Linkedin-in X-twitter Telegram
  • 09121990309 - 01343449625
  • سرویس کاتالوگ
  • منطقه آزاد انزلی، مجتمع ستاره شمال، شماره 2218
داده پردازی هوشمند کندو
(منطقه آزاد انزلی)
چرا سیاست‌های امنیتی روی کاغذ می‌میرند؟
چرا سیاست‌های امنیتی روی کاغذ می‌میرند؟

چرا سیاست‌های امنیتی روی کاغذ می‌میرند؟

 

تقریباً در همه سازمان‌ها یک‌چیز مشترک وجود دارد:

سند سیاست امنیت اطلاعات؛ فایلی رسمی، تأییدشده، امضا شده… و عملاً بلااستفاده اما چرا؟

 

1. چون برای انسان نوشته نشده‌اند: بیشتر سیاست‌های امنیتی با زبان حقوقی و فنی نوشته می‌شوند، نه با زبان کارمند و کارمند نمی‌فهمد «باید چه‌کار کند»، فقط می‌فهمد «نباید چه‌کار کند» د ر نتیجه: سند خوانده نمی‌شود، اجرا هم نمی‌شود.

2.  چون با واقعیت کار روزمره تضاد دارند: وقتی سیاست امنیتی انجام کار را سخت‌تر می‌کند، کارمند راه دور زدنش را پیدا می‌کند. امنیت اگر مزاحم بهره‌وری شود، اولین قربانی خواهد بود در نتیجه: Shadow IT، رمزهای تکراری، ارسال اطلاعات در پیام‌رسان‌ها.

3.  چون مالک مشخص ندارند: سیاستی که صاحب نداشته باشد، اجرا هم ندارد. نه مدیر پیگیری می‌کند، نه واحدی پاسخگوست در نتیجه: سیاست‌ها تصویب می‌شوند، اما رها می‌شوند.

4. چون آموزش ندارند، فقط ابلاغ می‌شوند: ابلاغ بدون آموزش یعنی شکست قطعی. کارمند باید بداند چرا این سیاست وجود دارد، نه فقط اینکه دستور است در  نتیجه: مقاومت پنهان و بی‌تفاوتی سازمانی.

5. چون مدیران خودشان رعایت نمی‌کنند: هیچ سیاستی بالاتر از رفتار مدیران اجرا نمی‌شود. وقتی مدیر استثنا باشد، سیاست بی‌اعتبار می‌شود در نتیجه: امنیت تبدیل به شوخی سازمانی می‌شود.

6. چون سنجش و پیامد ندارند: اگر رعایت‌کردن یا نکردن سیاست هیچ پیامدی نداشته باشد، سیاست عملاً وجود ندارد.  نتیجه: امنیت در حد توصیه باقی می‌ماند.

 

سیاست‌های امنیتی معمولاً با نیت خوب نوشته می‌شوند، اما با زبان اشتباه. وقتی یک سند امنیتی بیشتر شبیه قرارداد حقوقی است تا راهنمای کار روزمره، طبیعی است که خوانده نشود. کارمند نمی‌داند دقیقاً چه رفتاری از او انتظار می‌رود و در نتیجه، ساده‌ترین راه را انتخاب می‌کند: نادیده گرفتن سند.

در بسیاری از سازمان‌ها، سیاست‌های امنیتی با واقعیت کار روزانه هم‌خوانی ندارند. فشار زمان، حجم کار و نیاز به سرعت باعث می‌شود امنیت در تضاد با بهره‌وری قرار بگیرد. وقتی اجرای سیاست‌ها کار را کند می‌کند، دور زدن آن‌ها به یک رفتار عادی تبدیل می‌شود، نه یک تخلف.

یکی از دلایل مرگ سیاست‌های امنیتی این است که هیچ مالک واقعی ندارند. سند تصویب می‌شود، امضا می‌شود و بعد رها می‌شود. نه کسی مسئول پیگیری است، نه گزارشی از میزان اجرای آن وجود دارد. سیاستی که صاحب نداشته باشد، عملاً وجود خارجی هم ندارد.

ابلاغ سیاست بدون آموزش، فقط انتقال مسئولیت است. کارمندان اگر ندانند چرا یک محدودیت وجود دارد، آن را بی‌منطق تلقی می‌کنند. امنیتی که دلیلش توضیح داده نشود، خیلی زود به مقاومت خاموش و بی‌تفاوتی سازمانی منجر می‌شود.

وقتی مدیران خودشان به سیاست‌های امنیتی پایبند نیستند، انتظار رعایت از دیگران بی‌معناست. هیچ سندی نمی‌تواند جای رفتار مدیر را بگیرد. کارکنان آنچه را می‌بینند اجرا می‌کنند، نه آنچه را می‌خوانند.

در نهایت، سیاست امنیتی بدون سنجش و پیامد، فقط یک توصیه است. اگر رعایت یا عدم رعایت هیچ تفاوتی ایجاد نکند، امنیت به اولویت آخر سازمان تبدیل می‌شود. سیاست‌ها زمانی زنده می‌مانند که در رفتار، تصمیم و ارزیابی‌ها دیده شوند، نه فقط در آرشیو اسناد.

 

Reference:

کمک گرفته از هوش مصنوعی

برچسب ها

https://csdpc.ir/wp-content/uploads/2020/10/0_.png
Account Takeover advanced advanced-persistent-threat Advanced Threat Hunting Application-Access-Token credential-dumping cyber attack hack persistent threat Xanthorox AI حمله سایبری مخاطرات امنیتی Blob URL