فرهنگ و حتی فرهنگ سازمانی از زمان قدیم، با شکل ها و گونه های مختلف در زندگی ما وجود داشته است تا امروزه به شکل فعلی درآمده است
یک گفته قدیمی وجود دارد که میگوید: «هر زمان کلمه فرهنگ را میشنوم، دست به اسلحه میشوم». فرهنگ، کلمهای است که زیاد آن را میشنویم اما از طرفی تأثیر زیادی بر نحوه عملکرد هر سازمانی دارد.
بحث امنیت اطلاعات از جهت های مختلف، یک موضوع جدید است و شاید در سایر رشتهها پیشرفتهای مطالعاتی بیشتری درباره بررسی تأثیرات فرهنگ بر فعالیتهای صنعتی یا تجاری انجام شده باشد. با این حال از آنجا که در موضوع امنیت اطلاعات، رفتار کارمندان محوریت اصلی را شکل میدهد، درک آنها از فرهنگ و تأثیر آن بر عملکرد آنها بسیار چشمگیر است.
فرهنگ سازمانی چیست؟
فرهنگ سازمانی را می توان به این صورت تعریف کرد: «یک سیستم مشترک از هنجارها (ارزشها) و باورها» یا «ترکیبی از الگوهای رفتاری، ادراک ها، نگرشها و ارزشهای فردی و گروهی». همچنین میتوان آن را «یک الگوی پیچیده از باورها، انتظارات، ایدهها، ارزشها، نگرشها و رفتارها در یک سازمان دانست که افراد را به هم پیوند داده و بر تفکر آنها نسبت به خودشان و کاری که انجام میدهند، تأثیرگذار است».
بعضی تحلیلگران از اصطلاح «ارزشهای غالب» برای شناسایی عناصر فرهنگی استفاده میکنند. به عنوان مثال اگر یک شرکت فقط ارایه دهنده خدمات باشد، اصطلاح های متداولی همچون «اول مشتری» تجلیگر چنین ارزشهایی هستند. الگوهای کاری (آیا افراد همواره بدون دریافت دستمزد، اضافهکار انجام میدهند؟) و چیزهایی مثل دستورالعمل نحوه پوشش، نمونههای دیگری از تجلی فرهنگ سازمانی هستند.
نکته قابل توجه درباره فرهنگ سازمانی این است که در یک دوره زمانی طولانی شکل گرفته است و از طریق چندین حامل از جمله اساطیر (که به آنها افسانه هم گفته میشود)، اشراف زادگان، اساتید و غیره منتقل شده است. مدیریت رسمی تنها حامل فرهنگ نیست بلکه نقش کوچکی در کل این فرایند دارد. بنابراین هر تلاشی برای تحمیل یک فرهنگ جدید (چه مربوط به فروش یا ایمنی باشد یا بحث امنیت) با مقاومت روبرو خواهد شد.
سازمانهای بزرگ دارای سیاستها، مقررات، استانداردها، قوانین رسمی و رویههای کاری مختلفی هستند. بیشتر سازمانها بر اساس قوانین غیررسمی و معاهدههای اجتماعی (که اغلب به آنها «قوانین نانوشته» گفته میشود) کار میکنند؛ اما خنده دار است که یکی از کارآمدترین ابزارهایی که کارمندان از آن برای ایجاد فشار بر مدیریت استفاده میکنند، «کار کردن در محدوده و چارچوب مقررات» است.
در انگلستان، وزارت دفاع[1] (MoD) یک فرهنگ کاملاً تعیین شده دارد که طبق آن میزها باید در انتهای هر روز کاری تمیز باشند و کاغذهای طبقهبندی شده، بسته به حساسیت اطلاعات آنها در قفسههای مناسب قرار گیرند. با توجه به ماهیت اطلاعاتی که MoD با آنها سروکار دارد، پیادهسازی چنین قانونی درباره میز پاک نسبتاً ساده است. در سایر فرهنگها، خطمشی میز پاک یکی از آرزوهای دور از دسترس برای مدیریت امنیت اطلاعات محسوب میشود.
خطمشی میز پاک
افرادی که از خطمشی میز پاک پیروی نمیکنند، معمولاً آن را جزو قوانین سخت و بیرحمانه تلقی میکنند. تمیز کردن میزکار در انتهای هر روز فواید زیادی دارد. این کار علاوه بر محافظت از اطلاعات حساس در برابر سرقت و چشمان کنجکاو، مزایای دیگری هم دارد از جمله این که کاغذ در برابر گرما مقاوم است (به شرط این که در معرض شعله قرار نگیرد) و اگر خشک نگه داشته شود، عمری طولانی دارد.
اگر هر شب کارهای خودتان را روی میزکار رها کنید، خودتان را در معرض خطرات سرقت و افشای اطلاعات قرار دادهاید. اگر آتشی در محل وجود داشته باشد، احتمال سوختن کاغذ بیشتر میشود. اگر نسوزد ممکن است در معرض آسیب با آب قرار بگیرد (مثلاً توسط آبپاشهای ضدحریق).
اگر پنجرهها باز باشند، احتمال این که باد آنها را جابه جا کند (یا حتی گم شوند) بیشتر میشود. از آنجا که معمولاً کارهای روی میز، جزو کارهای در دست تکمیل هستند بعید است که از آنها یک نسخه پشتیبان داشته باشید.
مسئولان امنیت مرتکب به کاربران هشدار داده و از افراد درخواست میکنند که هر شب مستندات کاریشان را در یک محفظه قفلدار قرار دهند یا از آنها درخواست میکنند که کاغذهای حساس را در جای مشخصی بگذارند؛ اما معمولاً از کاربران میشنویم که قفل کشوها و کمدها شکسته است یا دیگر جای کافی برای قرار دادن اسناد در یک کمد قفلدار را ندارند.
سیاستهای پیچیده درباره قفل کردن و استخراج اطلاعات حساس را کنار بگذارید؛ فقط از افراد بخواهید که هر شب وسایلشان را در یک کشو قرار دهند. این کار خطر آسیب رسیدن یا گم شدن اطلاعات از طریق سرقت، آتشسوزی، آب و باد (حتی زلزله) را کاهش میدهد. احتمال اجرا شدن یک تقاضای ساده توسط افراد بسیار بیشتر است، به خصوص وقتی به آنها بگویید دلیل این درخواست چیست.
سلامت سازمانی
سلامت سازمانی مفهومی است که ارتباط نزدیکی با مفهوم فرهنگ سازمانی دارد. این مفهوم فقط به سلامت مالی محدود نیست بلکه بیشتر میتوان آن را نوعی کاهش مخاطره دانست. احتمال ناامن بودن یک سازمان ناسالم بیشتر است. کنترل بیش از حد هم میتواند به اندازه نداشتن کنترل، ویرانگر باشد. در گذشته زمانی با یک بازرس ارشد کار میکردم که بر استفاده از کنترلی به نام «ورود و بررسی» تأکید داشت. فرایند ورود و بررسی به این ترتیب بود که در آن یک برنامهنویس ارشد، کدهایی را که قبلاً یک برنامهنویس تازهکار وارد کرده بود با انجام دوباره کارهای او بررسی میکرد. به این ترتیب خطاها به سرعت شناسایی میشدند.
