«فرض کنید پشت فرمان خودرویی نشسته‌اید که می‌تواند با سرعت بسیار زیاد حرکت کند. شما وسوسه می‌شوید بالاترین سرعت آن را تجربه کنید اما همزمان یادتان می‌آید هفته گذشته، چند تصادف مرگبار به‌دلیل عملکرد ناقص ترمز همین خودرو اتفاق افتاده و سر‌و‌صدای زیادی در رسانه‌ها به‌پا کرده است. آیا شما این خطر را به جان می‌خرید که پایتان را تا آخر روی پدال گاز فشار دهید؟ تردیدی ندارم پاسخ‌تان منفی است اما اگر ترمز درست کار می‌کرد، چطور؟ باز هم از تجربه شیرینِ رانندگیِ امن در سرعت بالا منصرف می‌شدید؟»

اگر در این مثال اتومبیل را «سازمان یا شرکت» و رانندگی را «حرکت در مسیر توسعه» درنظر بگیریم، آنوقت ترمزی که بتواند در سرعت بالا هم عملکرد خوبی داشته باشد، قطعا «امنیت» خواهد بود. به عبارت دیگر باید گفت «امنیت» برای سازمان‌ها بستری ایجاد می‌کند تا با اطمینان و شتاب بیشتری در مسیر توسعه حرکت کنند.

توسعه می‌تواند به امنیت تکیه کند

توسعه چه در بعد فردی و چه در مقیاس سازمانی، چیزی جز افزایش ظرفیت‌ها نسبت به گذشته نیست. در عین حال نباید فراموش کنیم برای تبدیل‌شدن به سازمان یا فردی توسعه یافته، ابتدا باید بستر تحقق آن را فراهم کنیم. حوزه امنیت دقیقا همین نقش را بازی می‌کند؛ امنیت سایبری تلاش می­کند فضای امن و قابل اتکایی ‌فراهم کند تا فرصت و امکان برنامه‌ریزی برای توسعه ظرفیت‌ها وجود داشته باشد. جهت­گیری ما در امور امنیت داتین بر همین مبنا استوار است و سعی می‌کنیم اقدامات‌مان برمبنای تقویت اعتماد و بسترسازی برای دستیابی به توسعه باشد.

تعبیری از مرحوم دکتر مهدی برنج‌کوب همیشه در خاطرم مانده است؛ او می‌گفت: «برای اینکه خودروی ما بتواند با سرعت بالا حرکت کند، حتما باید ترمز مطمئنی داشته باشد.» منظورشان این بود که ابتدا باید بستری امن برای حرکت فراهم کنیم، سپس سرعت‌مان را برمبنای همان بستر و امکاناتی که به ما می­دهد، تنظیم کنیم. بعضی‌ها ممکن است تصور کنند امنیت مثل مانع عمل می‌کند و منجر به ایستایی و عدم توسعه سازمان می‌شود اما ماجرا دقیقا خلاف این است و امنیت کمک می‌کند با مدیریت انواع مخاطرات و آسیب­پذیری­ها، بسترهای قابل اتکا برای حرکت و پیش‌برد برنامه‌های توسعه‌محور شکل بگیرد.

اول اعتماد ساخته می‌شود، بعد توسعه رقم می‌خورد

خاصیت پدیده‌هایی که بستر شکل‌گیری یا توسعه­ی سایر پدیده‌ها می‌شوند، این است که کمتر مورد توجه قرار می‌گیرند درحالیکه اگر وجود نداشته باشند، عملا هیچ رشد و توسعه­ای رقم نمی‌خورد. مثل چراغ محل کارمان که تا وقتی روشن است، توجه آنچنانی به آن نداریم اما به محض اینکه به هر دلیلی خاموش می‌شود، همگی به وجود و اهمیت آن پی می‌بریم.

برای امنیت نیز همین نقش را باید درنظر گرفت با این توضیح که آنچه باعث تبدیل‌‌شدن آن به بستر توسعه می‌شود، قابلیت اعتماد و اتکایی (Reliability) است که با خود برای سازمان به همراه می‌آورد. تلاش ما در امور امنیت داتین بر این است که بتوانیم تا جای ممکن، پیچیدگی‌ها را به پشت صحنه منتقل کنیم و بستری ساده و امن برای طرح‌های توسعه‌ای بسازیم و البته هم‌زمان، مخاطرات و چالش‌هایی که ممکن است روند توسعه سازمان را به خطر بیندازد، شناسایی و برای مدیریت­شان راهکارهای کاربردی ارائه دهیم.

