«کارکنان»، پاشنه آشیل امنیت داده

  • توسط نویسنده
  • ۲ ماه پیش
  • ۰

امیر بهبودی – به طور کلی سازمان‌هایی که داده‌های شخصی را ذخیره و مدیریت می‌کنند، به دلایل مختلف، از جمله حملات سایبری و عدم آگاهی یا بی‌احتیاطی کارکنان، در معرض خطر فزاینده نقض داده‌ها قرار دارند. امنیت داده خطرات احتمالی ناشی از اقدامات کارکنان را پیش بینی می‌کند و از اقدامات فنی و رفتاری که می‌تواند آنها را برطرف کند، آگاهی می‌دهد.
براساس تعریف DMBOK امنیت داده‌ها شامل برنامه‌ریزی، توسعه و اجرای سیاست‌ها و رویه‌های امنیتی برای ارایه احراز هویت، مجوز، دسترسی و ممیزی مناسب داده‌ها و دارایی‌های اطلاعاتی است. ویژگی‌های امنیت داده‌ها بین صنایع و کشورها متفاوت است، با این وجود، هدف شیوه‌های امنیت داده یکسان است: حفاظت از دارایی‌های اطلاعاتی در راستای مقررات حفظ حریم خصوصی و محرمانگی، توافق‌نامه‌های قراردادی و الزامات تجاری.
برای مقابله با خطرات نقض حقوق افراد مبنی بر درز داده‌های شخصی می‌توان اقدامات فنی را در نظر گرفت. اما تحقیقات نشان داده است که اکثر موارد نقض به دلیل خطاهای انسانی است.
این موارد می‌تواند شامل ارسال اطلاعات حساس به مقصد اشتباه، عدم اجرای رویه‌های مدیریت داده‌ها، و گم شدن یا سرقت اسناد یا وسایل ذخیره‌سازی داده (به عنوان مثال فلش مموری حاوی داده‌های مالی یک شرکت که توسط کارمند آن در مکانی جا گذاشته می‌شود.) باشد.
اگر رویکرد امنیت داده موارد آموزش، ارتباطات و در نظر نگرفتن محدودیت‌ها را حذف کنیم، کارکنان راه‌حل‌هایی را می‌یابند که منجر به ناکارآمدی و خطرات بیشتر می‌شود. آنها، ضعیف‌ترین حلقه از نظر امنیت داده‌ها در یک سازمان هستند. آنها مستعد اشتباهات و تصمیم گیری‌های ضعیف هستند و می‌توان با رهگیری رفتار کارکنان، آنها را هدف حملات قرار داد.
علاوه بر این، هر فردی منحصر به فرد است، آن‌ها می‌توانند غیرقابل پیش بینی باشند، می‌توانند در دانش و درک خود از امنیت متفاوت باشند، ممکن است متقاعد شوند که داده‌ها را برای به دست آوردن سود به اشتراک بگذارند یا ممکن است توسط افرادی که مورد اعتماد هستند، فریب خورند.
آنچه مهم است، چگونگی توسعه فرهنگ سازمانی به سمت داده محوری است جایی که به طور حرفه‌ای بتوان کارکنان را از خطرات نقض داده‌ها یا از دست دادن داده‌ها آگاه کرده و فرهنگ داده یا امنیت سایبری را در سازمان القا کنیم. یکی از چالش‌هایی که در این حوره وجود دارد، عدم اجرا و پیاده‌سازی صحیح حاکمیت داده است.
حاکمیت داده به معنای ایجاد فضایی آکنده از احترام به داده است. هدف از حاکمیت داده ایجاد اتمسفری است که در آن داده در تمام سازمان مورد احترام همگان قرار می‌گیرد.
در واقع بسیاری از متخصصان حاکمیت داده آن را به عنوان یک توانمندساز داده در نظر می‌گیرند. امنیت داده یکی از منظرهایی است که حاکمیت داده زیر لوای فرهنگ داده محوری بدان توجه دارد. اگر نگاه ما به داده به عنوان یک دارایی ارزشمند برای سازمان باشد، آنگاه راحت‌تر می‌توانیم، در راستای بهره‌برداری و حفاظت از این دارایی‌ها قدم برداریم.
