ორგანიზაციული კულტურა და უსაფრთხოება

ჰაკერები მნიშვნელოვან ინფორმაციებს ხშირ შემთხვევაში ტექნოლოგიური სისუსტეების გამოყენებით იპარავენ, დანაშაულის ადგილი კი IT ქსელია. მისი მუშაობის შესახებ რიგით მომხმარებელს მეტად მწირი ინფორმაცია გააჩნია და შესაბამისად, ეჭვით უყურებს ინფორმაციულ უსაფრთხოებას. გადამწყვეტი ფაქტორი ისაა, თუ როგორ უყურებს ორგანიზაცია ინფორმაციულ უსაფრთხოებას. მოსაზრება, რომ თანამედროვე მაღალტექნოლოგიურ მოწყობილობებს შეუძლიათ ორგანიზაციის უსაფრთხოება დაიცვან შესაბამისი ადამიანური რესურსის გარეშე არის სწორედ იმის მიზეზი, რომ ყოველდღიურად ასობით ორგანიზაცია „ტყდება“. გარდა ამისა, ეს მიდგომა აიგნორებს ინფორმაციული უსაფრთხოების რისკის მთავარ მამოძრავებელ ძალებს: ორგანიზაციულ კულტურასა და ამ კულტურიდან გამომდინარე თანამშრომელთა ქცევას.

ინფორმაციულ უსაფრთხოებაზე უდიდესი გავლენა აქვს ორგანიზაციული კულტურის ორ ასპექტს: ორგანიზაციის ტოლერანტობა უსაფრთხოების წესების დარღვევის მიმართ და ურთიერთთანამშრომლობის ხარისხი როგორც ბიზნეს დანაყოფებს, ისე ცალკეულ თანამშრომლებს შორის.

უსაფრთხოება და კომფორტი ურთიერთსაწინააღმდეგო ცნებებია – რაც მეტია კონტროლი, მით ნაკლებად კომფორტულია ის ორგანიზაციაში მომუშავე ინდივიდებისთვის. მაგალითად, პაროლის კომპლექსურობის მოთხოვნა საჭიროებს დამატებითი სიმბოლოების დამახსოვრებას და შედარებით მეტი სიმბოლოების აკრეფას ყოველ ჯერზე. ორგანიზაციის ტოლერანტობა ამ და სხვა ინფორმაციული უსაფრთხოების მოთხოვნების დარღვევის მიმართ პირდაპირ კავშირშია ორგანიზაციაში არსებულ უსაფრთხოების რეალურ დონესთან. ყველაზე ცუდი კი ისაა, რომ ზედა მმართველი რგოლის თანამშრომლები – ორგანიზაციის ლიდერები – ყველაზე მეტად უგულებელყოფენ უსაფრთხოების მოთხოვნებს: ერთ პრესტიჟულ საადვოკატო ბიუროში უფროსი პარტნიორები პაროლების გამოყენებაზე საერთოდ უარს ამბობდნენ იმ მოტივით, რომ მათი აკრეფა და დამახსოვრება დროს მოითხოვდა!

კიბერ უსაფრთხოების პრიორიტეტულობის პრობლემა განსაკუთრებით დგას შედეგზე ორიენტირებულ ორგანიზაციებში. ის აქტივობები, რომლებიც ხელს უწყობს მიზნის მიღწევას ავტომატურად ხდება პრიორიტეტული ისე, რომ უსაფრთხოება უკანა პლანზე იწევს და არარელევანტურად აღიქმება. მსგავსი მიდგომა ქმნის კულტურას, რომელიც პირდაპირ თუ არაპირდაპირ იწონებს თანამშრომელთა მიერ მიზნის მისაღწევად ინფორმაციული მართვის ყველაზე ხელსაყრელი სისტემების დანერგვას და უარს ამბობს ბევრად უსაფრთხო, მაგრამ ნაკლებად კომფორტულ გადაწყვეტილებებზე. ამ კომპანიების წარმატების მთავარი მიზეზი – მიზანზე ორიენტირებულობა – ამავდროულად აყენებს მათ მაღალი რისკის ქვეშ.

ინფორმაციულ უსაფრთხოებასთან დაკავშირებული სხვა პრობლემა დგას იმ ორგანიზაციებში, რომლებიც ოპერირებენ როგორც დამოუკიდებელი ბიზნეს დანაყოფები. ასეთი დანაყოფების წარმოშობა შეიძლება გამოწვეული იყოს სხვა ორგანიზაციის შერწყმით, განსხვავებული ბიზნეს მოდელების არსებობით და ა.შ. პრობლემა კი იმაში მდგომარეობს, რომ ერთიანი სტანდარტების დამყარება რთულია სხვადასხვა კულტურის მქონე დანაყოფებში და შედეგად წარმოიშობა დანაწევრებული უსაფრთხოების გადაწყვეტილებები დანაყოფების მიხედვით, რომელთა მართვა საკმაოდ რთულია და ზრდის კიბერუსაფრთხოების რისკებს.

