اخیرا با توجه به گسترش استفاده از فن آوری اطلاعات در قالب سامانه های مختلف در سازمانها، موضوع مدیریت ریسک فناوری اطلاعات از اهمیت وافری برخوردار شده است.اساساخود مدیریت فن آوری اطلاعات  به فرآیند شناسایی، ارزیابی و کنترل ریسک‌های مرتبط با فناوری اطلاعات در یک سازمان می پردازد که در برگیرنده مقوله هایی مانند شناسایی تهدیدات، آسیب‌پذیری‌ها و ارزیابی تأثیر آن‌ها بر روی دارایی‌های اطلاعاتی هست.

برای پرداختن اصولی به موضوع مدیریت ریسک در حوزه فن آوری اطلاعات مهمترین رویکردهای نظام مند موجود ISO/IEC 27005: ؛NIST ؛COBIT؛ISO 22301 ؛FAIR و ISO/IEC 31000 هست که هر کدام از منظری به موضوع مدیریت ریسک در حوزه IT می پردازند. همه این رویکردها در صدد حفاظت از دارایی‌ها اطلاعاتی؛کاهش هزینه‌های  ناشی از خسارات؛افزایش اعتماد مشتریان؛ رعایت قوانین و مقررات و افزایش پایداری سازمان هست. در ایران هم اخیرا اقداماتی در این راستا انجام شده که البته بیشتر در قالب GRC به اون پرداخته شده که در مطالب بعدی بیشتر در مورد اون صحیت خواهیم کرد.

در یکی از دیدگاههای منتشر شده ام در مورد شیوع چالش موسوم به “نظریه حصار شیشه‌ای” مطلبی گذاشتم و قرار شد در آینده بیشتر توضیح دهم. نظریه حصار شیشه‌ای به توصیف وضعیتی می‌پردازد که در آن مدیران و رهبران سازمانی به دلیل وابستگی به مشاوران، معاونان و دیگر افراد نزدیک به خود، از واقعیت‌های محیط کار و چالش‌های موجود دور می‌شوند. این نظریه به وضوح آفت های ذیل را بیان می‌کند:

1. محصور شدن در اطلاعات محدود: مدیران به جای اینکه به طور مستقیم با تیم‌های زیرمجموعه خود ارتباط برقرار کنند و از تجربیات و نظرات آن‌ها بهره‌مند شوند، بیشتر به اطلاعاتی که نزدیکانشان به آن‌ها ارائه می‌دهند، تکیه می‌کنند. این باعث می‌شود که دیدگاه‌های آن‌ها نسبت به وضعیت واقعی سازمان محدود و تحریف شود.
2. عدم آگاهی از پروژه‌ها: مدیران معمولاً در جلسات آموزشی و جلسات کاری شرکت نمی‌کنند و از جزئیات پروژه‌ها بی‌خبر هستند. این عدم آگاهی منجر به تصمیم‌گیری‌های نادرست و عدم توانایی در مدیریت مؤثر پروژه‌ها می‌شود.
3. نتایج نامطلوب: عدم ارتباط مستقیم و واقعی با بدنه کارشناسی باعث می‌شود که پروژه‌ها به نتایج مطلوب نرسند. این پروژه‌ها یا با شکست مواجه می‌شوند یا با تأخیر و کیفیت پایین به پایان می‌رسند.
4. تجربه محدود: مدیران ممکن است به دلیل نداشتن دانش کافی در زمینه مدیریت پروژه، نتوانند به درستی مشکلات را شناسایی و حل کنند. این موضوع باعث می‌شود که آن‌ها از واقعیت‌های روزمره سازمان دور شوند و تنها به نتایج نهایی مورد انتظار خود توجه کنند.

در کل آنچه بسیار حایز اهمیت است این است که نظریه حصار شیشه‌ای به ما یادآوری می‌کند که برای مدیریت مؤثر، ضروری است که مدیران با تیم‌های خود ارتباط مستقیمی برقرار کنند، در جلسات آموزشی شرکت کنند و از تجربیات کارشناسان بهره‌مند شوند. تنها در این صورت است که می‌توانند به درک بهتری از وضعیت سازمان دست یابند و پروژه‌ها را به موفقیت برسانند.

