آثار فرهنگی اجتماعی و روانی فناوری اطلاعات روی انسان/عوامل انسانی و امنیت اطلاعات : فردی ،فرهنگ و محیط زیست امنیتی

پیشرفت های فنی متعدد در علوم اطلاعات همیشه تولید محیط های امن تر است. بنابراین، امنیت اطلاعات را می توان درک نشده و یا به عنوان تنها یک مشکل فنی است. کامپیوتر ها توسط مردم اداره می شده و این بدان معنی است که امنیت اطلاعات است و همچنین عوامل انسانی مسئله. عوامل انسانی بر افراد چگونه ارتباط برقرار کردن با فن آوری امنیت اطلاعات ؛ از آن است که این تعامل است که اغلب مخل به امنیت است.

بدیهی است که راه حل های صرفا فنی برای جلوگیری از نقض های امنیتی بعید است. سازمان نیاز به کم کم تزریق کردن و حفظ یک فرهنگ که در آن رفتارهای امنیتی مثبت ارزش است. قابلیت استفاده به چالش در ارتباط با امنیت اطلاعات باید به درک و حل و فصل شده است. این به این معنی است که توابع امنیتی باید معنی دار است ، آسان به کردهاید ، قابل مشاهده و راحت برای استفاده. مستخدمین نیاز به آموزش در مورد اهمیت آگاهی های امنیتی ، و این باید آموزش رفتاری ترکیب.

افراد چگونه ارتباط برقرار کردن با کامپیوتر و چگونگی تصمیم گیری در توجه به امنیت اطلاعات ساخته شده است که قطعا یک مسئله بسیار پویا و پیچیده است. عوامل بسیاری هستند که نیاز به در نظر گرفته شود وجود دارد. به عنوان مثال ، مهم است که به اذعان تاثیر تفاوت های فردی ، صفات شخصیتی و توانایی های شناختی. همچنین تعصبات و ابتکارات است که تاثیر می گذارد که افراد چگونه درک خطر وجود دارد. این مهم است زیرا کمک می کنند تا توضیح دهد که چرا افراد تصمیم گیری خاص و به همین دلیل رفتارهای خاص ممکن است مشاهده.

هر دو ادراک ریسک و تفاوت های فردی نیز با محیطی که در آن آنها رخ می دهد تحت تاثیر قرار می گیرند. فرهنگ و آب و هوا قطعا می تواند تاثیر قابل توجهی در ارزش ها ، نگرش ها و رفتارهای را داشته باشد. به همین دلیل است که درک فرهنگ یک سازمان و امنیت آب و هوا می تواند بینش های بزرگ به همین دلیل رفتارهای خاصی را ارائه و برگزار نشد.

یک نگرانی عمده در درون امنیت اطلاعات تهدید به حملات مهندسی اجتماعی است. حملات مهندسی اجتماعی در تلاش برای به دست آوردن اطلاعات حساس انجام شده است ، و این اطلاعات اغلب بدتر به ضرر افراد و سازمان ها استفاده می شود. مهندسی اجتماعی تهدیدی واقعی برای تمام سازمان ها و برای کاهش این تهدید ، افراد نه تنها از حملات بالقوه آگاه باشند ، اما همچنین از ابزار های مناسب تدریس برای کاهش شانس خود را از تبدیل شدن به یک هدف و یک قربانی است.

با توجه به پیچیدگی مسائل عوامل انسانی در امنیت اطلاعات ، توصیه خواهد شد در مورد چگونه به ترویج رفتارهای مثبت امنیتی را از طریق آگاهی ، آموزش و پرورش و آموزش در رابطه با بهبود در امنیت فیزیکی و کامپیوتر ساخته شده است.

Kathryn Parsons

فرماندهی ، کنترل ، ارتباطات و هوش

Kathryn Parsons ، یک دانشمند پژوهشگر درباره تعامل انسان و قابلیت انضباط در C3ID ، جایی که کار او بر روانشناسی شناختی و ادراکی ، تجسم اطلاعات و طراحی رابط کاربری است. او به دست آمده یک صنعت فوق لیسانس لینک کارآفرینی طرح (گیلز) بورس تحصیلی در سال 2005 ، با بخش عملیات زمین ، جایی که او در پژوهش عوامل انسانی درگیر شد ، در رشته علوم انسانی ، به طور خاص در منطقه از آگاهی از وضعیت پیاده نظام است. او کارشناسی ارشد روانشناسی (عوامل انسانی سازمانی و) را در دانشگاه آدلاید در تکمیل سال 2005 بود.

Agata McCormac

فرماندهی ، کنترل ، ارتباطات و هوش

Agata McCormac در سال 2006 به DSTO پیوست. او یک دانشمند پژوهشگر درباره تعامل انسان و قابلیت انضباط در C3ID ، جایی که کار او بر روانشناسی شناختی و ادراکی ، تجسم اطلاعات و طراحی رابط کاربری است. او کارشناسی ارشد روانشناسی (سازمانی و عوامل انسانی) است که در دانشگاه آدلاید در سال 2005 به او اهدا شد.

Marcus Butavicius

فرماندهی ، کنترل ، ارتباطات و هوش

Marcus Butavicius یک دانشمند پژوهشگر درباره تعامل انسان و قابلیت انضباط در C3ID است. او بهLOD در سال 2001 پیوست ، جایی که او نقش شبیه سازی در آموزش ، نظریه ها و استدلال انسان و تجزیه و تحلیل از فن آوری های بیومتریک بررسی می شود. او در سال 2002 ، دکترای روانشناسی در دانشگاه آدلاید در مکانیسم های تشخیص شیء بصری را به اتمام رساند. او در سال 2003 به ISRD پیوست که در آن کار خود را بر روی داده های تجسمی ، تصمیم گیری و طراحی رابط کاربری متمرکز کرده است. او همچنین ویزیت کننده محقق در گروه روانشناسی در دانشگاه آدلاید است.

lael Ferguson

فرماندهی ، کنترل ، ارتباطات و هوش

lael Ferguson فارغ التحصیل از دانشگاه استرالیای جنوبی سال 1997 با مدرک لیسانس علوم کاربردی (ریاضی و رایانه) است و برای وزارت دفاع در کانبرا به عنوان یک توسعه دهنده نرم افزار شروع به کار کرد. در سال 1999 او به Geraldton منتقل و به عنوان یک مدیر سیستم مشغول به کار کرد. او در سال 2000 به سازمان دفاع علوم و فناوری در ادینبورگ رفت و به عنوان یک مدیر سیستم / توسعه دهنده نرم افزار انتقال ، مدیریت محاسبات آزمایشگاه تحقیقاتی، و در حال توسعه تظاهرکنندگان مفهوم و نرم افزار های تجربی مشغول به کار کرد.

1. مقدمه

1.1 امنیت اطلاعات و انواع خطاها عامل انسانی

1.1.1 اهمیت قابلیت استفاده

2. ادراک ریسک و تعصبات پردازش اطلاعات

2.1 در دسترس اکتشافی

2.2 تعصب خوشبینی

2.3 سطح کنترل

2.4 سطح دانش

2.5 خطر هموستاز

2.6 خطر تجمعی

2.7 حذف تعصب

2.8 نفوذ آشنایی

(2.9) تأثیر از قابسازی

2.10 شخصیت و سبک شناختی

2.11 تاثیر عوامل اجتماعی

3. فرهنگ امنیت سازمانی

3.1 تعاریف و تئوری فرهنگ سازمانی

3.2 ابعاد هشتگانه چارچوب فرهنگ سازمانی و کاربردی در امنیت اطلاعات

3.2.1 اساس حقیقت و عقلانیت

3.2.2 طبیعت زمان و خط فکری

3.2.3 انگیزه پایداری در مقابل تغییر

3.2.4 / نوآوری / رشد شخصی

3.2.5 آشنائی با کار ، وظیفه ، همکاران

3.2.6 جداسازی در مقابل همکاری / همکاری

3.2.7 کنترل، هماهنگی و مسئولیت

3.2.8 جهت گیری و تمرکز -- داخلی و / یا خارجی

3.3 اطلاعات امنیت و آب و هوا ایمنی

4. ارتباطات امنیت اطلاعات

5.مهندسی اجتماعی

5.1 چه افراد مستعدی می سازد؟

5.1.1 انگیزاننده روانی و عوامل فردی که باعث افزایش حساسیت می شود

5.1.2 استراتژی های مورد استفاده در حملات فیشینگ و وب سایت های نامشروع به افزایش استعداد ابتلا