در این شرایط چنین کنترلی منطقی و مناسب به نظر میرسد اما استفاده از این روش برای بررسی کیفیت اطلاعات متنی که وارد یک پایگاه داده میشوند، نامناسب است. در این مثال، منبع دادهها یک فرم دستنویس بود. صفحه ورود اطلاعات به صورت متن آزاد بود (احتمالاً به همراه یکسری فیلدهای عددی). این امر منجر به وجود تفاوتهای اجتنابناپذیر بین دادههای وارد شده توسط کاربر و بررسیکننده میشد.
احتمال تبدیل کاراکترها، اشتباه های املایی و تفسیر نادرست کاراکترها (در بسیاری از وقتها تفسیر کردن دستنویسها کار سختی است) زیاد و قابل توجه است.
این کنترل در دورهای اجرایی شد که در آن حجم فعالیت های کسب و کار به شدت افزایش یافته بود و کار کارمندان دایماً در حال افزایش بود؛ اما اتفاق غیرمنتظره بالاخره روی داد. کارمندان برای کنترل سطح تقاضا شروع به تقلب کردند. آنها حجم کاری زیادی داشتند، مرخصیهای استعلاجی شروع شد و کارمندان، کلمه های عبور را با دیگران به اشتراک میگذاشتند. این مسأله با ورود یک کنترل دیگر تشدید هم شد؛ این کنترل، متشکل از نرم افزاری بود که اعتبار کدپستی را بررسی میکرد.
افراد همیشه کدهای درستی را در فرمها وارد نمیکردند. کارمندان متوجه وجود یک کدپستی شدند که در تمام شرایط کار میکرد (یک کد تستی که در اصل، توسعهدهندگان از آن استفاده میکردند). نتیجه این وضعیت، افت چشمگیر جامعیت پایگاه داده بود و این مشکل هنگامی مشخص شد که بخش بازاریابی سعی داشت با استفاده از کدپستی به عنوان فیلد کلید، برای مشتریان جدید لیست ایمیل ایجاد کند.
دلیل اصلی این هرجومرج و آشفتگی (که شامل کاهش رتبه، اخراج کارمندان و تحمیل هزینههای قابل توجه بود) کنترل بیش از حد بود، که خود آن یک نشانه مسلم از ناسالم بودن شرکت است. بسیار مهم و ضروری است که تلاشهای صورت گرفته برای ایجاد فرهنگ سازمانی بر سلامت سازمان تأثیرگذار نباشد.
سازمان سالم چیست؟
شاید برجستهترین ویژگی یک سازمان سالم «نگرش رابطهای» باشد. روانشناس فقید Robin Skynner و کمدینی به نام John Cleese این مفهوم را در کتابشان با عنوان «زندگی و چگونگی جان سالم به در بردن از آن» تشریح کردهاند که متشکل از ویژگیهای زیر است:
- اعتماد
- گشودگی
- تحمل استقلال
- مجاز بودن به ارتکاب خطا.
این ویژگی ها در خلاصه زیر جمعبندی شدهاند:
جان: باید این ضربالمثل انگلیسی قدیمی را شنیده باشید که «نابرده رنج گنج، میسر نمی شود مزد آن گرفت جان برادر که کار کرد».
روبین: بسیار عالی. در واقع در سازمانهای سالم، مرتکب خطا شدن تابو نیست بلکه مخفی کردن خطاها و اشتباه ها تابو است.
Skynner و Cleese نقش مهمی برای تعیین تأثیر اقدام های ناسالم بر اثربخشی (یا به عبارتی سودآوری) سازمانها داشتهاند. به نظرم آنها میتوانند تأثیر مشابه و چشمگیری بر بحث امنیت داشته باشند. فرهنگ سرزنش میتواند باعث جلوگیری از جریان اطلاعات و منجر به ایجاد شرایطی شود که اقدام های امنیتی ضعیف را افزایش میدهد.
یکی از ویژگی های مهم امنیت اطلاعات، مدیریت درست و کارآمد اطلاعات است. اطلاعات، پایه و اساس انجام سایر فعالیت ها به شمار می روند. بدون اطلاعات، شما یک انسان نابینا هستید. اگر اطلاع نداشته باشید که با چه خطراتی روبرو هستید نمیدانید که زمان و بودجه خودتان را کجا سرمایهگذاری کنید. بدون مدیریت درست اطلاعات نمیتوانید به صورت کارآمد و اثربخش عمل کنید.
یکی از ویژگیهای برجستهای که در یک سازمان ناسالم مشاهده میشود، ضعف گردش اطلاعات و فرهنگ سازمانی است. دلیل این موضوع ترس افراد از گزارش رویدادها است به این علت که میدانند در این سازمان تمایلی برای «تیراندازی به سمت خبررسان» وجود دارد. عده دیگری سعی میکنند حقایق را تحریف کنند (یا حذف کنند) صرفاً به این دلیل که نمیخواهند به عنوان شخصی که مرتکب خطا شده به نظر برسند. نتیجه این شرایط، ضعف در اطلاعات مدیریتی است که این امر به نوبه خود باعث ایجاد اختلال در ارزیابی مخاطره شده و در نتیجه، تصمیمگیریهای ضعیفی برای سرمایهگذاری انجام میشود و در نهایت نیز امنیت کاهش خواهد یافت.
اگر شما هم در یک سازمان ناسالم کار میکنید، چندین گزینه در پیش رو دارید. میتوانید:
- آنجا را ترک کنید (گزینهای که من به شخصه بیشتر از یک بار انتخاب کردهام). کوبیدن سرتان به یک دیوار آجری هیچ فایدهای برای شما ندارد.
- پیامدهای چنین شرایطی را درک کرده و کارهایتان را بر اساس آن مدیریت کنید.
- سعی کنید فرهنگ سازمانی را از درون تغییر دهید.
شاید بتوان گفت که آخرین گزینه، صادقانهترین و دشوارترین گزینه است. این گزینه یک جمعبندی از مسایل اصلی تشریح شده در این مقاله است؛ تغییر دادن کار سختی است و تغییر دادن افراد، از همه سختتر است.
شما در یک سازمان ناسالم چه کاری انجام میدهید؟ من کارهای زیر را توصیه میکنم:
- در تمام معاملات، صادق و روراست باشید. نقش بازی نکنید؛ اگر این کار را انجام دهید در نهایت گرفتار خواهید شد.
- به خاطر داشته باشید که انگیزه بسیاری از افراد، هیچ ارتباطی با هدف های گفته شده برای سازمان ندارد بلکه بیشتر با اهداف، مقاصد و حتی بقای خودشان مرتبط است.
یکی از ویژگیهای اصلی هر موجودیت (شخص، شرکت، خانواده و غیره) سالمی، تعادل است. برای توسعه معیارهای ارزیابی موفقیت نسبی برای بخشهای مختلف سازمانهای بزرگ می توان از مفهوم کارت امتیاز متعادل استفاده کرد. کلمه کلیدی در اینجا «متعادل» است. هدف شما این است که تعیین کنید هر بخش سازمان، از نظر جنبههای زیر چقدر موفق بوده است:
- پول
- افراد
- فرایندها.
وقتی جوانب متفاوت یک سازمان، مستلزم نیازهای خاصی است (و با آنها روبرو میشود) میتوان این جنبهها را به صورت زیر هم بیان کرد:
- مالی: نیازهای مالی را مشخص میکند.
