نقش عوامل انسانی در حفاظت از اسرار تجاری

عوامل انسانی در حفاظت رموز تجارت از اطلاعات

امنیت اطلاعات سری تجارت شامل یک آرایه چند بعدی از عوامل انسانی، حقوقی، و فن‌آوری می‌باشد. من استدلال می‌کنم که فرهنگ سازمانی، سیاست‌های کارمندان، و دیگر عوامل انسانی پیش نیازهای اساسی برای اجرای موفقیت آمیز معیارهای امنیت حقوقی و فنی است. پس از معرفی مختصر قانون اسرار تجارت برای خواننده، یک شمای کلی از تعقیب قانونی اسرار تجاری و تجزیه و تحلیل استراتژی‌های هک کردن کامپیوتری ارائه خواهم داد تا بر این نکته که تا چه حد ابعاد حقوقی و تکنولوژیکی امنیت اطلاعات مخفی تجاری در مورد عوامل انسانی پیش می شوند تاکید شود. من با یک بحث در مورد اینکه سیاست‌های منابع انسانی چگونه می‌توانند حساسیت فرهنگی به اسرار تجاری به وجود آورند و خطر نشت اطلاعات را کاهش دهند، نتیجه‌گیری انجام خواهم داد.

اختلاف‌های ظریف مهم در قانون اسرار تجاری

برای بحث در مورد نقش منابع انسانی (HR) در حفظ اسرار تجاری، یک مرور کوتاه بر قانون اسرار تجاری خواهیم داشت. در حالت کلی، اسرار تجاری یک شکل از مالکیت معنوی هستند که از اطلاعات محرمانه کسب و کار محافظت می‌کنند. قرارداد اسرار تجاری یکسان (UTSA)، قانون عملی اسرار تجاری در ۴۶ ایالت و ناحیه در کلمبیا برقرار می‌باشد. برای آنکه اطلاعات به عنوان اطلاعات اسرار تجاری قابل محافظت تحت UTSA تلقی شوند، سه عنصر اصلی باید وجود داشته باشد:

1. این اطلاعات باید ارزش بالفعل یا بالقوه داشته باشند
2. این اطلاعات نباید به طور کلی برای عموم مردم شناخته شده باشند و یا به آسانی قابل شناخته شدن باشند
3. اطلاعات باید با تلاش معقول محافظت شوند.

معانی حقوقی ظریف این عناصر نیازمند توضیح بیشتر است.

عنصر پنهان‌کاری فقط نیازمند آن است که اطلاعات نباید “به طور کلی شناخته شده” و یا “به آسانی قابل شناخت” باشند. نمونه‌های معمول اسرار تجاری که شامل اطلاعات به شدت محافظت شده می‌باشند، از قبیل فرمول کوکا کولا، ممکن است این تصور گمراه کننده را ایجاد کنند که از پنهان‌کاری در سطح بالا یک شرط لازم برای قانون اسرار تجاری است. اگر چه تنها چند کارمند کارخانه کوکا کولا فرمول کوکا کولا را می‌دانند، اما این سطح از محرمانه بودن مطلق شرط لازم قانونی نیست. ثانیاً، ارزش اطلاعات باید از این واقعیت “مشتق” شده باشد که این اطلاعات به این دلیل با ارزش‌تر هستند که برای دیگران ناشناخته هستند. علاوه بر این، اطلاعات محرمانه ارزشمند باید با استفاده از تلاش‌های “معقول برای حفظ محرمانه بودن آنها” محافظت شوند. در این زمینه ، شرط اینکه تلاش‌های محفاظتی باید “معقول” باشند بدان معنی است که اطلاعات با ارزش تر باید در سطح بالاتری محافظت شوند. از کلمه “حفظ” استفاده می‌کنیم به این دلیل که حفاظت باید مداوم و مستمر باشد- زیرا محرمانه بودنی که یک بار فاش شود قابل ترمیم نخواهد بود. یک انحراف کوچک در حفاظت می تواند وضعیت سری بودن اطلاعات تجاری را از بین ببرد، بنابراین حفاظت پایدار ضروری است.