5.2 مطالعات قبل از مهندسی اجتماعی

5.3 دفاع در برابر مهندسی اجتماعی

6. آگاهی های امنیتی ، آموزش و آموزش

6.1 بررسی آگاهی ، آموزش و آموزش امنیت

7. نتیجه گیری

8. منابع

1. مقدمه

امنیت اطلاعات به حفاظت از محرمانه بودن ، صداقت و دسترسی به اطلاعات اشاره دارد. شواهد نشان می دهد که ، صرف نظر از تعداد کنترل های فنی در محل ، سازمان هنوز هم تجربه رخنه های امنیتی را ندارد. در واقع ، در سال 2007 CSI ،جرایم کامپیوتری و بررسی امنیتی، گزارش دادند که اگر چه 98 درصد از کاربران از نرم افزار ضد ویروس استفاده میکردند ، اما 52 درصد هنوز هم با ویروس آلوده بودند. این به دلیل امنیت اطلاعات است که نه تنها یک مشکل فنی است ، بلکه مشکل "مردم" است. با این حال ، لازم به یاد داشته باشید که حتی آنتی ویروس نرم افزار مورد استفاده در شیوه ای مطلوب در برابر همه ویروسها محافظت نمی کند ، که بدان معنی است که این تنها مشکل مردم نیست ، اما یک مشکل فنی است. با وجود این ، برخی از شواهد حاکی از آن است که شکست کارکنان مطابق با دستورالعمل های امنیت اطلاعات است که علت اکثریت نقض در امنیت اطلاعات می باشد . در حمایت از این یافته ها ، نتایج حاصل از بررسی امنیت جهانی در سال 2007 ، که در آن اطلاعات متخصصین امنیتی مورد مصاحبه قرار گرفتند ، نشان داد که 79 ٪ از پاسخ دهندگان درک خطای انسانی را علت ریشه ای از شکست سیستم های اطلاعاتی (Deloitte ، 2007)می دانند.

این گزارش مسائل مربوط به عامل انسانی است که به احتمال زیاد برای نفوذ در افراد و چگونه ارتباط برقرار کردن با فن آوری امنیت اطلاعات را مشخص می کند. این کار شامل تجزیه و تحلیل از عواملی است که توانایی یک فرد را به دقت در درک خطر و جنبه های فرهنگ یک سازمان است که به احتمال زیاد منجر به محیطی که در آن رفتارهای امنیتی مثبت پاداش و نگهداری تاثیر می گذارند. اهمیت ارتباط موثر ، از جمله مناسب فریم اطلاعات مربوط به رفتارهای امنیت ، نیز مورد بررسی قرار داده می شود. علاوه بر این ، این گزارش می خواهد نفوذ مهندسی اجتماعی در داخل متن اطلاعات امنیتی ، از جمله عوامل که تمایل به افزایش حساسیت فرد ، تجزیه و تحلیل از مطالعات قبلی که دارند را تعریف کرده و تلاش به منظور مهندسی اجتماعی ، و مرور در خصوص دفاع موثر در برابر مهندسی اجتماعی بررسی کند. در نهایت ، توصیه ها و پیشنهادات خود را برای آزمایشات تجربی در منطقه و نتیجه گیری ارائه خواهد کرد.

1.1 امنیت اطلاعات و انواع خطاها عامل انسانی

انسان همواره به عنوان ضعیف ترین حلقه در امنیت می باشد. تمرکز انحصاری بر روی جنبه های فنی از امنیت ، بدون توجه به اینکه انسان چگونه با سیستم تعامل دارد ، به وضوح ناکافی است. این بخش شامل انواع خطاهای عامل انسانی است که می تواند منجر به نقض امنیتی شود. تعدادی از دلایل این اشتباهات نیز مورد بحث می باشد.

نقض امنیت اطلاعات را می توان در تعدادی از روش های مختلف طبقه بندی کرد. نوکر و گوتمان (1983) تشخیص پنج نوع مختلف از خطاهای عامل انسانی ، برای توضیح نقض امنیت اطلاعات که می تواند مورد استفاده قرار گیرد را آورده. اول ، اعمال حذف ، که در آن مردم را فراموش کرده ایم. به عنوان مثال ، در حوزه امنیت اطلاعات ، این می تواند از شکست به طور منظم تغییر کلمه عبور شامل شود. دوم ، اشتباهاتی هستند که معمولا اقدامات عوامانه ، که در آن مردم به انجام روش نادرست اقدام می کنند، از قبیل نوشتن یک رمز عبور. سوم ، تعدادی از خطاهای ناشی از اعمال غیر اصلی است، که مستلزم به انجام چیزی غیر ضروری است. چهارم ، اشتباهات می تواند از اعمال ترتیبی شامل شوند، که شامل انجام کاری در جهت اشتباه می باشد. در نهایت ، نوکر و گوتمان (1983) اشاره به خطاهای زمان ، ناشی از عدم انجام وظیفه در زمان مورد نیاز را مطرح می کند.

رفتار امنیتی همچنین می تواند توضیح داده شود با استفاده از طبقه بندی دو عامل ، که در آن دو عامل عبارتند از هدفمند بودن و تخصص فنی. همانطور که در شکل 1 نشان داده شده است ، این باعث بوجود آمدن شش دسته از رفتارها امنیتی است، که در آن دو نفر از آن کسانی که رفتارهای (تضمین آگاه و بهداشت پایه) مثبت هستند ، طراحی شده جهت افزایش امنیت ، و چهار نفر از رفتارها ممکن است منجر به نقض به امنیت است.

تخریب عمدی اقدامات خودی های مخرب ؛ که دارای تخصص فنی نیز هستد و قصد انجام آسیب را دارند. در حالی که سوء استفاده مضر شامل پرسنلی است که قصدشان تخریب است ، اما فاقد مهارت های فنی می باشند. سرهم بند خطرناک رفتارهایی که نیاز به تخصص فنی را پوشش می دهد ، اما که قصد انجام آسیب وجود ندارد. شاید رایج ترین رفتار خواهد شد که در بسیاری از جزئیات در این گزارش تحت پوشش ، اشتباهات ساده و بی تکلف است ، که در آن افراد با تخصص کم و بدون نیت مخرب انجام عملی که در نظر گرفته شده نه به ضرر سازمان است ، اما در عین حال می تواند در نتیجه رخنه های امنیتی.

شکل 1 : دو عامل طبقه بندی از پایان رفتارهای امنیت کاربر (استانتون و همکاران ، 2005.)

در واقع اکثر خطاهای عامل انسانی می تواند به عنوان اتفاقی توصیف شده است. اتفاقی اشتباهات عامل انسانی با روشی که در آن فرد در تعامل با یک سیستم همراه است ، و شواهد حاکی از آن است که مردم ممکن است مشکلات را در یافتن ، درک و با استفاده از ویژگی های امنیتی (Furnell 2005) روبرو می شوند.

یکی از رایج خطای انسانی است که می تواند منجر به نقض امنیت به عنوان یک خطای جذب نامیده می شود. چنین اشتباهات رخ می دهد زمانی که طول می کشد بیش از فعالیت های آشنا و یا روال همیشگی (یا قطاری) یک فعالیت ناآشنا ، منجر به شکست یا اشتباه شناختی (نورمن ، 1981). به عنوان مثال ، خطاهای ضبط را می توان مورد استفاده قرار گیرد برای توصیف این واقعیت است که مردم اغلب روی OK کلیک کنید زمانی که آنها که آنها نباید می دانیم. اساسا ، عمل کلیک کردن بر روی دکمه OK آنقدر همیشگی و مشترک است که مردم اغلب به دنبال این معمول به درستی و بدون در نظر گرفتن عواقب است. این خطا هستند به خصوص در طول دوره از خستگی و یا بی توجهی شایع است.

