محمد حسین مرزبان، رحمان شریف زاده، علیرضا پورابراهیمی،
دوره 12، شماره 2 - ( 6-1404 )
چکیده
با تبدیل شدن اطلاعات به ارزشمندترین دارایی سازمانها و افزایش پیچیدگی تهدیدات سایبری، سرمایهگذاری کلانی بر راهکارهای امنیتی صورت گرفته است. با این حال، شواهد نشان میدهد که بیش از ۹۰ درصد نقضهای امنیتی عمده ریشه در خطاهای انسانی دارد. این امر، اهمیت پرداختن به «فرهنگ امنیت اطلاعات» را بهعنوان مکمل ضروری راهکارهای فنی، بیش از پیش آشکار میسازد. مدلهای سنتی فرهنگ امنیت اطلاعات (مانند مدلهای شاین و هافستد) عمدتاً انسانمحور بوده و نقش کنشگران غیرانسانی را نادیده میگیرند. این شکاف نظری، ضرورت بهکارگیری چارچوبهای جامعی مانند نظریه کنشگر-شبکه (ANT) را برای درک تعامل پویای تمامی عوامل مؤثر ایجاب میکند. این مطالعه با هدف پرکردن این شکاف و شناسایی مولفههای انسانی و غیرانسانی مؤثر در فرهنگ امنیت اطلاعات در یک سازمان مالی حیاتی انجام شد. پژوهش حاضر به روش کیفی تفسیرگرایانه و با تحلیل مصاحبههای نیمهساختاریافته با ۲۵ مدیر، کارشناس و کاربر در بانک مرکزی ایران، همراه با مشاهده میدانی و بررسی اسناد انجام شد. یافتهها نشان داد فرهنگ امنیتی حاصل تعامل پویای سه گروه انسانی است: ۱) مدیران ارشد (تصمیمگیران راهبردی)، ۲) کارکنان (اجراکنندگان رفتارهای روزمره) و ۳) تیمهای فنی (ترجمهکنندگان سیاستها به اقدامات عملی). همچنین، پنج دسته کنشگر غیرانسانی شناسایی شد: سیاستها (مثل ISO 27001)، فناوریها (نظیر SIEM و MFA)، زیرساختها، اسناد و فرآیندهای سازمانی. نکته کلیدی، نقش کنشگران هیبریدی (ترکیب انسان-فناوری) مانند سیستمهای احراز هویت بود که رفتار کاربران را تغییر میدهند. در مقایسه با مدلهای خطی، این پژوهش ثابت کرد بهبود فرهنگ امنیتی نیازمند طراحی شبکهای است که تعامل متقابل تمام کنشگران را مدنظر قرار دهد. پیشنهادها شامل توسعه فناوریهای کاربرپسند، الگوسازی مدیران، و ادغام امنیت در فرآیندهای کاری است. این چارچوب برای سازمانهای مالی و حاکمیتی که با چالشهای مشابه روبرو هستند، کاربرد دارد.