بنابراین ، حفاظت اطلاعات مخفی تجاری شامل چهار مرحله اساسی است :

1. شناسایی اطلاعات محرمانه
2. ارزش گذاری اطلاعات
3. ارزیابی ریسک در ارتباط با اطلاعات
4. اجرای اقدامات امنیتی متناسب با ارزش و ریسک اطلاعات.

پیروی از این مراحل به جلوگیری از بروز و نشت اطلاعات و همچنین به ایجاد سابقه حفاظت اطلاعات که برای اجرای قانون اسرار تجاری از طریق تعقیب قانونی لازم است کمک می‌کند.

نقش مشروط شارع برای حفظ اسرار تجاری

برای به دست آوردن یک راهکار قانونی در مورد سرقت اسرار تجاری، صاحب اسرار تجاری باید موارد پنهان‌کاری، ارزش گذاری، و حفاظت که تا اینجا بحث شد را رعایت کند. دادگاه‌ها اغلب برای تعیین اینکه آیا اطلاعات به اندازه کافی محافظت شده‌اند یا نه، به سیاست‌های منابع انسانی از جمله سطح آموزش کارکنان توجه می کنند. به همین دلیل ، یک سابقه مستند و قابل اثبات از شیوه‌های منابع انسانی که چنین محافظت‌هایی را نشان دهد برای موارد طرح دعوی قضایی توسط شاکی بسیار مهم است. در مقابل، سابقه حفاظت ناکافی را می توان به منزله نشت برخی از اطلاعات به بیرون در نظر گرفت که در نهایت مانع می شود از اینکه شاکی مشکل تامین امنیت اطلاعات خود را چاره کند.

اولین گام در ایجاد چنین سابقه‌ای از حفاظت‌ها، داشتن یک توافقنامه محضری عدم افشا متناسب با شغل (NDAs) برای همه کارکنانی است که به اطلاعات محرمانه دسترسی دارند. با این وجود توجه شود که NDAs همه آنچه که برای حفظ اسرار تجاری لازم است نیست بلکه تنها یک نقطه شروع است. NDAs کارکنان را تحت تعهدات حفظ اسرار قرار می‌دهد اما به صورت مختصر و کوتاه است و به صورت راهنمایی‌های روشن برای چگونگی رفتارها نیست.

حفظ اسرار تجاری نیازمند چیزی بیش از گرفتن یک قول از کارمندان برای خودداری از افشای اطلاعات است. بعد از اینکه NDAs به اجرا در آمد، سیاست‌ها و روش‌های خاصی باید برای فراهم آوردن روش‌های ویژه برای حفظ اطلاعات حساس و کاهش احتمال افشای غیرعمدی آنها اتخاذ شود. HR باید تضمین کند که این معیارها به شدت توسط کارکنان اجرا می شوند. هنگامی که اسرار تجاری در دادگاه مطرح می شوند کیفیت چنین محافظت‌هایی می‌تواند تعیین کننده باشد.

چشم انداز ریسک های امنیت رایانه‌ای

چشم‌انداز هکرهای رایانه‌ای را می‌توان با توجه به ارتباط بین امنیت تکنولوژیکی و امنیت اطلاعات به خوبی بررسی کرد. Kevin Mitnick یک هکر ماهر است که برای شرایط محدود بی سابقه آزدادی او از زندان مشهور است. عباراتی که در حکم آزادی او وجود داشت مشتمل بود بر خود داری کامل از بهره برداری از هر وسیله الکترونیکی که قابلیت دسترسی به شبکه یا سیستم رایانه را داشته باشد. او پس از آزادی تحت این شرایط، گواه حرفه ای در مورد امنیت رایانه ای را پیش روی مجلس و سنا ارائه داده است. در این گواهی، او تاکید کرده است که موثرترین روشها برای کنار زدن امنیت تکنولوژیکی کمتر از حدی که انتظار می رود دارای ویژگی های فنی و تکنولوژیکی هستند[. استراتژی حمله او بیشتر متمرکز بود بر اینکه از نظر روانی مردم را تحریک می کرد تا اطلاعات حساسی را که فکر نمی کردند کاربردی برای مصارف مضر داشته باشند را به طور عمدی افشا سازند .

