سایبر، توان تولید را در جامعه افزایش داده است و به طور مؤثر اطلاعات را بر اساس زمان، توزیع نموده است. صرفنظر از اینکه سایبر در چه صنعت یا برنامهای به کار گرفته میشود، افزایش تولید همواره مد نظر بوده است. ارسال سریع اطلاعات به فضای سایبری اغلب امنیت کلی سامانه را کاهش میدهد. برای متخصصان فناوری که به بهبود تولید میپردازند، شاخصهای امنیت اغلب در تضاد مستقیم با پیشرفت است زیرا شاخصهای پیشگیری موجب کاهش، ممنوعیت یا به تأخیر انداختن دسترسی کاربر میشود، شاخصهای شناسایی منابع حیاتی سامانه را مصرف میکنند و شرایط واکنش، توجه مدیریت را از ویژگیهای سامانه به تجهیزات رضایتبخش و فوری سامانه تغییر میدهد. تنش بین تقاضا برای عملکرد سایبر و شرایط امنیت در طول خطمشی امنیت سایبری، بررسی شده است.
عبارت "خطمشی" در انواع حوزههای مربوط به امنیت سایبری، به کار گرفته شده است. از این عبارت برای اشاره به قوانین و مقررات توزیع اطلاعات، اهداف بخش خصوصی برای حفاظت از اطلاعات، روشهای عملیات کامپیوتری برای کنترل فناوری و متغیرهای تنظیم در دستگاههای الکترونیک، استفاده شده است. ولی در آثار این حوزه، از عبارت خطمشی امنیت سایبری با اهداف مختلفی استفاده میشود. همانند عبارت "فضای سایبری"، تعریف ثابتی برای خطمشی امنیت سایبری وجود ندارد ولی وقتی عبارت امنیت سایبری در حوزه خطمشی به عنوان صفت به کار میرود، مفهوم مشترکی اراده میشود.
خطمشی امنیت سایبری توسط هیأت تنظیمکننده اتخاذ شده و به صورت رسمی تنها برای حوزههای متناظر تنظیمکننده، به کار گرفته میشود. اجزای تشکیل دهنده خطمشی امنیت که میتوان ذینفعان نیز نامید، بر اساس طیف خطمشی، متفاوت هستند. برای مثال خطمشی امنیت سایبری کشوری، همه شهروندان و شاید تجار خارجی که در حوزهاش کار میکنند را شامل میشود ولی امنیت سایبری شرکتی تنها در مورد کارکنانی صدق میکند که استخدام شدهاند یا قرارداد حقوقی دارند و انتظار میرود که رفتار خود را نسبت به شرکت، تنظیم کنند. حتی نمیتوان انتظار داشت تأمینکنندههای منابع که به طور کامل بر یک مشتری متکی هستند، پایبند خطمشی امنیت مشتری باشند، مگر اینکه قرارداد رسمی در کار باشد. محتوای خطمشی امنیتی، بر اساس اهداف هیأت تنظیمکننده مربوطه تعیین میشود. اهداف امنیت کشوری بسیار متفاوت از اهداف امنیت شرکتی است، همچنین اظهارات خطمشی و فعالیتهای مربوط به آن که در پشتیبانی از خطمشی اجرا میشود نیز بسیار متفاوت جلوه خواهد کرد.
نحوه تفسیر و ثبت خطمشی توسط سازمانهای مجری و تأیید آن نیز نسبت به هیأت تنظیمکننده و اجزای مورد نظر، تعیین میشود. در دولت، فرآیندی که طی آن اهداف به خطمشی تبدیل میشوند و فرآیندی که خطمشی را در قانون میگنجاندف متفاوت هستند. ولی در شرکتها، داشتن واحد مرکزیس امنیتی که مسئول خطمشی امنیت سایبری و استانداردها و راهکارهای مربوط به آن باشد، امری عادی به شمار میرود. استانداردها و راهکارهای واحد امنیت در شرکتها به صورت راهنمای مقررات درمیآیند.
هنگامی که امنیت از الویتهای اصلی برای سازمان برخوردار است، میتوان خطمشی امنیت سایبری که توسط واحدهای داخلی مختلف بال اجزای مشترک صادر شده است را نیز مشاهده کرد. اجزای مشترک مذکور گاهی عدم سازگاری در خط مشی را شناسایی میکنند که در اثر تلاش برای اجرای این مسائل به صورت همزمان، رخ میدهد.