در مشاهداتم از وزارتخانه ها،سازمانها و شرکت‌های دولتی به جرات می توانم بگویم حداقل نصف آنها دارای Master IT plan، IT Organization Architecture و سندهای بالادستی نظیر آنها را دارا می باشند. طی ماهها و توسط شاید برجسته ترین شرکتهای مشاوره داخلی که بعضا انصافا طرحها و برنامه ریزی های حساب‌شده و درستی را تدوین و در اختیار کارفرمایان دولتی قرار داده بودند، اسناد پروژه های مختلفی تهیه شده بود که همگی بلا استثنا در کنج کتابخانه های مدیران ITو در گوشه اتاق های این گونه واحدها خاک می خورد و کسی نگاهشان هم نمی کند. برخی از این اسناد اگر چه تاریخ چندساله ای از تدوین آنها می گذرد اما همچنان کارکرد خود را در صورت استفاده حفظ می کنند. خیلی از استانداردهای IT صرفا اصلاحیه ها و ارتقای نسخه ای در مورد آنها اتفاق افتاده است مانند ISO 27002,ITIL، Cobitو… بنابراین با حداقل اصلاحات قابل به روز رسانی و استفاده مجدد هستند. واقعا افسوس از این همه هزینه، زمان گذاشته شده، کارشناسان برجسته ای که در هیات مشاور وقت و تخصص خود را گذاشته و اینچنین بی استفاده خروجی آنها رها شده است.

بسیاری از مدیران با توجه به جایگاه خود و بر اساس دیدگاه خود معتقدند که کارمندان زیردستشان موظف به انجام دستوراتشان هستند. همچنین به درستی یا نادرستی معتقد به قانون ۸ و ۲ هستند. به این معنا که معمولا در هر بخش از ۱۰ نفر ۲ نفر کارمی کنند و بقیه دنبال حواشی و یا گذرانیدن زمان حضور خود در سازمان تا زمان بازنشستگی با حداقل تلاش هستند.
از این منظر مدیر به خود حق می دهد که طلبکارانه دنبال اجرای تصمیمات خود توسط کارشناسان زیر نظر وی باشد. به همین دلیل شاهد یک دیوار ضخیم عدم ارتباط منطقی بین ریس و مریوس می باشیم. حساسیت حوزه کارشناسی فن آوری اطلاعات در صورت کوتاهی در انجام وظایف کارشناس-که در تقریبا همه موارد نیز مکتوب نبوده و دستخوش چالش های خاص خود می باشد- منجر به یکسری کوتاهی ها در حین انجام کار می شود. بروز چنین کوتاهی هایی در حوزه امنیت اطلاعات می تواند دودمان سازمان را به باد بدهد و در حوزه عملیات نیز می تواند به عقب افتادن در انجام وظایف محوله بیانجامد که هر دو برای مدیریت و سازمان چالش بر انگیز است.
ماحصل این چالش برای مدیران دولتی که عموما و تقریبا بلااستثنا نتیجه گرا هم هستند پروژه های عموما عقیمی است که اگر چه ربان آن نیز ممکن است چیده شود اما می دانیم که خالی هست. و صد البته تصور کنید ذهنیات چنین کارمندان رسمی را که می خواهند تا بازنشستگی -که به این زودی ها هم نیست-در سازمان و وزارتخانه خدمت به ملت بکنند.

در حوزه IT وزارت آموزش و پرورش و بخصوص در معاونت امنیت فن آوری اطلاعات پیاده سازی یک سامانه برای شناسایی خدمات، تعریف روال اجرایی و نهایتا جهت رصد و پایش اتفاقات رخ داده یک نیاز بود که طی مدت نسبتا کوتاهی اجرا گردید. این پروژه در فاز اول تعریف مشخص و محدودی داشت که امیدوارم زمینه تعریف و اجرای سایر فازها نیز فراهم گردد.