მაღალგანვითარებული ტექნოლოგიური კომპანიებიც მიდრეკილნი არიან უსაფრთხოების მაღალი რისკის მიმართ, რისი მიზეზიც ისაა, რომ ახალგაზრდული კულტურები შეზღუდვებს ძნელად ეგუებიან.

ჰაკერების მიერ სისტემაში შეღწევის დროს, როგორც წესი IT დეპარტამენტზე გადატყდება ხოლმე ჯოხი, რადგან სათანადოდ ვერ დაიცვეს ორგანიზაციისთვის მნიშვნელოვანი ინფორმაცია, მაშინ როდესაც ამის მთავარი მიზეზი ორგანიზაციაში გაბატონებული ის კულტურაა, რომელიც უგულებელყოფს IT დეპარტამენტის მიერ რისკზე ორიენტირებული გადაწყვეტილებების შესრულებას. ამის გარდა არსებობს სტრუქტურული პრობლემაც: IT დეპარტამენტი უმეტესად პასუხისმგებელია როგორც ტექნოლოგიების იმპლემენტაციაზე, ისე უსაფრთხოების მართვაზე, რაც IT პერსონალს შორის წარმოშობს ინტერესთა კონფლიქტს.

როგორ შეუძლია ორგანიზაციას სიტუაციის გამოსწორება?

ორგანიზაციული კულტურის შეცვლა საკმაოდ რთულია, განსაკუთრებით მაშინ, თუ ეს კულტურა წლების განმავლობაში ორგანიზაციის წარმატების გარანტი იყო.  პასუხი შემდეგში მდგომარეობს: ის კი არ უნდა დაინგრეს, არამედ ინფორმაციული უსაფრთხოება და რისკის მიმართ თანამედროვე მიდგომები მასში უნდა ჩაინერგოს. გარდა ამისა, საჭიროა მმართველი რგოლი გვერდში დაუდგეს უსაფრთხოებაზე პასუხისმგებელ პერსონალს, რათა ადვილად დაიძლიოს ჩვევაში გადასული კულტურის საფრთხის შემცველი ელემენტები. მესიჯი უნდა მოდიოდეს უმაღლესი რგოლიდან. მმართველმა რგოლმა პირადი მაგალითი უნდა მისცეს ხელქვეითებს და პრაქტიკულად თავადვე დაიწყონ უსაფრთხოების წესების შესრულება და დაცვა.

უსაფრთხო მმართველობის, უსაფრთხოების საბაზო წესების რეზისტენტულობისა და თანამშრომელთა მიერ მათი შესრულების გასაზომად არსებობს რამდენიმე მეთოდი:

ინფორმაციული უსაფრთხოების პოლიტიკის შექმნა კარგი საშუალება იქნება უსაფრთხო მმართველობის ეფექტურობის გასაზომად და მომავალში გასატარებელი ზომების დასადგენად. ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტი უნდა იყოს მარტივ ენაზე დაწერილი, რთული ტექნიკური ტერმინების გარეშე, რისკზე ორიენტირებული, რომელიც ფართოდ გავრცელდეს და ასიმილირდეს ორგანიზაციაში.

ინფორმაციული უსაფრთხოების პოლიტიკა უმნიშვნელოვანესია ინფორმაციული უსაფრთხოების რისკის მიმართ სტრატეგიული მიდგომის ჩამოსაყალიბებლად, იმდენად, რამდენადაც სწორედ ეს პოლიტიკა განსაზღვრავს თანამშრომელთა სწორი ქცევის საბაზო წესებს და ბიზნესის მიზნებსა და აუცილებელ უსაფრთხოებას ერთმანეთთან ათანხმებს.

ინფორმაციული უსაფრთხოების პოლიტიკიდან გამომდინარეობს ტექნიკური და ოპერაციული სტანდარტების არსებობის საჭიროებაც, რომლებიც შესაბამისი დარგის ექსპერტებმა უნდა შექმნან. პოლიტიკის დოკუმენტი ადგენს უსაფრთხოების რომელი პროცესებია საჭირო, ხოლო სტანდარტი კი განსაზღვრავს თუ როგორ უნდა მოხდეს ამ პროცესების იმპლემენტირება და დაცვა.

ბოლოს ისიც უნდა შევნიშნოთ, რომ პაროლების მიმართ დამოკიდებულება გაბატონებული კულტურის კარგი ინდიკატორია. თუ პაროლები ადვილად ტყდება, მარტივი შემადგენლობისაა და არ ხდება პერიოდულად გამოცვლა, მაშინ ან პოლიტიკის დოკუმენტია ზედმეტად ტოლერანტული, ან კიდევ მომხმარებლები ახდენენ უსაფრთხოების პოლიტიკის მოთხოვნების უგულებელყოფას.

გახსოვდეთ: პოლიტიკის დოკუმენტის წესების დაცვით თანამშრომლები ხელს უწყობენ სწორი ორგანიზაციული კულტურის ჩამოყალიბებას.