• تاریخ انتشار : دوشنبه ۱۲ آبان ۱۴۰۴
  • تعداد بازدید کنندگان خبر : 17
  • زمان مطالعه : 6 دقیقه

فناوری اطلاعات و مسئله امنیت سایبری

یک سازمان تا زمانی که احتمال وقوع و آثار رخنه‌های امنیت سایبری به موقع ، قبل از وقوع و بر اساس پیش بینی‌های صحیح شناسایی بشوند، قادر خواهد بود تا خود را با پتانسیل مخرب این رخنه‌های امنیت سایبری تطبیق بدهد.

فناوری اطلاعات و مسئله امنیت سایبری

از زمان گسترش  فناوری اطلاعات و ارتباطات ، خلق ارزش اقتصادی از نو به این صورت تعریف شده است: توانمند کردن مشاغل به منظور کاهش وابستگی خود به دارایی و سرمایه ملموس و افزایش بکارگیری سرمایه فکری. مزیت بهره برداری از حوزه های سایبری ، ایجاد توانمندی بدیع در کسب و کارها برای کنترل محدودیت های نسبی زمانی و جغرافیایی به عنوان توانمند سازهای مدل های تجاری جدید می باشند. با این حال ، یک اثر جانبی فزاینده  از این اعتماد در حوزه آسیب پذیری ناشی از آن نهفته است. تهدیدات سایبری می تواند امنیت و ثبات و پایداری سازمان ها را با تاثیرگذاری بر محرمانه بودن ، یکپارچگی و در دسترس بودن سرمایه اطلاعاتی / ساختاری مختل کند. حتی هنگام بحث درباره تاثیرات اجتماعی امنیت سایبری ، سازمانها با توجه به نقش دوگانه توسعه دهندگان فن آوری و تسهیل کننده گان استفاده از آن ، خود را به عنوان محورهای اصلی اقدام معرفی میکنند.

یک سازمان تا زمانی که احتمال وقوع و آثار رخنه‌های امنیت سایبری به موقع ، قبل از وقوع و بر اساس پیش بینی‌های صحیح شناسایی بشوند، قادر خواهد بود تا خود را با پتانسیل مخرب این رخنه‌های امنیت سایبری تطبیق بدهد.

تمامی این نشانه‌ها قطعاً روی توانایی سازمان برای استنتاج موثر راجع به تلاش‌های صورت گرفته در حوزه امنیت سایبری تاثیرگذار خواهند بود.به عنوان مثال، در صورت وجود تعامل بین عوامل سیستم و زیرساخت فناورانه ، بجای وجود منطق تجمعی بین این دو مولفه ، قطعاً شاهد پدید آمدن آسیب‌هایی در ساختار و الگوی سازمانی خواهیم بود. ارزیابی سطح آسیب پذیری یک سیستم با استنتاج راجع به تهدیدهای بالقوه‌ای همراه شده که به هر نحو ممکن در صدد سو استفاده از مولفه‌ها/ ویژگی‌های یک سیستم هستند.

در حقیقت اکثر تخطی‌ها (تجاوز به حریم امنیت سایبری) با تکیه بر عدم تعادل اطلاعاتی به وقوع می‌پیوندند. مهاجمان درصدد این هستند که به اطلاعات کاربردی راجع به نقطه ضعف‌های بالقوه و تمایلات قربانی دست یافته و از آن‌ها به نفع خود سود ببرند. این در حالیست که در اقدامات دفاعی معمولاً سعی بر این است که هر گونه تهدید بالقوه و محتمل ، به شکلی صحیح و  درست در دست پیش بینی قرار بگیرد. با توجه به اینکه عوامل خرابکار از توانایی تایید تجربی فرضیات و تمرکز کامل روی یافتن یک بُردار حمله به حد کافی سازگار با شرایط محیطی برخوردارند، بر شدت این عدم تقارن اطلاعاتی افزوده می‌شود.

نکته بعدی اینکه از نقطه نظر مهاجمان، هزینه حملات ناموفق غالباً در سطح پایینی قرار می‌گیرد. این در حالیست که اقدامات دفاعی ناموفق قطعاً تاثیر چشمگیری را روی پایداری عملیاتی ماهیت تحت تهاجم بجا خواهد گذاشت. اهداف دو طرف هم از یک عدم تقارن مضاعف رنج می‌برند.یک مدافع موفق باید از سازمان در برابر تمامی تلاش‌های قابل ملاحظه برای نفوذ به سیستم حفاظت نماید، این در حالیست که یک مهاجم موفق صرفاً یک نفوذ موفقیت آمیز را به اجرا بگذارد. یک روند چشمگیر و قابل اشاره در رابطه با این عدم تقارن چیزی نیست جز افزایش درجه پیچیدگی مدل‌های عملیاتی جرائم مجازی . در این مدل‌ها ، سیستم‌های تخصصی و ابزارهای توزیع ریسک به صورت فزاینده‌ای مورد استفاده قرار می‌گیرند تا چیزی تحت عنوان اکوسیستم‌های امنیت سایبری یا اقتصاد زیرزمینی پدید بیاید. 

مدیریت امنیت سایبری یک بعد چالش برانگیز از منظر سازمانی مدرن است و نیازمند توجه به استراتژی ها ، ارزش ها ، ساختارها و اقدامات می باشد. اهمیت آن در مدلهای سازمانی که از دارایی های ناملموس و سرمایه فکری به عنوان بستر اصلی تولید ارزش استفاده می کنند ، تشدید می شود.