- مشتری: نیازهای مشتری را مشخص میکند.
- فرایندهای داخلی: فرایندهای کلیدی را مشخص میکند.
- یادگیری و رشد: نیازهای کارمندان را مشخص میکند.
قویترین جنبه سلامت سازمانی، تعدیل است. محیط امنیتی مثبت لزوماً یک دیکتاتوری منضبط نیست که در آن همه افراد فقط کاری که به آنها گفته شده است را انجام دهند؛ بلکه ویژگی های زیر را به عنوان خصوصیات مفید و مطلوب برمیشماریم:
- افراد، حوادث امنیتی را گزارش میدهند، حتی اگر در حیاط خلوت خود آنها هم رخ داده باشند.
- افراد از مسایل امنیتی آگاه هستند.
- افراد به افزایش سطح امنیت سازمان علاقه دارند.
- هیچ کس به خبررسان تیراندازی نمیکند.
- ارتباطات، همه جا در جریان است.
وقتی چنین فرهنگی شکل گرفت شما این امکان را دارید که مدیریت را با اطلاعات انجام دهید نه در ابهام و تاریکی. بدون این گزینه، کار شما تقریباً غیرممکن است.
نظریه X – نظریه Y
مفاهیم دیگری هم با سلامت سازمانی در ارتباط هستند که هنگام در نظر گرفتن ماهیت و اثرات فرهنگ سازمانی باید به آنها توجه شود. شناخته شدهترین آنها، نظریه X – نظریه Y است.
نظریه X و نظریه Y توسط Douglas McGregor (یک روانشناس اجتماعی آمریکایی) برای توصیف دو سیستم مبتنی بر باور تشریح شده است. McGregor نظریه خودش را در کتاب خویش با عنوان «جنبه انسانی سازمان» که در سال 1960 منتشر شد، مطرح کرده است. نظریه X میگوید مردم علاقهای به کار کردن ندارند و باید با فریب، تحکیم و زور آنها را وادار به عمل کرد. نظریه Y با آن مخالف است و میگوید افراد، مشتاق به همکاری هستند و خودشان بدون نیاز به تهدید و زور، کارها را آغاز میکنند. کار McGregor تا سالها اعتبار خود را حفظ کرد و اصول مطرح شده توسط او همواره در مطالعات مربوط به مدیریت و توسعه سازمانی مورد استفاده قرار میگرفت.
McGregor باور دارد مدیرانی که به نظریه X متمایل هستند، عملکرد ضعیفتری دارند و بهترین نتایج را از کارمندانشان دریافت نمیکنند. نظریه X یک سبک مدیریتی اقتدارگرا است.
نظریه Y را میتوان یک نظریه متمایل به مشارکت تلقی کرد که طبق آن بیشتر مردم مسئولیتپذیر و جاهطلب هستند و هدف اصلی آنها از کارکردن، امنیت شخصی نیست.
طبق نظریه Y کار کردن هم مثل چیزهای طبیعی دیگر است و افراد به استفاده از قابلیتهای خلاقانه و رؤیاپردازیهای خودشان علاقه دارند. Robert Townsend (رئیس قبلی شرکت Avis و نویسنده کتاب قدیمی Up the Organization) و Waterman و Peters نویسندگان «در جستجوی برتری» از جمله حامیان نظریه Y هستند.
Peters پیشنهاد میکند که از کارمندانتان بخواهید کارهایی را که در وقت های فراغت انجام میدهند بنویسند. او به چند مهارت و قابلیت مختلف اشاره میکند که ممکن است چندان مسلم و آشکار نباشند. برخی از افراد در حد ماهرانهای موسیقی کلاسیک مینواختند. دیگران، شرکتهایی (از جمله شرکتهای برگزارکننده نمایش تئاتر) را با بودجهای بسیار ناچیز اداره میکردند. این افراد به همان اندازه خودشان را وقف کار نمیکردند. Peters خواهان تشخیص دلیل این رفتار بود. در محیطی مطابق با نظریه X احتمالاً چنین سؤالی هیچ گاه پرسیده نمیشود و مزایای بالقوه آن برای افراد هیچ وقت مشخص نمیشود.
اگر قرار باشد در یک دنیای نظریه X کار کنید باید با ویژگیهای اصلی یک مدیر نظریه X آشنا باشید. علایم و نشانههای چنین مدیری عبارتند از:
- مغرور، فاصله گیر و غیرصمیمی
- خطرات را به افراد زیردست خود محول میکند اما هرگز به آنها پاداش نمیدهد.
- زودرنج است و این ویژگی با داد زدن و پرخاشگری نمود پیدا میکند.
- هیچ اهمیتی برای رفاه کارمندان قایل نیست و هیچ وقت به آنها پاداش نداده و از آنها تشکر نمیکند.
- هیچ همدلی با کارمندان ندارد و تصور میکند که روحیه دادن، کار بیربط و بیاهمیتی است.
- هیچ علاقهای به سبک کاری تیمی و مشارکتی ندارد.
- برای پرداخت حقوق و پاداش کارمندان، خساست به خرج میدهد.
- اولتیماتوم صادر میکند (اغلب به همراه مهلت مقرر).
- اغلب بدون قصد و نیت خوب مدیریت میکند.
- هیچ وقت درخواست نمیکند، بلکه فرمان میدهد.
- به تعیین مهلت و یک سری نتایج خاص پایبند است حتی اگر در طول زمان مشخص شود که این مهلتها و خروجیها به نفع سازمان نیستند.
- یک فرهنگ سرزنش به وجود میآورد و اغلب وقت ها به دنبال شخص مقصر است (هیچ وقت از اشتباه های گذشته درس نمیگیرد).
- بیشتر وقت ها در حالت صدور و ابلاغ فرمان است و به ندرت در حالت دریافت قرار میگیرد.
- با فرمان دادن، دستورالعمل و تهدید کار میکند.
- برای سرمایهگذاری جهت موفقیتهای آینده، ضعیف عمل میکند.
- دچار غرور و تکبر بیش از حد است.
- قادر به تحمل افراد بیگانه و اشخاصی که مخالفت میکنند نیست.
- مزایای کارها (مثل پاداش) را برای خودش میداند اما مسئولیتها را به زیردستان محول میکند.
- انتقادها را تلافی کرده و توصیهها را قبول نمیکند.
آیا چنین ویژگیهایی برای شما هم آشنا است؟
پیروی و اجابت کردن
بین این مفاهیم که ارتباط نزدیکی با مفاهیم نظریه X و Y دارند، یک تضاد وجود دارد. روانشناسان اجتماعی از این اصطلاح ها برای توصیف دو روش انگیزه گرفتن انسانها استفاده میکنند.
پیروی بیشتر توسط نیروهای درونی فرد اداره میشود، مثل تمایل به بخشی از گروه بودن. ویژگی اصلی پیروی این است که رفتارهای ناشی از آن بیشتر ناخودآگاه هستند.
اجابت کردن بیشتر به صورت خارجی تحمیل میشود، معمولاً به همراه یک طرح تشویق یا تنبیه. مردم به این دلیل چیزی را اجابت میکنند که حس میکنند باید این کار را انجام دهند یا هزینه (هزینه مالی، احساسی، اجتماعی و غیره) پیروی نکردن از آن بسیار بالا است.
