دو دسته ریسک که متخصصان امنیت با سبقه فنی، سخت درک میکنند

در ادبیات حرفه‌ای امنیت اطلاعات، یکی از بنیادی‌ترین چالش‌ها، برداشت محدود و تقلیل‌یافته از مفهوم «ریسک» است. در عمل، بخش قابل توجهی از متخصصان امنیت، ریسک سایبری را در سطح دارایی‌ها تحلیل می‌کنند و آن را معادل آسیب‌پذیری‌های فنی، خطاهای پیکربندی، نبود وصله‌های امنیتی یا ضعف‌های معماری سیستم‌ها می‌دانند. این درک، اگرچه ضروری و اجتناب‌ناپذیر است، اما تنها بخشی کوچک از تصویر کلی ریسک را نمایان می‌کند و ناتوان از توضیح ریشه بسیاری از رخدادهای بزرگ امنیتی در سازمان‌های مدرن است. چارچوب‌های مدیریتی و حرفه‌ای مانند CISM، ISSMP، COBIT و مدل‌های مدیریت ریسک سازمانی نشان می‌دهند که ریسک سایبری مفهومی چندلایه است که در سه سطح اصلی، یعنی دارایی، فرآیند و سازمان شکل می‌گیرد و صرف تمرکز بر لایه فنی، عملاً منجر به نادیده‌گرفتن علل اصلی شکست‌های امنیتی می‌شود.

تمرکز ذهن فنی بر ریسک‌های دارایی‌محور تا حد زیادی ناشی از مسیر رشد حرفه‌ای اغلب متخصصان امنیت است. بسیاری از آنان از حوزه‌هایی مانند مدیریت سیستم، شبکه، عملیات SOC، پاسخ‌گویی به رخداد یا تست نفوذ وارد فضای امنیت شده‌اند. در این مسیرها، رابطه علت و معلول شفاف است؛ یک آسیب‌پذیری شناسایی می‌شود، وصله نصب می‌گردد و خطر مشخصی کاهش می‌یابد. این الگوی ذهنی، نوعی احساس کنترل ایجاد می‌کند و این تصور را به‌وجود می‌آورد که با ایمن‌سازی کامل سیستم‌ها، مسئله ریسک نیز حل خواهد شد. در حالی که تجربه سازمان‌های بزرگ نشان داده است که حتی در محیط‌هایی با کنترل‌های فنی نسبتاً قوی، رخدادهای پرهزینه امنیتی می‌توانند از تصمیم‌های نادرست مدیریتی، فرآیندهای ناکارآمد و فرهنگ سازمانی ضعیف ناشی شوند.

ریسک در سطح سازمانی ماهیتی کاملاً متفاوت با ریسک فنی دارد. این سطح از ریسک به تصمیم‌های کلان، اولویت‌های راهبردی، میزان بلوغ حاکمیت، تعریف یا عدم تعریف تحمل ریسک و میزان حمایت مدیریت ارشد از برنامه‌های امنیت اطلاعات مرتبط است. در این سطح، پرسش اصلی دیگر این نیست که کدام سیستم آسیب‌پذیر است، بلکه این است که سازمان چه ریسک‌هایی را آگاهانه می‌پذیرد و کدام ریسک‌ها را غیرقابل قبول می‌داند. به‌عنوان مثال، تصمیم برای مهاجرت سریع به رایانش ابری با هدف کاهش هزینه یا افزایش چابکی، بدون سرمایه‌گذاری متناسب در معماری امنیت، آموزش نیروی انسانی و بازطراحی فرآیندها، یک ریسک سازمانی است. پیامدهای فنی این تصمیم ممکن است به‌صورت پیکربندی نادرست یا ضعف کنترل‌های دسترسی ظاهر شود، اما ریشه مشکل در تصمیم مدیریتی و نبود هم‌راستایی میان استراتژی کسب‌وکار و استراتژی امنیت نهفته است.

نکته کلیدی در ریسک سازمانی این است که مالک آن تیم فنی یا حتی مدیر امنیت نیست، بلکه هیئت‌مدیره و مدیریت ارشد سازمان است. این ریسک‌ها معمولاً در محیط‌های فنی قابل مشاهده نیستند و نه از طریق ابزارهای اسکن آسیب‌پذیری شناسایی می‌شوند و نه به‌سادگی قابل اندازه‌گیری هستند. با این حال، اثر آن‌ها فراگیر و تعیین‌کننده است، زیرا بر طراحی سیاست‌ها، تخصیص بودجه، اولویت‌بندی پروژه‌ها و حتی جایگاه امنیت در ساختار تصمیم‌گیری سازمان اثر مستقیم دارد. نادیده‌گرفتن این لایه، به این معناست که امنیت در بهترین حالت به یک فعالیت واکنشی و ابزارمحور تبدیل می‌شود که همواره در حال جبران تصمیم‌های نادرست گذشته است.

