حفظ امنیت سازمان با کمک کارکنان

اما اگر عامل انسانی ضعیف‌‌‌ترین حلقه زنجیره امنیت اطلاعات باشد، پس با اجرای راه‌‌‌حل‌های مناسب، می‌توان بیشترین تاثیر را بر بهبود آن داشت.

رویکردهای امنیتی متمرکز بر انسان، ظرفیت قابل ‌‌‌توجهی برای ایجاد امنیت اطلاعاتی پایدار دارند. این رویکردها می‌توانند کاری بکنند که هر نیروی کاری دغدغه انتخاب رمز مناسب را داشته باشد، نسبت به تهدیدهای احتمالی ایمیلی با دقت واکنش نشان دهد، کامپیوترش را به حال خود رها نکند و مسائل حساس تجاری را در مکان‌‌‌های عمومی به زبان نیاورد.

شرکت‌ها برای دستیابی به این فرهنگ امنیتی انسان‌‌‌‌‌‌محور باید بر چند چالش اساسی غلبه کنند. اول، آگاهی به تنهایی به رفتار مطلوب منجر نمی‌شود. با اینکه ارتقای آگاهی ضروری است، اما شرکت‌ها باید با ارزیابی سطح حقیقی رفتارهای امنیتی کارکنان، رفتار صحیح را تقویت کرده و آن را به بخشی از فرهنگ جمعی سازمان تبدیل کنند.

دوم، با وجود اینکه مدیران ارشد، نقش مهمی در الگوسازی رفتارهای امنیتی دارند، بسیاری از مدیران امنیت اطلاعات بر این باورند که سایر مدیران ارشد به سختی ارزش امنیت اطلاعات و اهمیت سرمایه‌گذاری در این حوزه را می‌‌‌پذیرند. و سوم، فرهنگ امنیت اطلاعات کارآمد نیازمند بهبود و بازنگری مستمر است و این‌‌‌ کار بدون همراهی گسترده‌‌‌ تمام سازمان امکان‌‌‌پذیر نخواهد بود.

خبر خوب این است که استراتژی‌‌‌های رفتاری ثابت‌‌‌شده‌‌‌ای برای ترغیب افراد به اتخاذ رفتارهای محتاطانه‌‌‌تر و مسوولانه‌‌‌تر وجود دارد. مطالعات نشان می‌دهند که رفتارهای فردی، فرهنگ سازمانی و عوامل روان‌شناختی بر فرآیندها و تصمیم‌گیری‌‌‌های امنیت سایبری اثر می‌‌‌گذارند. در این نوشتار به مدل «انگیزه‌‌‌های هسته‌‌‌ای نایدرت» (Neidert’s Core Motives) می‌‌‌پردازیم که می‌تواند به کمک مدیران بیاید تا با فرآیند تاثیر متقابل، اثر مثبتی بر رفتارهای امنیتی اطلاعاتی در سازمانشان داشته باشند.

این مدل، یک چارچوب روان‌شناختی است که اصول متقاعدسازی دکتر «چالدینی» را در زمینه‌‌‌های مختلفی مانند بازاریابی، فروش و روابط انسانی مورد استفاده قرار می‌دهد تا افراد را به پذیرش یا انجام کاری ترغیب کند و درک بهتر و عمیق‌‌‌تری از چرایی اثربخشی این اصول در هدایت رفتارهای انسانی ارائه می‌دهد. (اصول دکتر چالدینی عبارتند از: جبران، تعهد و ثبات، اجماع، نفوذ، علاقه و کمیابی).

 تاثیرگذاری برای ایجاد فرهنگی ایمن‌‌‌تر

اگر می‌‌‌خواهید افراد را به‌‌‌طور اخلاقی و موثر در مسیری که مطلوب شماست هدایت کنید (یعنی بدون اجبار یا فریب، و با اثرگذاری واقعی)، باید بتوانید اعتمادشان را جلب کنید و آنها را قانع کنید که خواسته یا هدف شما باارزش و معتبر است.

چنین کاری غالبا مستلزم غلبه بر سه مانع رایج است: متقاعدشان کنید که ارزشش را دارد که به حرف شما گوش کنند، که عمل به درخواست شما بهتر از دست روی دست گذاشتن یا پذیرش پیشنهاد افراد دیگر است و در نهایت اینکه زمان اقدام، همین حالاست نه بعدا.