بی توجهی و خستگی نیز می تواند منجر به در خطا پس از اتمام ، که در آن فرد نادیده به انجام لازم 'مرتب کردن" یا "پاک کردن" عملی است که لازم است پس از هدف اصلی تکمیل شده است (اندرسون ، 2008). به عنوان مثال ، از نقطه نظر امنیت اطلاعات ، هدف اصلی ممکن است شامل ارسال یک ایمیل از یک سیستم امن. به محض این که هدف تکمیل شده است ، پس از آن لازم است برای تکمیل اقدام نهایی ورود به سیستم. خطا پس از تکمیل یک وضعیت که در آن فرد در مورد با شکست مواجه کامل است که وظیفه نهایی ، شامل خروج از سیستم باز را به نقض های امنیتی ممکن است.

مربوط به آن ، تعدادی از روش های امنیتی بر روی حافظه انسان بستگی دارد ، و از آنجایی که ظرفیت حافظه محدود است ، این می تواند در نتیجه کاهش امنیت به عنوان مثال ، کاربران به طور کلی دارای تعداد زیادی از کلمات عبور به خاطر داشته باشید ، و اغلب این کلمه عبور باید به تعدادی از سیاست های سختگیرانه (مانند پیوستن به طول خاص یا ترکیب خاصی از کاراکتر ها) ، که بیشتر می تواند به کاهش سهولت از به خاطر سپردن مطابقت داشته باشد. مردم در به یاد آوردن آیتم های معنی دار کاملا خوب است ، اما کلمات عبور قوی باید رشته از اعداد و حروف بی معنی ، که به مراتب مشکل تر به خاطر داشته باشید. هنگامی که مردم موظف هستند به خاطر داشته باشید و به طور منظم تغییر کلمه عبور بسیاری از پیچیده ، شانس از این کلمات عبور را نوشته تا حد زیادی افزایش است

مرتبط با این ، بسیاری از ضد ویروس ها به روز رسانی ها و وصله های امنیتی دیگر نیاز به دخالت انسان دارد، و از این رو ، با توجه به محدودیت های مرتبط با هر دو زمان و یا حافظه انسان ، روش ها ممکن است نه انجام ، منجر به کاهش امنیت است.

(1.1.1) اهمیت از قابلیت استفاده

همچنین لازم است به برجسته کردن اهمیت قابلیت استفاده ، و تعامل بین قابلیت استفاده فقیر و میل انسان را به کلید های میانبر. در اصل ، فن آوری های امنیتی اغلب شامل فرآیندهای پیچیده ضد شهودی که بسیار دشوار به درک (شولتز ، 2005). چنین روش های پیچیده به احتمال زیاد اجتناب شود هر جا که ممکن است ، و از این رو ، احتمال نقض امنیتی افزایش یافته است. به طور مشابه ، مالکیت unmotivated کاربر نشان می دهد این است که امنیت هدف های ثانویه برای اکثر مردم است ، و از این رو ، مردم اغلب فاقد انگیزه به دنبال روش های امنیتی پیچیده است علاوه بر این ، تجاری کردن بین امنیت و قابلیت استفاده ، که در آن انسان سعی به حداقل رساندن تلاش ذهنی وجود دارد ، در حالی که حفظ سطح عملکرد قابل قبول است با توجه به وایلد (2001) ، چهار انگیزه عوامل موثر بر تجارت بین امنیت و قابلیت استفاده وجود دارد. کاربران تحت تاثیر هزینه و منافع مورد انتظار در ارتباط با رفتار پرخطر ، و هزینه های مورد انتظار و مزایای مرتبط با رفتار امن (وایلد ، 2001). از این رو ، اگر دستاوردهای بالقوه در ارتباط با انجام فعالیت های مخاطره آمیز می شوند کاملا بالا ، یا در صورتی که پایبندی به یک سیستم امنیتی است یک ناراحتی بزرگ ، پس از آن مردم هستند ، کمتر احتمال دارد به اطاعت از سیاست ، و بیشتر احتمال دارد به خطر (Schneier ، 2003 .) این است که توسط Schneier (2003) ، که نشان می دهد که درک درستی از تجارت آف مرتبط با امنیت ضروری است پشتیبانی می شود. به عنوان مثال ، مشکلات مرتبط با ایمنی ترافیک در اصل می تواند با تغییرات چشمگیر از جمله کاهش قابل توجهی در محدوده سرعت (Odlyzko 2003) حل شود. با این حال ، مردم حاضر به زندگی با چنین محدودیتهایی نیست ، و از این رو ، از حد مجاز سرعت ، هزینه و منفعت تجارت کردن. به طور مشابه ، امنیت فناوری اطلاعات می تواند تا حد زیادی از طریق یک کاهش شدید در دسترسی کاربران بهبود یافته و

امتیازات. با این حال ، مردم بعید است که تحمل چنین محدودیتهایی دقیق ، و از این رو لازم است برای پیدا کردن تعادل مناسب میان امنیت و قابلیت استفاده.

از این رو ، مهم است که محصولات امنیتی با کاربر را در ذهن طراحی شده است. این به این معنی استفاده از اصول تعامل انسان و کامپیوتر به فرایند طراحی. همچنین به این معناست که امنیت کامپیوتر نیاز به هدف تبدیل شدن به زحمت متمرکز شده است ، به این معنی که این روند باید آسان تر برای کاربران است. هر گاه ممکن است ، جنبه های دقیقی از امنیت کامپیوتر عملیاتی روز به روز باید به سختی یا به شدت وقت گیر برای کاربر نهایی است ، . به عنوان مثال ، مدیر سیستم باید مسئولیت نظارت بر مشکلات امنیتی و به روز رسانی آنتی ویروس ، همراه با هر گونه نگرانی های امنیتی دیگر به شبکه را داشته باشد. اگر کارکنان مورد نیاز برای اسکن درایوهای کامپیوتر خود و یا به روز رسانی کامپیوتر خود ، این است که همیشه در قربانی از کار و وظایف اصلی خود انجام می شود ، و این نیاز به در نظر گرفته شود و جبران مناسب است و نیز تاکید بر اهمیت ایجاد سیستم های امنیتی قابل استفاده باشد. مطالعه آنها نشان داد که ارائه توابع امنیتی باید بهبود یافته به منظور کمک به کاربران از تهدیدهای امنیتی محافظت از خود است. آنها نتیجه گرفتند که قابلیت استفاده را می توان با تمرکز بر چهار حوزه گسترده بهبود یافته است : سهولت درک ، محل ، دید و راحتی است.

توابع امنیتی باید به قابل فهم است. اصطلاحات مخصوص یک صنف و اصطلاحات فنی را می تواند گیج کننده به تازه کار و غیر ، از لحاظ فنی کاربران فکر ، و ممکن است منجر به عدم تطابق و خطاهای عامل انسانی است. بنابراین ، نیاز به گزینه ها و شرح معنی دار به کاربر. ویژگی های امنیتی نیز باید آسان به کردهاید ، یک کاربر که نیاز به طور فعال جستجو برای تنظیمات امنیتی ممکن است به خوبی رها کردن و بنابراین ممکن است بیشتر در معرض تهدیدات امنیتی قرار گرفته است. جایی که کاربر نهایی مسئول امنیت است ، در حالت مطلوب ، آن را باید قابل دیدن خواهد بود ، به طوری که یک کاربر می توانید ببینید چه امنیتی است که اعمال می شود و آنها باید آگاه شوند زمانی که هر گونه به روز رسانی و یا از پادمان باید به آن اضافه شود. در نهایت ، در جایی که ممکن است ، امنیت باید راحت است ، و آن را باید کار های دیگر و یا مسئولیت مانع. با حصول اطمینان از این چهار نفر توصیه قابلیت استفاده برآورده است ، کمتر تحت فشار قرار داده شده بر روی کاربر وجود دارد ، و آنها به احتمال زیاد مطابق به نیازمندی های امنیتی و انتظارات ، و کمتر احتمال دارد که اشتباهات تصادفی (Furnell و همکاران. 2006).

