امنیت منابع انسانی؛ دغدغه مدیران در ISMS

  • نویسنده: مژگان فلاح
  • تاریخ انتشار: چهارشنبه ، ۲۷ دی ماه ۹۶
  • تعداد بازدید: 1449
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

مقدمه

در جهان پرشتاب و سرشار از تحول و رقابت امروز، منابع انسانی یکی از باارزش‌ترین دارایی‌های اطلاعاتی سازمان‌ها محسوب میگردد که از سوی دیگر می تواند به عنوان شکننده ترین حلقه در زنجیره امنیت اطلاعات باشد. منابع انسانی توانمند و با صلاحیت یکی از اصلی‌ترین مزایای رقابتی سازمان هستند، ازطرفی اطلاعات و امنیت اطلاعات در جامعه امروز از اهمیت راهبردی برخوردار است که بخش مهمی از مبحث امنیت اطلاعات مرتبط با حوزه منابع انسانی می باشد. لذا توجه خاص به حوزه امنیت منابع انسانی در سازمان ضروری به نظر می رسد.

منابع انسانی در سازمان می­تواند به مثابه یک شمشیر دولبه در نظر گرفته شود. در عین اینکه کارکنان با ارزش‌­ترین دارایی سازمان­ هستند، می­تواند بعنوان بزرگ­ترین تهدید از منظر امنیت اطلاعات در نظر گرفته شود. ریشه بسیاری از تهدیدات به حوزه منابع انسانی برمی­گردد. همچنین می توان گفت که سازمانها با استفاده از فناوری­های کنترلی نظیر سیستم کنترل دسترسی، سیستم­های حفاظتی نظیر دیواره­های آتش، سیستم­های مهاجم­یاب و ... می توانند به راحتی ورود و خروج افراد، اطلاعات و تجهیزات را کنترل نمایند و با استفاده از تکنولوژی می توان، محدودیت ها و کنترل های را بر روی تجهیزات و یا دیگر سیستم های اطلاعاتی اعمال نمود و جلوی خروج اطلاعات از سازمان را گرفت؛ اما از سوی دیگر نمی توان ذهن افراد را کنترل نمود و نمی­توان با استفاده از روش های تکنولوژیک جلوی ورود و خروج اطلاعات موجود در ذهن کارکنان از سازمان را گرفت. در این مقاله سعی می شود ضمن تبیین اهمیت موضوع امنیت منابع انسانی، الزامات این حوزه را از منظر استاندارد ISO 27001:2013 به عنوان مرجع اصلی الزامات سیستم مدیریت امنیت اطلاعات (ISMS) بررسی نماییم. (برای کسب اطلاعات بیشتر در خصوص ISMS، ابتدا توصیه می‌کنیم مقالات معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات و چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ را مطالعه نمایید)

اهمیت امنیت منابع انسانی

در توسعه امنیت منابع انسانی، همواره بایستی ظرفیتها و امکانات جدید تکنولوژی را در این زمینه شناخت، تا توسعه قابلیتهای امنیت منابع انسانی بصورت یک فرایند دائمی انجام شود. تحقق این امر در گرو بهره­ گیری از تکنولوژی و پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمانها است، از آنجاییکه در فرایند فناوری اطلاعات دائماً اطلاعات تولید، پردازش، توزیع و مدیریت می شود، همچنین در سیستم مدیریت امنیت اطلاعات (ISMS) نیز باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش سطح تهديدات مربوط به پرسنل، تجهیزات و دارایی های مختلف در سازمان میشود. پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده های قابل اطمينان برای تصميم گيري و محک زدن سيستم مديريت امنيت اطلاعات، ايجاد اطمينان نزد مشتريان و شرکاي تجاري، امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات می­شود. ، بنابراین تکنولوژی اطلاعات زمانی حلال مشکلات خواهد بود که درخدمت توسعه و پرورش انسانها قرار گرفته و قابلیتهای انسانی با هم تلفیق و منجر به توسعه وبهره وری آن میشود اما نمیتواند افکار افراد را در مورد مسائلی که در ذهن خود در حوزه فعالیتشان پرورش میدهند تشخیص دهد. از مهمترین راهکار های که می توان در این زمینه ارائه نمود، از آموزش های امنیتی، برگزاری سمینارهای فرهنگ‌سازی و آگاهی رسانی می توان نام برد اما اینکه افراد از این اموزش چگونه و در چه زمینه­ای استفاده نمایند را تکنولوژی نمی تواند تشخیص دهد زیرا تکنولوژی فقط قادر است باعث بهبود کیفیت، حفاظت از امنیت، رویارویی با بخشی از چالش های امنیت منابع انسانی و تجهیزات شود .

امنیت منابع انسانی در استاندارد ISO 27001:2013

هدف امنیت منابع انسانی در حوزه کنترلی A.7 موجود در پیوست الف استاندارد ISO 27001:2013 افزایش کارایی نیروی انسانی و آگاه ساختن آنها از مسئولیت هایشان در سازمان است.

