دنیای امنیت نیز از این موضوع مستثنی نیست. سیستم‌های پیچیده نه‌تنها از نظر مدیریت و نظارت دشوارتر هستند، بلکه با ایجاد استثناها، آسیب‌پذیری‌های بیشتری نیز ایجاد می‌کنند. هنگامی که زیرساخت‌های سیستم به دلیل افزودن استثناها بیش از حد پیچیده شده باشند، احتمال اشتباهات انسانی، پیکربندی نادرست و تاخیر در پاسخ‌گویی به تهدیدها افزایش می‌یابد. ساده‌سازی به معنای طراحی سیاست‌ها، ابزارها و رویه‌هایی است که هم قابل اجرا برای کاربران باشند و هم کنترل و پایش برای مدیران آسان‌تر شود. درواقع هر چه محدوده تحت مدیریت از قوانین پیچیده و تکثر تکنولوژی‌های مورد استفاده کاربران استفاده کند، در نتیجه سطح حمله سیستم افزایش یافته و آسیب‌پذیرتر خواهد شد.

 

به عنوان مثال، ساده‌سازی در امنیت سایبری نمود خود را در اصولی مانند اعطای حداقل دسترسی بر اساس نیاز کاربر، پیاده‌سازی قوانین ساده و جامع در تجهیزات امنیتی و حداقل نرم‌افزار مورد نیاز کاربر نمایش می‌دهد. البته این موضوع را نباید با حذف کامل دسترسی کاربر اشتباه گرفت، زیرا سیستم موجودیتی پویا و زنده است، بنابراین کاربر راهی برای تامین نیازمندی خود پیدا می‌کند.

 

ایجاد قوانینی همچون مسدودسازی استفاده از برنامه‌های کاربردی مختلف یا دسترسی به اینترنت آزاد برای تمام کاربران نیز از این قاعده مستثنا نیست. برای مدیریت یک سیستم پیچیده مانند یک جامعه انسانی که هریک نیازمندی‌های متفاوتی از دسترسی خود به اینترنت دارند، نمی‌توان به‌صورت کلی یک تصمیم را بدون تحلیل هزینه‌هایی که در آینده به سیستم وارد می‌کند اجرایی کرد. سال‌های زیادی در کشور بر این موضوع تمرکز شد که تمامی کاربران به اینترنت دسترسی داشته باشند، خدمات مورد نیاز کاربران به‌صورت برخط در دسترس قرار گیرد، دانش و فرهنگ کاربران در استفاده از اینترنت افزایش یابد و به‌صورت بهره‌ور بر مبنای آن کسب‌وکارهای جدید ایجاد شوند.

 

بنابراین جامعه آموزش دیده که چطور نیازمندی زندگی خود را بر مبنای دسترسی به اینترنت برآورده نماید و بتواند با هر سختی و پیچیدگی‌ای که در مقایسه با دیگر کشورها و علم روز دنیا وجود دارد، پیش برود. بنابراین واضح است که با ایجاد قوانینی از این دست، کاربران یا همان جامعه راهی را می‌یابند تا بتوانند تصمیمات مبتنی بر محدودسازی را دور زده و نیازمندی زندگی و زنده بودن خود را تامین کنند.

 

در پیاده‌سازی تغییرات در سیستم‌ها، بخشی که مدیران به دلیل نداشتن خروجی ملموس، به‌دقت به آن نمی‌پردازند، فاز شناخت و تحلیل سیستم است. می‌توان گفت هر تصمیم منجر به ایجاد تغییر در سیستم یا اجرایی شدن آن، نیازمند تحلیل نتایج آن است. در واقع صرفا به دلیل اینکه نتیجه‌ای که اکنون سیستم در حال ایجاد آن است مورد پذیرش تصمیم‌گیران آن نیست، یک تصمیم جدید به سیستم اضافه می‌شود بدون آنکه تاثیرات آن بر افراد، رویه‌ها و ابزارها تحلیل شده باشد.

 

این موضوع بارها و بارها تکرار شده و در نهایت   مدیران با سیستمی مواجه شده‌اند که از تصمیمات پراکنده و نامرتبط انباشته شده که به دلیل ماهیت زنده بودن سیستم، پس از گذشت چند سال این تغییر پس زده شده و امکان مدیریت سیستم از دست می‌رود. مانند استفاده از تکنولوژی و قوانین فیلترینگ که توسط افرادی که با ذات و نیاز سیستم همخوان نبوده‌اند، اعمال شد و صرفا به‌صورت کوتاه‌مدت نتیجه‌ مدنظر را تامین کرد.

