سیاستها یکی از ابزارهای اساسی در نظامهای مدیریتی و امنیتی هستند. آنها استانداردهای رفتاری، چارچوبهای تصمیمگیری و حدود مسئولیت را تعریف میکنند و نقش مهمی در ایجاد نظم، شفافیت و انطباق دارند. با این حال، یک خطای رایج در سازمانها—بهویژه در حوزهٔ امنیت اطلاعات—این است که مدیران تلاش میکنند مشکلات عمیق سازمانی را با صدور یا سختگیری سیاستها حل کنند. واقعیت این است که سیاستها نه قادر به اصلاح فرهنگ هستند و نه میتوانند اختلالات ساختاری را درمان کنند. این مقاله دلایل این ناتوانی را از منظرهای مختلف بررسی کرده و مثالهای واقعی ارائه میدهد.
۱. محدودیت ذاتی سیاستها در تغییر رفتار واقعی
سیاست که یک سند رسمی است، تنها مجموعهای از انتظارات را بیان میکند، نه رفتار واقعی را. وقتی مشکل رفتار کارکنان ناشی از انگیزه، نگرش، درک یا ارزشها باشد، یک سیاست جدید قادر به ایجاد تغییر پایدار نیست. برای مثال، اگر کارکنان به دلیل فشار کاری یا عدم باور به اهمیت امنیت، از انجام کنترلها مانند استفاده از MFA یا گزارش حوادث خودداری میکنند، وضع یک سیاست جدید نهتنها رفتار را تغییر نمیدهد، بلکه ممکن است موجب مقاومت یا دورزدن شود. تغییر رفتار نیازمند فرهنگسازی، آموزش، انگیزهسازی و الگو بودن مدیریت است، نه صرفاً صدور یک دستور اداری.
۲. اولویت فرهنگ بر سیاست؛ «Culture eats policy for breakfast»
در علم مدیریت، این اصل مشهور نشان میدهد که فرهنگ سازمانی همیشه بر سیاستهای رسمی غلبه میکند. اگر فرهنگ سازمان ساختارگریز، نتیجهمحور بدون توجه به کیفیت، یا منعطف در برابر قانون باشد، بهترین و سختگیرانهترین سیاستها نیز بیاثر خواهند بود. برای مثال، سازمانی که فرهنگ آن بر «انجام سریع کار به هر قیمت» استوار است، حتی با وجود سیاستهای دقیق امنیتی، کارکنان را تشویق به میانبُر زدن، اشتراک رمز عبور یا غیرفعالکردن کنترلها میکند. در چنین محیطی، سیاست نه ابزار اصلاح، بلکه تبدیل به سندی بیمصرف میشود که هیچکس آن را جدی نمیگیرد.
۳. سیاستها توان اصلاح ساختارهای معیوب سازمانی را ندارند
مشکلات ساختاری—مانند نبود سلسلهمراتب شفاف، تداخل نقشها، نبود مالکیت ریسک، عدم وجود CISO، گزارشدهی غلط، یا تضاد منافع میان واحدها—مشکلاتی هستند که ریشه در ساختار رسمی و حاکمیت سازمان دارند. سیاستها تنها وقتی کارآمدند که ساختاری درست برای اجرای آنها وجود داشته باشد. اگر ساختار معیوب باشد، اجرای سیاست بهطور طبیعی شکست میخورد. برای مثال، وقتی تیم IT و امنیت مرز مسئولیت شفافی ندارند، نوشتن یک سیاست «مسئولیت امنیت با واحد X» نهتنها مشکل را حل نمیکند، بلکه تنش را افزایش میدهد؛ زیرا ساختار سازمانی هنوز همان مشکل را بازتولید میکند.
۴. مشکلات سیستمی به تصمیمات مدیریتی نیاز دارند، نه اسناد رسمی
بسیاری از مشکلات سازمانی ناشی از سیستم مدیریتی هستند: کمبود منابع، ضعف حاکمیت، عدم مشارکت مدیران ارشد، فرهنگ نتیجهگرایی افراطی، یا نبود فرآیندهای پاسخگویی روشن. حل این چالشها نیازمند مداخلهٔ مدیریتی، بازمهندسی فرآیندها، اصلاح ساختار، و ایجاد چرخههای بازخورد است. سیاستها فقط آنچه باید انجام شود را بیان میکنند؛ اما نمیتوانند توانایی انجام آن را ایجاد کنند. به بیان دیگر، سیاستها ابزار توصیفیاند، نه ابزار اصلاح سیستمی.
۵. مثالهای واقعی از شکست سیاستها در حل مشکلات فرهنگی و ساختاری
الف) مثال فرهنگی: مقاومت کارکنان در برابر گزارشدهی حادثه
اگر کارکنان از ترس سرزنش یا پیامدهای منفی، حوادث امنیتی را گزارش نکنند، نوشتن یک سیاست «گزارشدهی اجباری است» مشکل را حل نمیکند. تنها زمانی این رفتار اصلاح میشود که فرهنگ «بدون سرزنش» (blameless culture) ایجاد شود.
ب) مثال ساختاری: نبود مالکیت ریسک
در سازمانی که معلوم نیست چه کسی ریسک را میپذیرد، افزودن یک Policy «مالک ریسک باید ریسک را بپذیرد» بیفایده است. باید ساختار حاکمیت ریسک اصلاح شود تا نقشها، مسئولیتها و حدود اختیار مشخص گردد.
ج) مثال ترکیبی: ضعف امنیت در توسعه نرمافزار
اگر در تیم توسعه، فشار زیاد برای تحویل سریع وجود دارد، سیاست «secure coding الزامی است» اجرا نمیشود. نیاز است ساختار پروژه، اولویتها، مشوقها و رفتار مدیران تغییر کند. سیاست این فشار را از بین نمیبرد.
۶. سیاست زمانی مؤثر است که فرهنگ و ساختار آن را حمایت کنند
در نهایت، سیاستها ابزار اجرایی فرهنگ و ساختار هستند، نه جایگزین آنها. وقتی سیاست با فرهنگ و ساختار هماهنگ باشد، اثرگذار است؛ اما وقتی در تضاد باشد، یا اجرا نمیشود یا بهطور سطحی اجرا شده و آسیبهای بیشتری ایجاد میکند.
جمعبندی
سیاستها ابزارهای ضروری برای مدیریت امنیت و تعیین استانداردها هستند، اما توان اصلاح مشکلات ریشهای سازمان را ندارند. مسائل فرهنگی و ساختاری نیازمند رهبری، مشارکت، بازمهندسی، آموزش، و تغییر رفتار سازمانی هستند. سیاست زمانی موفق است که بر بستری از فرهنگ قوی و ساختار کارآمد استوار باشد؛ در غیر این صورت، صرفاً به سندی تبدیل میشود که موجودیت دارد، اما تأثیری ایجاد نمیکند.