این حوزه استاندارد شامل 3 هدف کنترلی است که به موضوعاتی در زمینه موارد پیش از استخدام، حین استخدام و پایان و تغییر وضعیت استخدام می پردازد. موارد ذکر شده در هدف کنترلی پیش از استخدام شامل گزینش و شرایط استخدام می­شود و هدف کنترلی حین استخدام شامل مسئولیت های مدیریت، آموزش و تحصیل و آگاهی رسانی امنیت اطلاعات و فرایند انضباطی است و در اخرین هدف کنترلی A.7 که در مورد فرایند پایان و تغییر وضعیت استخدام است، استاندارد به مواردی در زمینه پایان یا تغییر مسئولیت های استخدامی می پردازد. این بخش از استاندارد به طور کلی به نقش ها و مسئولیت های افراد متناسب با الزامات کسب وکار و اطمینان از اینکه پرسنل به وظایف و مسئولیت های خود در قبال امنیت اطلاعات و حفاظت از دارایی های متعلق به سازمان  به طور کامل واقف هستند اشاره می نماید.

 

امنیت منابع انسانی؛ پیش از استخدام

اولین چالش در حوزه امنیت منابع انسانی، فرآیند استخدام مناسب برای پرسنلاست. بدیهی است که عدم دقت در استخدام و عدم رعایت ملاحظات امنیتی چالش­های زیادی برای سازمان­ها دارد.

ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮد ﻛﻪ پیش از استخدام پرسنل ﭘﻴﺸﻴﻨﻪ ﺗﻤﺎﻣﻲ داوﻃﻠبین اﺳﺘﺨﺪام، ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻗﻮاﻧﻴﻦ، ﻣﻘﺮرات و اﺻﻮل اﺧﻼﻗﻲ ﻣﺮﺑﻮﻃﻪ، و ﻣﺘﻨﺎﺳﺐ ﺑﺎ اﻟﺰاﻣﺎت ﻛﺴﺐ و ﻛﺎر ﻣﻮرد بررسی و ﺗایید قرار گیرد که این بررسی ها می تواند شامل موارد زیر باشد:

  • بررسی افراد از لحاظ داشتن صلاحیت و دارا بودن مهارت های لازم در زمینه فعالیت تقاضا شده
  • تماس با محل کار قبلی به منظور حصول اطمینان از عدم وجود مشکل امنیتی در محل کار قبلی
  • گرفتن تائیدیه سوابق شغلی از محل کار قبلی آنها در صورت اشتغال در این زمینه
  • بررسی های جزئی تر از نظر بررسی­های اعتبار یا بررسی­های سوابق کیفری
  • تایید صلاحیت­های حرفه­ای و دانشگاهی ادعاشده

 

امنیت منابع انسانی؛ حین استخدام

هدف از امنیت منابع انسانی در حین خدمت حصول اطمینان از آگاه بودن پرسنل از مسئولیت ها و تعهدات خود و پیروی از خط مشی های امنیتی سازمان می­باشد، همچنین حصول اطمینان از کافی بودن سطح آموزش در زمینه استفاده صحیح از امکانات پردازش اطلاعات و اموزش های لازم جهت انجام صحیح وظیفه محوله به شخص جهت به حداقل رساندن ریسک های امنیتی است.

برای پیاده سازی الزامات این حوزه از استاندارد، می توان موارد زیر را در این زمینه مد نظر قرار داد:

  • توجیه پرسنل درباره مسئولیت های امنیت اطلاعات پیش از اعطای مجوز دسترسی به اطلاعات حساس
  • راهنمایی و گوشزد کردن انتظارات امنیتی سازمان از نقش و جایگاه اختصاص داده شده
  • انگیزه ­مند کردن پرسنل برای رعایت سیاست های امنیتی سازمان
  • تشویق پرسنل به کسب مهارت در زمینه فعالیت

مهم‌ترین مواردی که به‌عنوان مقاصد نسبتاً مشترک سازمانها و نظام‌های مختلف در مورد آموزش ضمن خدمت قابل ذکر است؛ شامل هماهنگ و همسوکردن کارکنان با سازمان است. این امر از یک سو برای تحقق اهداف سازمان و دستیابی به سیاستها و‌خط‌مشی‌های تعیین شده برای مؤسسه دارای اهمیت است و از سوی دیگر پیشرفت شغلی و حرفه‌ای فرد در سازمان درگرو آگاهی وی از انتظارات مسئولان و نحوه انجام تکالیف و مسئولیت‌های شغلی می‌داند. در صورتیکه پرسنل از مسئولیت­های امنیتی خود آگاه نباشند می توانند آسیب­های جدی به یک سازمان وارد نمایند.

موضوع دیگری که در این زمینه حائز اهمیت است موضوع آگاهی­رسانی و آموزش امنیت اطلاعات است، که پرسنل می بایست در زمینه فعالیت خود آگاهی ­رسانی‌­های مناسب و به روز متناسب با خط مشی و رویه­های سازمانی را دریافت نمایند، به طوری که به وظایف شغلی آنها مربوط باشد، توصیه می­شود که آموزش مستمر بوده و شامل الزامات امنیتی و نیز آموزش استفاده صحیح از تجهیزات پردازش اطلاعات مانند رویه برقراری ارتباط با سیستم، نرم افزار ها و آگاهی­های عمومی برای پرسنل باشد.