در کنار ریسک سازمانی، ریسک در سطح فرآیند لایه‌ای است که بیشترین سوءتفاهم را در میان متخصصان امنیت ایجاد می‌کند. این نوع ریسک نه کاملاً فنی است و نه صرفاً استراتژیک، بلکه در طراحی و اجرای فرآیندهای کسب‌وکار ریشه دارد. فرآیندهایی مانند مدیریت دسترسی، مدیریت تغییر، پاسخ‌گویی به رخداد، طبقه‌بندی داده و مدیریت هویت، نقشی حیاتی در تحقق اهداف امنیتی دارند. زمانی که این فرآیندها به‌درستی تعریف نشده یا به‌طور ناکارآمد اجرا می‌شوند، حتی وجود ابزارهای پیشرفته امنیتی نیز نمی‌تواند از بروز رخدادهای جدی جلوگیری کند. برای مثال، وجود سامانه‌های کنترل دسترسی پیشرفته در شرایطی که بازبینی دوره‌ای دسترسی‌ها انجام نمی‌شود یا مسئولیت‌ها به‌وضوح مشخص نیست، منجر به انباشت تدریجی ریسک و افزایش احتمال سوءاستفاده داخلی می‌شود.

ریسک‌های فرآیندی معمولاً مزمن، پنهان و انباشته‌شونده هستند. این ریسک‌ها به‌ندرت در قالب یک رخداد ناگهانی و پر سر و صدا ظاهر می‌شوند، بلکه به‌مرور زمان کارایی کنترل‌ها را تضعیف می‌کنند و سازمان را در برابر تهدیدهای ساده و پیچیده آسیب‌پذیر می‌سازند. یکی از خطاهای رایج در مواجهه با این وضعیت، نسبت‌دادن مشکلات به «خطای انسانی» است، در حالی که در بیشتر موارد، آنچه به‌عنوان خطای انسانی شناخته می‌شود، نتیجه مستقیم طراحی نامناسب فرآیندها، فشارهای سازمانی یا نبود راهنمایی روشن است. از این منظر، اصلاح فرآیندها نه‌تنها یک اقدام مدیریتی، بلکه یک کنترل امنیتی اساسی به شمار می‌آید.

ارتباط میان این سه سطح ریسک را می‌توان در قالب یک زنجیره علت و معلول در نظر گرفت. تصمیم‌های نادرست یا مبهم در سطح سازمانی، به ایجاد سیاست‌ها و فرآیندهای ناکارآمد منجر می‌شوند و این ضعف‌ها در نهایت در سطح دارایی‌ها به‌صورت پیکربندی نادرست، کنترل‌های ناقص یا آسیب‌پذیری‌های فنی بروز پیدا می‌کنند. تمرکز صرف بر انتهای این زنجیره، یعنی لایه دارایی، بدون پرداختن به علل بالادستی، باعث می‌شود سازمان به‌طور مداوم در حال ترمیم نشانه‌ها باشد، نه درمان ریشه‌های مشکل. به همین دلیل، بسیاری از اقدامات امنیتی پس از رخدادها، به‌جای کاهش پایدار ریسک، تنها پیچیدگی و هزینه‌های عملیاتی را افزایش می‌دهند.

چارچوب‌های حرفه‌ای مانند CISM و ISSMP دقیقاً با هدف پر کردن همین شکاف طراحی شده‌اند. این چارچوب‌ها بر این فرض استوارند که امنیت اطلاعات تنها یک مسئله فنی نیست، بلکه بخشی از نظام حاکمیت و مدیریت سازمان است. در این دیدگاه، نقش مدیر امنیت یا CISO صرفاً انتخاب ابزار یا نظارت بر عملیات فنی نیست، بلکه مشارکت فعال در تصمیم‌گیری‌های راهبردی، شکل‌دهی به فرآیندها و ترجمه ریسک‌های فنی به زبان قابل فهم برای مدیریت ارشد است. بدون این توانمندی، امنیت اطلاعات به‌سختی می‌تواند جایگاه مؤثری در برنامه‌ریزی کلان سازمان پیدا کند.

در نهایت، می‌توان گفت درک ریسک در سطح دارایی برای هر متخصص امنیتی ضروری است، اما کافی نیست. امنیت پایدار زمانی محقق می‌شود که ریسک در سطح فرآیند به‌درستی مدیریت شود و جهت‌گیری‌های سازمانی با اهداف امنیت اطلاعات هم‌راستا باشد. متخصصی که تنها بر ریسک‌های فنی تمرکز دارد، ممکن است به یک کارشناس توانمند تبدیل شود، اما متخصصی که ریسک فرآیندی و سازمانی را نیز می‌فهمد، قادر است نقش مؤثری در هدایت و بلوغ برنامه امنیت اطلاعات ایفا کند. تفاوت میان امنیت واکنشی و امنیت راهبردی، دقیقاً در همین تغییر زاویه نگاه نهفته است.