خطمشی سایبری کشوری اکنون زیر مجموعهای از خطمشی امنیت ملی به شمار میرود. حتی اگر خطمشی امنیت سایبری کشوری را همراستا با خطمشی وزارت خارجه یا خطمشی اقتصادی در نظر بگیریم، این نوع قوانین و خطمشیها، به اندازه قانون اساسی حاکمیت نداردند. در واقع، خطمشی از طریق گفتگو در مورد نکات مختلف و مذاکرات، در گزارش و سخنرانیها ایجاد و منتشر میشود. خطمشیها برای هدایت و تصمیمگیری در مورد قوانین و مقررات مورد نظر، ایجاد میشوند. خطمشی به خودی خود به قوانین و مقررات مربوط نمیشود. البته، در بهترین حالت، معاهدات، قوانین و مقررات نشانگر خطمشی معنادار و حکیمانه میباشند. با این حال، میتوان دستورات، قوانین و مقررات اجرایی امنیت سایبری را بدون ایجاد خطمشی امنیت سایبری، ارائه داد.
برای مثال، چین آشکارا قانونی وضع کرده است که فعالیتهای درون فضای سایبری که بر عملیاتهای کشوری اثر بگذارد، باید کنترل شود. این خطمشی نشان میدهد که اینترنت باید در جهت منافع اقتصادی و ملی حرکت کند. تا تجهیزات ارتباطات از راه دور را تقسیمبندی، نظارت و کنترل کند و همچنین سایتهای اینترنتی که به نظر برخلاف منافع ملی است را مسدود نماید.
برعکس، بیشتر قوانین و مقررات در ایالات متحده که بر امنیت سایبری تأثیر میگذارد، به طور ویژه برای مسائل فضای سایبری پدید آمده است. این خطمشی در نوع خود، اقتصادی است. برای مثال، هر نوع نهاد مالی که توسط اداره ممیزان مالی آمریکا تنظیم میشود، تحت بازرسی و ارزیابی امنیتی زیرساخت اینترنتی قرار میگیرد. در واقع در سال 2009، هنگام بررسی امنیت سایبری ایالات متحده، واژه خطمشی بازتعریف شد: "خطمشی امنیت سایبری عبارت است از راهبرد، خطمشی و استانداردهای مربوط به امنیت و عملیاتها در فضای سایبری که شامل طیف کاملی از کاهش تهدید، کاهش آسیبپذیری، بازدارندگی، تعامل بینالمللی، واکنش به حادثه، انعطافپذیری و خطمشی و فعالیت بازیابی، اجرای قانون، دیپلماسی، نظامی و مأموریتهای اطلاعات که به امنیت و استحکام زیرساختهای ارتباطات و اطلاعات جهانی مربوط میشود. چنین مسألهای، شامل کل طیف مسائل هنگام توسعه خطمشی امنیت میشود. علاوه بر این، نتیجه این بررسی، توصیف خطمشی نبود. صرفاً راهبردی برای ارتباطات جاری و همکاری بین بخشهای خصوصی و دولتی با هدف افزایش انعطافپذیری دولت در برابر حملات سایبری بود.
صرفنظر از اینکه خطمشی امنیت سایبری دولت اعلام شود یا خیر، قوانین امنیت سایبری آن در حوزه دولتی قرار میگیرد. یعنی شاخه یا سازمان دولتی که تحت حاکمیت دولت قرار میگیرد، باید خود را با قوانین و مقررات آن سازگار نماید. شاخه یا سازمان نخواهد توانست قوانین خود را برای اجزای خود خلق کرده و خطمشی جداگانهای ارائه دهد. برای مثال، خطمشی امنیت سایبری که توسط تنظیمکننده صنعتی صادر شده است، تنها برای صنایع در حوزه تنظیم مقررات، به کار گرفته خواهد شد. تنظیمکننده انرژی میتواند از تأسیسات انرژی بخواهد که ارتباطات اضافی داشته باشد، ولی نمیتواند از عاملان ارتباطات از راه دور درخواست کند که کابلهای اضافی برای هر تأسیسات انرژی، فراهم سازند. تنها تنظیمکننده ارتباطات از راه دور میتواند قوانینی برای صنعت ارتباطات از راه دور وضع کند، و این خطمشی، شامل خدماتی که به سایر حوزههای دولتی مربوط است، نمیشود. چنین خلاءهایی در رویکرد کلی سامانه در قبال تنظیمات زیرساخت حیاتی، نقصهایی را به شکل محدودیت به وجود میآورد که به پوشش ناقص یا نامناسب امنیت میانجامد. خطمشی امنیت سایبری به منظور کارآمدی، باید چندین حوزه تنظیمگر را با هدف یکسان، پوشش دهد، نظیر کمیسیون تجارت فدرال ایالات متحده.