استراتژی های امنیت سایبری یک ساختار چند وجهی هستند که از مفاهیم دانش محور بهره می برند. از این منظر جدید ، یک استراتژی امنیت سایبری که مبتنی بر شیوه های موثر مدیریت دانش است ، می تواند کانالهای سرمایه فکری سازمان و عملیاتی سازی آنها را به سمت خلق ارزش هدایت کند.

نکته حائز اهمیت بعدی موضوع عدم قطعیت در قلمروی امنیت سایبری و مدیریت آن میباشد. باور ما این است که امنیت سایبری یک مفهوم چندسطحی (لانه مانند، نهفته) است که در معرض نوع فرا نمایشی از دانش سازمانی قرار می‌گیرد. این نوع دانش حول محور بی اطلاعی راجع به امنیت سایبری، در چهارچوب مرزهای سازمانی تعریف شده است. باور ما این است که هرچند این قبیل فرضیات برای تشخیص جایگاه و موقعیت عدم قطعیت ضروری هستند ، اما قطعاً به کالیبره سازی مستمری نیاز خواهند داشت . این کالیبره سازی امکان توصیف تعاملات حاکمه بین پویایی‌های غیرخطی محیطی و گشتاور عملیاتی سازمانی را فراهم می‌سازد. فرضیات غلط هم هزینه زیادی را به هیئت مدیره تحمیل کرده و هم تا حدود زیادی از نقطه نظر آن‌ها مخفی می‌مانند. به صورت خاص باید به مواردی اشاره نمود که یک روایت منطقی/ مورد انتظار در دست پیش بینی باشد. به همین علت است که اتخاذ یک رویکرد معرفت شناختی و تطبیقی، نسبت به مدیریت امنیت سایبری ضروری و حتمی خواهد بود.

همچنین دیدگاه ما اینست که همانند نقطه ضعف‌های مجازی (آسیب پذیری های مجازی)، دانش سازمانی هم یک پدیده مبرم ، در حال توسعه و نیازمند رسیدگیست. نمی‌توان دانش سازمانی مرتبط با مسائل امنیت سایبری را به منزله مجموعه باورها و دانش‌های تمامی عوامل درون سازمانی تلقی نمود، بلکه در واقعیت دانش سازمانی به منزله تابعی از تعامل تعدیل شده بر اساس ساختار بین عوامل، باورها و محیط تلقی می‌شود. این دانش به منزله منشا تطبیق/ کالیبره سازی رفتارهای آتی تصور خواهد شد.

نکته بعدی اینکه با توجه به ادغام پذیری و نهفته شدن هرچه بیشتر مسائل امنیت سایبری در ساختارهای اجتماعی بنیادین، قطعاً ضرورت تکاملی معناداری برای اتخاذ رویکردهای پدیده محور (نسبت به امنیت سایبری سازمانی)، جهت درک بهتر ، و مشارکت در پیشگیری از رفتارهای اختلال آمیز و تهدیدهای بالقوه پدید خواهد آمد. ما بر این باوریم که وجود یک تفسیر به اشتراک گذاشته شده از دانش ، برای دستیابی به پیوستگی چندوجهی مورد نیاز، در خلال پشتیبانی از تلاش‌های صورت گرفته در قلمروی امنیت سایبری سازمانی امری ضروری و حتمی می‌باشد.

سخن آخر اینکه هنگامی که به امنیت سایبری به چشم یک مساله سازمانی نگریسته می‌شود، تردیدی باقی نمی‌ماند که آثار جانبی و خارج از محدوده متعددی را برای افراد، و جامعه در مقیاس وسیع بدنبال خواهد داشت. ما به تصویری واقع بینانه و جامع از محدودیت‌های تطبیقی پیش روی سازمان‌ها نیاز داریم، تا بتوانیم از آن‌ها در خلال تلاش‌های صورت گرفته بخوبی پشتیبانی بکنیم. انتظارات حاکم بر وجود سرمایه گذاری‌های امنیتی منطقی از جانب سازمان‌ها و بازدهی اقدامات مربوطه ، یک توانایی محلی سازی شده برای برقراری استنتاجات کافی ،در بستر استراتژیک مربوطه را به ارمغان خواهد آورد. محدوده‌ی محلی" ابهامات ناشناخته " و  مدل‌های نمایشی ناصحیح حاکم بر استنتاج در زمره موانع اصلی اتخاذ معیارهای دفاعی مناسب و سازگار با محیط تحلیلی قرار می‌گیرند. این موانع آثار نامطلوبی را روی سازمان‌ها و ذی نفعانشان به جا می‌گذارند. بنابراین واضح است که فرای مشوق‌ها و جریمه‌ها ، پشتیبانی و توسعه ابزارهای سازمانی برای مقابله با مساله دانشی ، یک ضرورت اجتماعی را بدنبال خواهد داشت.

 

منبع:

Strategy and organizational cybersecurity: a knowledge-problem perspective 

ارتباط با نویسنده : سمیرا قوچانی

ایمیل :  ghouchani@tbzmed.ac.ir                                                                           شماره تماس ثابت : 31771026

  • کد خبر : 96455