مشکل اجابت کردن این است که برای کار کردن آن باید آن را به صورت خطمشی تعریف کرد. تعیین خطمشی، هزینه زیادی دارد. ملزم کردن افراد به اجابت کردن چیزی، نیازمند هزینه و توجه مداوم است.
هر چند ممکن است فرایند متقاعد کردن افراد به پیروی، زمانبر و پرهزینه باشد اما در بلندمدت، این روش ارزانتر و کارآمدتر است. نقل قول زیر به خوبی این مسأله را مشخص میکند:
بسیاری از سازمانها در هنگام تعیین خط مشیهای امنیتی، بیشتر بر افرادی متمرکز میشوند که قوانین را نقض میکنند اما بر اساس تمام اطلاعاتی که ما درباره اصلاح رفتار داریم باید برای این کار از پاداش استفاده کرد نه تنبیه. یکی از مدیران امنیت در یک شرکت بزرگ برای پیادهسازی خطمشیهای امنیتی، پاداش و تنبیه را امتحان کرد.
کارمندان باید هنگام ترک اداره از حساب خودشان خروج (logout) میکردند اما رتبه مربوط به میزان برآورده کردن این خطمشی فقط حدود 40 درصد بود. در یکی از بخشهای سازمان، مدیر امنیت از روشهای متداول استفاده میکرد، یعنی قرار دادن یادداشتهای نه چندان خوشایند روی سیستمهایی که logout نشده بودند، گزارش دادن نام متخلفان به رئیس هایشان و تغییر کلمه عبور حسابهای کاربری متخلف. در یک بخش دیگر، وی فقط کاربرانی را که از حساب کاربریشان خارج شده بودند، شناسایی کرده و یک شکلات کاکائویی روی صفحه کلید آنها قرار داد. پس از یک ماه، رتبه پیروی از این خطمشی در بخشی که شامل تنبیه شده بود به حدود 50 درصد رسید اما در بخش دیگر که از تشویق استفاده شده بود، رتبه پیروی به 80 درصد رسید.
تمایل به خطر کردن
برخی از سازمانها با خطر کردن پیشرفت میکنند (مثلاً بانکهای سرمایهگذار). این سازمانها را نمی توان مخاطرهپذیر دانست. معمولاً مدیریت مخاطره در تمام فرایندهای آنها منعکس شده است و منابع کمی درباره تعریف دقیق رویههای امنیتی دارند (این موضوع تا حدودی به دلیل نداشتن صبر و بردباری در بسیاری از کارمندان پاسخگو در این سازمانها است).
مخاطرهپذیری از جنبههای دیگری هم متفاوت است. اغلب وقت ها در صورت وجود احتمال دستیابی به نتایج قابل توجه با وجود احتمال پیروزی کم، مردم تصمیم های مثبتی برای مخاطرهپذیری میگیرند (در غیر این صورت کسبوکارهای برگزاری مسابقات لاتاری هرگز نمیتوانستند به کارشان ادامه دهند).
بیشتر ما در صورتی که احتمال دستیابی به یک دستاورد بزرگ وجود داشته باشد، حتی اگر شانس پیروزی کمی داشته باشیم باز هم خطر میکنیم. همین موضوع برای بیمه نیز صدق میکند. ما همواره حق بیمه زیادی (که معمولاً و طبق آمار به زیان بیمه دهنده منجر میشود) برای محافظت از خودمان در برابر خسارت هایی با تأثیر بالا اما با احتمال کم (مثل مرگ زودرس یا آتشسوزی منزل) پرداخت میکنیم. بسیاری از مشکلاتی که ما برای به دست آوردن سرمایه در حوزه امنیت اطلاعات با آنها روبرو میشویم بر اساس نداشتن درک مناسب از مخاطرات است. موضوع های غیرقطعی بسیار زیادی وجود دارند که بسیاری از مدیران ارشد (که معمولاً مسئول بودجه هم هستند) آنها را نادیده میگیرند و پشت بیماری «این اتفاق هرگز در اینجا رخ نخواهد داد» مخفی میکنند.
فرهنگ ملی
در گذشته، در یک مؤسسه بزرگ در اتحادیه اروپا کار میکردم که متشکل از تمام ملیتها از سراسر اتحادیه اروپا بود. مسئول تماس با مشتریان من یک اتریشی بود که زبان فرانسوی و انگلیسی و همینطور زبان مادری خودش آلمانی را به خوبی صحبت میکرد. او من را با مفهوم نگرشهای انگلوساکسون آشنا کرد و باور داشت من تحت تأثیر آن قرار دارم. جوامع انگلوساکسون متشکل از انگلیس، آمریکای شمالی و استرالیا است. بدون شک در برخی مواقع کشورها و حوزههای دیگری هم جزو این دستهبندی قرار میگیرند؛ که یکی از آنها هلند است.
مشاهده های او درباره همکارانش جالب توجه بود. جنوبیها (ایتالیایی ها، پرتغالی ها، یونانیها و غیره) در زمانهای متفاوتی نسبت به شمالیها (آلمانیها) غذا میخوردند. تفاوتهای دیگری هم در شیوه برگزاری ملاقاتها، روش استفاده از قدرت و ابزارها و وسایل ارتباط با کارمندان و همکاران مشاهده شده است.
تعصب، ریشه در جهل و ترس دارد و میتوان از تفاوتهای بین ملیتها و گروههای نژادی و مذهبی سوءاستفاده کرد. مشاهده های او تا حد امکان مبتنی بر شیوههای تجربی بودند و تحقیقاتی مثل تحقیقات Hofstede هم از آن پشتیبانی میکردند.
Hofstede تحقیقاتی درباره روشهای رفتاری گروههای مختلف در شرکت IBM انجام داد. این تحقیق ها در سالهای طولانی انجام گرفتند. او بر این باور بود که چهار جنبه و بعد مختلف هستند که تفاوت بین فرهنگ را تعیین میکنند و عبارتند از:
- فاصله قدرتی: فاصله قدرتی با توجه به تفاوت بین رؤسا و زیردستان آنها از نظر قدرت سازمانی ارزیابی میشود. فاصله قدرتی زیاد نسبت به فاصله قدرتی کم، نشاندهنده دیکتاتوری بیشتر است.
- اجتناب از عدم قطعیت: اجتناب زیاد از عدم قطعیت با سنتی گرایی، محافظهکاری و عقاید تعصبآمیز در ارتباط است و حتی علایمی از خرافهپرستی هم در آن مشاهده میشود.
- فردگرایی: فردگرایی (برخلاف جمعگرایی) در بلوک آنگلوساکسون و کشورهای پایینتر، به ویژه در بخشهایی از جنوب آمریکا و آسیای جنوب شرقی بسیار مشاهده میشود.
- حالت مردانگی: حالت مردانگی به قدرت، جاهطلبی و کمیت، ارتباط داده میشود. در مقابل، حالت زنانگی به روابط بین فردی و موضوع های خدمات گرا ارتباط پیدا میکند.