هر رشدی با خود ریسک‌های تازه‌ای هم می‌آورد

پیش­تر بر نقش امنیت در بسترسازی برای توسعه تاکید کردم اما برای حفظ استمرار و جامعیت فعالیت­های لازم برای این بسترسازی، به چارچوب (Framework) مشخصی هم نیاز داریم. چارچوبی که در داتین برای پیش­برد اهداف خط مشی امنیتی انتخاب کرده­ایم، دارای شش محور اصلی است که تمام فعالیت­های ما در امور امنیت ذیل این محورها دسته­بندی می­شوند

• تقویت حاکمیت امنیت در فرآیندهای اصلی و پشتیبان سازمان (Govern)
• شناسایی ریسک‌های امنیتی (Identify)
• امن­سازی زیرساخت خدمات سازمان در برابر ریسک‌ها (Protect)
• ردیابی و شناسایی رخدادهای امنیتی (Detect)
• پاسخِ به­ هنگام به حوادث امنیتی (Response)
• بازیابی وضعیت نرمال پس از وقوع حادثه (Recover)

مفهوم محوری که در قلب این چارچوب قرار دارد، مدیریت ریسک‌های امنیتی است. درواقع این چارچوب به ما امکان می­دهد که علاوه بر مدیریت ریسک‌هایی که از پیش شناسایی کرده­ایم، همواره ریسک‌های جدید ناشی از حرکت سازمان در مسیر توسعه را نیز شناسایی و تحت مدیریت سیستماتیک قرار دهیم. ما در این چارچوب، زنجیره‌ای از فعالیت‌ها را پیش می‌بریم که میزان تمرکز بر هر یک از آن‌ها با توجه به عمق و ابعاد ریسک‌های شناسایی‌شده تغییر می‌کند. البته نباید فراموش کنیم که پیروی از چارچوب‌های مطرح حوزه امنیت به معنای عدم انعطاف‌پذیری نیست. ما ضمن رعایت این مفاهیم و چارچوب‌ها، به اقتضای شرایط و نیازمندی‌های خاص کسب‌وکارمان، تصمیم می‌گیریم که روی کدام بخش‌ها تمرکز بیشتری داشته باشیم.

مدیریت ریسک مجموعه‌ای از اقدامات را شامل می‌شود که می‌توان گفت اولین آن‌ها «شناسایی ریسک» است. شناسایی و رتبه‌بندی مستمر ریسک‌های فعلی و آینده، یکی از مهم‌ترین کارهایی است که ما در داتین برای رسیدن به قابلیت اتکا در حوزه امنیت انجام می‌دهیم چون سبب می‌شود تمام منابعی که در این حوزه در اختیار داریم را به بهینه‌ترین شکل ممکن به کار بگیریم. پس از شناسایی و رتبه‌بندی ریسک‌ها، باید شیوه مقابله‌مان با آن‌ها را تعیین کنیم. بعضی از ریسک‌ها را می‌توانیم کاهش دهیم؛ یعنی یا راه‌های در معرض آن ریسک قرارگرفتن را به حداقل برسانیم یا آسیبی که آن ریسک به ما می‌رساند را کاهش دهیم. گاهی هم می‌توان در صورت برقراری مجموعه‌‌ای از شرایط، ریسک را حذف کرد و از میان برد. بعضی وقت‌‌ها هم آن را انتقال می‌دهیم مثلا بیمه آتش‌سوزی، مثالی از انتقال ریسک آتش‌سوزی به یک شرکت بیمه است.

سرعت توسعه‌یافتگی با امنیت تنظیم می‌شود

با همه این‌ها، امنیت نمی‌تواند به قابلیت اعتماد و بسترسازی دست پیدا کند، مگر اینکه به دو شاخص مهم مجهز باشد. اولین مورد حفظ  امنیت دارایی­ها و داده­هاست. ما خودمان را متعهد به محافظت از داده‌ها و دارایی­های تمام همکاران، مشتریان و سهام‌داران داتین می‌دانیم. البته که به دلیل جزئیات فراوانی که بعضا به دلایل مختلف (از جمله محرمانگی) قابلیت اشتراک­گذاری ندارد، ممکن است در این مسیر با چالش‌ها و اختلاف‌نظرهایی هم با برخی ذینفعان مواجه شویم. اما همواره تلاش می­کنیم نتیجه نهایی تصمیم­ها در حوزه­ی امنیت به سود سازمان و مشتریان باشد.

شاخص مهم دیگر، حاکمیت (Governance) حوزه­ امنیت در فرآیندهای اصلی و پشتیبان سازمان است. این واژه مفهوم گسترده‌ای دارد و به فرآیندهایی مانند تصمیم‌گیری، سیاست‌گذاری، نظارت و… اشاره می‌کند که به‌واسطه آن‌ها می‌توان سازمان را پیش برد و به نتیجه مطلوب که همان توسعه است، رسید. در صورت ایجاد یک نظم جامع و فراگیر است که امنیت می‌تواند به قابلیت بسترسازی و اعتمادپذیری (Reliability) دست پیدا کند. این موضوع در شرکت داتین بسیار اهمیت دارد و ما در امور امنیت تلاش می‌کنیم هم به لحاظ ساختاری و هم کارکردی به این قابلیت دست پیدا کنیم. مثلا ممکن است شرکت تصمیم بگیرد محصول جدیدی به بازار عرضه کند. ما در امور امنیت چون نقش بسترسازی برای توسعه را بازی می‌کنیم، باید از قبل چالش‌های امنیتی را پیش‌بینی کنیم و تصمیم­های لازم برای مقابله با آسیب‌های احتمالی را بگیریم.

سخن آخر اینکه، سازمان‌ها می‌توانند و باید در برنامه‌هایشان به توسعه فکر کنند، اما اگر بخواهند مهار سرعت حرکت‌شان درمسیر رشد و توسعه در اختیار خودشان باشد، لازم است نگاه زیربنایی به امنیت داشته باشند.