سازمانهای بخش خصوصی در حالت کلی به اندازه دولتها در زمینه تبدیل خطمشیهای بالادستی مدیریت به قوانین اجرایی، محدود نیستند. در محیط شرکتی، انتظار میرود بخشهای مختلف از ترس اعمال تحریم، خطمشیها را رعایت کنند چرا که این تحریم تا تعطیلی بخش خاطی ادامه دارد. برای مثال، خطمشی منابع انسانی، حقوقی یا حسابداری، به اندازهای کدبندی شدهاند که در آن هر نوع عدم پیروی از قوانین ابلاغی موجب بستن بخش مربوطه میشود. مدیران میانی از فرآیندهایی نظیر استخدام کارمند یا پروندهسازی برای مخارج، پشتیبانی میکنند و از آنها انتظار میرود تا خطمشیهای ابلاغی را در فعالیتهای اداره بگنجانند و شاخصهایی در سطح اداره سنجش سازگاری با خطمشی، ایجاد کنند. در بخش دولتی، هر نوع زیرمجموعه سازمانی با محدودیت حاکمیت مواجه میشود. استثنائاتی وجود دارد که در آن، بخشهای مختلف دستهبندی اطلاعات را بسیار جدی میگیرند، ولی خطمشی امنیت شرکتی که توسط مدیر اجرایی ارشد ارائه شده است، در مورد کل شرکت به کار میرود اما خطمشی امنیتی که توسط مدیر ارشد اطلاعات صادر میشود، فقط در حوزه کارکنان فناوری کاربرد دارد. یکی از تغییرات اخیر در طیف سازمانی، بهکارگیری مدیر ارشد امنیت اطلاعات یا مدیر ارشد حریم خصوصی است که مسئول انتخاب ابعاد مختلف وضعیت امنیت سازمان میباشد. اما مسئولیتهای این افراد به اندازه مسئولیتهای مدیر ارشد مالی، جدی گرفته نمیشود و گاهی وظایفشان بیشتر به روابط عمومی مربوط میشود تا مدیریت امنیت.
یکی از تفاوتهای نامطلوب بین خطمشی امنیت سایبری شرکتی و خطمشی اداره منابع انسانی یا حقوقی این است که خطمشیهای امنیت سایبری معمولا ارزیابی ریسک امنیت سایبری را به مدیران میانی واگذار میکنند که خود آشنایی زیادی با امنیت سایبری و مفاهیم مدیریت ریسک ندارند. اگر چنین افرادی را با مدیر ارشد مالی مقایسه کنیم، شبیه این است که تعریف هزینههای مناسب سفر کاری را بر عهده مسافر بگذاریم. برای مثال، ممکن است خطمشی امنیت سایبری چنین ایجاب کند که "هنگامی که ریسک فاش شدن اطلاعات محرمانه زیاد است، اطلاعات را نباید بدون بررسی دقیق توانایی فرد دریافتکننده در حفظ امنیت اطلاعات، ارائه داد." این نوع خطمشی، ارزیابی ریسک اطلاعات را به مدیری واگذار میکند که ممکن است بخواهد با برونسپاری جریان اطلاعات اداره و استفاده از افراد خارج از اداره برای انجام امور تحلیل اطلاعات، هزینهها را کاهش دهد. شاید همین مدیر بخواهد به منظور کاهش هزینهها، بررسی دقیق را نادیده بگیرد. چنین وضعیتی در نتیجه محاسبات اشتباه مسئولیتهای اطلاعات در قبال شخصی است که از نظر امنیتی، تخصص ندارد، یا شاید فرهنگ سازمان مورد نظر، ریسک را تحمل میکند. در هر حالت، تقسیم وظایف، امری ضروری است. موقعیتهای مذکور در اثر این واقعیت که تمهیدات امنیت سایبری به اندازه شاخصهای حوزه حسابداری یا منابع انسانی، به بلوغ نرسیدهاند، موقعیتهای مذکور پیچیدهتر و دشوارتر میشوند.