تاکید Mitnick بر عوامل انسانی امنیت اطلاعات به توضیح ناکامی WikiLeaks کمک کرد و امنیت اطلاعات را به صف اول هوشیاری عمومی آورد. رخنه در WikiLeaks در اثر یک حمله تکنولوژیکی پیچیده نبود. یک تحلیلگر 21 ساله ارتش آمریکا که ظاهرا اسنادی را برای WikiLeaks تامین می کرد از طریق یک شبکه فایلهایی را دریافت می کند که صلاحیت دسترسی به آنها را دارد. او این فایلها را دانلود کرده و به سادگی آنها را بر روی سی دی رایت می کند. به خاطر کمبود سیاست منابع انسانی در شرکت مورد نظر عامل حمله قادر به فعالیت می شود. احتمالا سیاست منع استفاده از رسانه های قابل جدا شدن [مانند فلاپی، فلش یا سی دی] در آنجا وجود نداشته و یا اجرا نمی شده است. سناریوی WikiLeaks ارتباط مداوم دیدگاه WikiLeaks را نشان می دهد که امنیت در درجه اول یک مشکل افراد است ، حتی در مواردی که به ظاهر رخنه تکنولوژیکی وجود دارد.

سیاست حفظ امنیت تجاری و ملاحظات HR

به منظور حفظ اطلاعات محرمانه، باید کارکنان سازمان را از اهمیت امنیت اطلاعات را آگاه کرد. برای توسعه این هوشیاری، بسیاری از شرکتها یک طرح محافظت از اسرار تجاری به عنوان بخشی از سیاست شرکت ایجاد می کنند. طرح های حفاظت از اسرار تجاری روشهای ویژه ای برای حفظ اطلاعات محرمانه تجاری فراهم می آورند و به ایجاد هوشیاری برای امنیت اطلاعات کمک می کنند. آنها معمولا روشهای ویژه ای برای تخصیص اطلاعات محرمانه، کنترل دسترسی فیزیکی، برنامه های آموزش کارکنان و امنیت رایانه ای ارائه می دهند. روشهای تخصیص و توزیع اطلاعات محرمانه باید درخط مشی شرکت ایجاد شوند. در هنگام تخصیص اطلاعات محرمانه، مخصوصا باید به طور دقیق تعیین شود که کدام قسمت از اطلاعات محرمانه هستند، چه موقع باید مطرح شوند، و چه اشخاص یا گروه هایی مجاز به دسترسی به آنها هستند. در بیان و شرح اطلاعات صریح باشید و از تخصیص نابجای اطلاعات پرهیز کنید. اسناد محرمانه در فرمهای کاغذی یا دیجیتالی باید با رعایت پنهان کاری (واترمارک) باشند و باید تنها بر اساس نیاز توزیع شوند.

دسترسی فیزیکی به ادارات و تاسیسات باد هم برای کارکنان و هم برای بازدید کنندگان قانونمند باشد. هدف این قواعد محدود کردن دسترسی به پرسنل ذی صلاح و اسکورت بازدید کنندگان و همچنین جلوگیری از ویزیتورهای اسکورت نشده شنیدن، تماشا و یا هرگونه دسترسی به اطلاعات محرمانه است. معیارهای امنیت فیزیکی به طور قابل توجهی در بین صنایع متفاوت هستند. برای مثال، شرکتهای دارو سازی که تحقیقات علمی گران قیمتی انجام می دهند ممکن است نیازمند اعتبارسنجی بیومتریک برایورود به تاسیسات سری باشند. کارکنان آنها احتمالا در همه زمانها باید علائم تعیین هویت تصویری داشته باشند و بازدیدکنندگان آنها احتمالا باید اسکورت شوند. برای شرکتهایی با بودجه محدود یا شرکتهایی که ملزومات امنیتی کمتری نیاز دارند بکارگیری یک صفحه ورود که شامل یک عبارت مختصر کسب اعتماد است می تواند مناسب باشد.