ممکن است استفاده از استراتژی‌‌‌های روان‌شناختی-رفتاری برای واداشتن کارکنان به تبعیت، در نگاه اول یک جور دست‌‌‌کاری روانی به نظر برسد. اما بین تاثیرگذاری اخلاقی و دستکاری روانی تفاوت مهمی وجود دارد: هدایت سازمان به خودی خود به معنای تاثیرگذاری بر افراد (به صورت آگاهانه) برای دستیابی به اهداف مشترک و مقاصد جمعی است.

هدف از این مدل هم دقیقا همین است که افراد به انتخاب و خواست خود وارد عمل شوند. در حوزه امنیت سایبری، هدف این است که فرهنگ سازمانی حول یک رفتار جمعی امنیت‌‌‌محور شکل بگیرد. برای تحقق این هدف، مدیران باید بتوانند رابطه‌‌‌ای پایدار و معنادار با کارکنان خود برقرار کرده و این اطمینان را در آنها ایجاد کنند که این هدف ارزشش را دارد.

مدل انگیزه‌‌‌های هسته‌‌‌ای نایدرت متشکل از سه مرحله است که افراد را تحریک می‌کند تا به نقطه مطلوب برسند:

۱- برقراری ارتباط

برای اینکه بتوانید مدیر تاثیرگذاری باشید، باید اول با نیروهایتان ارتباط برقرار کنید. به طور کلی، زمانی احتمال تبعیت افراد از خواسته‌‌‌های شما بیشتر می‌شود که: احساس کنند دوستشان دارید و متقابلا دوستتان داشته باشند، شما را حقیقتا عضوی از خود بدانند، و در گذشته لطف و حمایتی از شما دریافت کرده باشند که احساس تعلق را در آنها ایجاد کرده باشد. برای این کار:

  فضای مناسبی ایجاد کنید

مردم زمانی «بله» می‌‌‌گویند که شما را دوست داشته باشند و باور کنند که شما هم به آنها علاقه دارید. رویکرد باز و پذیرای شما اغلب به خودتان برمی‌‌‌گردد. برای مثال، پژوهش‌‌‌ها نشان داده‌‌‌اند مدیران فروش خوش‌‌‌برخوردی که روی ایجاد رابطه سرمایه‌گذاری می‌کنند، تیم‌‌‌هایشان عملکرد بهتری دارند و‌درصد تحقق اهدافشان بیشتر است. در حوزه امنیت سایبری هم، برای تقویت همکاری و اجرای موثر ابتکارات امنیتی، ایجاد رابطه مبتنی بر صمیمیت و درک متقابل با کارکنان تمام واحدهای سازمان حیاتی است.

در یک نمونه آزمایشی، دو مدیر مسوول دو بخش مختلف تلاش می‌‌‌کردند برنامه مشخصی را در حوزه امنیت سایبری در بخش خود پیاده‌سازی کنند. یکی از آنها بسیار گرم و صمیمی بود و هنگام ارائه این طرح، فضای دوستانه‌‌‌ای ایجاد کرد که کارکنان فرصت طرح پرسش داشتند. دیگری رفتار سردی داشت و برنامه را به‌‌‌گونه‌‌‌ای مطرح کرد که انگار اجتناب‌‌‌ناپذیر است. میزان پذیرش برنامه در بخش اول، به‌‌‌مراتب بیشتر از بخش دوم بود.

  وحدت و یکپارچگی را تشویق کنید

ما معمولا برای افرادی که آنها را «از خودمان» می‌‌‌دانیم، از جان و دل مایه می‌‌‌گذاریم و این مساله درباره رفتارهای امنیت اطلاعاتی هم صدق می‌کند. البته، ساختن فرهنگ امنیتی یک تلاش جمعی است، اما این وظیفه مدیران است که حس «یکی بودن» را در میان اعضا ایجاد کنند.

  حس بده‌‌‌بستان ایجاد کنید

یک هنجار اجتماعی رایج وجود دارد که وقتی کسی چیزی به ما می‌دهد، احساس می‌‌‌کنیم موظفیم جبران کنیم. این هنجار که به «اصل بده‌‌‌بستان» معروف است، نقش مهمی در ایجاد اعتماد و ارتباط ایفا می‌کند و زمانی بیشترین تاثیر را دارد که «لطف انجام شده» معنادار، غیرمنتظره، مختص فرد و بی‌‌‌ارتباط با درخواست آتی باشد.