در تحقیقات بعدی که توسط Mant صورت گرفت، نتایج مطالعه Hofstede در قالب نمودار نمایش داده شد و تفاوتهای بین هشت ملیت مختلف، به صورت گرافیکی به تصویر کشیده شد. بیشترین تناقض بین اهالی اسکاندیناوی و ژاپن مشاهده شد. این تفاوتها به حدی زیاد بودند که Mant باور دارد روشهای مدیریت ژاپنیها در کشورهای شمال اروپا که زنانگی بیشتر، فاصله قدرت کمتر، اجتناب از عدم قطعیت کمتر و فردگرایی دارند، شکست میخورد. آنگلوساکسونها فردگرا بوده، فاصله قدرتی و اجتناب از عدم قطعیت کمتر و حالت مردانگی بیشتری دارند.
به این ترتیب ما به این نتیجه رسیدیم که ویژگیهای ملی بر فرهنگ سازمانی تأثیرگذار هستند. بنابراین حالا باید توجه کنیم که این تفاوتها چه تأثیری بر آگاهی بخشی و آموزش امنیت سایبری دارند. این تأثیرات بیشتر در مخاطبینی که باید آنها را در نظر داشته باشیم تجلی پیدا میکنند.
روشی که برای یک سوئدی خوب کار میکند، لزوماً برای یک ایتالیایی به نتیجه نخواهد رسید. من به شخصه یکسری از واکنشهای شخصی خودم در برابر بعضی از راهکارهای آموزش امنیت دانمارکی را به خاطر دارم. من در مقابل برخی از این راهکارها به دلیل «ملایمت و نرمی بیش از حد» واکنش نشان دادم و حس میکردم این راهکارها باید کمی تأکیدیتر باشند.
همکار دانمارکی من حس میکرد که من بسیار رسمی و خشن هستم، یا به عبارتی «بیش از حد آنگلوساکسونم». بعد از آن، محو تلاشهای یکی از همکاران انگلیسی خودم برای متقاعد کردن یک مخاطب اسپانیایی درباره نیاز به وجود نظم و ترتیب در فرایند توسعه سیستمها شدم (او متوجه نشد که بیش از حد سختگیر و مقرراتی به نظر میرسد) و بینظمی و بیقیدوبند بودن مخاطبش او را آشفته کرده بود. راهکار چنین شرایطی به رسمیت شناختن و توجه به دیدگاه مخاطب نسبت به خودتان، کار مخاطب به صورت کلی و به بحث امنیت است.
مثالهای فرهنگی
همیشه در هنگام توضیح دادن مثالهای به دست آمده از طریق تجربه، این خطر وجود دارد که شما به سمت کلیشه و تعصب های شخصی حرکت کنید. من یک سری هیوریستیک (قوانین سرانگشتی) ساختم که به من کمک میکنند متوجه شوم با چه نوع سازمان و شخصیتهایی در حال کار هستم؛ به خصوص وقتی برای اولین بار در یک صنعت یا بخش جدید مشغول به فعالیت میشوم.
چنین مثالهای فرهنگی، بیشتر مبتنی بر تفکراتی هستند که در بالا گفته شد اما در اصل چکیدهای از تجربه ها، مشاهده ها و تحقیق های خود من هستند. این روش شخصی برای من کار کرده اما قبول دارم که شاید به صورت عمومی و کلی قابل اعمال نباشد.
لازم به گفتن است که عمل کردن به این روش عمومی همیشه منجر به شکلگیری انتظارهایی خواهد شد. در بخشهای بعد، برخی از ویژگیهای تصور شده درباره فرهنگ بانکداری خرد را با بانکداری سرمایهگذاری مقایسه خواهم کرد. این دو دنیا لزوماً منحصربه فرد نیستند: تعداد زیادی بانکدار خرد وجود دارند که پرقدرت، نتیجه گرا و مستعد پذیرش خطر هستند.
همچنین بانکدارهای سرمایهگذاری وجود دارند که تفکراتشان فرایندگرا، روشمند و ساختاردار است. تصور نمیکنم که این موضوع تأثیری منفی بر مثالهای مورد نظر داشته باشد اما ماهیت کلی آنها را به خاطر داشته باشید.
لطفاً توجه داشته باشید که این مثالها منعکسکننده پیشزمینه من در حوزه خدمات مالی هستند.
بانک سرمایهگذار
معمولاً یک بانک سرمایهگذار، بیشتر بر روی یک هدف خاص (درآمدزایی) متمرکز میشود. از دیدگاه چنین بانکهایی هر آنچه که منجر به انحراف آنها از این مسیر شود، تلف کردن وقت و زمان است. اگر پیشنهادی برای تغییر در یک فرایند ارایه دهید یا یک سری کارهای اضافه پیشنهاد کنید که موجب کاهش درآمد یا افزایش هزینهها شود، بلافاصله پشیمان خواهید شد. زبان مورد استفاده، اغلب وقت ها مردانه و پرخاشگرانه است. کار با چنین افرادی در حوزه امنیت اطلاعات میتواند فوقالعاده دشوار باشد اما یک راهکار برای این شرایط وجود دارد که در کمال تعجب پایههای آن در انقلاب کمونیسم وجود دارد.
Ho Chi Minh
Ho Chi Minh یکی از مؤثرترین رهبران نظامی تاریخ است که متأسفانه دستکم شمرده شده است. وی در ابتدا رهبر ویتنام شمالی در مبارزه بر ضد فرانسویها و سپس آمریکاییها بود. شاید به دلیل این که او مثل اسکندر، سزار و بناپارت سرزمینهای دیگر را فتح و تسخیر نکرد، جایگاهش در تاریخ به خوبی ثبت نشده است. او تنها در ویتنام جنگید (با چند استثنا در کامبوج و لائوس). فلسفه او مبتنی بر رهبری از پشت (جبهه) بود. او گروههای استقبالکننده، مأموران مخفی و اتومبیل خدمت نداشت. تنها هدف او پیروزی بود. غذای او با غذای کارکنانش یکی بود و برای همه چیز از آنها قدردانی میکرد. نتیجه این شرایط، شکست خوردن آمریکا بود. او پیروز شد به این دلیل که نیروهای وی برای خودشان کار میکردند. شما هم میتوانید به هر هدفی برسید به این شرط که آماده واگذار کردن اعتبار پیروزی باشید. کاری که Ho Chi Minh انجام داد همین بود. برای این که مدیر یک بانک سرمایهگذار را متقاعد به انجام کار مورد نظرتان کنید، کاری کنید که تصور کند این ایده خود او است و آماده واگذاری اعتبار به وی باشید.
روش Ho Chi Minh در بسیاری از شرایط کار میکند نه فقط در فرهنگ مخصوص بانکداری سرمایهگذاری. همچنین توجه داشته باشید که استفاده از این روش در هر وضعیتی که مجبور به مذاکره با شخصیتهایی خودبین و با تمرکز حرفهای قوی هستید، مفید است. من شاهد پاسخدهی این روش برای گروهی از وکلا، کارمندان ارشد دولتی و مشاوران مدیریتی بودهام.
بانک خرد
بانکهای خرد بر اساس دستورالعملها زندگی میکنند. در گذشته شاهد نوشته شدن دستورالعملهای میزکار برای یک بانکدار معمولی بودم. این دستورالعملها روی یک برگه آچهار و در حجم بالایی نوشته شده بودند که یک قفسه 2 متری را پر میکرد. این برگهها حاوی همه چیز از نحوه کمک به افراد جهت باز کردن یک حساب جاری تا نحوه مدیریت و کنترل در هنگام سرازیر شدن حجم غیرمنتظرهای از سکههای خارجی هستند. همچنین دستورالعملهایی درباره رویههای مقابله با پولشویی، نحوه امحای دسته چکها و اقدام های لازم در هنگام حمله مسلحانه وجود دارد.
این بانکداری جنبههای مختلفی را برعکس بانکداری سرمایهگذاری دارد. در این سیستم شما برای مؤثر واقع شدن باید میل به صدور دستورالعمل را که در خط مقدم سیستم وجود دارد، درک کرده و پذیرای ماهیت فرماندهی و کنترل آن باشید. حتی یکی از بانکهای انگلیسی از بخش عملیاتی خرد خودش با عنوان بخش «تولید» یاد میکند.
شما هم برای این که از نظر آگاهی بخشی با یک چنین بانک و سیستمی کار کنید باید خودتان را با این ساختار یکی کرده و بخشی از فرماندهی و کنترل باشید. توصیه میکنم که از این مسیر به عنوان تنها ابزار عملیاتی استفاده نکنید. در بسیاری از شرایط می توانید از ارتباطات داخلی هم استفاده کنید. صفت «بانک خرد» تنها محدود به دنیای اقتصاد نیست. به نظر میرسد که میتوانیم از آن در بسیاری از سازمانهای فرایندگرایی که دستورالعملها در آنها به شدت مستندسازی شدهاند هم استفاده کنیم که بسیاری از اداره های دولتی در این گروه قرار میگیرند.
بانکهای انحصاری
باید به بانکهای انحصاری نیز توجه داشته باشیم زیرا این بانکها یکی از انواع بانکهای خاص هستند و گاهی وقت ها نیاز به مدیریت سفارشی و خاصی دارند. به یاد دارم که زمانی سعی در ایجاد یک توافق درباره یک سری از خط مشیهای بین چند شرکت مجزا در یک گروه اقتصادی واحد داشتم. این گروه شامل یک بانک انحصاری، یک بانک سرمایهگذاری و سایر طرفهای دخیل بود. در حالی که بانک سرمایهگذاری سعی داشت تمام پیشنهادهای من را به حداقل برساند، بانک انحصاری تقاضا داشت که به صورت خیلی دقیق و خاص به آنها گفته شود چه کاری انجام شود. این گروه نسبت به بانک خرد، فرایندمحورتر هم بود. از نظر امنیت اطلاعات کار کردن با آنها فوقالعاده آسان بود. همچنین کاملاً مشتری محور و بسیار مشتاق به انجام کار صحیح بودند. یکی از فرهنگهای خاص بانک انحصاری، محافظت از مشتری (گاهی وقت ها حتی با وجود تحمیل هزینه اقتصادی برای خودشان) بود.
اگر به تمرکز مشتری محور آنها توجه داشته باشید و خطمشیها، دستورالعملها و راهنماها را به گونهای تهیه کنید که منعکسکننده این روحیه باشد، احتمال موفقیت شما برای تغییر رفتارهای امنیتی آنها بسیار بالا خواهد بود. هر چیز دیگری که خارج از این محدوده قرار بگیرد، اثربخشی کمتری خواهد داشت. به عنوان مثال تبلیغ کردن گواهینامه ایزو 27001 به عنوان ابزاری برای کمک به بازاریابی تأثیر کمتری خواهد داشت تا این که توضیح دهید چطور میتوان از این گواهینامه استفاده کرد تا برای مشتریان ارزشمند شرکت این تضمین ایجاد شود که به خوبی از داراییها و اطلاعات شخصی آنها محافظت میشود.
تحقیق و توسعه فناوریهای پیشرفته
هیچ چیز مثل مجموعهای از پژوهشگرهای علمی (کارمندان بخش تحقیق و توسعه با تخصص بسیار فنی) برای ایجاد سیستمهای سفارشی نیست. آنها چنین کاری را میپسندند بیشتر به این دلیل که از نظر عملیاتی قابل بحث بوده و دلایل و دیدگاههای ویژه خودشان را دارند.
من شاهد پیادهسازی سیستمهای ایمیل و پیامرسانهای غیراستانداردی بودم که مانع نصب کارآمد راهکارهای ضدویروس و نرم افزارهای بررسی محتوا میشدند. معمولاً دلیل آنها برای استفاده از چنین مجموعه ایمیل سفارشیسازی شدهای این بود که «از نظر استفاده از پردازشگر، بسیار فوقالعاده هستند». بسیاری از این پژوهشگرها زیبایی و برتری را در سطح توان عملیاتی پردازشگرها میبینند. شاید این کار ارزشهای خاص خود را داشته باشد اما برای بحث امنیت میتواند به شدت مضر باشد. اگر سازمان شما با اطلاعات و مطالب حساس سروکار دارد (مثل قراردادهای دفاع فناورانه) این موضوع کمی نگرانکننده است.
یکی دیگر از ویژگیهای چنین سازمانهایی که پژوهشگرهای علمی در آن نقش اصلی را دارند وجود این واقعیت آزاردهنده است که مهم نیست شما درباره یک مسأله فنی (ایمیل، ویروس، رمزنگاری و غیره) چقدر اطلاعات دارید؛ همیشه یکی از آنها است که اطلاعاتش بسیار بسیار بیشتر از شما یا تمام همکارانتان است. اغلب وقت ها این دانش فنی درباره پیادهسازی عملی این فناوریها هم وجود ندارد و معمولاً مانعی برای پیشرفت محسوب میشود.
اغلب وقت ها حاصل چنین فرهنگی، پیادهسازیهای فنی متنوع و مختلف به همراه پلتفرمهای غیراستاندارد (با استفاده از تمام برندهای لینوکس و یونیکسی که تا به حال ابداع شدهاند) است که بر روی سخت افزارهای ناشناخته (معمولاً این گروه عاشق مک اپل هستند) اجرا میشوند.
این گروه، محدود به تحقیق های علمی نیستند. آنها در حوزه پخش تلویزیونی هم نقش زیادی دارند (سیستمهای پخش تلویزیونی صدها پیادهسازی سفارشی مختلف دارند که روی پلتفرمهای مختلف اجرا میشوند).
با استفاده از روش Ho Chi Minh می توان در این شرایط هم کار کرد (باید آنها را متقاعد کنید که ایده مورد نظر، ایده آنها است). همچنین باید توجه داشته باشید که این گروه، انگیزههایی غیر از سود و منفعت دارند مثل کنجکاوی یا تولید برنامههای تلویزیونی باکیفیت.
نقطه قوت این گروه، هوشمندی بسیار زیاد آنها است. اگر شما کار خودتان را به صورتی جلوه دهید که به نظر برسد به خوبی روی آن تحقیق شده و شامل حقایق قابل توجیه است میتوانید تفکر آنها را تغییر دهید. مشارکت دادن آنها در هر فرایند تحلیل مخاطرهای میتواند پیامدهای چشمگیری داشته باشد. آنها با توجه به مهارتها و دانش عمیقی که دارند میتوانند ارزش بسیاری برای این فرایند داشته باشند، به خصوص در زمینه مخاطره فنی.
بیمه عمر
شهر ادینبورگ دارای برخی از متمرکزترین قدرتهای مالی جهان است که بخش زیادی از آن به مباحث مربوط به بیمه عمر گره خورده است. این قدرت، پشت نماها و معماریهای زیبای شهر پنهان شده و با احتیاط خاصی با آن برخورد میشود. این شرکتهای بزرگ بیمه عمر، مالک بخش قابل توجهی از بازار سهام انگلیس هستند و در سراسر جهان سرمایهگذاری کردهاند.
کار کردن با چنین شرکتهایی نیاز به یک سری ادراک ها و بینشهای خاص دارد. اول و مهمتر از همه این که اغلب وقت ها تصمیمگیرندگان در این شرکتها مخاطره سنجهایی[2] هستند که با مفاهیمی مثل دات کام (که در ادامه توضیح خواهیم داد) به شدت مخالف هستند. این افراد، محتاط بوده و به کسب و کارهای با مدلهای مالی نسبتاً سفت و سخت مقید هستند و بازه زمانی مورد استفاده آنها معمولاً به دههها گسترش مییابد. در حوزه سرمایهگذاری، بیشتر به دنبال رشد بلندمدت هستند تا بازگشت سریع. نگرانی اصلی آنها بیشتر بحث جامعیت است تا محرمانگی (هر چند این فاکتور را هم در نظر دارند). اگر سیستمهای سرمایهگذاری آنها جامعیت خود را از دست بدهد، خطاهای سال اول با سالهای دیگر ترکیب خواهد شد. پیچیدگی ارزیابی دوباره ارزش سرمایهگذاری به خصوص وقتی که جامعیت سیستم مورد تردید باشد میتواند تأثیر چشمگیری بر وجهه عمومی سازمان داشته باشد. این شرکتها بر اساس وجهه عمومی خودشان زندگی میکنند و هر گونه آسیبی به آن میتواند منجر به نابودی آنها شود.
با توجه به این ویژگی ها شما باید اهمیت جامعیت اطلاعاتی و حرفهای را در این سازمانها درک کنید. ابزارها و روشهایی که میتوانند در سایر سازمانهای مالی مؤثر باشند ممکن است به راحتی در کسب و کارهای بیمه عمر شکست بخورند.
دات کام
فرهنگ دات کام در واقع یک نوع فرهنگ سازمانی است که در استارتاپهای فناورانه پیشرفته شکل میگیرد. کارمندان این شرکتها معمولاً برای ساعتهای طولانی سخت کار میکنند و اغلب شامل افراد جوان ماهر (و کم تجربه) هستند. چنین ترکیبی برای این نوع توسعه که نیاز به انگیزه، انرژی، خلاقیت و مقاومت دارد ضروری است؛ اما آنچه معمولاً مشاهده نمیشود، توجه به ساختار و فرایندها است که در بسیاری از مواقع این المانها پایه و اساس امنیت خوب هستند.
به نظر میرسد که حدوداً دو سال بعد از شروع کار، این شرکتها با یک وقفه روبرو میشوند. این موضوع بستگی زیادی به تلاشها و حسن نیت افراد تا این لحظه دارد. پس از دو سال، این واقعیت دردناک که شرکت باید رشد کند به برخی کارمندان شوک وارد میکند و میتواند منجر به مشاجره های داخلی زیان باری شود. یکی از دلایل آن نیاز به تغییر طرح فکری افراد همراه با فرهنگ سازمانی درست است که همیشه منجر به آسیبرسانی میشود.
اگر شما هم بتوانید از ابتدا با این استارتاپها همراه شوید، خواهید توانست اصول امنیتی را در ذهن افراد نهادینه کنید. احتمالاً متوجه میشوید که خیلی راحت ممکن است در دو تله گرفتار شوید: اولین راه این است که شما با شرایط کنار بیایید و متوجه میشوید که ادامه دادن کار طبق جریان بدون ساختار موجود، راحتتر از دفاع از امنیت است. دومین مسیر این است که دایماً با غم و ناراحتی سعی به اصلاح شرایط داشته باشید و بنابراین اعتباری که برای کارآمد بودن در طول زمان به آن نیاز دارید را از دست میدهید.
روش Ho Chi Minh هم در این مواقع کار میکند اما نکتهای که باید در این شرایط به خاطر داشته باشید این است که دیگران شما را چگونه میبینند. هیچ چیز مثل یک مهلت سفت و سخت و یک بودجه محدود باعث نمیشود که شما ملزم به ارزیابی دقیق مزایای هزینهای کنترلهای پیشنهادی خودتان شوید. اگر نتوانید آن را توجیه کنید احتمالاً پیادهسازی نخواهد شد. این موضوع در تمام شرایط صدق میکند اما معمولاً در یک استارتاپ دات کامی بیشتر مشاهده میشود.
امنیت ملی
سازمانهای دخیل در حوزه امنیت ملی، دستور کار و برنامهای بسیار متفاوت با سازمانهای تجاری دارند. اولین ملاقات من با افراد حوزه امنیت دولتی یک شوک بود از این جهت که در نهایت ملزم به پرسیدن این سؤال از خودم شدم که «آیا واقعاً مردم چنین کارهایی را انجام میدهند؟».
منظورم از چنین کارهایی بیشتر طرح مورد استفاده دولت انگلستان برای طبقهبندی اطلاعاتش است. نام این طرح، طرح علامتگذاری محافظتی بود. این طرح، تمام اطلاعات با هر شکل و فرمی را در کل دولت انگلیس در بر میگیرد از جمله بحث دفاع و امنیت ملی.
اگر در چنین سازمانهایی کار میکنید، تنها گزینه پیش روی شما استفاده از این طرح است. نمیتوانید (به صورت رسمی) از هیچ روش دیگری استفاده کنید. این یکی از حوزههای نادری است که در آن پایبندی به قانون، اصل همیشگی محسوب میشود.
حرفهایها
در بسیاری از سازمانها یک هسته از افراد حرفهای وجود دارد (یا افرادی که خودشان را حرفهای تصور میکنند) که با تمام افراد دیگر متفاوت هستند. حوزه قضا (قضات)، پزشکان، مخاطره سنجها، مأموران نظارتی، وکلا و معلمان جزو این گروه هستند. در هر یک از این موارد، تجربه کار با افرادی را داشتهام که خودشان تصمیم میگیرند یکسری از شرایط به آنها اعمال میشود (یا اعمال نمیشود). این گروه معمولاً خواهان یکسری کنترلهای خاص (یا معافیتهای ویژه) هستند زیرا تصور میکنند که خودشان یک مورد و حالت خاص هستند. در بسیاری از شرایط این موضوع درست بود اما در بسیاری دیگر از شرایط صرفاً تلاشی برای متمایز دانستن خودشان از توده مردم بود.
در بعضی از شرکتهای بیمه، بیشتر اعضای تیم مدیریت متشکل از جامعه اساتید مخاطره سنجی[3] (FFA) هستند. جای شک نیست که چنین همکاری، اهمیت فوقالعادهای دارد زیرا حاوی دانش پایه و فرهنگ سازمانی مورد نیاز برای اداره کردن یکسری از کارهای بیمهای مهم است. اما متأسفانه به نظر من چنین نهادی در واقع حالت خود انتخابی دارد و فاقد سرزندگی، تازگی و فرهنگ سازمانی است که تنوع و تغییر اعضا با خود به همراه خواهد داشت.
