حفاظت از اطلاعات در شرایط بحران

یادداشت دریافتی- فرزاد رمضانی راد*؛ نگرش سنتی به مدیریت بحران، نگرش منفی بوده است همانند فرونشاندن آتش توسط مدیر تلقی می‌شده است.، با این تعببیر که مدیر بحران در انتظار خراب شدن کار‌ها می‌نشیند و پس از بروز تخریب، سعی می‌کند تا ضرر ناشی از خرابی‌ها را محدود کند، ولی برای این واژه به تازگی معنای مثبت و بهتری پیدا شده است و به ارائه مجموعه‌ای از تدابیر، برای مقابله با طرح‌ها و برنامه‌هایی که علیه سازمان درحال شکل گیری است، اطلاق می‌گردد.

بنابراین، مدیریت بحران برضرورت پیش بینی منظم و کسب آمادگی برای برخورد با آن دسته از مسائل داخلی و خارجی که به طور جدی شهرت، سود آوری یا حیات سازمان راتهدید می‌کنند، متمرکز است.

مدیریت بحران به عنوان یک رشته علمی جدید به طور کلی درحوزه مدیریت استراتژیک قرار می‌گیرد و به طور خاص به مباحث کنترل استراتژیک مرتبط می‌شود. لذا در بانکها و موسسات مالی حفاظت از اطلاعات به منظور حصول اطمینان از کفایت، تناسب و اثر بخشی آن در صورت وقوع هرگونه تغییر امری ضروری به نظر می‌رسد.

نوع‌شناسی بحران
کار‌شناسان مدیریت بحران با دسته بندی و تعریف انواع بحران‌ها، حرکتی بنایی را برای شناسایی و تفکیک بحران‌ها آغاز کرده‌اند.
در زیر طبقه بندی انواع بحران‌ها در چهار وضعیت متمایز را نشان می‌دهد. برای هر وضعیت کلی نیز نمونه‌هایی از بحران‌های شناخته شده، مشخص شده‌اند. که به شرح ذیل عبارتنداز:

بحران‌های فنی-اقتصادی داخلی
کاهش میزان محصولات با خدمات، بروز نواقص یا سوانح صنعتی در محیط کار، خراب شدن رایانه‌ها ودستگاه‌ها، نارسایی در سیستم‌های اطلاعاتی مدیریت، ورشکستگی مالی، استهلاک منابع فنی واطلاعاتی.

بحران‌های فنی- اقتصادی خارجی
بحران‌های ملی، دولتی و بین المللی، بروز سوانح طبیعی، تخریب گسترده محیط، خراب شدن سیستم‌های بزرگ، ورشکستگی سازمان مادر، ظهور فناوری جدید در بازار

بحران‌های سازمانی- اجتماعی داخلی
قصور در انطباق یا تغییر، تخریب عمدی دستگاه‌ها و رایانه‌ها توسط کارکنان، شایعه سازی، بهتان زدن، سعایت و شوخی‌های رکیک در سازمان، اخذ رشوه توسط کارکنان برای ارائه محصولات و خدمات، جعل محصولات توسط کارکنان، ارتکاب فعالیت‌های غیر قانونی

بحران‌های سازمانی- اجتماعی خارجی
تعمیم نمادین، تخریب عمدی سیستم توسط نیروی خارجی، شایعه سازی و بهتان زدن به سازمان، گروگان گیری مدیران سازمان و اخذ رشوه از سازمان، توسط عوامل ذی نفوذی محیطی، جعل محصولات توسط رقبا، اعتصاب، تحریم و آدمکشی برای اخذ امتیازات غیر قانونی

برای مثال، یکی از بحران‌های «سازمانی- اجتماعی خارجی»، تعمیم نمادین است. بحران ناشی از تعمیم نمادین (در وضعیت)، حاکی از شرایط است که «موقعیت یک سازمان» فقط به خاطر آنکه نام آن تداعی می‌کند، به خطر می‌افتد.

مدیریت بحران
فرایند پیش بینی و پیشگیری از وقوع بحران برخورد و مداخله در بحران و سالم سازی بعد از وقوع بحران را مدیریت بحران گویند.

علمی کابردی که بوسیله مشاهده سیستماتیک بحران‌ها و تجزیه و تحلیل آن‌ها درجستجوی یافتن ابزاری است (اعم از علم روز بصورت آمار و ارقام یا به کارگیری دانش و فن روز تمام آن‌ها نتیجتاً به یک هدف خاص جهت کاهش بحران و اثرات بحران می‌شوند) که بوسیله آن‌ها بتوان از بروز بحران‌ها، پیشگیری نمود و یا درصورت بروز آن در خصوص کاهش اثرات آن آمادگی لازم امداد رسانی سریع و بهبودی اوضاع اقدان نمود.