 از روش های مختلف آگاهی رسانی امنیتی می توان به موارد زیر اشاره نمود:

  • برگزاری سمینارهای امنیتی دسته جمعی
  • آگاهی رسانی از طریق پست الکترونیک
  • آگاهی رسانی از طریق پیامک
  • آگاهی رسانی از طریق پوسترها و عکس های امنیتی
  • آگاهی رسانی و پخش از طریق انیمیشن و اسلایدهایی که بر روی مانیتورها در فضاهای مختلف سازمان نصب می شوند.

نکته دیگر آگاه سازی پرسنل و آموزش و تعلیم امنیت در زمینه نقش و مسئولیت و مهارت های مرتبط با زمینه فعالیت آنها درباره تهدیدهای شناخته شده می باشد، که هدف از این آموزش ارتقای آگاهی امنیتی افراد مطابق با نیازهای کاری آنها است.

 

امنیت منابع انسانی؛ خاتمه استخدام

ﺑﺨﺶ ﻣﻨﺎﺑﻊ اﻧﺴﺎﻧﻲ ﻋﻤﻮﻣﺎ ﻣﺴئول ﻛﻞ ﻓﺮاﻳﻨﺪ ﺧﺎﺗﻤﻪ اﺳﺘﺨﺪام را برعهده دارد. ﺗﻤﺎﻣﻲ پرسنل ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﻣﺤﺾ ﺧﺎﺗﻤﻪ اﺳﺘﺨﺪام ﻗﺮارداد ﻳﺎ ﺗﻮاﻓﻖ ﻧﺎﻣﻪ ﺧﻮد، ﺗﻤﺎﻣﻲ داراﻳﻲ ﻫﺎي ﺳﺎزﻣﺎن را ﻛﻪ در اﺧﺘﻴﺎر آﻧﻬﺎ اﺳﺖ، ﺑﻪ ﺳﺎزﻣﺎن ﻋﻮدت دﻫﻨﺪ.

در مورد دانش ضمنی پرسنل ﻛﻪ ﺑﺮاي اﻧﺠﺎم فعالیت های سازمان ﻣﻬﻢ اﺳﺖ، می بایست آن داﻧﺶ ﻣﺴﺘﻨﺪﺳﺎزي ﺷﺪه و ﺑﻪ ﺳﺎزﻣﺎن ﻣﻨﺘﻘﻞ ﺷﻮد. ﻣﺴﻮوﻟﻴﺖ ﻫﺎ و وﻇﺎﻳﻔﻲ ﻛﻪ ﭘﺲ از ﺧﺎﺗﻤﻪ استخدام ﻫﻤﭽﻨﺎن ﻣﻌﺘﺒﺮ ﻫﺴﺘﻨﺪ، ﺑﺎﻳﺴﺘﻲ در ﻗﺮاردادﻫﺎي پرسنل ﮔﻨﺠﺎﻧﺪه ﺷﻮد. همچنین ﺣﻘﻮق دﺳﺘﺮﺳﻲ ﺗﻤﺎم پرسنل ﺑﻪ اﻃﻼﻋﺎت و اﻣﻜﺎﻧﺎت ﭘﺮدازش اﻃﻼﻋﺎت، ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﻣﺤﺾ ﺧﺎﺗﻤﻪ اﺳﺘﺨﺪام، ﻗﺮارداد ﻳﺎ ﺗﻮاﻓﻖ ﻧﺎﻣﻪ آﻧﻬﺎ، ﺣﺬف ﺷﺪه ﻳﺎ ﺑﺎ ﺗﻐﻴﻴﺮات ﺗﻄﺒﻴﻖ داده ﺷﻮد.

در نهایت می توان نتیجه گرفت که ورود و به کارگیری فناوری اطلاعات و تکنولوژی در سازمان در حوزه های مختلف کارکردهای خاص خود را خواهد داشت، از جمله در حوزه امنیت منابع انسانی و عملکردهای آن می تواند نقش­های زیادی را در جهت انجام بهتر وظایف مدیریت و پرسنل در قبال امنیت منابع انسانی ایفا نماید اما نمی تواند ذهنیت و افکار افراد را شناسایی و تشخیص دهد و از تهدیدات و آسیب پذیری احتمالی آنها به صورت مکفی جلوگیری نماید.

لازم به ذکر است که الزامات و تمهیدات امنیتی مورد نیاز در خصوص دیگر افراد مرتبط با سازمان ها شامل پیمانکاران، مشاوران و به طور کلی کلیه اشخاص ثالث، نیز به عنوان حوزه کنترلی جداگانه در استاندارد مذکور آورده شده است که روش های پیاده سازی این الزامات در مقاله راهنمای اجرای الزامات ISO 27001  در خصوص اشخاص ثالث و تامین‌کنندگان مورد بررسی قرار گرفته است.