ذخیره و ارسال اسناد دیجیتال نیز نیازمند روشهای ویژه است. اصولا فایلهای دیجیتال که حاوی اطلاعات محرمانه با ارزش هستند باید به وسیله پسورد با حداقل 8 کاراکتر محافظت شوند. اگر رایانه های اداره که اطلاعات محرمانه را ذخیره می کنند به اینترنت متصل هستند ، هر دستگاه باید پسورد داشته باشد. اطلاعات بسیار حساس تنها باید در رایانه هایی که در محل های امن قرار دارند بارگذاری شوند و این رایانه ها باید به طور ویژه برای برآورده سازی ملزومات امنیتی پیکربندی شوند. در نهایت، این سیاستها و خط مشی ها به کاکنان و پیمانکارانی که تازه استخدام شده اند آموزش داده شوند و به صورت دوره ای در صورت نیاز دوباره آموزش داده شوند. آموزش مجدد دوره ای از نظر دادگاه ها دلیلی برای نشان دادن تلاش های حفاظتی مناسب و معقول است . اگر با اطلاعات محرمانه بر یک مبنای روتین و منظم و یا به عنوان بخشی از یک پروژه طولانی مدت سروکار هست، صدور یادآوری های دوره ای برای تذکر اهمیت اطلاعات به پرسنل را در نظر داشته باشید.

این روشها تنها نمونه هایی برای توضیح مطلب هستند و لازم است که هر شرکت روش های خاص خود را برای تعیین سطح خاص محافظت بر مبنای ارزش و ریسک افشای اطلاعات تجاری خود ایجاد کند. با این وجود، در همه شرایط هدف این است که یک سطح امنیت متناسب با ارزش اسرار تجاری ایجاد شود.

نتیجه‌گیری

متخصصین HR نقش مداوم ومهمی در حفاظت اسرار تجاری ایفا می کنند که حداقل به اهمیت نقش متخصصین IT است. اگرچه امنیت اطلاعات و محافظت اسرار تجاری به ترتیب مفاهیمی تکنولوژیکی (فناورانه) و قانونی هستند، اما منجر می شوند به مدیریت مناسب افراد. بزرگترین تهدید برای امنیت اسرار تجاری در محیطهای تجاری کنونی افرادی هستند که این اطلاعات را فاش می کنند. این ریسک را می توان با استفاده از خط مشی های حفاظت اسرار تجاری که کنترل های داخلی برای اطلاعات حساس وضع می کنند مدیریت کرد. این به کارکنان می آموزد که محافظت از اسرار محرمانه نه تنها نیازمند یک تعهد مختصر است بلکه نیازمند عمل جدی نیز هست. بعد از اینکه خط مشی های حفظ اسرار تجاری اتخاذ شدند، تبعیت کارکنان از این خط مشی های باید به طور مداوم تحت نظارت قرار گیرد تا یک سابقه حفاظت تدوین شود به طوری که در صورت فاش شدن اطلاعات بتوان در دادگاه یک دفاع قانونی به عمل آورد.

اینکه تلاش های محافظتی مداوم توسط قانون ملزم شده اند ممکن است به سادگی فراموش شود. تنها یک لحظه کوتاه غفلت برای فاش شدن یک راز کافی است.

عنوان انگلیسی مقاله:Human Factors in Information-Age Trade Secret Protection

منبع: ویکی‌کتاب