مأموران حقوقی، حسابداری و مشاوره طی تلاش برای کمک به مشتریان در سازگاری با نیازهای امنیت اطلاعات تنظیمی و حقوقی، استانداردهایی را نسبت به امنیت اطلاعاتی اتخاذ کردهاند و پیشنهاد دادهاند تا مشتریان، الگوهایشان را به همان ترتیب، پردازش نمایند. این مسائل گاهی به شرکت مشاور مربوط میشد، ولی اغلب بر اساس استانداردهای منتشرشده از جانب مؤسسه ملی استانداردها و فناوری در کنترلهای امنیتی پیشنهادی برای سامانههای اطلاعاتی فدرال و همتایان بخش خصوصی آنها، وضع میشود. استاندارد، معمولا روش منتخب برای عملیات امنسازی محیط فناوری محسوب میشود ولی اغلب آن را خطمشی امنیت سایبری برای عملیاتها و مدیریت فناوری مینامند.
صرفنظر از اینکه چنین خطمشیهایی عملیات فناوری صرفاً استانداردهای عملیات کامپیوتری را وضع میکنند، طیف خطمشی به مدیریت و عملیاتهای فناوری تعریفشده محدود میشود. حتی گاهی انتظار میرود که همان سازمان، چندین زیرساخت فناوری را اداره کند ولی خطمشی امنیت سایبری آن تنها در مورد زیرمجموعه آن صادق باشد. ممکن است این قضیه در مورد فراهمکنندههای خدمات فناوری که برای خدمات امنیتی، هزینه بیشتری دریافت میکنند، صادق باشد ولی همه سامانههای مشتریان آنها تحت پوشش این خطمشی امنیتی قرار نمیگیرند.
بر اساس تعریف دقیق خطمشی به عنوان دستورات مدیریتی در سطح بالا، ممکن است این نوع پروندهها، خطمشی تلقی نشوند بلکه فرآیند یا استاندارد نامیده شوند.
به علت اینکه استانداردهای عملیات فناوری با استفاده از نرمافزارها ئ ابزار امنیتی تخصصی پیاده میشوند، کارشناسان فناوری اغلب این تنظیمات استاندارد فناوری را "خطمشی امنیتی" مینامند. این تنظیمات در واقع در طول سالیان توسط فروشندگان و تهیهکنندگان خدماتی پیاده شده است که هدفشان ایجاد تنظیمات فناوری از دستگاههای پردازش بوده که به مدیران سامانهها اجزه میداد تا با استانداردها سازگار باشند. همین مسأله باعث شده است که فورشندگان محصولات اطلاعاتی، تنظیمات فناوری جایگزین برای محصولاتشان را "خطمشی امنیتی" بنامند. در ادبیات تجاری این فروشندهها، این تنظیمات فناوری، خطمشی نامیده میشود تا محصولات خود را سازگار با راهبرد تخصصی جلوه دهند. برای مثال، یکی از تبلیغات به این ترتیب است: "محصول ما، شما را قادر میسازد تا خطمشی امنیتی خود را خودکار سازید".
همانند کاربر عبارت خطمشی برای نشان دادن استانداردها و فرآیندهای عملیاتی، این نوع استفاده از "خطمشی" نیز به دستور مدیریتی برای امنیت، مربوط نمیشود. ولی بار دیگر، همانطور که مطالب کنونی به چنین واژگانی اشاره دارند، مشاهده میکنیم که این امر، شایع است. معمولا چنین کاربردی از عبارت خطمشی به عنوان صفت ابزار یا فناوری تنظیمشده، شایع شده است. برای مثال، واژگان "خطمشی دیوار آتشین" یا "خطمشی امنیت یونیکس" نشان میدهد که محصول مورد نظر از متغیرهای تنظیم فناوری تشکیل شده است، نه بر اساس دسوتری از جانب مدیریت سطح بالا.