برنامه ریزی برای کنترل بحران از چهار مرحله تشکیل می‌شود. این مراحل عبارتنداز: پیش بینی (بررسی نقاط بحران خیز و ضربه پذیر)، تدوین برنامه (تنظیم برنامه‌های اقتضایی)، تامین نیروی انسانی (ایجاد گروه‌های مدیریت بحران، و اجرا (تکمیل برنامه از طریق اجرای آزمایشی آن).

مدیریت بحران جامع
فرایند برنامه ریزی، عملکرد و اقدامات اجرائی است که توسط دستگاه‌های دولتی، غیر دولتی و عمومی پیرامون شناخت و کاهش سطح مخاطرات (مدیریت خطرپذیری) صورت می‌پذیرد.

دراین فرایند بامشاهده پیش نشانگر‌ها و تجزیه و تحلیل آن‌ها و منابع اطلاعاتی در دسترس تلاش پیش نشانگرد‌ها و تجزیه و تحلیل آن‌ها و منابع اطلاعاتی دردسترس تلاش می‌شود به صورت یکپارچه، جامع و هماهنگ با استفاده از ابزارهای موجود از بحران‌ها پیشگیری نموده یا در صورت بروز آن‌ها با آمادگی لازم در جهت کاهش خسارت جانی و مالی به مقابله سریع پرداخته تا شرایط به وضعیت عادی بازگردد.

انواع سیستم‌های کنترل
سیستم‌های کنترل را می‌توان به چهار نوع تقسیم کرد: تشخیصی، تحدیدی، تعاملی و ارزشی

۱. سیستم‌های کنترل تشخیصی
سیستم‌های کنترل تشخیصی مدیر را قادر می‌سازد تا وضعیت بخش‌های مختلف سازمان را از حیث عملکرد و سلامت کنترل کنند.

این سیستم‌ها نتایج عملکرد را مورد ارزیابی قرار می‌دهند و برای تشخیص وضعیت‌های غیر عادی به کار می‌روند. یکی از اهداف عمده به کارگیری سیستم‌های کنترل تشخیصی، حذف بار هدایت مستمر بر دوش مدیران است.

۲. سیستم‌های کنترل ارزشی
 سازمان‌ها با استفاده از سیستم کنترل ارزشی درصددند تا با تببین دقیق ارزش‌ها ورهنمودهای مدیران عالی، زمینه پذیرش مشتاقانه کارکنان رافراهم آورند. سیستم‌های کنترل ارزشی، ارزش‌های اساسی سازمان را (نظیر اینکه «سازمان باید از طریق ارائه خدمت با بهترین کیفیت به مشتریان خوددر سطح جهان، ایجاد ارزش کند.») به کارکنان ارائه می‌دهند وبا ایجاد تعهد درکارکنان امکان کنترل موثر‌تر سیستم وحتی تقویت سیستم وحتی تقویت سیستم کنترل تشخیصی رافراهم می‌آورند.

۳. سیستم‌های کنترل تحدیدی
سیستم‌های کنترل تحدیدی از یک مفهوم ساده ودر عین حال عمیق استفاده می‌کنند. برقراری سیستم حدود فقط به تعیین استانداردهای رفتار اخلاقی محدود نمی‌شوند، بلکه این سیستم با تعیین «حدود استراتژیک» محدوده فعالیت افراد را مشخص می‌کندوآن‌ها هدایت می‌کندتااز مجوعه فرصت‌هایی که حفظ موقعیت رقابتی سازمان به بهره برداری صحیح از آن بستگی دارد، استفاده کنند. سیستم‌های کنترل تحدیدی همانند ترمز عمل می‌کنندوبرای سازمان‌های تندرو وفعال در محیط پویا ودر حال تحول امروزی مناسب هستند.

۴. سیستم‌های کنترل تعاملی
سیستم‌های کنترل تعاملی به مثابه سیستم‌های رسمی کسب و اطلاعات در اختیار مدیران قرار می‌گیرند. تا به طور منظم، آن‌ها رادر جریان تصمیمات کارکنان قرار دهند.