بیشتر در مورد این توصیه ها گسترش می یابد ، به منظور بهبود قابلیت استفاده و پیشنهاد هشت به طور گسترده ای استناد "قوانین طلایی برای طراحی رابط. هشت قوانین هدف به تلاش برای هماهنگی ، فعال کردن مکرر کاربران را به استفاده از کلید های میانبر ، ارائه بازخورد آموزنده ، پنجره های طراحی محصول از بسته شدن ، ارائه رفع خطا ساده ، اجازه برگشت آسان از اقدامات ، حمایت از منبع داخلی کنترل و کاهش بار حافظه کوتاه مدت ،.

به طور مشابه ، Katsabas ، Furnell و Dowland (2005) نیز تمرکز بر روی ارائه اطلاعات امنیتی به منظور بهبود قابلیت استفاده و به نوبه خود به بهبود امنیت. آنها دولت است که تنظیمات امنیتی باید آسان به راه اندازی و کمک به امنیت و اسناد باید مناسب. همچنین باید اشتباهات به خوبی رسیدگی و اجازه می دهد کاربران را به تغییرات سفارشی ، بدون خطر عوارض امنیتی بیشتر. مهم تر ، امنیت باید کارایی را کاهش نمی دهد و آن را باید کاربر را احساس حفاظت بیشتر (Furnell 2005). علاوه بر این ، امنیت باید مناسب برای تمام سطوح از کاربران ، باید قابل مشاهده و آسان برای استفاده ، و باید اصطلاحات مخصوص یک صنف و جلوگیری از

واژگان فنی است. اگر ویژگی های امنیتی با این جنبه از قابلیت استفاده در ذهن طراحی شده است ، این احتمال وجود دارد در انطباق بیشتر در نتیجه و در نتیجه ، کمتر انسان عامل

2. ادراک خطر و تعصبات پردازش اطلاعات

هنگام تصمیم گیری رفتاری ، افراد اغلب به تخمین خود را از خطرات مرتبط با گزینه های مختلف تصمیم گیری بر اساس. از این رو ، شیوه ای که در آن کاربران فناوری اطلاعات درک تهدیدات پاسخ های رفتاری خود را (هوانگ و همکاران ، 2007) تحت تاثیر قرار. این است که اغلب غیر عملی است برای پردازش تمام اطلاعاتی را که لازم بود و به شکل کاملا منطقی از یک ارزیابی خطر است. بنابراین ، مردم اغلب کلید های میانبر در فرآیند تصمیم گیری ، با استفاده از تعدادی از تعصبات و ابتکارات پردازش اطلاعات به ساده کردن کار (Kahneman ، Slovic و Tversky ، 1982).

این تعصبات و ابتکارات می تواند ادراک خطر ، تحت تاثیر قرار دهند و شواهد نشان می دهد که مردم به طور کلی دارای درک نادرست از خطر (Slovic ، لیختن اشتاین ، Fischhoff ، شخص غیر روحانی و شانه ، 1978). از آنجا که ادراک خطر می تواند منطقی مانع از تصمیم گیری ، درک این برداشت بسیار حیاتی است. اساسا ، افرادی که به دقت درک خطرات مرتبط با امنیت اطلاعات هستند بیشتر احتمال دارد به شیوه ای مناسب عمل می کنند. از این رو ، لازم است به منظور درک عوامل است که می تواند مانع درک خطر دقیق.

اگرچه مقدار زیادی از تحقیقات در ادراک خطر به طور کلی وجود دارد ، کمی مطالعه تجربی بررسی ادراک افراد از خطر در حوزه امنیت اطلاعات وجود دارد. هوانگ و همکارانش (2007) 602 نفر را در درک خود را از تهدید های مختلف به امنیت اطلاعات در مورد بررسی است. آنها نتیجه گرفتند که درک خطرات امنیتی اطلاعات را می تواند با استفاده از شش عوامل ، یعنی دانش ، ضربه ، شدت ، کنترل ، امکان و آگاهی (هوانگ و همکاران ، 2007) شرح داده شده است. خطر درک از تهدید بود به میزان قابل توجهی بالاتر هنگامی که دانش کمی از خطر وجود دارد ، تاثیر ممکن است از خطر بالا بود ، شدت بالقوه خطر بالا بود ، و یا احتمال بیشتر از خطر روز اتفاق نه افتاده است وجود دارد.

تعدادی از نویسندگان دیگر برداشت از خطرات امنیتی از تحقیقات در مناطق دیگر استنباط شده است. به عنوان مثال ، پتینسون و اندرسون (2005) نشان می دهد که برداشت از خطرات امنیتی هستند به طور کلی تحت تاثیر عوامل مانند خلق و خوی افراد در آن زمان ، گزارش رسانه های اخیر ، تجارب گذشته ، و دانش از جنبه های فنی از قبیل ویروس ها است. تعدادی از عوامل روانی ، اجتماعی و فرهنگی نیز می تواند راه است که مردم درک خطر (Bener 2000) تاثیر می گذارد. تحقیق بیشتر کشف شده است که جنبه های از قبیل اینکه آیا یک خطر داوطلبانه است ، که آیا این خطر قابل کنترل است و مفاهیم از خطر نیز می تواند یک تاثیر بزرگ (Heimer 1988).

عواملی که تمایل به تحت تاثیر قرار ادراک افراد از خطرات امنیتی در حال حاضر در جزئیات بیشتری را در بخش زیر قرار گرفت.

2.1 در دسترس اکتشافی

یکی از رایج ترین تعصبات است به عنوان اکتشافی در دسترس شناخته شده است. این تعصب است بر اساس این ایده که افراد تمایل به قضاوت فرکانس و یا احتمال یک رویداد بر اساس چگونه به راحتی به عنوان مثال می توان به ذهن (Tversky و Kahneman ، 1973 Slovic ، Fischhoff ، و لیختن اشتاین ، 1979) آورده شده است. این اکتشافی است نیز ارتباط نزدیکی با پوشش رسانه ای از وقایع مرتبط ، حوادث بسیار به اطلاع عموم نیز به یاد ماندنی تر است. با این حال ، مطالعات انجام شده به طور مداوم

نشان داده است که پوشش رسانه ای از وقایع ارتباط کمی و یا بدون فرکانس واقعی از خطرات ، و در نتیجه این احتمال را افزایش می دهد که مردم ادراک نادرست از خطر داشته باشند

به طور کلی ، فرکانس خطرات بسیار معمول است اما مزمن ، که ساخت تا با گذشت زمان (به عنوان مثال ، بیماری های قلبی) ، کمتر احتمال دارد به گزارش شود ، و نیز به میزان قابل توجهی دست کم گرفت. در امنیت اطلاعات ، مسائل مزمن تر عبارتند از عوامل از جمله کارکنان به شدت آموزش دیده ، روش های نامناسب و طراحی سیستم های ضعیف (McIlwraith ، 2006). در مقابل خطرات نسبتا نادر اما حاد ، که ناگهانی تر و دراماتیک تر (به عنوان مثال ، قتل) دست بالا ، و همچنین پوشش بیشتر رسانه ها را دریافت. در توجه به امنیت اطلاعات در ، خطرات است که به احتمال زیاد دست بالا باشد ، شامل جاسوسی هک و صنعتی (McIlwraith 2006).

علاوه بر این ، از رخنه های امنیتی بسیار نادر است ، اکتشافی در دسترس است به احتمال زیاد منجر به ناچیز شماری از خطر است. اساسا ، کاربران دارند احتمال بیشتری برای یادآوری وقایع زمانی که روش های نادرست رسیده و یا غیر ، پایبندی به سیاست های امنیتی به تصادفات منجر نشده ، و در نتیجه ، خطر واقعی از روش زیر نیست ، بیشتر احتمال دارد که نباید دست کم گرفت (Slovic و همکاران ، 1976). در واقع ، هر زمان که یک فرد امنیتی نقض بدون هرگونه عواقب این رفتار مخاطره آمیز است به احتمال زیاد به تقویت ، که به معنی آن است که به احتمال زیاد در آینده رخ می دهد.