 

اینجا همان نقطه‌ای است که این دست تصمیمات منجر به ضربه‌پذیری بیشتر سیستم شده است. روش‌های مختلفی که کاربر برای دور زدن قوانین فیلترینگ و طبیعتا تامین نیازمندی زندگی خود استفاده می‌کند مانند نصب انواع VPNها، منجر به افزایش سطح حمله سیستم و آسیب‌پذیری آن شده است که از ابتدای تصمیم هم قابل پیش‌بینی بود. این موضوع با یادگیری روش‌های جدید کاربر منجر به تولید قانون محدودیت جدید می‌شود و این تعدد پردازش قوانین مقابله با روش‌های جدید دور زدن فیلترینگ، باعث از دست رفتن یا کاهش کارآیی تجهیزات امنیتی، از مدیریت خارج شدن سیستم و کاهش امکان سرویس‌دهی می‌شود.

 

اکنون مدیران با سیستمی روبه‌رو هستند که تامین امنیت آن به دلیل سربار پردازشی قوانین توسط تجهیزات امنیتی آن هزینه‌بر و پیچیده است، حجم بالای ترافیک آلوده ایجاد‌شده از سیستم کاربران در حال تولید است و نیازمند نیروی انسانی متخصص بیشتری است. ابزارهای پیشرفته‌تر و هوشمندتر، امکان ساده‌سازی بیشتر سیستم‌ها را فراهم می‌کنند، اما در عین حال نیاز به تخصص بیشتری برای طراحی و پیاده‌سازی خواهند داشت.

 

از طرف دیگر هریک از سیستم‌های کاربران به محلی برای هدف قرار گرفتن از طریق انواع بدافزارها تبدیل شده است و عملا این تصمیم کمک کرد تا هکرها به‌راحتی به داده‌های سیستم کاربران دسترسی داشته باشند و نشت داده‌های متعدد و گوناگون در سال‌های اخیر صورت گرفت.

 

برای ایجاد یک تغییر در سیستم و رسیدن به یک تعادل میان نیاز کاربر و تامین امنیت آن سیستم، مسلما باید چشم‌انداز دقیق وقوع آن تغییر، مهارت‌های مورد نیاز، منابع مورد نیاز اجرای آن تغییر، روش اجرای آن و مهم‌تر از همه همخوانی با انگیزه کاربر به‌صورت شفاف مشخص باشد؛ در غیر این‌صورت تصمیم با شکست و ضربه به خود سیستم مواجه خواهد شد. به نظر می‌رسد نگاه مقطعی و کوتاه‌مدت در اتخاذ این تصمیم، تحلیل مناسبی در خصوص نتایج هریک از حوزه‌های مذکور را نداشته است. مانند تحلیل اینکه کشور در حالت تحریم قرار دارد و تامین لایسنس بسیاری از تجهیزات امنیتی و زیرساختی بسیار دشوار یا غیرممکن است. همچنین در حوزه منابع انسانی، چه در لایه مدیریتی و چه در لایه کارشناسی به دلیل مهاجرت گسترده متخصصان امنیتی و زیرساختی کشور، در حالت بهینه قرار نداریم.

 

از سوی دیگر کاربرانی که با وجود مشکلات مالی متعدد در زندگی خود، باید ردیف هزینه دیگری با نام تامین VPN را به‌صورت مستمر در نظر داشته باشند و هزینه استفاده از نرم‌افزارهای VPN را متحمل شوند تا صرفا بتوانند به کسب‌وکار و زندگی خود ادامه دهند؛ این هزینه خود منجر به نارضایتی کاربر و عدم همراهی او نیز خواهد شد. به نظر می‌رسد ایجاد منفعت‌های بزرگ مالی برای تامین‌کنندگان سرویس‌های دور زدن فیلترینگ، امکان اتخاذ تصمیم صحیح و اصلاح این رویه‌ اشتباه را از مدیران گرفته است.

 

با کاهش پیچیدگی‌ها و قوانین غیرهمگن، مدیران می‌توانند منابع را بهینه‌تر تخصیص دهند و از سردرگمی جلوگیری کنند. ساده‌سازی، با طراحی سیاست‌های شفاف و قابل پیاده‌سازی، می‌تواند سطح حمله را کاهش دهد و از استفاده‌ غیرمجاز نیز جلوگیری کند. با‌این‌حال، هر تصمیمی در این زمینه باید با تحلیل دقیق از تاثیرات آن در سیستم، منابع، و نیازمندی‌های کاربران همراه باشد، چرا که تصمیمات مقطعی و بدون در نظر گرفتن پیامدهای بلندمدت، منجر به ایجاد مشکلات پیچیده‌تری در آینده و ضربه به خود سیستم خواهد شد.

 

بنابراین، برای رسیدن به تعادل میان نیازمندی‌های کاربران و تامین امنیت سیستم، مدیران باید دقت در تحلیل نتایج تغییرات داشته باشند و از نگاه کوتاه‌مدت پرهیز کنند تا از ایجاد آسیب‌پذیری بیشتر در سیستم‌ها و افزایش پیچیدگی‌ها جلوگیری شود.