این اصل جدا از لطف و هدیه، درباره ارتباطاتی که حس بدهکاری به وجود می‌‌‌آورند هم موثر است. یعنی اگر اول خواسته سنگینی داشته باشید و بعد با تعدیلش به درخواست آسان‌‌‌تری برسید، احتمال همراهی افراد بیشتر خواهد بود. برای مثال، اگر اول از کارکنان خود بخواهید که در تست ایمیل‌‌‌های فیشینگ (یکی از رایج‌‌‌ترین فرم‌‌‌های حملات سایبری است و اغلب سازمان‌ها به صورت دوره‌‌‌ای آزمونی برگزار می‌کنند تا با ارسال ایمیل‌‌‌های سالم و ناسالم‌درصد هوشیاری کارکنان را تشخیص دهند)، ۱۰۰‌درصد موارد را درست شناسایی کنند و بعد هر دوره کمی عقب‌‌‌نشینی کنید و به نرخ خطای پایین‌‌‌تری رضایت دهید، احتمال اینکه در مجموع نرخ شناسایی بهتری حاصل شود، بیشتر از حالتی است که از همان ابتدا نرخ پایین‌‌‌تری را مطالبه کنید.

۲- کاهش عدم‌قطعیت

برقراری ارتباط بین‌‌‌فردی موثر می‌تواند خیلی‌‌‌ها را متقاعد کند، اما نه همه را. برخی همچنان مردد می‌‌‌مانند، چون نسبت به آنچه از آنها خواسته شده تردید دارند. این افراد معمولا به دنبال اطمینان‌‌‌ خاطر هستند. می‌‌‌خواهند بدانند این‌‌‌ درخواست معقول است یا نه. گاهی با مشاهده رفتار افراد قدرتمند و ذی‌‌‌صلاح به این اطمینان می‌‌‌رسند و گاهی با پیروی از همتایان خود. مدیران می‌توانند برای کاهش این عدم‌قطعیت دو اقدام کلیدی را به کار بگیرند:

  از اعتبار و جایگاه حرفه‌‌‌ای خود استفاده کنید

شاید در حوزه امنیت سایبری متخصص نباشید، اما همچنان می‌توانید از اعتبار خود به عنوان یک مدیر بهره ببرید. زمانی ‌‌‌که خود شما به‌‌‌عنوان رهبر سازمان، شخصا کارکنان را به رعایت سیاست‌‌‌های حفاظت از اطلاعات تشویق کنید، یا حتی بهتر از آن، خودتان وارد گود شوید، احتمال همراهی دیگران به‌‌‌طور چشمگیری افزایش می‌‌‌یابد. در یک پژوهش سازمانی، رئیس هیات‌‌‌مدیره شخصا در یک شبیه‌‌‌سازی بحران سایبری شرکت کرد و این‌‌‌گونه نشان داد که موضوع تا چه اندازه جدی و مهم است. حضور او باعث شد کارکنان این تمرین را جدی‌‌‌تر بگیرند و تمرکز بیشتری از خود نشان دهند و این رفتار حرفه‌‌‌ای پس از تمرین هم ادامه‌‌‌دار شد.

  الگوهای اطرافشان را نشانشان دهید

افراد وقتی مردد هستند، به دنبال الگو به اطراف خود نگاه می‌کنند. مدیران می‌توانند با نمایش رفتارهای درست امنیتی در عمل و نشان دادن اینکه افراد «مشابه» چگونه این رفتارها را پذیرفته‌‌‌اند، از این واکنش طبیعی به نفع خود استفاده کنند. به عنوان نمونه، به جای اینکه نتایج سنجش‌‌‌های مستمر فیشینگ را فقط به مدیران ارشد گزارش دهید، می‌توانید با انتشار عمومی آنها در سطح سازمان، رفتار مسوولانه را رواج دهید. تمرکز باید بر جنبه‌‌‌های مثبت و مطلوب رفتار دیگران باشد؛ اینکه چه تعدادی از کارکنان رفتار خاصی را رعایت کرده‌‌‌اند، چگونه به آن رسیده‌‌‌اند و این اتفاق چه نتایج مثبتی دربرداشته است. تکیه بر «نمونه مثبت» همواره اثربخش‌‌‌تر از تمرکز بر «نمونه منفی» است.

