لزوم آموزش امنیت قبل از پیاده سازی آن در سازمان

در این مقاله می خواهیم به زبان ساده و مختصر به روش های پیاده سازی به منظور بهره وری بیشتر با کمترین بروز مشکل از سمت کاربران بپردازیم. زیرا یک طرف بحث امنیت در سیستم ها، کاربران استفاده کننده از آن می باشد که دوست دارند از ساده ترین روش برای انجام کارهای خود بدون هیچ مشکلی استفاده کنند و نقطه مخالف آنها کارشناسان امنیت هستند که دوست دارند با پیچیدگی سطوح امنیتی را در سیستم ها بالا ببرند.

حال یک کارشناس آی تی و در مراتب بالاتر یک کارشناس یا متخصص امنیت باید چه اصول و روشی را برای پیاده سازی یک یا چند سیاست امنیتی در سازمان در پیش بگیرد که کمترین مقاومت را از سوی کاربران و بیشتر سرعت را برای رسیدن به هدف در پی داشته باشد؟

در ابتدا به یک مثلث در امنیت اشاره می کنیم

دایره وسط مثلث را بعنوان مرکز ثقل در نظر می گیریم. اگر به زاویه های مثلث که هر کدام مفهومی را نشان می دهد توجه نمائیم می فهمیم که در صورتی که دایره وسط به سمت هر زاویه نزدیکتر شود به طبع از سایر رئوس مثلث فاصله و از آن مفهوما دورتر می شود. بعنوان مثال در صورتی که به سمت امنیت برویم خواه ناخواه از راحتی استفاده از سیستم و کارائی دور می شویم و اگر به سمت سادگی استفاده برویم امنیت از دست می رود. پس همیشه می بایست با توجه به سیاست ها و وظایف سازمان امنیت طوری عمل کرد که دایره داخل مثلث تقریبا در وسط قرار بگیرد.

تجربه نشان داده زمانی که کاربران با یک سیاست امنیتی که راحتی انجام کار را از آنها می گیرد مواجه می شوند  آن را یک خطا و یا مشکل می پندارند در اولین قدم از طریق سیستم های درخواست کمک یا خرابی سیستم  مانند تیکتینگ ، تلفن و یا حضور فیزیکی در بخش آی تی آن را گزارش می دهند.و در صورت عدم قانع شدن به مراتب بالای مدیریتی شکایت و شروع به یک جنگ متقابل می کنند..حال می بایست  با این موضوع چگونه برخورد و چه راه حلی برای آن پیشنهاد کرد؟

در ابتدا اشاره به 3 نقش برای پروسه تغییر می پردازیم

Sponsor یا حامی: شخصی که می تواند مدیر آی تی و یا یک متخصص ارشد امنیت باشد. فردی که سیاست ها را بررسی و نحوه پیاده سازی آن را طراحی و توجیح می کند. این شخص می بایست دانش کافی در زمینه امنیت را دارا باشد و در مدیران ارشد سازمان را برای انجام تغییرات مجاب نماید.

 Change Agent یا رابط تغییرات:  فردی که می بایست سیاست های نوشته شده را پیاده سازی کند. به زبان ساده تر این شخص وظیفه پیکربندی و اجرای امنیت را بر روی سیستم ها دارد و می بایست به کلیه امور تخصصی خود آشنا باشد. گزارش های مربوط را به Sponsor بدهد و در اولین قدم آن سیاست را در محیطی که آسیبی به سیستم ها نرساند پیاده سازی و به مدیران نشان دهد. معمولا در سازمان های کوچک و حتی متوسط Sponsor و Change Agent یکی می باشد. علاوه بر وظایف ذکر شده نقش آموزش و تفهیم آن برای کاربران نیز بر عهده فرد مذکور می باشد.

Target یا هدف:  این می تواند شخص، سیستم ،شبکه، برنامه یا هر چیزه دیگری باشد. به نوعی تمامی سیاست ها بر روی آن اعمال و نتیجه بر روی آن مشخص می شود.

با توجه به توضیحات ذکر شده پیرامون نقش ها به منظور پروسه تغییر، جواب سوالات مطرح شده را در قالب یک مثال می دهیم. فرض می گیریم که یک سیاست امنیتی می بایست در یک سازمان اجرا شود. متخصصان ارشد امنیتی در ابتدا سیستم را بررسی و امکان سنجی کرده و طرحی پله پله برای انجام آن کار آماده می کنند. سپس طرح مذکور را به منظور پیاده سازی به نزد مدیران ارشد سازمان برده و لزوم پیاده سازی، چگونگی انجام، منفعت و ضررها را توضیح داده و در صورت موافق آماده اجرا می شوند. داشتن طرح پله پله و در نظر گرفتن کلیه جوانب، اختلالات احتمالی، طرح بازگشت به زمان قبل از اجرا و داشتن سیستم های پشتیبان گیری از لازمه های مهم طرح می باشد.

پس از آن نوبت به دادن آموزش های لازم به کارشناسان امنیت به منظور نحوه پیاده سازی آن همچنین آموزش های لازم برای جواب دادن آنها به کاربران می باشد.زیرا بیشترین حجم درخواست ها به آن بخش سرازیر خواهد شد.بدین منظور داشتن آگاهی های لازم در این خصوص بسیار مهم و ضروری می باشد.

حال نوبت به آموزش های لازم برای کاربران و استفاده کنندگان از سیستم می شود. جربه نشان داده در صورتی که این آموزش به صورت حضوری باشد بیشترین بازدهی را برای سازمان داشته است. سوال و جواب های پیش آمده در جلسه حضوری، بسیاری از شبهه ها را بر طرف و استفاده کنندگان را قانع می نماید. حال در صورتی که امکان برگزاری جلسه حضوری نبود، اعلام از طریق سایت داخلی و در بدترین شرایط اعلام از طریق تابلو اعلانات گزینه های جایگزین می باشد.

بصورت خلاصه می توان نتیجه گرفت آموزش های لازم امنیتی و توضیح درباره دلیل اجرا و منفعتهای اجرای آن برای سازمان به متخصصانی که سیاست های امنیتی را پیاده سازی و سیستم ها را پیکر بندی می کنند و همچنین کاربرانی که از سیستم ها استفاده می کنند و بیشترین تاثیرات متوجه آنهاست، علاوه بر رشد معلومات آنها در زمینه امنیت کمترین مقاومت و ابراز شکایت را برای بخش آی تی و یا بخش امنیت سازمان به ارمغان می آورد. البته باید به این نکته توجه داشت که با انجام کلیه موارد فوق همچنان افرادی پیدا می شوند که ابراز نارضایتی کنند و یا بخواهند موارد امنیتی را به گونه ای پشت سر گذاشته و اختلال در روند پیشرفت در این مورد را بوجود بیاورند. بهترین برخورد با این افراد دادن آگاهی های لازم به آنها و در بدترین شرایط اخطار های اداری برای جلوگیری و عدم تکرار رفتارهای نامطلوب آنهاست.