همه ما می دونیم که تغییر یک جنبه اجتناب‌ناپذیر از زندگی سازمانی است که تحت تأثیر عواملی مانند پیشرفت‌های فناوری و الزامات سازمان  قرار دارد. با این حال، مقاومت در برابر تغییر یک پدیده رایج است که می‌تواند توانایی سازمان‌ها را برای سازگاری و رشد محدود کند و رخ دادن اون تقریبا اجتناب ناپذیر هست.
اصولا مقاومت در برابر تغییر به عمل مخالفت یا تلاش برای مقابله با تغییراتی که وضعیت موجود را تغییر می‌دهند، اطلاق می‌شود. این مقاومت می‌تواند به اشکال مختلفی از جمله مخالفت‌های صریح، بی‌میلی منفعلانه یا حتی خرابکاری‌های ظریف در حین انجام پروژه منجر بشود. کارکنان ممکن است به دلایل مختلفی در برابر تغییر مقاومت کنند مانند ترس ناشی از ناشناخته بودن موضوع، از دست دادن کنترل، راحتی با وضعیت موجود، کمبود اعتماد به رهبری و نهایتا آموزش و حمایت ناکافی در سازمان. واقعیت اینه که مقاومت در برابر تغییر می‌تونه به کاهش بهره‌وری، کاهش روحیه کارکنان و فرهنگ سازمانی منفی منجر شود. علاوه بر این، می‌تونه منجر به تأخیر در پروژه‌ها، افزایش هزینه‌ها و حتی شکست در اجرای  آن پروژه منجر بشه. اولا من عموما در سازمانهای ایرانی ندیدم که پرسنل تمایل به مقاومت شفاف داشته باشند. شاید مهمترین دلیل اون سرسپردگی به سازمان باشد. این موضوع غیر از تعهد به سازمان است. موضوع این است که عموما علاقه ای به تنش ندارند. ثانیا توصیه می کنم تا می توانید مدیر پروژه ای را از کارفرما بگیرید که آشنایی کامل با سازمان و نیرو هاداشته باشه و همینطور کاملا روابط خوبی و یا حداقل خنثی با کارکنان سازمان-محدوده پروژه- داشته باشد. ثالثا به هیچ وجه روی پرسنل در حال بازنشستگی حساب باز نکنید. رابعا یک چالش خیلی بزرگ تعویق و لغو قرار جلسه با مدیران و کارکنان به طور مکرر و به دلیل جلسات و مشغولیات زیاد هست. و چون شما مجبورید پروژه رو با آن نیروهای کلیدی به نتیجه برسونید، خیلی باید تحمل کنید. در آینده بیشتر در مورد این موضوع صحبت خواهم کرد بخصوص اینکه من تجربه کارکردن با هندیها، چینی ها و مالای ها علاوه بر ایرانیان را دارم که وصف واکنش های نژادهای مختلف هم خیلی خیلی جالب توجه هست و در آینده به آن خواهم پرداخت.

با توجه به اینکه برای هر پروژه خروجی هایی تعریف شده است، معمولا ابتدای پروژه مدیریت قرارداد را امضا کرده و به نوعی انتظارات خود را بیان می کند. در ادامه مشاور هست و نیروهایی که هر روز معمولا مشغله پیش بینی نشده و بسیاری از زمانها نیز با بحران ها و چالش های مختلف کاری-بویژه جلسه اضطزاری و پیش بینی نشده- خاصی روبرو هستند. فرصتی برای انجام وظایف محوله ندارند و به نوعی مشاور را پیاده ساز هم محسوب می کنند. آنها غافل از این موضوع هستند که اساسا پروژه در راستای ارتقای بهره وری سازمان تعریف شده است و خود آنها هستند که در نهایت باید در جریان فرآیندهای کاری تعریف شده نقش آفرینی کنند. از سوی دیگر مدیریت به عنوان مهمترین رکن موفقیت پروژه نیز به دلیل جلسات پایان ناپذیر امکان حضور در مسیر موازی پروژه در مقاطع زمانی مشخص و مورد نیاز نبوده اما در انتهای پروژه سر و کله اش پیدا می شود و انتظار دارد که پروژه در زمان مشخص با خروجی های مورد انتظار خاتمه پیدا کند. با توجه به اینکه شما به عنوان مشاور نمی توانید کسی را در تیم به کوتاهی در انجام وظایف محوله متهم بدانید عملا هیچ کس مقصر نیست و هر کدام عذر خاص خود را دارند. پس پیدا کنید پرتقال فروش را!