2.2 خوشبینی تعصب

به این تعصب خوش بینی ، که اشاره به این واقعیت است که اکثر مردم باور ندارند که آنها شخصا در معرض خطر ، و به جای آن ، تمایل دارند به این باور است که نتایج منفی به مراتب بیشتر احتمال دارد اتفاق می افتد را به دیگران (خاکستری و Ropeik ، 2002) . این تعصب در یک مطالعه که در آن شرکت کنندگان خواسته شد به قاضی احتمال خطرات مختلف روز اتفاق نه افتاده است به خود ، اعضای خانواده خود و عموم مردم (Sjoberg 2000) نشان داده شد. برای تمام خطرات ، رأی به طور متوسط پایین تر برای فرد و خانواده فرد نسبت به آنها برای عموم مردم (Sjoberg 2000) بودند.

این تعصب است به ویژه رایج در امنیت اطلاعات ، به عنوان شواهد نشان می دهد که اکثر کاربران تمایل دارند به این باور است که هکرها را به اطلاعات روی کامپیوتر خود ارزش نیست ، و از این رو ، کاربران بعید است خود را به عنوان اهداف بالقوه را ببینید (McIlwraith 2006). این باور تا به توجه کمی برای این واقعیت است که جاسوس صنعتی یا هکرها می تواند هر فرد را به منظور به دست آوردن دسترسی به سیستم کلی (که پس از آن می تواند اجازه دسترسی بیشتر به مناطق مهم شبکه های کامپیوتری) (McIlwraith 2006) را مورد هدف قرار است.

تعصب خوشبینی نیز شایع به خصوص در شرایطی که مردم انتظار دیدن علائم هشدار دهنده اگر آنها آسیب پذیر هستند (Weinstein ، 1987). و این ممکن است درست از خطرات امنیتی ، و شواهد نشان می دهد که مردم اغلب به غلط اعتقاد دارند که اگر آنها موفق به دیدن علائم هشدار دهنده ، آنها را از خطرات آینده (Weinstein ، 1987) معاف. تعصب خوشبینی می تواند در نتیجه افزایش خطرات مرتبط با امنیت ، به عنوان افراد ممکن است خطر را دست کم گرفتن ، و ممکن است در نتیجه موفق به نگه دارید تا تاریخ را با وصله های امنیتی ، ممکن است شکست بخورند و به دنبال روشهای امنیتی دیگر (Mitnick و سیمون ، 2005). اساسا ، مردم احتمال که اقدامات خود و یا inactions می تواند در نتیجه یک نقض امنیتی را نادیده بگیرد.

2.3 سطح از کنترل

افراد همچنین به خوشبینی غیر واقعی برای خطرات است که آنها درک به تحت کنترل شخصی خود (Kreuter و Strecher ، 1995). از آنجا که یک فرد ممکن است اقدامات خود را بر روی کامپیوتر شخصی خود را تحت کنترل خود را مشاهده ، تهدید را ممکن است به عنوان کمتر مخاطره آمیز دیده می شود. از این رو ، شانس که غیر - پایبندی به سیاست های امنیتی در نتیجه عواقب جدی نیز ممکن است دست کم گرفته شود. این بدان معنی است که افراد ممکن است بیشتر احتمال دارد به رفتارهای پرخطر درگیر است. این تعصب است که معمولا در ادراک رانندگان از خطرات خودرو ، که در آن مردم اغلب احساسات اغراق آمیز نشان می دهد اعتماد به نفس ناشی از احساسات خود را کنترل (Slovic ، Fischhoff ، و لیختن اشتاین ، 1978) مشاهده شده است.

این افزایش در رفتار مخاطره آمیز است به طور کلی شایع به خصوص در افرادی که دارای سطح بالایی از شایستگی و درک مهارت است. از این رو ، این احتمال وجود دارد که افرادی که دارای مهارت در زمینه امنیت اطلاعات می تواند توانایی خود را برای کنترل این تهدید دست بالا گرفتن است ، و بنابراین آنها ممکن است خطرات بیشتری است.

2.4 سطح دانش

در مقابل ، ریسک ها همچنین می تواند به شدت می شود توسط فقدان افراد از دانش و یا آموزش و پرورش در امنیت اطلاعات را تحت تاثیر خود قرار داده است. اغلب ، آن را دشوار است به درک خطر و تهدید است که آن را به شمار بدون درک دقیق از جزئیات از خطر در مورد. این درست است به خصوص از بعضی از خطرات امنیتی ، به عنوان افراد ممکن است دانش فنی نیاز به درک قدر یا پیامدهای رخنه های امنیتی بالقوه است. بدون این دانش ، موثر تصمیم گیری و خطر ادراک می تواند به طور جدی تحت تاثیر (Fischhoff ، 2002). در اصل ، بسیاری از کاربران از تکنولوژی زیر بنایی را درک نیست ، و از این رو ، ممکن است تصمیمات خود را بر روی درک دقیق از آنچه که "امن" به معنی (Lacohee ، Phippen و Furnell ، 2006) نه بر اساس.

به عنوان مثال ، مطالعه انجام شده توسط آدامز و Sasse (1999) دریافتند که کاربران به حال دانش ناکافی از آنچه به منزله یک رمز ورود ایمن ، و کاربران بسیار کمی درک چگونه کلمه عبور می تواند ترک خورده. از این رو ، کاربران گاهی اوقات حتی انتخاب رمزهای عبور بسیار ناامن ، بدون پی بردن به این مسئله که آنها انجام این کار بودند. عدم آگاهی و دانش همچنین می تواند منجر به فقدان انگیزه های امنیتی ، به عنوان افراد ممکن است جدی بودن خطر بالقوه ، و نیاز به منظور انجام اقدامات امنیتی را درک نمی کنند. این عوامل تاکید بر اهمیت آگاهی و خطر موثر امنیت ارتباطات ، که در جزئیات بیشتری را در بخش های بعدی تحت پوشش خواهد بود.

2.5 خطر هموستاز

همچنین ممکن است که یک پدیده شناخته شده به عنوان هموستاز خطر یا پرداخت غرامت خطر ممکن است رفتار افراد ، نفوذ و کاهش احتمال که مردم با دقت درک جدی بودن خطرات امنیتی اطلاعات (استوارت ، 2004). این نظریه بیان که مردم به طور کلی قبول سطح خاصی از ریسک ، و پس از آن ، به عنوان تغییر شرایط ، رفتار تغییر خواهد کرد که در سطح مورد نظر را از خطر (وایلد ، 2001) باقی می ماند. به عبارت دیگر ، اگر شرایط تصور می شود کمتر مخاطره آمیز ، و سپس مردم ممکن است خطر بیشتری ، می گیرد و اگر شرایط تصور مخاطره آمیز تر می شود ، سپس میزان خطر گرفته شده ممکن است کاهش می یابد.

این نظریه زمانی که ترمز antilock برای اولین بار در وسایل نقلیه موتوری معرفی شدند نشان داده شد. با مقدمه ای از این تکنولوژی جدید ، از آن است که نرخ تصادفات را پایین رفتن انتظار می رفت. با این حال ، این مورد وجود نداشت. این تئوری فرض می گیرد که مردم در زمان را به حساب افزایش ایمنی رانندگی ، و در نتیجه راند پرخاشگرانه بیشتری (که منجر به صدمات بیشتر). اگر چه برخی از بحث در مورد اعتبار این نظریه (اونیل و ویلیامز وجود دارد ، 1998) ، آن را به خوبی ممکن است به توضیح دهد که چرا افرادی که از روش های امنیتی آگاه به اصول امنیت همیشه رعایت کمک کند. این امکان وجود دارد که افراد ممکن است درک که بهبود حفاظت فایروال و یا سایر مکانیزم های امنیتی ممکن است به کاهش هر گونه تهدید احتمالی ، و بنابراین آنها ممکن است تغییر رفتار آنها ، و عمل به شیوه ای مخاطره آمیز تر است. به عنوان مثال ، اگر یک سیستم در یک منطقه به شدت کنترل دسترسی ، مردم ممکن است باید سخت کوش کمتر در مورد حفاظت از کامپیوتر (Mitnick و سیمون ، 2005).