مدیران با استفاده از سیستم کنترل تعاملی می‌تواندد با همکاری کارکنان، برنامه‌های پویایی برای واکنش به مسائل و تهدیدات و عدم اطمینان‌های محیطی تنظیم کنند.

سیستم‌های کنترلی برای کنترل عدم اطمینان‌های استراتژیک در محیط به کار می‌روند. این سیستم ها از طریق تشکیل جلسه میان دوره مدیران و کارکنان، بررسی فرصت‌ها و تهدیدات را امکان پذیر می‌سازند.

رعایت الزامات جهت از جلوگیری از سرقت اطلاعات در شرایط بحرانی
رعایت الزامات جهت جلوگیری از سرقت اطلاعات درشرایط بحرانی به منظور حصول اطمینان، از حفظ محرمانگی، تمامیت و دسترس پذیری اطلاعات با استفاده از پیشگیری کردن و به حداقل رساندن آسیب‌ها و رخنه‌های امنیتی و فراهم نمودن محیطی امن جهت محافظت از دارایی‌های اطلاعاتی باارزش بانک و بهره برداری از امکانات سیستم‌های اطلاعاتی می‌باشد.

پیشنهادات جهت حصول اطمینان از حفظ اطلاعات و اجرای موثر جهت پیشگیری از حوادث
۱.     افزایش توانایی بانک در مدیریت حوادث و مدیریت تغییرات

۲.     پیشبرد برنامه مدرن پیاده سازی سیستم مدیریت امنیت اطلاعات

۳.     بهبود مستمر امنیت اطلاعات و ارتباطات در بانک

۴.     تلاش در راستای ارتقاء و نظارت مستمر امنیت اطلاعات کلیه مشتریان بانک اعم از حقیقی و حقوقی

۵.     لحاظ نمودن کلیه پارامترهای امنیت اطلاعات به عنوان معیارهای کلیدی در راستای توسعه خدمات بانکداری

۶.     حصول اطمینان از ایجاد بستری امن جهت دسترسی آسان مشتریان به کلیه خدمات بانک

۷.     راه اندازی سایت جهت پشتیبان گیری سامانه‌های اطلاعاتی نظیر Back up- Disaster با رعایت استاندارد بروز امنیتی و فیزیکی

۸.     تقویت، گسترش و تعمیم زیر ساخت‌های موثر بر توسعه امنیت اطلاعات ارتباطات جهت پیشگیری از مخاطرات امنیتی

۹.     مقابله با هرگونه نقص امنیت اطلاعات، جاسوسی و سرقت اطلاعات و خرابکاری‌های رایانه‌ای

۱۰.     تدوین واجرای برنامه جامع بانکداری جامعه الکترونیکی و توسعه خدمات نوین براساس معیارهای استاندار بین المللیISO/IEC ۲۷۰۰۱.

۱۱.     تهیه، تدوین و اجرا، نگهداری و ارزیابی طرح‌های مدیریت تداوم کسب و کار سیستم مدیریت هوشمند ساختمان به منظور استفاده بهینه از تجهیزات و افزایش عمر مفید آن‌ها و همچین امکان مانیتورینگ و کنترل تمامی نقاط.

نتیجه
برای جلوگیری از تشدید شدن بحران‌ها، از بین نرفتن روابط و مصون ماندن سازمان ها در مقابل در مقابل تهدیدات و وقایع ناگوار وجود مدیریت بحران ضروری است.

لذا می‌بایست چارچوبی متشکل از پیش بینی راهبردی، برنامه ریزی اقتضایی، تجزیه و تحلیل مباحث و مسائل و تجزیه و تحلیل سناریو برای اجتناب و عدم مواجه با بحران در نظرگرفت و مدیریت مخاطرات امنیتی بانک مطابق بادستور العمل شناسایی و ارزیابی مخاطرات صورت پذیرد.

در این راستا آگاه سازی از طریق ارائه آموزش و فرهنگ سازی در زمینه امنیت اطلاعات و ارتباطات برای تمامی کارکنان بانک می‌بایست مد نظر قرارگیرد.

---

منابع
1. رضائیان، علی، تجزیه وتحلیل وطراحی سیستم، تهران، انتشارات سمت، ۱۳۹۰
۲. جک گارتزچاک، مدیریت بحران (دربخش‌های خصوصی ودولتی)، ترجمه علی پارسائیان، انتشارات ترمه، چاپ اول، تهران، ۱۳۸۳

---

*کار‌شناس ارشد مدیریت اجراییEMBA گرایش مدیریت استراتژیک
 اداره کل فناوری اطلاعات بانک ملت