بهره‌برداری از داده صرفا به معنای خلق ارزش مستقیم نیست. به عنوان مثال نشر داده‌های مشتریان در استاندارد GDPR که از مهمترین استانداردهای امنیت داده در جهان تلقی می‌شود، چیزی در حدود 20 میلیون دلار هزینه را برای سازمان‌ها در پی خواهد داشت. لذا صیانت از داده‌های شخصی مشتریان می‌تواند از هدر رفت هزینه‌های این چنین جلوگیری کرده و جلوی ضرر سازمان را بگیرد.
نبود آگاهی کامل از اهمیت صیانت از داده‌های مشتریان یا حتی داده‌های حساس سازمان، عدم انگیزه لازم برای انجام اقدامات لازم و نیز انگیزه برای اجرای قوانین و سیاست‌های امنیت داده از مهمترین موانع پیاده سازی امنیت داده در سازمان است.
از آنجایی که حاکمیت داده به بسترسازی فرهنگ داده-محوری در سازمان اهمیت می‌‌دهد؛ لذا با اجرای آن در سازمان می‌توان انتظار داشت که طی برنامه‌ای بلند مدت بتوان به مرور زمان اقدام به تغییر رفتار سازمان در خصوص صیانت از داده‌ها پرداخت. علاوه‌بر حاکمیت داده، یکی دیگر از مواردی که به این امر کمک خواهد کرد، ضرورت افزایش سواد داده در سازمان است. سواد به معنای توانایی کارکنان در خوانش، تحلیل و تصویرسازی داده‌های کسب و کار است.
در حال حاضر در کشورهای توسعه یافته اهمیت داشتن مهارت سواد داده آنچنان بالاست که سازمان‌های زیادی به عنوان مشاور ارتقای سواد داده برای شرکت‌ها فعالیت می‌کنند. سواد داده در کنار حاکمیت داده می‌توانند به پیشبرد فرهنگ داده-محوری در سازمان کمک کنند. سواد داده موضوعی است که از دل ملزم بودن به توجه به ارزشمند بودن داده‌های سازمان حاصل می‌شود. پایین بودن سطح سواد داده از دیگر مواردی است که منجر به کمبود انگیزه لازم را برای اجرای سیاست‌های امنیت داده در سازمان می‌گردد. به خصوص که یکی از ارکان اساسی سواد داده توجه به داده از منظر اصول اخلاقی است.
حاکمیت داده و سواد داده به عنوان دو عامل توانمندساز داده‌ها، سازمان را قادر به پیشنهاد برای اقدامات رفتاری مؤثر جهت استقرار اصول فرهنگ امنیت داده‌ها و گام‌های اولیه‌ای را که می‌توان برای شروع فرآیند برداشت، فراهم می‌سازد.
همچنین باید این مهم را در نظر داشت که اعمال محدودیت‌های فنی، بدون توجه به فرهنگ سازمانی لازم برای امنیت داده، امکان‌پذیر نخواهد بود. سازمان‌ها باید این مهم را نیز در نظر بگیرد که هرچند با بالابردن محدودیت‌های امنیتی مانند کنترل ایمیل‌های سازمان، بستن درگاه انتقال داده (USB) کامپیوترها و … بتوان مانع درز داده‌ها به بیرون شود؛ اما این رویکرد خود مانعی‌ست برای ارتباطات بهتر بین تیم‌ها و واحدهای سازمان. به علاوه، در آینده هرگونه افزایش بودجه برای واحد امنیت داده با ممانعت‌هایی از سوی سایر تیم‌ها همراه خواهد شد و احتمال افزایش شکایات و عدم همکاری با واحد امنیت داده را در پی دارد.

*مدیر حاکمیت داده شرکت فناوری اطلاعات آرمان

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *