مقالات

فرهنگ امنیت اطلاعات و رفتار کارکنان

انواع فرهنگ سازمانی و امنیت اطلاعات

فرهنگ و حتی فرهنگ سازمانی از زمان قدیم، با شکل ها و گونه های مختلف در زندگی ما وجود داشته است تا امروزه به شکل فعلی درآمده است

یک گفته قدیمی وجود دارد که می‌گوید: «هر زمان کلمه فرهنگ را می‌شنوم، دست به اسلحه می‌شوم». فرهنگ، کلمه‌ای است که زیاد آن را می‌شنویم اما از طرفی تأثیر زیادی بر نحوه عملکرد هر سازمانی دارد.
بحث امنیت اطلاعات از جهت­ های مختلف، یک موضوع جدید است و شاید در سایر رشته‌ها پیشرفت‌های مطالعاتی بیشتری درباره بررسی تأثیرات فرهنگ بر فعالیت‌های صنعتی یا تجاری انجام شده باشد. با این حال از آنجا که در موضوع امنیت اطلاعات، رفتار کارمندان محوریت اصلی را شکل می‌دهد، درک آنها از فرهنگ و تأثیر آن بر عملکرد آنها بسیار چشم­گیر است.

 

فرهنگ سازمانی چیست؟

فرهنگ سازمانی را می ­توان به این صورت تعریف کرد: «یک سیستم مشترک از هنجارها (ارزش‌ها) و باورها» یا «ترکیبی از الگوهای رفتاری، ادراک­ ها، نگرش‌ها و ارزش‌های فردی و گروهی». همچنین می‌توان آن را «یک الگوی پیچیده از باورها، انتظارات، ایده‌ها، ارزش‌ها، نگرش‌ها و رفتارها در یک سازمان دانست که افراد را به هم پیوند داده و بر تفکر آنها نسبت به خودشان و کاری که انجام می‌دهند، تأثیرگذار است».

بعضی تحلیل­گران از اصطلاح «ارزش‌های غالب» برای شناسایی عناصر فرهنگی استفاده می‌کنند. به عنوان مثال اگر یک شرکت فقط ارایه دهنده خدمات باشد، اصطلاح ­های متداولی همچون «اول مشتری» تجلی‌گر چنین ارزش‌هایی هستند. الگوهای کاری (آیا افراد همواره بدون دریافت دستمزد، اضافه‌کار انجام می‌دهند؟) و چیزهایی مثل دستورالعمل نحوه پوشش، نمونه‌های دیگری از تجلی فرهنگ سازمانی هستند.

فرهنگ سازمانی

نکته قابل توجه درباره فرهنگ سازمانی این است که در یک دوره زمانی طولانی شکل ‌گرفته است و از طریق چندین حامل از جمله اساطیر (که به آنها افسانه هم گفته می‌شود)، اشراف زادگان، اساتید و غیره منتقل شده است. مدیریت رسمی تنها حامل فرهنگ نیست بلکه نقش کوچکی در کل این فرایند دارد. بنابراین هر تلاشی برای تحمیل یک فرهنگ جدید (چه مربوط به فروش یا ایمنی باشد یا بحث امنیت) با مقاومت روبرو خواهد شد.

سازمان‌های بزرگ دارای سیاست‌ها، مقررات، استانداردها، قوانین رسمی و رویه‌های کاری مختلفی هستند. بیشتر سازمان‌ها بر اساس قوانین غیررسمی و معاهده‌های اجتماعی (که اغلب به آنها «قوانین نانوشته» گفته می‌شود) کار می‌کنند؛ اما خنده ­دار است که یکی از کارآمدترین ابزارهایی که کارمندان از آن برای ایجاد فشار بر مدیریت استفاده می‌کنند، «کار کردن در محدوده و چارچوب مقررات» است.

در انگلستان، وزارت دفاع[۱] (MoD) یک فرهنگ کاملاً تعیین شده دارد که طبق آن میزها باید در انتهای هر روز کاری تمیز باشند و کاغذهای طبقه‌بندی شده، بسته به حساسیت اطلاعات آنها در قفسه‌های مناسب قرار گیرند. با توجه به ماهیت اطلاعاتی که MoD با آنها سروکار دارد، پیاده‌سازی چنین قانونی درباره میز پاک نسبتاً ساده است. در سایر فرهنگ‌ها، خط‌مشی میز پاک یکی از آرزوهای دور از دسترس برای مدیریت امنیت اطلاعات محسوب می‌شود.

 

خط‌مشی میز پاک

افرادی که از خط‌مشی میز پاک پیروی نمی‌کنند، معمولاً آن را جزو قوانین سخت و بی‌رحمانه تلقی می‌کنند. تمیز کردن میزکار در انتهای هر روز فواید زیادی دارد. این کار علاوه بر محافظت از اطلاعات حساس در برابر سرقت و چشمان کنجکاو، مزایای دیگری هم دارد از جمله این که کاغذ در برابر گرما مقاوم است (به شرط این که در معرض شعله قرار نگیرد) و اگر خشک نگه داشته شود، عمری طولانی دارد.

اگر هر شب کارهای خودتان را روی میزکار رها کنید، خودتان را در معرض خطرات سرقت و افشای اطلاعات قرار داده‌اید. اگر آتشی در محل وجود داشته باشد، احتمال سوختن کاغذ بیشتر می‌شود. اگر نسوزد ممکن است در معرض آسیب با آب قرار بگیرد (مثلاً توسط آب‌پاش‌های ضدحریق).

اگر پنجره‌ها باز باشند، احتمال این که باد آنها را جابه­ جا کند (یا حتی گم شوند) بیشتر می‌شود. از آنجا که معمولاً کارهای روی میز، جزو کارهای در دست تکمیل هستند بعید است که از آنها یک نسخه پشتیبان داشته باشید.

فرهنگ سازمانی

مسئولان امنیت مرتکب به کاربران هشدار داده و از افراد درخواست می‌کنند که هر شب مستندات کاری­شان را در یک محفظه قفل‌دار قرار دهند یا از آنها درخواست می‌کنند که کاغذهای حساس را در جای مشخصی بگذارند؛ اما معمولاً از کاربران می‌شنویم که قفل کشوها و کمدها شکسته است یا دیگر جای کافی برای قرار دادن اسناد در یک کمد قفل‌دار را ندارند.

سیاست‌های پیچیده درباره قفل کردن و استخراج اطلاعات حساس را کنار بگذارید؛ فقط از افراد بخواهید که هر شب وسایل­شان را در یک کشو قرار دهند. این کار خطر آسیب رسیدن یا گم شدن اطلاعات از طریق سرقت، آتش‌سوزی، آب و باد (حتی زلزله) را کاهش می‌دهد. احتمال اجرا شدن یک تقاضای ساده توسط افراد بسیار بیشتر است، به خصوص وقتی به آنها بگویید دلیل این درخواست چیست.

 

سلامت سازمانی

سلامت سازمانی مفهومی است که ارتباط نزدیکی با مفهوم فرهنگ سازمانی دارد. این مفهوم فقط به سلامت مالی محدود نیست بلکه بیشتر می‌توان آن را نوعی کاهش مخاطره دانست. احتمال ناامن بودن یک سازمان ناسالم بیشتر است. کنترل بیش از حد هم می‌تواند به اندازه نداشتن کنترل، ویرانگر باشد. در گذشته زمانی با یک بازرس ارشد کار می‌کردم که بر استفاده از کنترلی به نام «ورود و بررسی» تأکید داشت. فرایند ورود و بررسی به این ترتیب بود که در آن یک برنامه‌نویس ارشد، کدهایی را که قبلاً یک برنامه‌نویس تازه‌کار وارد کرده بود با انجام دوباره کارهای او بررسی می‌کرد. به این ترتیب خطاها به سرعت شناسایی می‌شدند.

در این شرایط چنین کنترلی منطقی و مناسب به نظر می‌رسد اما استفاده از این روش برای بررسی کیفیت اطلاعات متنی که وارد یک پایگاه داده می‌شوند، نامناسب است. در این مثال، منبع داده‌ها یک فرم دست‌نویس بود. صفحه ورود اطلاعات به صورت متن آزاد بود (احتمالاً به همراه یکسری فیلدهای عددی). این امر منجر به وجود تفاوت‌های اجتناب‌ناپذیر بین داده‌های وارد شده توسط کاربر و بررسی‌کننده می‌شد.

احتمال تبدیل کاراکترها، اشتباه ­های املایی و تفسیر نادرست کاراکترها (در بسیاری از وقت­ها تفسیر کردن دست‌نویس‌ها کار سختی است) زیاد و قابل توجه است.

این کنترل در دوره‌ای اجرایی شد که در آن حجم فعالیت­ های کسب و کار به شدت افزایش یافته بود و کار کارمندان دایماً در حال افزایش بود؛ اما اتفاق غیرمنتظره بالاخره روی داد. کارمندان برای کنترل سطح تقاضا شروع به تقلب کردند. آنها حجم کاری زیادی داشتند، مرخصی‌های استعلاجی شروع شد و کارمندان، کلمه های عبور را با دیگران به اشتراک می‌گذاشتند. این مسأله با ورود یک کنترل دیگر تشدید هم شد؛ این کنترل، متشکل از نرم افزاری بود که اعتبار کدپستی را بررسی می‌کرد.

افراد همیشه کدهای درستی را در فرم‌ها وارد نمی‌کردند. کارمندان متوجه وجود یک کدپستی شدند که در تمام شرایط کار می‌کرد (یک کد تستی که در اصل، توسعه‌دهندگان از آن استفاده می‌کردند). نتیجه این وضعیت، افت چشم­گیر جامعیت پایگاه داده بود و این مشکل هنگامی مشخص شد که بخش بازاریابی سعی داشت با استفاده از کدپستی به عنوان فیلد کلید، برای مشتریان جدید لیست ایمیل ایجاد کند.

دلیل اصلی این هرج‌ومرج و آشفتگی (که شامل کاهش رتبه، اخراج کارمندان و تحمیل هزینه‌های قابل توجه بود) کنترل بیش از حد بود، که خود آن یک نشانه مسلم از ناسالم بودن شرکت است. بسیار مهم و ضروری است که تلاش‌های صورت گرفته برای ایجاد فرهنگ سازمانی بر سلامت سازمان تأثیرگذار نباشد.

 

سازمان سالم چیست؟

شاید برجسته‌ترین ویژگی یک سازمان سالم «نگرش رابطه‌ای» باشد. روان­شناس فقید Robin Skynner و کمدینی به نام John Cleese این مفهوم را در کتاب­شان با عنوان «زندگی و چگونگی جان سالم به در بردن از آن» تشریح کرده‌اند که متشکل از ویژگی‌های زیر است:

  • اعتماد
  • گشودگی
  • تحمل استقلال
  • مجاز بودن به ارتکاب خطا.

این ویژگی­ ها در خلاصه زیر جمع‌بندی شده‌اند:

جان: باید این ضرب‌المثل انگلیسی قدیمی را شنیده باشید که «نابرده رنج گنج، میسر نمی شود مزد آن گرفت جان برادر که کار کرد».

روبین: بسیار عالی. در واقع در سازمان‌های سالم، مرتکب خطا شدن تابو نیست بلکه مخفی کردن خطاها و اشتباه ­ها تابو است.

Skynner و Cleese نقش مهمی برای تعیین تأثیر اقدام ­های ناسالم بر اثربخشی (یا به عبارتی سودآوری) سازمان‌ها داشته‌اند. به نظرم آنها می‌توانند تأثیر مشابه و چشم­گیری بر بحث امنیت داشته باشند. فرهنگ سرزنش می‌تواند باعث جلوگیری از جریان اطلاعات و منجر به ایجاد شرایطی شود که اقدام­ های امنیتی ضعیف را افزایش می‌دهد.

یکی از ویژگی های مهم امنیت اطلاعات، مدیریت درست و کارآمد اطلاعات است. اطلاعات، پایه و اساس انجام سایر فعالیت ها به شمار می روند. بدون اطلاعات، شما یک انسان نابینا هستید. اگر اطلاع نداشته باشید که با چه خطراتی روبرو هستید نمی‌دانید که زمان و بودجه خودتان را کجا سرمایه‌گذاری کنید. بدون مدیریت درست اطلاعات نمی‌توانید به صورت کارآمد و اثربخش عمل کنید.

یکی از ویژگی‌های برجسته‌ای که در یک سازمان ناسالم مشاهده می‌شود، ضعف گردش اطلاعات و فرهنگ سازمانی است. دلیل این موضوع ترس افراد از گزارش رویدادها است به این علت که می‌دانند در این سازمان تمایلی برای «تیراندازی به سمت خبررسان» وجود دارد. عده دیگری سعی می‌کنند حقایق را تحریف کنند (یا حذف کنند) صرفاً به این دلیل که نمی‌خواهند به عنوان شخصی که مرتکب خطا شده به نظر برسند. نتیجه این شرایط، ضعف در اطلاعات مدیریتی است که این امر به نوبه خود باعث ایجاد اختلال در ارزیابی مخاطره شده و در نتیجه، تصمیم‌گیری‌های ضعیفی برای سرمایه‌گذاری انجام می‌شود و در نهایت نیز امنیت کاهش خواهد یافت.

 

اگر شما هم در یک سازمان ناسالم کار می‌کنید، چندین گزینه در پیش رو دارید. می‌توانید:

  • آنجا را ترک کنید (گزینه‌ای که من به شخصه بیشتر از یک ­بار انتخاب کرده‌ام). کوبیدن سرتان به یک دیوار آجری هیچ فایده‌ای برای شما ندارد.
  • پیامدهای چنین شرایطی را درک کرده و کارهای­تان را بر اساس آن مدیریت کنید.
  • سعی کنید فرهنگ سازمانی را از درون تغییر دهید.

شاید بتوان گفت که آخرین گزینه، صادقانه‌ترین و دشوارترین گزینه است. این گزینه یک جمع‌بندی از مسایل اصلی تشریح شده در این مقاله است؛ تغییر دادن کار سختی است و تغییر دادن افراد، از همه سخت‌تر است.

شما در یک سازمان ناسالم چه کاری انجام می‌دهید؟ من کارهای زیر را توصیه می‌کنم:

  • در تمام معاملات، صادق و روراست باشید. نقش بازی نکنید؛ اگر این کار را انجام دهید در نهایت گرفتار خواهید شد.
  • به خاطر داشته باشید که انگیزه بسیاری از افراد، هیچ ارتباطی با هدف­ های گفته شده برای سازمان ندارد بلکه بیشتر با اهداف، مقاصد و حتی بقای خودشان مرتبط است.

یکی از ویژگی‌های اصلی هر موجودیت (شخص، شرکت، خانواده و غیره) سالمی، تعادل است. برای توسعه معیارهای ارزیابی موفقیت نسبی برای بخش‌های مختلف سازمان‌های بزرگ می­ توان از مفهوم کارت امتیاز متعادل استفاده کرد. کلمه کلیدی در اینجا «متعادل» است. هدف شما این است که تعیین کنید هر بخش سازمان، از نظر جنبه‌های زیر چقدر موفق بوده است:

  • پول
  • افراد
  • فرایندها.

وقتی جوانب متفاوت یک سازمان، مستلزم نیازهای خاصی است (و با آنها روبرو می‌شود) می‌توان این جنبه‌ها را به صورت زیر هم بیان کرد:

  • مالی: نیازهای مالی را مشخص می‌کند.
  • مشتری: نیازهای مشتری را مشخص می‌کند.
  • فرایندهای داخلی: فرایندهای کلیدی را مشخص می‌کند.
  • یادگیری و رشد: نیازهای کارمندان را مشخص می‌کند.

قوی‌ترین جنبه سلامت سازمانی، تعدیل است. محیط امنیتی مثبت لزوماً یک دیکتاتوری منضبط نیست که در آن همه افراد فقط کاری که به آنها گفته شده است را انجام دهند؛ بلکه ویژگی­ های زیر را به عنوان خصوصیات مفید و مطلوب برمی‌شماریم:

  • افراد، حوادث امنیتی را گزارش می‌دهند، حتی اگر در حیاط خلوت خود آنها هم رخ داده باشند.
  • افراد از مسایل امنیتی آگاه هستند.
  • افراد به افزایش سطح امنیت سازمان علاقه دارند.
  • هیچ کس به خبررسان تیراندازی نمی‌کند.
  • ارتباطات، همه جا در جریان است.

وقتی چنین فرهنگی شکل گرفت شما این امکان را دارید که مدیریت را با اطلاعات انجام دهید نه در ابهام و تاریکی. بدون این گزینه، کار شما تقریباً غیرممکن است.

 

نظریه X نظریه Y

مفاهیم دیگری هم با سلامت سازمانی در ارتباط هستند که هنگام در نظر گرفتن ماهیت و اثرات فرهنگ سازمانی باید به آنها توجه شود. شناخته شده‌ترین آنها، نظریه X – نظریه Y است.

نظریه X و نظریه Y توسط Douglas McGregor (یک روان­شناس اجتماعی آمریکایی) برای توصیف دو سیستم مبتنی بر باور تشریح شده است. McGregor نظریه خودش را در کتاب خویش با عنوان «جنبه انسانی سازمان» که در سال ۱۹۶۰ منتشر شد، مطرح کرده است. نظریه X می‌گوید مردم علاقه‌ای به کار کردن ندارند و باید با فریب، تحکیم و زور آنها را وادار به عمل کرد. نظریه Y با آن مخالف است و می‌گوید افراد، مشتاق به همکاری هستند و خودشان بدون نیاز به تهدید و زور، کارها را آغاز می‌کنند. کار McGregor تا سال‌ها اعتبار خود را حفظ کرد و اصول مطرح شده توسط او همواره در مطالعات مربوط به مدیریت و توسعه سازمانی مورد استفاده قرار می‌گرفت.

فرهنگ سازمانی

McGregor باور دارد مدیرانی که به نظریه X متمایل هستند، عملکرد ضعیف‌تری دارند و بهترین نتایج را از کارمندان­شان دریافت نمی‌کنند. نظریه X یک سبک مدیریتی اقتدارگرا است.

نظریه Y را می‌توان یک نظریه متمایل به مشارکت تلقی کرد که طبق آن بیشتر مردم مسئولیت‌پذیر و جاه‌طلب هستند و هدف اصلی آنها از کارکردن، امنیت شخصی نیست.

طبق نظریه Y کار کردن هم مثل چیزهای طبیعی دیگر است و افراد به استفاده از قابلیت‌های خلاقانه و رؤیاپردازی‌های خودشان علاقه دارند. Robert Townsend (رئیس قبلی شرکت Avis و نویسنده کتاب قدیمی Up the Organization) و Waterman و Peters نویسندگان «در جستجوی برتری» از جمله حامیان نظریه Y هستند.

Peters پیشنهاد می‌کند که از کارمندان­تان بخواهید کارهایی را که در وقت­ های فراغت انجام می‌دهند بنویسند. او به چند مهارت و قابلیت مختلف اشاره می‌کند که ممکن است چندان مسلم و آشکار نباشند. برخی از افراد در حد ماهرانه‌ای موسیقی کلاسیک می‌نواختند. دیگران، شرکت‌هایی (از جمله شرکت‌های برگزارکننده نمایش تئاتر) را با بودجه‌ای بسیار ناچیز اداره می‌کردند. این افراد به همان اندازه خودشان را وقف کار نمی‌کردند. Peters خواهان تشخیص دلیل این رفتار بود. در محیطی مطابق با نظریه X احتمالاً چنین سؤالی هیچ گاه پرسیده نمی‌شود و مزایای بالقوه آن برای افراد هیچ وقت مشخص نمی‌شود.

 

اگر قرار باشد در یک دنیای نظریه X کار کنید باید با ویژگی‌های اصلی یک مدیر نظریه X آشنا باشید. علایم و نشانه‌های چنین مدیری عبارتند از:

  • مغرور، فاصله ­گیر و غیرصمیمی
  • خطرات را به افراد زیردست خود محول می‌کند اما هرگز به آنها پاداش نمی‌دهد.
  • زودرنج است و این ویژگی با داد زدن و پرخاشگری نمود پیدا می‌کند.
  • هیچ اهمیتی برای رفاه کارمندان قایل نیست و هیچ وقت به آنها پاداش نداده و از آنها تشکر نمی‌کند.
  • هیچ همدلی با کارمندان ندارد و تصور می‌کند که روحیه دادن، کار بی‌ربط و بی‌اهمیتی است.
  • هیچ علاقه‌ای به سبک کاری تیمی و مشارکتی ندارد.
  • برای پرداخت حقوق و پاداش کارمندان، خساست به خرج می‌دهد.
  • اولتیماتوم صادر می‌کند (اغلب به همراه مهلت مقرر).
  • اغلب بدون قصد و نیت خوب مدیریت می‌کند.
  • هیچ وقت درخواست نمی‌کند، بلکه فرمان می‌دهد.
  • به تعیین مهلت و یک سری نتایج خاص پایبند است حتی اگر در طول زمان مشخص شود که این مهلت‌ها و خروجی‌ها به نفع سازمان نیستند.
  • یک فرهنگ سرزنش به وجود می‌آورد و اغلب وقت­ ها به دنبال شخص مقصر است (هیچ وقت از اشتباه­ های گذشته درس نمی‌گیرد).
  • بیشتر وقت ­ها در حالت صدور و ابلاغ فرمان است و به ندرت در حالت دریافت قرار می‌گیرد.
  • با فرمان دادن، دستورالعمل و تهدید کار می‌کند.
  • برای سرمایه‌گذاری جهت موفقیت‌های آینده، ضعیف عمل می‌کند.
  • دچار غرور و تکبر بیش از حد است.
  • قادر به تحمل افراد بیگانه و اشخاصی که مخالفت می‌کنند نیست.
  • مزایای کارها (مثل پاداش) را برای خودش می‌داند اما مسئولیت‌ها را به زیردستان محول می‌کند.
  • انتقادها را تلافی کرده و توصیه‌ها را قبول نمی‌کند.

آیا چنین ویژگی‌هایی برای شما هم آشنا است؟

 

پیروی و اجابت کردن

بین این مفاهیم که ارتباط نزدیکی با مفاهیم نظریه X و Y دارند، یک تضاد وجود دارد. روان­شناسان اجتماعی از این اصطلاح ­ها برای توصیف دو روش انگیزه گرفتن انسان‌ها استفاده می‌کنند.

پیروی بیشتر توسط نیروهای درونی فرد اداره می‌شود، مثل تمایل به بخشی از گروه بودن. ویژگی اصلی پیروی این است که رفتارهای ناشی از آن بیشتر ناخودآگاه هستند.

اجابت کردن بیشتر به صورت خارجی تحمیل می‌شود، معمولاً به همراه یک طرح تشویق یا تنبیه. مردم به این دلیل چیزی را اجابت می‌کنند که حس می‌کنند باید این کار را انجام دهند یا هزینه (هزینه مالی، احساسی، اجتماعی و غیره) پیروی نکردن از آن بسیار بالا است.

مشکل اجابت کردن این است که برای کار کردن آن باید آن را به صورت خط‌مشی تعریف کرد. تعیین خط‌مشی، هزینه زیادی دارد. ملزم کردن افراد به اجابت کردن چیزی، نیازمند هزینه و توجه مداوم است.

هر چند ممکن است فرایند متقاعد کردن افراد به پیروی، زمان‌بر و پرهزینه باشد اما در بلندمدت، این روش ارزان‌تر و کارآمدتر است. نقل قول زیر به خوبی این مسأله را مشخص می‌کند:

بسیاری از سازمان‌ها در هنگام تعیین خط‌ مشی‌های امنیتی، بیشتر بر افرادی متمرکز می‌شوند که قوانین را نقض می‌کنند اما بر اساس تمام اطلاعاتی که ما درباره اصلاح رفتار داریم باید برای این کار از پاداش استفاده کرد نه تنبیه. یکی از مدیران امنیت در یک شرکت بزرگ برای پیاده‌سازی خط‌مشی‌های امنیتی، پاداش و تنبیه را امتحان کرد.

کارمندان باید هنگام ترک اداره از حساب خودشان خروج (logout) می‌کردند اما رتبه مربوط به میزان برآورده کردن این خط‌مشی فقط حدود ۴۰ درصد بود. در یکی از بخش‌های سازمان، مدیر امنیت از روش‌های متداول استفاده می‌کرد، یعنی قرار دادن یادداشت‌های نه چندان خوشایند روی سیستم‌هایی که logout نشده بودند، گزارش دادن نام متخلفان به رئیس ­هایشان و تغییر کلمه عبور حساب‌های کاربری متخلف. در یک بخش دیگر، وی فقط کاربرانی را که از حساب کاربری­شان خارج شده بودند، شناسایی کرده و یک شکلات کاکائویی روی صفحه کلید آنها قرار داد. پس از یک ماه، رتبه پیروی از این خط‌مشی در بخشی که شامل تنبیه شده بود به حدود ۵۰ درصد رسید اما در بخش دیگر که از تشویق استفاده شده بود، رتبه پیروی به ۸۰ درصد رسید.

 

تمایل به خطر کردن

برخی از سازمان‌ها با خطر کردن پیشرفت می‌کنند (مثلاً بانک‌های سرمایه‌گذار). این سازمان‌ها را نمی ­توان مخاطره‌پذیر دانست. معمولاً مدیریت مخاطره در تمام فرایندهای آنها منعکس شده است و منابع کمی درباره تعریف دقیق رویه‌های امنیتی دارند (این موضوع تا حدودی به دلیل نداشتن صبر و بردباری در بسیاری از کارمندان پاسخگو در این سازمان‌ها است).

مخاطره‌پذیری از جنبه‌های دیگری هم متفاوت است. اغلب وقت ­ها در صورت وجود احتمال دستیابی به نتایج قابل توجه با وجود احتمال پیروزی کم، مردم تصمیم­ های مثبتی برای مخاطره‌پذیری می‌گیرند (در غیر این صورت کسب‌وکارهای برگزاری مسابقات لاتاری هرگز نمی‌توانستند به کارشان ادامه دهند).

بیشتر ما در صورتی که احتمال دستیابی به یک دستاورد بزرگ وجود داشته باشد، حتی اگر شانس پیروزی کمی داشته باشیم باز هم خطر می‌کنیم. همین موضوع برای بیمه نیز صدق می‌کند. ما همواره حق بیمه زیادی (که معمولاً و طبق آمار به زیان بیمه دهنده منجر می‌شود) برای محافظت از خودمان در برابر خسارت­ هایی با تأثیر بالا اما با احتمال کم (مثل مرگ زودرس یا آتش‌سوزی منزل) پرداخت می‌کنیم. بسیاری از مشکلاتی که ما برای به دست آوردن سرمایه در حوزه امنیت اطلاعات با آنها روبرو می‌شویم بر اساس نداشتن درک مناسب از مخاطرات است. موضوع ­های غیرقطعی بسیار زیادی وجود دارند که بسیاری از مدیران ارشد (که معمولاً مسئول بودجه هم هستند) آنها را نادیده می‌گیرند و پشت بیماری «این اتفاق هرگز در اینجا رخ نخواهد داد» مخفی می‌کنند.

 

فرهنگ ملی

در گذشته، در یک مؤسسه بزرگ در اتحادیه اروپا کار می‌کردم که متشکل از تمام ملیت‌ها از سراسر اتحادیه اروپا بود. مسئول تماس با مشتریان من یک اتریشی بود که زبان فرانسوی و انگلیسی و همین‌طور زبان مادری خودش آلمانی را به خوبی صحبت می‌کرد. او من را با مفهوم نگرش‌های انگلوساکسون آشنا کرد و باور داشت من تحت تأثیر آن قرار دارم. جوامع انگلوساکسون متشکل از انگلیس، آمریکای شمالی و استرالیا است. بدون شک در برخی مواقع کشورها و حوزه‌های دیگری هم جزو این دسته‌بندی قرار می‌گیرند؛ که یکی از آنها هلند است.

مشاهده ­های او درباره همکارانش جالب توجه بود. جنوبی‌ها (ایتالیایی­ ها، پرتغالی­ ها، یونانی‌ها و غیره) در زمان‌های متفاوتی نسبت به شمالی‌ها (آلمانی‌ها) غذا می‌خوردند. تفاوت‌های دیگری هم در شیوه برگزاری ملاقات‌ها، روش استفاده از قدرت و ابزارها و وسایل ارتباط با کارمندان و همکاران مشاهده شده است.

تعصب، ریشه در جهل و ترس دارد و می‌توان از تفاوت‌های بین ملیت‌ها و گروه‌های نژادی و مذهبی سوءاستفاده کرد. مشاهده ­های او تا حد امکان مبتنی بر شیوه‌های تجربی بودند و تحقیقاتی مثل تحقیقات Hofstede هم از آن پشتیبانی می‌کردند.

Hofstede تحقیقاتی درباره روش‌های رفتاری گروه‌های مختلف در شرکت IBM انجام داد. این تحقیق­ ها در سال‌های طولانی انجام گرفتند. او بر این باور بود که چهار جنبه و بعد مختلف هستند که تفاوت بین فرهنگ را تعیین می‌کنند و عبارتند از:

  1. فاصله قدرتی: فاصله قدرتی با توجه به تفاوت بین رؤسا و زیردستان آنها از نظر قدرت سازمانی ارزیابی می‌شود. فاصله قدرتی زیاد نسبت به فاصله قدرتی کم، نشان‌دهنده دیکتاتوری بیشتر است.
  2. اجتناب از عدم قطعیت: اجتناب زیاد از عدم قطعیت با سنتی­ گرایی، محافظه‌کاری و عقاید تعصب‌آمیز در ارتباط است و حتی علایمی از خرافه‌پرستی هم در آن مشاهده می‌شود.
  3. فردگرایی: فردگرایی (برخلاف جمع‌گرایی) در بلوک آنگلوساکسون و کشورهای پایین‌تر، به ویژه در بخش‌هایی از جنوب آمریکا و آسیای جنوب شرقی بسیار مشاهده می‌شود.
  4. حالت مردانگی: حالت مردانگی به قدرت، جاه‌طلبی و کمیت، ارتباط داده می‌شود. در مقابل، حالت زنانگی به روابط بین فردی و موضوع های خدمات ­گرا ارتباط پیدا می‌کند.

در تحقیقات بعدی که توسط Mant صورت گرفت، نتایج مطالعه Hofstede در قالب نمودار نمایش داده شد و تفاوت‌های بین هشت ملیت مختلف، به صورت گرافیکی به تصویر کشیده شد. بیشترین تناقض بین اهالی اسکاندیناوی و ژاپن مشاهده شد. این تفاوت‌ها به حدی زیاد بودند که Mant باور دارد روش‌های مدیریت ژاپنی‌ها در کشورهای شمال اروپا که زنانگی بیشتر، فاصله قدرت کمتر، اجتناب از عدم قطعیت کمتر و فردگرایی دارند، شکست می‌خورد. آنگلوساکسون‌ها فردگرا بوده، فاصله قدرتی و اجتناب از عدم قطعیت کمتر و حالت مردانگی بیشتری دارند.

به این ترتیب ما به این نتیجه رسیدیم که ویژگی‌های ملی بر فرهنگ سازمانی تأثیرگذار هستند. بنابراین حالا باید توجه کنیم که این تفاوت‌ها چه تأثیری بر آگاهی­ بخشی و آموزش امنیت سایبری دارند. این تأثیرات بیشتر در مخاطبینی که باید آنها را در نظر داشته باشیم تجلی پیدا می‌کنند.

روشی که برای یک سوئدی خوب کار می‌کند، لزوماً برای یک ایتالیایی به نتیجه نخواهد رسید. من به شخصه یکسری از واکنش‌های شخصی خودم در برابر بعضی از راهکارهای آموزش امنیت دانمارکی را به خاطر دارم. من در مقابل برخی از این راهکارها به دلیل «ملایمت و نرمی بیش از حد» واکنش نشان دادم و حس می‌کردم این راهکارها باید کمی تأکیدی‌تر باشند.

همکار دانمارکی من حس می‌کرد که من بسیار رسمی و خشن هستم، یا به عبارتی «بیش از حد آنگلوساکسونم». بعد از آن، محو تلاش‌های یکی از همکاران انگلیسی خودم برای متقاعد کردن یک مخاطب اسپانیایی درباره نیاز به وجود نظم و ترتیب در فرایند توسعه سیستم‌ها شدم (او متوجه نشد که بیش از حد سختگیر و مقرراتی به نظر می‌رسد) و بی‌نظمی و بی‌قیدوبند بودن مخاطبش او را آشفته کرده بود. راهکار چنین شرایطی به رسمیت شناختن و توجه به دیدگاه مخاطب نسبت به خودتان، کار مخاطب به صورت کلی و به بحث امنیت است.

 

مثال‌های فرهنگی

همیشه در هنگام توضیح دادن مثال‌های به دست آمده از طریق تجربه، این خطر وجود دارد که شما به سمت کلیشه و تعصب ­های شخصی حرکت کنید. من یک سری هیوریستیک (قوانین سرانگشتی) ساختم که به من کمک می‌کنند متوجه شوم با چه نوع سازمان و شخصیت‌هایی در حال کار هستم؛ به خصوص وقتی برای اولین ­بار در یک صنعت یا بخش جدید مشغول به فعالیت می‌شوم.

چنین مثال‌های فرهنگی، بیشتر مبتنی بر تفکراتی هستند که در بالا گفته شد اما در اصل چکیده‌ای از تجربه ­ها، مشاهده­ ها و تحقیق­ های خود من هستند. این روش شخصی برای من کار کرده اما قبول دارم که شاید به صورت عمومی و کلی قابل اعمال نباشد.

لازم به گفتن است که عمل کردن به این روش عمومی همیشه منجر به شکل‌گیری انتظارهایی خواهد شد. در بخش‌های بعد، برخی از ویژگی‌های تصور شده درباره فرهنگ بانکداری خرد را با بانکداری سرمایه‌گذاری مقایسه خواهم کرد. این دو دنیا لزوماً منحصربه ­فرد نیستند: تعداد زیادی بانکدار خرد وجود دارند که پرقدرت، نتیجه­ گرا و مستعد پذیرش خطر هستند.

همچنین بانکدارهای سرمایه‌گذاری وجود دارند که تفکرات­شان فرایندگرا، روشمند و ساختاردار است. تصور نمی‌کنم که این موضوع تأثیری منفی بر مثال‌های مورد نظر داشته باشد اما ماهیت کلی آنها را به خاطر داشته باشید.

لطفاً توجه داشته باشید که این مثال‌ها منعکس‌کننده پیش‌زمینه من در حوزه خدمات مالی هستند.

 

بانک سرمایه‌گذار

فرهنگ سازمانی

معمولاً یک بانک سرمایه‌گذار، بیشتر بر روی یک هدف خاص (درآمدزایی) متمرکز می‌شود. از دیدگاه چنین بانک‌هایی هر آنچه که منجر به انحراف آنها از این مسیر شود، تلف کردن وقت و زمان است. اگر پیشنهادی برای تغییر در یک فرایند ارایه دهید یا یک سری کارهای اضافه پیشنهاد کنید که موجب کاهش درآمد یا افزایش هزینه‌ها شود، بلافاصله پشیمان خواهید شد. زبان مورد استفاده، اغلب وقت­ ها مردانه و پرخاشگرانه است. کار با چنین افرادی در حوزه امنیت اطلاعات می‌تواند فوق‌العاده دشوار باشد اما یک راهکار برای این شرایط وجود دارد که در کمال تعجب پایه‌های آن در انقلاب کمونیسم وجود دارد.

 

Ho Chi Minh

Ho Chi Minh یکی از مؤثرترین رهبران نظامی تاریخ است که متأسفانه دست‌کم شمرده شده است. وی در ابتدا رهبر ویتنام شمالی در مبارزه بر ضد فرانسوی‌ها و سپس آمریکایی‌ها بود. شاید به دلیل این که او مثل اسکندر، سزار و بناپارت سرزمین‌های دیگر را فتح و تسخیر نکرد، جایگاهش در تاریخ به خوبی ثبت نشده است. او تنها در ویتنام جنگید (با چند استثنا در کامبوج و لائوس). فلسفه او مبتنی بر رهبری از پشت (جبهه) بود. او گروه‌های استقبال‌کننده، مأموران مخفی و اتومبیل خدمت نداشت. تنها هدف او پیروزی بود. غذای او با غذای کارکنانش یکی بود و برای همه چیز از آنها قدردانی می‌کرد. نتیجه این شرایط، شکست خوردن آمریکا بود. او پیروز شد به این دلیل که نیروهای وی برای خودشان کار می‌کردند. شما هم می‌توانید به هر هدفی برسید به این شرط که آماده واگذار کردن اعتبار پیروزی باشید. کاری که Ho Chi Minh انجام داد همین بود. برای این که مدیر یک بانک سرمایه‌گذار را متقاعد به انجام کار مورد نظرتان کنید، کاری کنید که تصور کند این ایده خود او است و آماده واگذاری اعتبار به وی باشید.

روش Ho Chi Minh در بسیاری از شرایط کار می‌کند نه فقط در فرهنگ مخصوص بانکداری سرمایه‌گذاری. همچنین توجه داشته باشید که استفاده از این روش در هر وضعیتی که مجبور به مذاکره با شخصیت‌هایی خودبین و با تمرکز حرفه‌ای­ قوی هستید، مفید است. من شاهد پاسخ‌دهی این روش برای گروهی از وکلا، کارمندان ارشد دولتی و مشاوران مدیریتی بوده‌ام.

 

بانک خرد

بانک‌های خرد بر اساس دستورالعمل‌ها زندگی می‌کنند. در گذشته شاهد نوشته شدن دستورالعمل‌های میزکار برای یک بانکدار معمولی بودم. این دستورالعمل‌ها روی یک برگه آچهار و در حجم بالایی نوشته شده بودند که یک قفسه ۲ متری را پر می‌کرد. این برگه‌ها حاوی همه چیز از نحوه کمک به افراد جهت باز کردن یک حساب جاری تا نحوه مدیریت و کنترل در هنگام سرازیر شدن حجم غیرمنتظره‌ای از سکه‌های خارجی هستند. همچنین دستورالعمل‌هایی درباره رویه‌های مقابله با پول‌شویی، نحوه امحای دسته چک‌ها و اقدام­ های لازم در هنگام حمله مسلحانه وجود دارد.

بانک خرد

این بانکداری جنبه‌های مختلفی را برعکس بانکداری سرمایه‌گذاری دارد. در این سیستم شما برای مؤثر واقع شدن باید میل به صدور دستورالعمل را که در خط مقدم سیستم وجود دارد، درک کرده و پذیرای ماهیت فرماندهی و کنترل آن باشید. حتی یکی از بانک‌های انگلیسی از بخش عملیاتی خرد خودش با عنوان بخش «تولید» یاد می‌کند.

شما هم برای این که از نظر آگاهی ­بخشی با یک چنین بانک و سیستمی کار کنید باید خودتان را با این ساختار یکی کرده و بخشی از فرماندهی و کنترل باشید. توصیه می‌کنم که از این مسیر به عنوان تنها ابزار عملیاتی استفاده نکنید. در بسیاری از شرایط می ­توانید از ارتباطات داخلی هم استفاده کنید. صفت «بانک خرد» تنها محدود به دنیای اقتصاد نیست. به نظر می‌رسد که می‌توانیم از آن در بسیاری از سازمان‌های فرایندگرایی که دستورالعمل‌ها در آنها به شدت مستندسازی شده‌اند هم استفاده کنیم که بسیاری از اداره ­های دولتی در این گروه قرار می‌گیرند.

 

بانک‌های انحصاری

باید به بانک‌های انحصاری نیز توجه داشته باشیم زیرا این بانک‌ها یکی از انواع بانک‌های خاص هستند و گاهی وقت ­ها نیاز به مدیریت سفارشی و خاصی دارند. به یاد دارم که زمانی سعی در ایجاد یک توافق درباره یک سری از خط‌ مشی‌های بین چند شرکت مجزا در یک گروه اقتصادی واحد داشتم. این گروه شامل یک بانک انحصاری، یک بانک سرمایه‌گذاری و سایر طرف‌های دخیل بود. در حالی که بانک سرمایه‌گذاری سعی داشت تمام پیشنهاد‌های من را به حداقل برساند، بانک انحصاری تقاضا داشت که به صورت خیلی دقیق و خاص به آنها گفته شود چه کاری انجام شود. این گروه نسبت به بانک خرد، فرایندمحورتر هم بود. از نظر امنیت اطلاعات کار کردن با آنها فوق‌العاده آسان بود. همچنین کاملاً مشتری­ محور و بسیار مشتاق به انجام کار صحیح بودند. یکی از فرهنگ‌های خاص بانک انحصاری، محافظت از مشتری (گاهی وقت ­ها حتی با وجود تحمیل هزینه اقتصادی برای خودشان) بود.

اگر به تمرکز مشتری­ محور آنها توجه داشته باشید و خط‌مشی‌ها، دستورالعمل‌ها و راهنماها را به گونه‌ای تهیه کنید که منعکس‌کننده این روحیه باشد، احتمال موفقیت شما برای تغییر رفتارهای امنیتی آنها بسیار بالا خواهد بود. هر چیز دیگری که خارج از این محدوده قرار بگیرد، اثربخشی کمتری خواهد داشت. به عنوان مثال تبلیغ کردن گواهینامه ایزو ۲۷۰۰۱ به عنوان ابزاری برای کمک به بازاریابی تأثیر کمتری خواهد داشت تا این که توضیح دهید چطور می‌توان از این گواهینامه استفاده کرد تا برای مشتریان ارزشمند شرکت این تضمین ایجاد شود که به خوبی از دارایی‌ها و اطلاعات شخصی آنها محافظت می‌شود.

 

تحقیق و توسعه فناوری‌های پیشرفته

هیچ چیز مثل مجموعه‌ای از پژوهشگرهای علمی (کارمندان بخش تحقیق و توسعه با تخصص بسیار فنی) برای ایجاد سیستم‌های سفارشی نیست. آنها چنین کاری را می‌پسندند بیشتر به این دلیل که از نظر عملیاتی قابل بحث بوده و دلایل و دیدگاه‌های ویژه خودشان را دارند.

من شاهد پیاده‌سازی سیستم‌های ایمیل و پیام‌رسان‌های غیراستانداردی بودم که مانع نصب کارآمد راهکارهای ضدویروس و نرم افزارهای بررسی محتوا می‌شدند. معمولاً دلیل آنها برای استفاده از چنین مجموعه ایمیل سفارشی‌سازی شده‌ای این بود که «از نظر استفاده از پردازشگر، بسیار فوق‌العاده هستند». بسیاری از این پژوهشگرها زیبایی و برتری را در سطح توان عملیاتی پردازشگرها می‌بینند. شاید این کار ارزش‌های خاص خود را داشته باشد اما برای بحث امنیت می‌تواند به شدت مضر باشد. اگر سازمان شما با اطلاعات و مطالب حساس سروکار دارد (مثل قراردادهای دفاع فناورانه) این موضوع کمی نگران‌کننده است.

یکی دیگر از ویژگی‌های چنین سازمان‌هایی که پژوهشگرهای علمی در آن نقش اصلی را دارند وجود این واقعیت آزاردهنده است که مهم نیست شما درباره یک مسأله فنی (ایمیل، ویروس، رمزنگاری و غیره) چقدر اطلاعات دارید؛ همیشه یکی از آنها است که اطلاعاتش بسیار بسیار بیشتر از شما یا تمام همکاران­تان است. اغلب وقت ­ها این دانش فنی درباره پیاده‌سازی عملی این فناوری‌ها هم وجود ندارد و معمولاً مانعی برای پیشرفت محسوب می‌شود.

اغلب وقت­ ها حاصل چنین فرهنگی، پیاده‌سازی‌های فنی متنوع و مختلف به همراه پلتفرم‌های غیراستاندارد (با استفاده از تمام برندهای لینوکس و یونیکسی که تا به حال ابداع شده‌اند) است که بر روی سخت افزارهای ناشناخته (معمولاً این گروه عاشق مک اپل هستند) اجرا می‌شوند.

این گروه، محدود به تحقیق­ های علمی نیستند. آنها در حوزه پخش تلویزیونی هم نقش زیادی دارند (سیستم‌های پخش تلویزیونی صدها پیاده‌سازی سفارشی مختلف دارند که روی پلتفرم‌های مختلف اجرا می‌شوند).

با استفاده از روش Ho Chi Minh می ­توان در این شرایط هم کار کرد (باید آنها را متقاعد کنید که ایده مورد نظر، ایده آنها است). همچنین باید توجه داشته باشید که این گروه، انگیزه‌هایی غیر از سود و منفعت دارند مثل کنجکاوی یا تولید برنامه‌های تلویزیونی باکیفیت.

نقطه قوت این گروه، هوشمندی بسیار زیاد آنها است. اگر شما کار خودتان را به صورتی جلوه دهید که به نظر برسد به خوبی روی آن تحقیق شده و شامل حقایق قابل توجیه است می‌توانید تفکر آنها را تغییر دهید. مشارکت دادن آنها در هر فرایند تحلیل مخاطره­ای می‌تواند پیامدهای چشم­گیری داشته باشد. آنها با توجه به مهارت‌ها و دانش عمیقی که دارند می‌توانند ارزش بسیاری برای این فرایند داشته باشند، به خصوص در زمینه مخاطره فنی.

 

بیمه عمر

شهر ادینبورگ دارای برخی از متمرکزترین قدرت‌های مالی جهان است که بخش زیادی از آن به مباحث مربوط به بیمه عمر گره خورده است. این قدرت، پشت نماها و معماری‌های زیبای شهر پنهان شده و با احتیاط خاصی با آن برخورد می‌شود. این شرکت‌های بزرگ بیمه عمر، مالک بخش قابل توجهی از بازار سهام انگلیس هستند و در سراسر جهان سرمایه‌گذاری کرده‌اند.

کار کردن با چنین شرکت‌هایی نیاز به یک سری ادراک­ ها و بینش‌های خاص دارد. اول و مهم‌تر از همه این که اغلب وقت­ ها تصمیم‌گیرندگان در این شرکت‌ها مخاطره ­سنج‌هایی[۲] هستند که با مفاهیمی مثل دات­ کام (که در ادامه توضیح خواهیم داد) به شدت مخالف هستند. این افراد، محتاط بوده و به کسب و کارهای با مدل‌های مالی نسبتاً سفت و سخت مقید هستند و بازه زمانی مورد استفاده آنها معمولاً به دهه‌ها گسترش می‌یابد. در حوزه سرمایه‌گذاری، بیشتر به دنبال رشد بلندمدت هستند تا بازگشت سریع. نگرانی اصلی آنها بیشتر بحث جامعیت است تا محرمانگی (هر چند این فاکتور را هم در نظر دارند). اگر سیستم‌های سرمایه‌گذاری آنها جامعیت خود را از دست بدهد، خطاهای سال اول با سال‌های دیگر ترکیب خواهد شد. پیچیدگی ارزیابی دوباره ارزش سرمایه‌گذاری به خصوص وقتی که جامعیت سیستم مورد تردید باشد می‌تواند تأثیر چشم­گیری بر وجهه عمومی سازمان داشته باشد. این شرکت‌ها بر اساس وجهه عمومی خودشان زندگی می‌کنند و هر گونه آسیبی به آن می‌تواند منجر به نابودی آنها شود.

بیمه عمر

با توجه به این ویژگی­ ها شما باید اهمیت جامعیت اطلاعاتی و حرفه‌ای را در این سازمان‌ها درک کنید. ابزارها و روش‌هایی که می‌توانند در سایر سازمان‌های مالی مؤثر باشند ممکن است به راحتی در کسب و کارهای بیمه عمر شکست بخورند.

 

دات­ کام

فرهنگ دات­ کام در واقع یک نوع فرهنگ سازمانی است که در استارتاپ‌های فناورانه پیشرفته شکل می‌گیرد. کارمندان این شرکت‌ها معمولاً برای ساعت‌های طولانی سخت کار می‌کنند و اغلب شامل افراد جوان ماهر (و کم تجربه) هستند. چنین ترکیبی برای این نوع توسعه که نیاز به انگیزه، انرژی، خلاقیت و مقاومت دارد ضروری است؛ اما آنچه معمولاً مشاهده نمی‌شود، توجه به ساختار و فرایندها است که در بسیاری از مواقع این المان‌ها پایه و اساس امنیت خوب هستند.

به نظر می‌رسد که حدوداً دو سال بعد از شروع کار، این شرکت‌ها با یک وقفه روبرو می‌شوند. این موضوع بستگی زیادی به تلاش‌ها و حسن نیت افراد تا این لحظه دارد. پس از دو سال، این واقعیت دردناک که شرکت باید رشد کند به برخی کارمندان شوک وارد می‌کند و می‌تواند منجر به مشاجره ­های داخلی زیان­ باری شود. یکی از دلایل آن نیاز به تغییر طرح فکری افراد همراه با فرهنگ سازمانی درست است که همیشه منجر به آسیب‌رسانی می‌شود.

اگر شما هم بتوانید از ابتدا با این استارتاپ‌ها همراه شوید، خواهید توانست اصول امنیتی را در ذهن افراد نهادینه کنید. احتمالاً متوجه می‌شوید که خیلی راحت ممکن است در دو تله گرفتار شوید: اولین راه این است که شما با شرایط کنار بیایید و متوجه می‌شوید که ادامه دادن کار طبق جریان بدون ساختار موجود، راحت‌تر از دفاع از امنیت است. دومین مسیر این است که دایماً با غم و ناراحتی سعی به اصلاح شرایط داشته باشید و بنابراین اعتباری که برای کارآمد بودن در طول زمان به آن نیاز دارید را از دست می‌دهید.

روش Ho Chi Minh هم در این مواقع کار می‌کند اما نکته‌ای که باید در این شرایط به خاطر داشته باشید این است که دیگران شما را چگونه می‌بینند. هیچ چیز مثل یک مهلت سفت و سخت و یک بودجه محدود باعث نمی‌شود که شما ملزم به ارزیابی دقیق مزایای هزینه‌ای کنترل‌های پیشنهادی خودتان شوید. اگر نتوانید آن را توجیه کنید احتمالاً پیاده‌سازی نخواهد شد. این موضوع در تمام شرایط صدق می‌کند اما معمولاً در یک استارتاپ دات کامی بیشتر مشاهده می‌شود.

 

امنیت ملی

سازمان‌های دخیل در حوزه امنیت ملی، دستور کار و برنامه‌ای بسیار متفاوت با سازمان‌های تجاری دارند. اولین ملاقات من با افراد حوزه امنیت دولتی یک شوک بود از این جهت که در نهایت ملزم به پرسیدن این سؤال از خودم شدم که «آیا واقعاً مردم چنین کارهایی را انجام می‌دهند؟».

منظورم از چنین کارهایی بیشتر طرح مورد استفاده دولت انگلستان برای طبقه‌بندی اطلاعاتش است. نام این طرح، طرح علامت‌گذاری محافظتی بود. این طرح، تمام اطلاعات با هر شکل و فرمی را در کل دولت انگلیس در بر می‌گیرد از جمله بحث دفاع و امنیت ملی.

اگر در چنین سازمان‌هایی کار می‌کنید، تنها گزینه پیش روی شما استفاده از این طرح است. نمی‌توانید (به صورت رسمی) از هیچ روش دیگری استفاده کنید. این یکی از حوزه‌های نادری است که در آن پایبندی به قانون، اصل همیشگی محسوب می‌شود.

 

حرفه‌ای‌ها

در بسیاری از سازمان‌ها یک هسته از افراد حرفه‌ای وجود دارد (یا افرادی که خودشان را حرفه‌ای تصور می‌کنند) که با تمام افراد دیگر متفاوت هستند. حوزه قضا (قضات)، پزشکان، مخاطره ­سنج‌ها، مأموران نظارتی، وکلا و معلمان جزو این گروه هستند. در هر یک از این موارد، تجربه کار با افرادی را داشته‌ام که خودشان تصمیم می‌گیرند یکسری از شرایط به آنها اعمال می‌شود (یا اعمال نمی‌شود). این گروه معمولاً خواهان یکسری کنترل‌های خاص (یا معافیت‌های ویژه) هستند زیرا تصور می‌کنند که خودشان یک مورد و حالت خاص هستند. در بسیاری از شرایط این موضوع درست بود اما در بسیاری دیگر از شرایط صرفاً تلاشی برای متمایز دانستن خودشان از توده مردم بود.

در بعضی از شرکت‌های بیمه، بیشتر اعضای تیم مدیریت متشکل از جامعه اساتید مخاطره­ سنجی[۳] (FFA) هستند. جای شک نیست که چنین همکاری، اهمیت فوق‌العاده‌ای دارد زیرا حاوی دانش پایه و فرهنگ سازمانی مورد نیاز برای اداره کردن یکسری از کارهای بیمه‌ای مهم است. اما متأسفانه به نظر من چنین نهادی در واقع حالت خود انتخابی دارد و فاقد سرزندگی، تازگی و فرهنگ سازمانی است که تنوع و تغییر اعضا با خود به همراه خواهد داشت.

به هر حال FFAها نهادهایی هستند که اغلب حس می‌کنند نیاز به توجه و رفتارهای خاص دارند. همین موضوع برای دلالان داخل بانک‌های سرمایه‌گذاری هم صدق می‌کند. این گروه، درآمدهای کلانی برای شرکت (و خودشان) به همراه دارند. بنابراین چرا باید اجازه دهند موضوع­ های بوروکراتیک به ظاهر بی‌اهمیتی (مثل امنیت) سد راه آنها شود؟

چنین تمایز قایل شدنی یکی از عناصر مهم «درآمد روان‌شناختی» است که بسیاری از مردم از کارشان به دست می‌آورند.

 

حاکمیت امنیتی

مردم به دلایل مختلفی مسیرهای مختلفی را در زندگی خودشان انتخاب می‌کنند. من هم به این دلیل حوزه امنیت اطلاعات را انتخاب کردم که برای من جدید و جذاب به نظر می‌رسید و من فردی که این بخش را اداره می‌کرد، دوست داشتم.

جای شک نیست که برخی افراد به دلایل اشتباه، رشته امنیت را انتخاب می‌کنند. آنها کنترل کردن را دوست دارند (کتاب Dixon تحت عنوان «روانشناسی بی‌کفایتی نظامی» را مطالعه کنید تا متوجه تأثیرها و پیامدهای منفی این موضوع شوید). این موضوع برای بسیاری از حوزه‌های تخصصی صدق می‌کند از این جهت که خیلی از افراد به دلایل مشابه به پلیس یا ارتش ملحق می‌شوند.

وجود این عزم قاطع که تمام بخش‌های یک استاندارد باید اعمال و پیاده‌سازی شوند می‌تواند ناکارآمد باشد. اگر افراد نتوانند با یک کنترل امنیتی ارتباط برقرار کنند در صورتی که برای­شان ممکن باشد، آن را دور خواهند زد. ممکن است کل عملکرد امنیت اطلاعات مورد اعتراض قرار بگیرد. اگر متوجه وجود استبداد شدید یا به دنبال از بین بردن آن هستید بهترین رویکرد، اطمینان از وجود مجموعه کنترل‌های مناسب جهت پیشبرد فرهنگ سازمانی درست است.

اگر نیاز به اعمال تغییراتی وجود داشته باشد (که احتمالاً همین‌طور است) باید مخاطبان خودتان را تا حد امکان در این فرایند دخالت دهید. این رویکرد می‌تواند شما را در مسیری متفاوت با استبداد قرار دهد که برای من اجتناب‌ناپذیر است. باید با استبداد در هر شکل و فرمی مقابله کرد.

 

خلاصه

برای رویارویی با مسأله فرهنگ می‌توانید اقدام ­های نسبتاً ساده‌ای را انجام دهید. مثل تمام پیشنهاد‌ها و توصیه‌های دیگری که در این مقاله مطرح شده در این زمینه هم باید توجه داشت که هیچ راهکار جادویی وجود ندارد. با توجه به این که روش مرحله‌ای مورد استفاده در این کتاب با «مدیریت با استفاده از حقایق» آغاز می‌شود، من هم تنها می‌توانم همین کار را توصیه کنم. پس شما باید نوع فرهنگی که قرار است با آن سروکار داشته باشید را مشخص کنید؛ که گاهی وقت­ ها به آن شناسایی دشمن هم گفته می‌شود.

شناسایی انواع فرهنگ، کار ساده‌ای نیست. جنبه‌های مختلف فرهنگ سازمانی به قدری زیاد هستند که تنها مدل‌هایی مثل مدل‌های مطرح شده توسط Hofstede به شما کمک خواهند کرد. این مدل، یک چارچوب خاص ارایه می‌کند به خصوص اگر به دنبال مقایسه سازمان‌های مختلف هستید.

می‌توان برخی المان‌های فرهنگی را ارزیابی کرد اما باید بیشتر اطلاعات به صورت غیررسمی جمع‌آوری شوند. یک روش مرحله‌ای با استفاده از ساختار زیر هم می‌تواند مفید باشد. شما باید هدف خودتان را تحلیل کنید تا موضوع ­های زیر مشخص شوند:

  • اخلاق/ فلسفه: این بخش شامل دیدگاه‌های کلی کارمندان، ارتباط سازمان با جامعه اطراف و رویکرد اخلاقی سازمان در قبال سود و پاداش است (مثلاً آیا به کارمندان سهام یا اوراق مشابهی اهدا می‌شود؟).
  • خط‌ مشی‌های سازمانی: این موضوع را می­توان به مدیریت زمان ارتباط داد (آیا سازمان امکان انعطاف‌پذیری برای ساعت­ های کاری، کار در منزل، روزهای فراغت از کار و غیره را فراهم کرده است؟). آیا روش‌های خاصی برای رویارویی با مسایلی همچون زورگویی و رفتارهای پیش ­داورانه وجود دارد یا یک فرهنگ نانوشته ایجاد شده است؟
  • جو اعتماد: آیا کارمندان حس اعتماد داشته و باور دارند که به نظرات آنها احترام گذاشته می‌شود؟ آیا عناصری مثل طرح ساختمان‌ها منعکس‌کننده روابط سلسله مراتبی هستند و آیا سیاست درهای باز در سازمان غالب است؟

رویکردهای گفته شده، پاسخ تمام سؤال ­ها نخواهند بود بلکه تنها شروع کار هستند. به فرهنگ توجه داشته باشید و مراحل زیر را در نظر بگیرید:

  • به خودتان یادآوری کنید که ممکن است به راحتی خط‌ مشی‌های مربوط به امنیت اطلاعات و سایر هنجارهای شکل گرفته با طرح رفتاری مورد استفاده بسیاری از افراد و حتی فرهنگ سازمانی در تناقض قرار بگیرند.
  • به همکاران خودتان که در حوزه امنیت اطلاعات کار می‌کنند یادآوری کنید که پیروی نکردن افراد از خط‌مشی‌ها به دلیل حماقت آنها یا داشتن نگرشی خاص نیست.
  • گوش کنید.
  • گوش کنید.
  • گوش کنید (احتمالاً حالا نکته مورد نظر برای شما مشخص شده است)!

در بحث‌ها پذیرای نظرات دیگران باشید. افرادی که در زمین بازی هستند نسبت به شما درباره کسب و کار مربوطه بسیار مطلع‌تر هستند. در مدیریت ژاپنی از یک روش خاص بسیار استفاده می‌شود: اگر در یک ملاقات به دنبال دیدگاه هستید، اول از تازه‌کارترین‌ها بپرسید. این کار موجب می‌شود که این افراد بدون نیاز به دنبال کردن الگوهای شکل گرفته توسط یک شخص ارشدتر، اطلاعات صادقانه‌تری را در اختیار شما قرار دهند و در نتیجه از رنجش سخنگو و بی‌آبرویی آن پیشگیری می‌شود (که در فرهنگ ژاپنی و سایر فرهنگ‌های مشابه بسیار مهم است).

در آخر هم این که یادتان باشد تغییرات فرهنگی و فرهنگ سازمانی نیاز به زمان دارند. تغییرات کارآمد، تغییرات پایدار و تدریجی هستند و نه انقلاب‌های مداوم.

 

 

  • [۱] Ministry of Defence
  • [۲] مخاطره سنج یا بیم‌سنج، فردی متخصص در برآورد اثرات مالی مخاطرات و عدم قطعیت بر تجارت، فعالیت‌های اقتصادی و مالی، بیمه و بانک است. بخشی از آن، مدیریت مخاطره را در شرکت‌ها در برمی‌گیرد که شامل بررسی ترازنامه و میزان دارایی‌ها و بدهی‌های شرکت‌ها است.
  • [۳] Fellows of the Faculty of Actuaries
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 − سیزده =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.