد قابل ذکری در مباحث مشارکت نمی‌کنند. این کار را پاورچین رفتن یا Lurking می‌نامند. درنتیجه وقتی کارمندی وارد یک سیستم کامپیوتری سازمانی می‌شود تا زمانی که کسی با او تعاملی انجام نداده‌است خود را نامرئی تصور می‌کند. این زمانی است که تهدیدات داخلی ظاهر می‌شوند، چرا که این کارمندان هیچ‌گاه فکر نمی‌کنند که ممکن است کسی در حال تماشای فعالیت‌های‌شان باشد، اما برای یک مدیر امنیت اطلاعات سؤال اصلی این است که شبکه داخلی شرکتش تا چه حد قابل رویت است. امنیت سایبری مستلزم مدیریت چیزهایی است که ما نامرئی فرض می‌کنیم.
سوم اینکه در فلسفه سنتی اینترنت همه با هم برابر هستند و هیچ کنترل مرکزی وجود ندارد. این موضوع را کاهش مقام یا Minimization of status می‌نامیم. تقریباً غیرممکن است که بتوانیم افرادی را که در اینترنت هستند به اجبار به کاری وادار کنیم. در ساده‌ترین حالت، آنها فقط برای سرگرمی هم که شده مقاومت می‌کنند. نتیجه نهایی این حرف این است که تلاش برای پیاده‌سازی نظم و قانون در حوزه فناوری اطلاعات کاری دشوار است. امنیت سایبری مستلزم کنترل چیزهایی است که از اساس برای مقاومت در برابر حاکمیت طراحی شده‌اند.

مزیت‌های روان‌شناسی سایبری در محیط کسب‌وکارهای امروزی چیست و چرا به آن احتیاج داریم؟
برای این مشکلات راه‌حلی وجود دارد. یک فرآیند مدیریت امنیت اطلاعات مبتنی بر روان‌شناسی سایبری، توقعات زیادی در زمینه کنترل عنصر انسانی سازمان دارد. این توقعات چه هستند؟ این توقعات حداقل به مصالحه در سه مورد احتیاج دارد:
ترغیب احساسی: ما به تسخیر قلب‌ها و ذهن‌های بیشتر و ترس کمتر و همدلی نیاز داریم. این کار مستلزم آموزش معمول، متنوع و دائمی است. افراد برخلاف ماشین‌ها به‌ندرت براساس اطلاعات منطقی تغییر رفتار می‌دهند. آنها به روابط عمومی و پروپاگاندا احتیاج دارند. گروه امنیت سایبری باید با منابع انسانی سازمان و کارکنان تیم‌های عملیاتی دوست شوند.
رهبری توزیع‌شده: به تیم‌ها اجازه دهید که سیاست‌های خاص خودشان را توسعه دهند. اینکه شما نمی‌توانید یک کنترل متمرکز داشته‌باشید به این معنی نیست که نمی‌توانید هیچ کنترلی داشته‌باشید. تصمیم‌گیری در زمینه امنیت اطلاعات را به رده‌های پایین‌تر و بیرونی‌تر محول کنید تا ماژول‌های مقاوم مجزا از هم داشته‌باشید.
شهروند شبکه شدن: مدیران امنیت اطلاعات می‌خواهند تمام شبکه داخلی سازمان را ببینند، اما در عمل این کار غیرممکن است، پس از اعضای شبکه برای این کار کمک بگیرید. افراد علاوه‌بر اینکه باید درگیر امنیت سایبری شده‌باشند، باید مکانیزم‌های سرراست گزارش‌دهی را هم در اختیار داشته‌باشند.