۳- تشویق به عمل

حتی موقعی که ارتباطی مستحکم شکل گرفته و عدم‌‌‌‌قطعیت کاهش یافته، باز هم افراد برای اقدام کردن نیاز به محرک دارند. برای اینکه بتوانید کارکنانتان را از حریم امن ذهنی‌‌‌شان خارج کنید، باید یادشان بیاورید که قبلا هم زیر بار رفتارهای امنیتی اطلاعاتی رفته‌‌‌اند. پس، رهبران سازمان باید به عنوان راهی برای دستیابی به رفتارهای امنیتی پایدار در آینده، از قدرت تعهدات پیشین کارکنان – مثل پذیرش و امضای سیاست‌‌‌های امنیت اطلاعاتی سازمان- بهره‌‌‌ بگیرند. در عین حال، محرک‌‌‌هایی که بر خطرات ناشی از بی‌‌‌تفاوتی یا هزینه‌‌‌های سنگین دیر عمل کردن تمرکز دارند هم بسیار اثربخش هستند.

  بر چیزهایی که می‌تواند از دست برود (یا به دست بیاید) تاکید کنید

فرصت‌‌‌ها زمانی ارزشمند می‌‌‌شوند که نادر یا محدود باشند. این فرآیند زمانی تشدید می‌شود که: افراد خود را در رقابت با دیگران ببینند، بدانند ممکن است چه چیزهایی را از دست بدهند، یا این فرصت را مزیتی خاص بدانند.

به عنوان نمونه، شرکت بیمه سلامت سوئیسی Helsana قرارداد کارکنانی را که سه‌‌‌ بار پیاپی در تست‌‌‌های فیشینگ فصلی مردود شدند، لغو کرد. نتیجه؟ نرخ خطای کارکنان ظرف پنج ماه از ۱۵‌درصد به ۳‌درصد کاهش یافت. البته که این رویکرد بیش از حد سختگیرانه است و می‌توان شیوه ملایم‌‌‌تر و برانگیزاننده‌‌‌تری را به کار گرفت. می‌توانید برنامه «قهرمانان امنیت» را برپا کنید. به این ترتیب که کارکنانی که در امنیت اطلاعات امتیاز مشخصی کسب کنند، واجد دریافت پاداش‌‌‌های خاص مالی یا غیرمالی می‌‌‌شوند و آنهایی که به امتیاز نرسند، فرصت بهره‌‌‌مندی از این مزایا را از دست می‌دهند.

  تعهد علنی بگیرید

انسان ذاتا می‌‌‌خواهد ثابت‌‌‌قدم باشد و وقتی موضعی می‌گیرد یا خود را به رفتاری متعهد می‌کند، حس الزامی درونی برای پایبندی به آن دارد. و اگر این الزام علنی و داوطلبانه باشد، بسیار قوی‌‌‌تر عمل می‌کند.

رویه‌‌‌های امنیت اطلاعاتی نه‌‌‌تنها برای سازمان، بلکه برای همه کارکنان سودمند هستند. فرهنگ‌‌‌های سازمانی اثربخش یک نقطه اشتراک دارند: بر ارزش‌‌‌های مشترکی تکیه دارند که حس تعلق جمعی را تقویت می‌کنند. این ارزش‌‌‌ها به سازمان و کارکنانش یک جهان‌‌‌بینی واحد می‌دهند و امنیت اطلاعات نیز باید بخشی از این جهان‌‌‌بینی باشد.

فرهنگ امنیت اطلاعات زمانی اثربخش خواهد بود که قابلیت سرایت داشته باشد، یعنی با ورود کارکنان جدید یا خروج اعضای کلیدی، انسجام خود را حفظ کند. برای رسیدن به این نقطه، سازمان‌ها باید با استفاده از رویکرد سیستماتیک نسبت به تاثیرگذاری اجتماعی، رفتارهای منطبق با امنیت اطلاعات را ترویج داده و فرهنگ امنیت اطلاعاتی را در سازمان پرورش دهد که به نفع همه عمل کند.

منبع: HBR