به هر حال FFAها نهادهایی هستند که اغلب حس میکنند نیاز به توجه و رفتارهای خاص دارند. همین موضوع برای دلالان داخل بانکهای سرمایهگذاری هم صدق میکند. این گروه، درآمدهای کلانی برای شرکت (و خودشان) به همراه دارند. بنابراین چرا باید اجازه دهند موضوع های بوروکراتیک به ظاهر بیاهمیتی (مثل امنیت) سد راه آنها شود؟
چنین تمایز قایل شدنی یکی از عناصر مهم «درآمد روانشناختی» است که بسیاری از مردم از کارشان به دست میآورند.
حاکمیت امنیتی
مردم به دلایل مختلفی مسیرهای مختلفی را در زندگی خودشان انتخاب میکنند. من هم به این دلیل حوزه امنیت اطلاعات را انتخاب کردم که برای من جدید و جذاب به نظر میرسید و من فردی که این بخش را اداره میکرد، دوست داشتم.
جای شک نیست که برخی افراد به دلایل اشتباه، رشته امنیت را انتخاب میکنند. آنها کنترل کردن را دوست دارند (کتاب Dixon تحت عنوان «روانشناسی بیکفایتی نظامی» را مطالعه کنید تا متوجه تأثیرها و پیامدهای منفی این موضوع شوید). این موضوع برای بسیاری از حوزههای تخصصی صدق میکند از این جهت که خیلی از افراد به دلایل مشابه به پلیس یا ارتش ملحق میشوند.
وجود این عزم قاطع که تمام بخشهای یک استاندارد باید اعمال و پیادهسازی شوند میتواند ناکارآمد باشد. اگر افراد نتوانند با یک کنترل امنیتی ارتباط برقرار کنند در صورتی که برایشان ممکن باشد، آن را دور خواهند زد. ممکن است کل عملکرد امنیت اطلاعات مورد اعتراض قرار بگیرد. اگر متوجه وجود استبداد شدید یا به دنبال از بین بردن آن هستید بهترین رویکرد، اطمینان از وجود مجموعه کنترلهای مناسب جهت پیشبرد فرهنگ سازمانی درست است.
اگر نیاز به اعمال تغییراتی وجود داشته باشد (که احتمالاً همینطور است) باید مخاطبان خودتان را تا حد امکان در این فرایند دخالت دهید. این رویکرد میتواند شما را در مسیری متفاوت با استبداد قرار دهد که برای من اجتنابناپذیر است. باید با استبداد در هر شکل و فرمی مقابله کرد.
خلاصه
برای رویارویی با مسأله فرهنگ میتوانید اقدام های نسبتاً سادهای را انجام دهید. مثل تمام پیشنهادها و توصیههای دیگری که در این مقاله مطرح شده در این زمینه هم باید توجه داشت که هیچ راهکار جادویی وجود ندارد. با توجه به این که روش مرحلهای مورد استفاده در این کتاب با «مدیریت با استفاده از حقایق» آغاز میشود، من هم تنها میتوانم همین کار را توصیه کنم. پس شما باید نوع فرهنگی که قرار است با آن سروکار داشته باشید را مشخص کنید؛ که گاهی وقت ها به آن شناسایی دشمن هم گفته میشود.
شناسایی انواع فرهنگ، کار سادهای نیست. جنبههای مختلف فرهنگ سازمانی به قدری زیاد هستند که تنها مدلهایی مثل مدلهای مطرح شده توسط Hofstede به شما کمک خواهند کرد. این مدل، یک چارچوب خاص ارایه میکند به خصوص اگر به دنبال مقایسه سازمانهای مختلف هستید.
میتوان برخی المانهای فرهنگی را ارزیابی کرد اما باید بیشتر اطلاعات به صورت غیررسمی جمعآوری شوند. یک روش مرحلهای با استفاده از ساختار زیر هم میتواند مفید باشد. شما باید هدف خودتان را تحلیل کنید تا موضوع های زیر مشخص شوند:
- اخلاق/ فلسفه: این بخش شامل دیدگاههای کلی کارمندان، ارتباط سازمان با جامعه اطراف و رویکرد اخلاقی سازمان در قبال سود و پاداش است (مثلاً آیا به کارمندان سهام یا اوراق مشابهی اهدا میشود؟).
- خط مشیهای سازمانی: این موضوع را میتوان به مدیریت زمان ارتباط داد (آیا سازمان امکان انعطافپذیری برای ساعت های کاری، کار در منزل، روزهای فراغت از کار و غیره را فراهم کرده است؟). آیا روشهای خاصی برای رویارویی با مسایلی همچون زورگویی و رفتارهای پیش داورانه وجود دارد یا یک فرهنگ نانوشته ایجاد شده است؟
- جو اعتماد: آیا کارمندان حس اعتماد داشته و باور دارند که به نظرات آنها احترام گذاشته میشود؟ آیا عناصری مثل طرح ساختمانها منعکسکننده روابط سلسله مراتبی هستند و آیا سیاست درهای باز در سازمان غالب است؟
رویکردهای گفته شده، پاسخ تمام سؤال ها نخواهند بود بلکه تنها شروع کار هستند. به فرهنگ توجه داشته باشید و مراحل زیر را در نظر بگیرید:
- به خودتان یادآوری کنید که ممکن است به راحتی خط مشیهای مربوط به امنیت اطلاعات و سایر هنجارهای شکل گرفته با طرح رفتاری مورد استفاده بسیاری از افراد و حتی فرهنگ سازمانی در تناقض قرار بگیرند.
- به همکاران خودتان که در حوزه امنیت اطلاعات کار میکنند یادآوری کنید که پیروی نکردن افراد از خطمشیها به دلیل حماقت آنها یا داشتن نگرشی خاص نیست.
- گوش کنید.
- گوش کنید.
- گوش کنید (احتمالاً حالا نکته مورد نظر برای شما مشخص شده است)!
در بحثها پذیرای نظرات دیگران باشید. افرادی که در زمین بازی هستند نسبت به شما درباره کسب و کار مربوطه بسیار مطلعتر هستند. در مدیریت ژاپنی از یک روش خاص بسیار استفاده میشود: اگر در یک ملاقات به دنبال دیدگاه هستید، اول از تازهکارترینها بپرسید. این کار موجب میشود که این افراد بدون نیاز به دنبال کردن الگوهای شکل گرفته توسط یک شخص ارشدتر، اطلاعات صادقانهتری را در اختیار شما قرار دهند و در نتیجه از رنجش سخنگو و بیآبرویی آن پیشگیری میشود (که در فرهنگ ژاپنی و سایر فرهنگهای مشابه بسیار مهم است).
در آخر هم این که یادتان باشد تغییرات فرهنگی و فرهنگ سازمانی نیاز به زمان دارند. تغییرات کارآمد، تغییرات پایدار و تدریجی هستند و نه انقلابهای مداوم.
- [1] Ministry of Defence
- [2] مخاطره سنج یا بیمسنج، فردی متخصص در برآورد اثرات مالی مخاطرات و عدم قطعیت بر تجارت، فعالیتهای اقتصادی و مالی، بیمه و بانک است. بخشی از آن، مدیریت مخاطره را در شرکتها در برمیگیرد که شامل بررسی ترازنامه و میزان داراییها و بدهیهای شرکتها است.
- [3] Fellows of the Faculty of Actuaries