در طول سالیان گذشته، در جلساتی که با مدیران سازمان های مختلف داشتم. همیشه یک داستان اما با ادبیات های مختلف روایت می شد. به عنوان مثال در یکی از جلسات طبق معمول، صحبت از امنیت اطلاعات شد. انتظار داشتم بحث درباره حملات سایبری، باجافزارها یا هکرها باشد. اما مدیرعامل حرف دیگری زد. او می گفت:
من از هکرها کمتر میترسم تا از اینکه ندانم چه کسی، چه زمانی و برای چه کاری وارد اطلاعات شرکت من شده است. این جمله تا مدتها در ذهنم ماند. ما معمولاً امنیت را با دیوارهای بلند، رمزهای پیچیده و تجهیزات گرانقیمت تصور میکنیم. اما دغدغه واقعی مدیران چیز دیگری است. آنها میخواهند بدانند آیا میتوانند به فرآیندهای کسبوکار خود اعتماد کنند یا نه.
اجازه بدهید یک مثال بزنم:
فرض کنید شرکت شما برای بهروزرسانی نرمافزار مالی/اتوماسیون اداری، از یک پیمانکار کمک میگیرد. قرار است او فقط چند ساعت روی یک بخش مشخص کار کند. بعد از پایان کار، همه چیز به حالت عادی برگردد.
اما در عمل چه اتفاقی میافتد؟
برای اینکه کار سریعتر پیش برود، دسترسی گستردهای در اختیار او قرار میگیرد. شاید یک حساب کاربری ایجاد شود، شاید اتصال از راه دور فعال شود و شاید رمز عبوری هم برایش ارسال شود. همه این کارها با نیت خوب انجام میشوند؛ کسی نمیخواهد ریسک ایجاد کند، فقط میخواهد پروژه متوقف نشود.
حالا چند ماه بعد از خودتان بپرسید:
· اگر امروز بخواهیم دقیقاً بفهمیم آن پیمانکار در آن چند ساعت چه کارهایی انجام داده، آیا پاسخ روشنی داریم؟
· آیا میدانیم فقط به همان بخشی که قرار بود دسترسی داشته، وارد شده است؟
· آیا مطمئن هستیم هیچ دسترسی اضافهای باقی نمانده است؟
در بسیاری از سازمانها، پاسخ این سؤالها «نه» است.
و نکته جالب اینجاست که این موضوع معمولاً به دلیل ضعف کارکنان یا بیتوجهی مدیران نیست. بلکه حاصل سالها عادت است. ما یاد گرفتهایم برای حل هر مسئله، ابزار جدیدی اضافه کنیم؛ یک VPN، یک سامانه احراز هویت، یک ابزار ثبت رویداد، یک راهکار کنترل دسترسی. هر کدام بخشی از مشکل را حل میکنند، اما تصویر کلی همچنان ناقص میماند.
در تمام سالهایی که در حوزه امنیت و زیرساخت فعالیت کردهام، کمکم به این نتیجه رسیدم که شاید سؤال را اشتباه مطرح کردهایم. سالها از خودمان پرسیدهایم: چطور دسترسی را امنتر کنیم؟
اما شاید سؤال درست این باشد:
چطور تجربه دسترسی را از نو طراحی کنیم؟
وقتی یک کارمند وارد شرکت میشود، نباید درگیر فناوری شود. او فقط میخواهد کارش را انجام دهد. وقتی یک مدیر در سفر است، نمیخواهد نگران تنظیمات امنیتی باشد. وقتی یک پیمانکار برای انجام یک مأموریت مشخص دعوت میشود، نباید بیشتر از همان چیزی که لازم است ببیند.
امنیت زمانی موفق است که تقریباً دیده نشود؛ اما همیشه حضور داشته باشد.
این نگاه، نقطه آغاز مسیری بود که بعدها به شکلگیری پلتفرم دسترسی سدرا انجامید. نه با این هدف که محصول دیگری به بازار اضافه شود، بلکه با این ایده که شاید بتوان تجربه دسترسی به داراییهای سازمان را سادهتر، شفافتر و قابل اعتمادتر کرد. امروز، هر بار که با مدیران سازمانها صحبت میکنم، کمتر درباره فناوری حرف میزنیم و بیشتر درباره اعتماد صحبت میکنیم. اعتمادی که باعث میشود مدیر با خیال راحت دسترسی بدهد، کارمند بدون دردسر کارش را انجام دهد و سازمان بداند در هر لحظه چه کسی، برای چه کاری و در چه محدودهای از داراییهایش استفاده میکند.
شاید آینده امنیت، ساخت دیوارهای بلندتر نباشد؛ شاید آینده، ساختن سازمانهایی باشد که اعتماد را مدیریت میکنند، نه فقط دسترسی را.