در سازمانهای مدرن، امنیت دیگر مجموعهای از ابزارهای فنی یا کنترلهای پراکنده نیست، بلکه نتیجه یک نظام تصمیمگیری مبتنی بر ریسک است. مدیریت ریسک بهعنوان ستون فقرات برنامه امنیت اطلاعات، چارچوبی فراهم میکند که بر اساس آن داراییهای حیاتی شناسایی میشوند، تهدیدات تحلیل میگردند و درباره نحوه مواجهه با ریسکها تصمیمگیری میشود. در این چارچوب کلان، OPSEC یا امنیت عملیاتی نه یک مفهوم جداگانه، بلکه یک ابزار تخصصی برای کاهش نوع خاصی از ریسکها محسوب میشود؛ ریسکهایی که از افشای ناخواسته اطلاعات و نشانههای عملیاتی ناشی میشوند.
مدیریت ریسک در استانداردهایی مانند ISO/IEC 27005 و NIST SP 800-30 بهصورت نظاممند تعریف شده و معمولاً در بستر یک سیستم مدیریت امنیت اطلاعات مانند ISO/IEC 27001 اجرا میشود. این فرآیند با شناسایی داراییها آغاز میشود، سپس تهدیدات و آسیبپذیریها تحلیل میگردد و در نهایت سطح ریسک بر اساس احتمال و اثر تعیین میشود. نقطه کلیدی این چرخه مرحله «برخورد با ریسک» یا Risk Treatment است؛ جایی که سازمان تصمیم میگیرد چگونه ریسک را کاهش دهد، بپذیرد، منتقل کند یا از آن اجتناب نماید. دقیقاً در همین مرحله است که OPSEC جایگاه واقعی خود را پیدا میکند.
بسیاری از ریسکهای امنیتی صرفاً ناشی از ضعف فنی نیستند، بلکه از طریق جمعآوری اطلاعات تدریجی توسط مهاجمان شکل میگیرند. مهاجم پیش از هرگونه بهرهبرداری فنی، تلاش میکند از منابع باز، رفتار کارکنان، مستندات عمومی، شبکههای اجتماعی، آگهیهای استخدامی و حتی مکاتبات غیررسمی، تصویری از ساختار و اولویتهای سازمان به دست آورد. اگر در تحلیل ریسک مشخص شود که احتمال بهرهبرداری از این نوع اطلاعات بالاست و اثر آن میتواند جدی باشد، سازمان باید کنترلی برای کاهش این ریسک طراحی کند. این کنترل همان OPSEC است.
در این نگاه، OPSEC به معنای جلوگیری از افشای اطلاعات حیاتی از طریق نشانههای ظاهراً بیاهمیت است. برای مثال، ممکن است در ارزیابی ریسک مشخص شود که افشای جزئیات معماری امنیتی یا ابزارهای مورد استفاده در مرکز عملیات امنیت میتواند احتمال موفقیت حمله هدفمند را افزایش دهد. در پاسخ، سازمان سیاستهایی برای محدودسازی انتشار اطلاعات، آموزش کارکنان درباره ردپای دیجیتال و کنترل ارتباطات پروژههای حساس تدوین میکند. این اقدامات نه بهعنوان فعالیتی مستقل، بلکه بهعنوان بخشی از برنامه کاهش ریسک تعریف میشوند.
جای دادن OPSEC در دل مدیریت ریسک مزایای مدیریتی قابل توجهی دارد. نخست آنکه زبان مشترک تصمیمگیری حفظ میشود. مدیران ارشد و هیئتمدیره با مفاهیمی مانند سطح ریسک، احتمال وقوع و اثر مالی آشنا هستند، اما ممکن است با اصطلاحات عملیاتی امنیتی ارتباط کمتری برقرار کنند. وقتی OPSEC بهعنوان یک کنترل کاهشدهنده ریسک معرفی شود، تخصیص بودجه و حمایت مدیریتی از آن منطقیتر و شفافتر خواهد بود. دوم آنکه امکان تعریف شاخصهای سنجشپذیر فراهم میشود. برای نمونه، میتوان میزان اطلاعات افشاشده عمومی درباره زیرساختهای حیاتی یا تعداد موارد نقض سیاست انتشار اطلاعات را بهعنوان شاخص عملکرد کنترل OPSEC در نظر گرفت.
از منظر راهبردی، این یکپارچگی موجب میشود امنیت سازمانی از حالت واکنشی خارج شود. به جای آنکه پس از وقوع حمله به دنبال کشف منبع افشا باشیم، تحلیل ریسک بهصورت پیشدستانه نشان میدهد که کدام اطلاعات در صورت افشا میتوانند بیشترین آسیب را ایجاد کنند. سپس OPSEC بهعنوان بخشی از طرح کاهش ریسک، از همان ابتدا طراحی و اجرا میشود. این رویکرد بهویژه در سازمانهایی که در معرض تهدیدات پیشرفته و حملات هدفمند هستند اهمیت بیشتری دارد، زیرا مرحله شناسایی و جمعآوری اطلاعات معمولاً پیشنیاز چنین حملاتی است.
در نهایت، بلوغ امنیتی زمانی حاصل میشود که سازمان نهتنها بداند چه داراییهایی برایش حیاتیاند و چه تهدیداتی آنها را تهدید میکند، بلکه آگاه باشد که رفتارها و نشانههای روزمره نیز میتوانند بخشی از سطح حمله باشند. مدیریت ریسک چارچوب تصمیمگیری را فراهم میکند و OPSEC این چارچوب را در لایه عملیاتی تکمیل مینماید. بنابراین، امنیت عملیاتی را باید نه بهعنوان مفهومی مستقل، بلکه بهعنوان زیرمجموعهای هوشمندانه و هدفمند در برنامه مدیریت ریسک سازمانی در نظر گرفت؛ زیرمجموعهای که از آشکار شدن همان اولویتها و داراییهایی جلوگیری میکند که مدیریت ریسک آنها را حیاتی تشخیص داده است.