چالش‌های احتمالی همه‌گیر شدن این موضوع میان شرکت‌ها چیست؟ آیا هیچ صنعتی وجود دارد که به روان‌شناسی سایبری نیازمندتر باشد یا راحت‌تر با آن تطبیق پیدا کند؟
در‌حال‌حاضر از دید روان‌شناسی مشکل اصلی در حلقه‌های امنیت سایبری، شور و هیجان کاذب زیاد است که بیشتر هم مبتنی‌بر ترس است درنتیجه کاربران راه چاره را در بی‌طرفی و سکوت می‌بینند: زمانی که باید درگیر امنیت سایبری باشند و به آزادی درباره آن صحبت کنند، ترجیح می‌دهند حرفی نزنند و وانمود کنند که اصلاً اهمیتی ندارد.
به ناگزیر همه‌گیر شدن سیاست‌های امنیت سایبری مبتنی‌بر روان‌شناسی سایبری، چالش‌هایی را با خود به همراه خواهد‌داشت. مدل رفع تکلیفی آگاهی‌دهی (کلاس آموزشی نصف روز، یک روز از سال برای کل کارکنان) در لیست بسیاری از مدیران باعث تیک‌خوردن گزینه امنیت سایبری می‌شود. همان‌طور که می‌دانید چنین مدلی، تأثیر چندانی بر فرهنگ محیط کار نخواهد‌داشت. مهم نیست آن کلاس نصف روز چقدر خوب برگزار شود به محض این که یکی از کارکنان رده‌بالای شرکت در حال تخلف از سیاست‌های امنیتی دیده‌شود، همه اثرات آن کلاس از بین خواهد‌رفت. تقلید نکته اصلی است! یک نفر این کار را انجام می‌دهد، بقیه می‌بینند و انجام می‌دهند و به‌تدریج به یک روند معمول تبدیل می‌شود.
پیاده‌سازی هر شیوه‌ای به جز این کلاس‌های نصف روز به‌طور ضمنی مبین این است که مشکل بزرگ‌تری در کار است. هرچند روان‌شناسی سایبری به ما می‌آموزد که در چنین شرایطی حتماً مشکلات سازمانی بزرگ‌تری وجود دارد.
قانون کانوی (Conway law)قانونی عجیب از دنیای طراحی نرم‌افزار باقی‌مانده از دهه ۶۰ است که می‌گوید: «هر سازمانی که سیستمی را طراحی می‌کند، ناگزیر درنهایت سیستمی می‌سازد که شبیه سیستم ارتباطات داخلی خودش است.» به همین ترتیب درنهایت شما هم به یک سیاست امنیت اطلاعاتی خواهید‌رسید که نشان‌دهنده ساختار ارتباطی سازمان شما خواهد‌بود.
درنتیجه اگر سیستم ارتباطات سازمان شما مشکل داشته‌باشد، سیاست امنیت اطلاعات شما آن را منعکس کرده و بنابراین به‌درستی کار نمی‌کند. مهم است که به رده‌های بالای شرکت تاکید کنید که اگر سیاست امنیت اطلاعات‌شان ضعیف است، این موضوع نشان‌دهنده ضعف ساختار سازمان شماست.

نفع مستقیم پیاده‌سازی یک سیاست امنیت اطلاعات مبتنی بر روان‌شناسی سایبری چیست و این منفعت چگونه در میان بخش‌های مختلف سازمان تقسیم می‌شود؟
در گزارش Europol IOCTA هم از «عنصر انسانی» امنیت اطلاعات نام برده شده است. آن‌جا از این عنصر به عنوان محیطی برای جرائم سایبری یاد شده است که مدام تهاجمی‌تر می‌شود. تنها راه پیش رو در چنین محیطی همکاری و همراهی بیشتر به‌صورت افقی میان بخش‌های مختلف کسب‌وکار و به صورت عمودی میان رده‌های مختلف یک سازمان است.
کسب‌وکارهایی که بتوانند هدف‌های سازمانی‌شان را با سیاست‌های امنیت اطلاعات هم‌راستا کنند برای گذر از دهه آینده شانس بیشتری خواهند داشت. صنایعی که چنین کاری با موفقیت بالاتری اتفاق خواهد‌افتاد قاعدتاً شامل کسب‌وکارهای مبتنی‌بر فناوری، مخابرات، سازمان‌های مالی و اعتباری و رسانه‌ها خواهد‌بود. البته همان‌طور که پیش‌تر توضیح دادیم، هر سازمانی که به تفکر صحیح و درست بپردازد، ارزش تدوین یک سیاست امنیت اطلاعات سایبری را درک خواه‌ کرد.
در فرایند کار روزمره، امنیت به چه معنی است؟ سازمان‌هایی که بتوانند اهمیت امنیت اطلاعات را در میان کارکنان‌شان نهادینه کنند، شرکت‌هایی که برای آموزش امنیت سایبری و آگاهی رسانی قدم‌های جدی برداشته‌اند در آینده پیش رو برتری چشم‌گیری خواهند داشت، چراکه جرایم سایبری به وضوح سودآور و پول‌ساز هستند.

بعدی وقتی برای هدر دادن وجود ندارد
بازگشت به لیست
قبلی هر چندوقت یک‌بار رمزهای عبور خود را تغییر دهیم