2.6 خطر تجمعی

بسیاری از خطرات مرتبط با امنیت اطلاعات از ماهیت تجمعی هستند. این به این معنی است که احتمال یک رویداد در یک روز داده شده و یا در یک زمان معین اتفاق می افتد ممکن است بسیار کوچک است ، اما در طول زمان ، این افزایش شانس (Fischhoff 2002). به عنوان مثال ، اگر کسی را انتخاب رمز عبور ناامن ، شانس که این عدم پایبندی به روش بهره برداری خواهد شد ممکن است بسیار کوچک در یک روز مشخص ، اما در طول هفته ها و ماه ها ، این احتمال می سازد.

همچنین لازم به حساب آورد خطر تجمعی مطرح شده توسط افراد مختلف از همه در نظر گرفتن ریسک های کوچک. به عنوان مثال ، خطر در ارتباط با یک فرد ، عدم به دنبال یکی روش ممکن است بالا باشد ، اما اگر تعدادی از افراد ، ایجاد آسیب پذیری های مختلف ، خطر تجمعی ممکن است قابل توجه باشد. با این حال ، افراد به طور کلی در درک این خطر تجمعی (Slovic 2000) کاملا فقیر ، و از این رو ، آنها ممکن است احتمال بیشتری برای پذیرفتن ریسک های کوچک ، چون ممکن است عواقب کامل درک نمی.

2.7 حذف تعصب

رفتار افراد نیز می تواند توسط تعصب حذف خواهد شد. اساسا ، مردم رای دادن به حذف (و یا عدم عمل) به عنوان قابل قبول تر از عمل کمیسیون (Ritov و بارون ، 2002). بسیاری از رخنه های امنیتی (مانند شکست به طور منظم تغییر رمزهای عبور) می تواند به عنوان حذفیات مشاهده و inactions بنابراین ممکن است به عنوان قابل قبول تر از عمل به همان اندازه مخاطره آمیز از نوشتن رمز عبور پایین دیده می شود. پس از تکمیل اشتباهات ، که قبلا ذکر شد ، یک شکل از تعصب حذف است. در اصل ، پس از حذف تعصب نشان می دهد که inactions هستند به طور کلی دیده می شود به کمتر از نظر اخلاقی نسبت به اقدامات سوال برانگیز ، این تعصب است به احتمال زیاد افزایش وقوع اشتباهات پس از تکمیل است.

2.8 نفوذ آشنایی

شواهد حاکی از آن است که آشنایی از خطر نیز نفوذ می تواند شیوه ای است که در آن درک شده است. خطرات رمان و ناآشنا هستند ، کمتر احتمال دارد به دست کم گرفت ، در حالی که مردم با خطرات مشترک است که آنها برای مدت طولانی زندگی خود راضی می تواند تبدیل به. از این رو ، خطرات آشنا هستند بیشتر احتمال دارد که نباید دست کم گرفت. به عبارت دیگر ، مردم به احتمال زیاد به خطر هنگامی که با کار آنها آشنا هستند. و این ممکن است امنیت اطلاعات اعمال می شود ، به عنوان مردم می توانند از خود راضی با وظایف که آنها تکمیل هر روز ، مانند قفل شدن خود را

کامپیوتر زمانی که آن را بدون مراقبت. خوشنودی و سپس می تواند به افزایش ریسک پذیری رفتار منجر شود.

با این حال ، لازم به یاد داشته باشید که در مقابل گاهی اوقات درست است. مطالعه مطابق با دستورالعمل های ایمنی در محصولات مختلف ارزیابی ، و متوجه شد که شرکت کنندگان با احتمال بیشتری به دنبال اقدامات احتیاطی در هنگام استفاده از مارک محصول که با آنها بیشتر آشنا (اورتیز ، Resnick و Kengskool ، 2000) بودند. این لینک برگشت به نفوذ از دانش کاربران ، آن را نشان می دهد که مردم خواهد بود به احتمال زیاد برای ادامه به رعایت دستورالعمل های ایمنی لازم را از خطر آشنا اگر آنها را در درک دلیل اقدامات احتیاطی. از این رو ، این تاکید بر اهمیت آموزش و پرورش کاربر ، که در جزئیات بیشتری را در بخش های بعدی تحت پوشش خواهد بود.

(2.9) تأثیر از قابسازی

شیوه ای که در آن شرح داده شده است و یا قاب خطر نیز می تواند ادراک افراد از خطر را تحت تاثیر قرار دهد. به عنوان مثال ، هنگامی که خطر با تاکید بر زیان های احتمالی مشخص شده ، استراتژی ریسک پذیری بیشتر رایج است ، در حالی که یک استراتژی ریسک گریزی بیشتر احتمال دارد زمانی که خطر در رابطه به دستاوردهای احتمالی (Kahneman و Tversky شرح داده شده ، 1979). این در نظریه چشم انداز بر اساس ، با این ایده که افراد دارای ارزش های ذهنی برای زیان و سود (Schneier ، 2003).

اثر از فریم به وضوح در یک مطالعه توسط مک نیل ، چاپ Pauker و Tversky (1982) نشان داده شده است. شرکت کنندگان در این مطالعه خواسته شد تصور کنید که آنها تا به حال سرطان ریه ، و پس از آن با گزینه های درمان ارائه شد. هنگامی که شرکت کنندگان با احتمال قاب در از نظر احتمال مرگ در اثر (32 ٪) به جای شانس زنده ماندن (68 ٪) ، درصد افرادی که انتخاب درمان از 44 ٪ فقط به 18 درصد کاهش یافته است (Slovic 1986) ارائه شد. این پیامدهای مهم برای امنیت اطلاعات ، آن را به عنوان نشان می دهد که مردم می توانند به شدت از سوی شیوه ای که در آن خطر ابلاغ شده است را تحت تاثیر خود قرار داده است. به عنوان مثال ، این نشان می دهد که مردم ممکن است احتمال بیشتری برای پیروی از دستورالعمل های امنیت اطلاعات در صورتی که نتیجه با تاکید بر دستاوردهای ممکن است شرح داده شده است. این در جزئیات بیشتری را در بخش ارتباطات خطر تحت پوشش خواهد بود ، به دنبال.

2.10 شخصیت و سبک شناختی

تفاوت های فردی در توجه به عواملی مانند شخصیت و سبک شناختی نیز ممکن است ادراک (و تمایل به گرفتن) خطرات (شیر و Meertens ، 2005) را تحت تاثیر قرار دهد. اونیل (2004) نشان می دهد که مردم را می توان بر اساس آنها چگونه با خطر برخورد ، از کسانی که بسیار ریسک گریز ، به کسانی که به دنبال خطر طبقه بندی شده است. این تفاوت به احتمال زیاد برای تاثیر گذاری در راه است که مردم درک اطلاعات اطراف آنها ، که به نوبه خود ، به احتمال زیاد برای نفوذ در رفتار آنها هستند. مطالعه ای که توسط شیر Meertens و (2001) بررسی میزان اطلاعاتی که شرکت کنندگان در توجه به یک دارو نگاه ، و متوجه شد که تفاوت قابل توجهی بین استقبال خطرات و avoiders خطر وجود دارد.

جویندگان احساس ، و یا افرادی که به دنبال خطر ، اغلب خطرات برای حفظ انگیختگی فیزیولوژیکی ، گرفتن و احتمال بیشتری به تمرکز بر پاداش در ارتباط با رفتار پرخطر (Horvath و زاکرمن ، 1993). در مقابل ، افرادی که بیشتر خطر ابتلا به مخالف و یا قانون آگاه هستند احتمال بیشتری برای تمرکز بر روی هزینه های مرتبط با ریسک پذیری ، و آنها به طور کلی بیشتر اخلاقی ، و کمتر احتمال دارد به بی اعتنایی به روش های امنیتی (شیر و Meertens ، 2005). اینها ، با این حال ، فرضیه های نظری در مقابل به صفات سازگار است که تجربی ثابت شده است.

2.11 تأثیر عوامل اجتماعی

هنجارهای گروه نیز می تواند امنیت رفتار افراد را تحت تاثیر قرار دهد. مردم به طور کلی هنجارهای گروه ، به دنبال و در نتیجه در صورتی که گروه امنیت اطلاعات را به یک مشکل مهم و جدی ، سپس آن را بیشتر احتمال دارد که افراد درون آن گروه ارزش و پیروی از سیاست های امنیتی. در مقابل ، اگر ریسک پذیری است که در داخل این گروه پذیرفته شده ، و سپس از آن است که احتمال دارد که خطرات بیشتری گرفته خواهد شد.

هنجارهای گروه همچنین می توانید رمز عبور رفتار افراد تاثیر می گذارد. به عنوان مثال ، با توجه به McIlwraith (2006) ، به اشتراک گذاشتن رمز عبور را می توان نشانه ای از اعتماد به همکار نظر گرفته می شود ، و بنابراین ، به دلیل خودداری از به اشتراک گذاشتن رمز عبور می تواند به عنوان یک نشانه است که مردم به همکاران خود اعتماد ندارند دیده می شود. اگر هنجارها چنین در درون سازمان وجود دارند ، و سپس مقدار زیادی از آموزش و پرورش خواهد شد لازم به تغییر این رفتارها.

اثر اجتماعی شناخته شده به عنوان اثر تماشاچی نیز می توانند به شیوه ای که در آن مردم برای پاسخگویی ، یا درک ، خطرات را تحت تاثیر قرار دهد. این اثر بر اساس این ایده که به عنوان تعدادی از افراد را افزایش می دهد در حال حاضر ، مردم مسئولیت خود را ، تغییر به طوری که احتمال هر شخص پاسخ کاهش است. از این رو ، در گروه های بزرگ ، افراد ممکن است مسئولیت برای امنیت شخصی کمتر احساس راحتی کنید. این عوامل اجتماعی و گروهی به شدت به سازمانها مرتبط بود

3. امنیت سازمانی تمدن و فرهنگ و هنر

فرهنگ امنیت می تواند در انزوا از فرهنگ کلی ، در محیط کار ارزیابی ، دلیل این است که فرهنگ یک سازمان است که تاثیر قوی در زمینه امنیت سازمانی (Ruighaver ، مینارد و چانگ ، 2007). بنابراین برای درک فرهنگ های امنیتی آن است که برای اولین بار مهم است که درک در ادبیات وسیع تری از فرهنگ سازمانی است.

3.1 تعاریف و تئوری فرهنگ سازمانی

مفهوم از فرهنگ است که به وضوح فهمیده می شود ؛ در واقع هیچ دو نظریه پردازان و محققان تعریف فرهنگ را در همان راه (Ivanchevich ، Olekalns و Matterson ، 2000). فرهنگ متفاوت تعریف شده است ، اندازه گیری متفاوت و ارزیابی متفاوت (شاین ، 1985). این عدم اتفاق نظر در ساخت فرهنگ در یک معامله بزرگ از مجادلات و بحثهای (سوزن ، 2000) منجر شده است.

این تعریف شاین از فرهنگ است که به طور گسترده ای پذیرفته شده (Huczynski و بوچانان است ، 2001). شاین تعریف فرهنگ سازمانی را به عنوان :

"الگوی مفروضات اساسی -- اختراع ، کشف ، و یا توسعه یافته توسط یک گروه داده شده به عنوان آن می آموزد به مقابله با مسائل انطباق خارجی و یکپارچگی داخلی -- کار کرده است که به خوبی به اندازه کافی معتبر در نظر گرفته شود ، و بنابراین ، برای به جدید آموزش داده اعضاء به عنوان راه درست درک ، فکر می کنم و احساس در رابطه با این مشکلات "(شاین ، 1985 ، p.9).

مدل شاین فرهنگ شامل سه سطح : مصنوعات و خلاقیت ، ارزش ها و اعتقادات و مفروضات اساسی (Schien 1985). مصنوعات و خلاقیت شامل سطح اول و نشان دهنده ترین جنبه های قابل مشاهده و آشکار سازمان است. با توجه به شاین (1985) ، این سطح شامل عناصری از فرهنگ است که می تواند دیده و شنیده و به راحتی توسط کارکنان ، مشتریان و عموم مردم ، از جمله مبلمان و لباس ، نمادها ، اشیاء ، زبان مورد استفاده در داخل محل کار ، و همچنین تفسیر شعارها ، آداب و داستان (Huczynski و بوچانان ، 2001 ؛ شاین ، 1985).

سطح دوم فرهنگ شامل ارزش ها و باورهایی که زیر بنای مصنوعات و خلاقیت (شاین ، 1985). ارزش خواسته ها و تمایلات که رفتار راهنمای ؛ آنها توسط مدیریت ارشد ارائه جهت و دستورالعمل برای رفتار کارکنان خود است (Huczynski و بوکانان ، 2001) ابداع شده است. پیترز و Waterman (1982) برجسته کردن اهمیت ارزش در درون یک سازمان ، استدلال می کند که ارزش نگه تمام عناصر دیگر فرهنگ با هم هستند و کلید را به کارایی بالا سازمانی. اشتراک در ارزش ها بسیار مهم تلقی شود زیرا اگر کارکنان مجبور نیستند مشترک ارزش ، سازمان نمی تواند عمل به طور موثر (Ivancevich و همکاران ، 2000). با این حال ، Buono ، Bowditch و لوئیس (1985) ، ایالتی که قدرت از ارزش های سوال برانگیز است ، در درجه اول به دلیل مدیریت ارشد تولید ارزش ها ، و در نتیجه آنها بر رفتار کارکنان واقعی لزوما تاثیر گذار نیست.

با توجه به شاین (1985) سطح سوم فرهنگ ، مفروضات اساسی ، که در واقع نشان دهنده و قطاری از فرهنگ یک سازمان است. مفروضات پایه مخفی ، گریزان و چه نامرئی ، مفاهیم اصلی فرهنگ دشوار است ، نه تنها به درک ، اما همچنین به منظور ارزیابی (شاین ، 1985). این مفروضات اساسی شامل «مفروضات افراد برگزار می

در مورد سازمان و چگونه آن توابع ، که به جنبه های رفتار انسانی ، ماهیت واقعیت و رابطه سازمان محیط زیست خود »است (Huczynski و بوکانان ، 2001 ، p.633). فرهنگ در طول زمان تکامل می یابد و توسعه است و این پیچیدگی یک عامل کمک به بحث بیش از آنچه ساخت فرهنگ در واقع نشان دهنده است (Huczynski و بوکانان ، 2001).

برخی محققان نشان می دهد که فرهنگ سازمانی را می توان مشاهده و درک در سه راه مختلف ، به عنوان یک متغیر داخلی از داخل محل کار ، به عنوان یک متغیر خارجی که به محل کار آورده شده ، و یا به عنوان یک استعاره ریشه ، به این معنی است که فرهنگ چیزی است که یک سازمان است و یا (Smirchich ، 1983). با توجه به تامپسون و Luthans (1990) فرهنگ بهتر است با اتصال این سه دیدگاه با هم ، با تاکید بر اینکه فرهنگ استاتیک بلکه ساخت دائما در حال تکامل قابل درک باشد.

قدرت فرهنگ یک سازمان از طریق اجتماعی شدن اعضای جدید (ون Mannen و شاین ، 1979) مشاهده شده است. Socialisation یک فرایند است که در سراسر ارتباط فرد با سازمان ادامه می یابد ، زیرا به عنوان یک سازمان تغییر و توسعه ، افراد نیاز به انطباق با تغییرات جدید با. افراد بیشتر آگاهی از فرایند جامعه پذیری در هنگامی که برای اولین بار پیوستن به یک شرکت یا به بخش های مختلف و یا تیم است (فلدمن برت ، 1983) منتقل شده. در اصل ، اجتماعی می تواند به عنوان یک فرم یکپارچه سازی سازمانی (Ivancevich و همکاران ، 2000) مشاهده شده است. به طور خاص ، اجتماعی "به یک استراتژی برای دستیابی به تجانس اهداف سازمانی و فردی است... [و] یک فرایند مهم و قدرتمند برای انتقال فرهنگ سازمانی" (Ivancevich و همکاران ، 2000 ، p.605).

سازمان با فرهنگ قوی ، تحت مجموعه ای منسجم از ارزش ها و هنجارهای (جورج و جونز ، 1996) عمل در نظر گرفته است. این ارزش ها و هنجارهای متحد اعضای تیم با یکدیگر و تولید یک تعهد کارکنان برای رسیدن به اهداف سازمانی (جورج و جونز ، 1996). در فرهنگ های ضعیف ، جهت حداقل و ارشاد به کارکنان ارائه شده ، و در این محیط از آن است که ساختار رسمی سازمانی است که راهنماهای رفتار ، به جای ارزش ها و هنجارهای (جورج و جونز ، 1996). پیترز و Waterman (1982) استدلال می کنند که فرهنگ های قوی هستند قادر به تولید با کارایی بالا و گزارش کرده اند که سازمان های موفق و فرهنگی قوی سه چیز مشترک است.

اول ، فرهنگ سازمانی قوی تشویق کارمندان خود را به خطرات و استقلال ارزش و کارآفرینی. دوم ، این سازمان ها ، درک روشنی از رسالت سازمانی خود ، آنها قادر به کسب و کار اصلی خود تمرکز کرده و همچنان برای حفظ و توسعه آن هستند. سوم ، آنها ارزش ها و هنجارهای که ایجاد انگیزه در کارکنان خود را. آنها بر این باورند که بهره وری از طریق افراد قابل دسترسی است و به شدت متعهد به سرمایه گذاری در منابع انسانی خود (پیترز و Waterman ، 1982).

بعضی از محققان بر این باورند که یک فرهنگ قوی می کند در عملکرد قوی است (تامپسون McHugh ، 1995) نه لزوما نتیجه. به عنوان مثال ، فرهنگ ضمنی تجربه کارکنان ممکن است فرهنگ به صراحت توسط مدیریت بیان شده است. نشان داده شده است که فرهنگ قوی می تواند در زمان مانع سازمان از حرکت به جلو به عنوان اعضای ممکن است مقاوم در برابر تغییر است (تامپسون McHugh ، 1995). فرهنگ است که قطعا یک پدیده یکسان نیست و در درون یک فرهنگ ، خرده فرهنگ ها نیز می تواند وجود داشته باشد (Hampden ترنر ، 1990).

خرده فرهنگ را می توان در سطوح مختلف ، توابع و نقش در درون سازمان و در نتیجه تفاوت در نگرش ها ، باورها و ارزش های ها در میان اعضای سازمان (Hampden ترنر ، 1990) مشاهده شده است. مارتین و Siehl (1983) اشاره به سه نوع از خرده فرهنگ : بالا بردن خرده فرهنگ ها ، خرده فرهنگ های متعامد ، و خرده فرهنگ مقابله با. خرده فرهنگ بهبود اغلب قوی ترین نوع خرده فرهنگ و رخ دهد هنگامی که مفروضات ، باورها و ارزش های ها سازگار با فرهنگ کلی و غالب سازمان هستند. در خرده فرهنگ متعامد ، هر چند مفروضات اساسی فرهنگ سازمان پذیرفته شده است ، برخی از پیش فرضها را منحصر به فرد به آن گروه خاص است (مارتین & Siehl ، 1983). در یک فرهنگ مقابله با مفروضات در تضاد مستقیم با فرهنگ واحد سازمان است (مارتین & Siehl ، 1983) هستند. خرده فرهنگ در درون سازمان می تواند مشکل ساز باشد و می تواند تحت تاثیر منفی قرار عملکرد هنگامی که خرده فرهنگ ها اولویت ها و برنامه های مختلف (Furnham و گونتر ، 1993).

بسیاری از تحقیقات انجام شده در منطقه از فرهنگ سازمانی ، اعتقاد به این که درک از محیط کار و فرهنگ سازمانی روابط مهم و قابل توجهی با رفتار سازمانی حمایت کرده است. این خدمات عبارتند از : رضایت شغلی ، تعهد ، انگیزه ، رفاه ، ارتباطات ، عملکرد و رفتار های امنیتی (Ruighaver و همکاران ، 2007 ، پارکر و همکاران ، 2003 ؛ است. DeCotiis و سامرز ، 1987 ؛ Muchinsky ، 1977). امنیت نه تنها یک ماده از استفاده از آخرین فن آوری امنیت موثر است به شدت در درون فرهنگ سازمانی تعبیه شده (Ruighaver و همکاران ، 2007).

3.2 هشت ابعاد چارچوب فرهنگ سازمانی به امنیت اطلاعات کاربردی

Ruighaver و همکاران. (2007) توضیح دهد که در داخل یک سازمان ، امنیت اطلاعات در درجه اول یک مشکل مدیریت و چگونگی معاملات مدیریت امنیت اطلاعات است ، بازتاب مستقیم از فرهنگ یک سازمان. فرهنگ امنیت را می توان با استفاده از چارچوب فرهنگ سازمانی درک شده است. این چارچوب توسط بازداشتن ، شرودر و Mauriel (2000) توسعه داده شد ، و آن را تقسیم فرهنگ به هشت بعد.

هشت ابعاد به شرح زیر عبارتند از : اساس حقیقت و عقلانیت ، ماهیت زمان و افق ، انگیزه ، ثبات در مقابل تغییر ، نوآوری و یا رشد شخصی ، جهت گیری به کار ، کار ، همکاران ؛ انزوا در مقابل همکاری و یا همکاری ، کنترل ، هماهنگی و مسئولیت و جهت گیری و تمرکز داخلی یا خارجی (Ruighaver و همکاران ، 2007).

3.2.1 اساس حقیقت و عقلانیت

اساس حقیقت و عقلانیت جزء اول از چارچوب فرهنگ سازمانی است ، و آن را به حقیقت در باورهای امنیتی و اقدامات اشاره است. به عنوان مثال ، مدیریت حمایت از رفتار های امنیتی مناسب و سیاست ها ، هر دو در آنچه که توسط مدیریت اعلام است ، و چه اعمال و رفتار در محیط کار مشاهده است؟ اگر مدیریت سیاست های امنیتی قوی در جای خود ، و منعکس کننده این سیاست در عملیات روز به روز ، این بدان معنی است که کارکنان به احتمال زیاد نیز اتخاذ آرمان های امنیتی مشابه (Ruighaver و همکاران ، 2007).

(3.2.2) طبیعت از زمان و افق

ماهیت زمان و افق اشاره دارد که چگونه یک سازمان در نظر دارد برای آینده خود است. به عنوان مثال ، برخی از سازمان ها به اهداف بلند مدت و برنامه های استراتژیک در محل ، به دنبال سال های بسیاری را به آینده است. سازمان های دیگر فرستاده شده از طرف دستیابی به اهداف کوتاه مدت و فوری به کار گیرند. بلند مدت برنامه ریزی استراتژیک اجازه می دهد تا یک سازمان را به یک تعهد قوی برای امنیت است. به عنوان مثال ، آنها می توانند پول است که می تواند به طور خاص مورد استفاده قرار گیرد به منظور ارتقاء و بهبود امنیت اطلاعات را به کناری بگذاریم ، این شانس را افزایش می دهد که سطح مناسب از بودجه در دسترس خواهد بود. این برنامه ریزی بلند مدت بدان معنی است که امنیت ، و به احتمال زیاد باقی می ماند ، یک اولویت بالا (Ruighaver و همکاران ، 2007) است.

3.2.3 انگیزه

مستخدمین نیاز به انگیزه برای اتخاذ رفتارهای امن و شیوه ، و مدیریت باید قادر به شناسایی انگیزه کارکنان خود را. به عنوان مثال ، آیا افراد به محرکها درونی یا بیرونی ، پاداش کار بهتر از مجازات ، یا بالعکس؟ پیشنهاد شده است که انگیزه زمانی اتفاق می افتد که کارکنان شخصا مسئول امنیت است. افقی مشارکت اجتماعی نیز پیشنهاد شده است که به افزایش انگیزه. این اتفاق می افتد زمانی که اعضای هیات از مناطق مختلف سازمان مورد بحث در مورد مسائل مشترک امنیت و فعالانه در فرایند تصمیم گیری دخیل (کوه ، Ruighaver ، مینارد و احمد ، 2005).

3.2.4 پایداری در مقابل تغییر / نوآوری / رشد شخصی

این جزء از چارچوب بر که امنیت هرگز نباید باقی می ماند استاتیک (شین ، 2000). فرهنگ امنیت نیاز به مدیریت تغییر مناسب و در نتیجه سازمان نیاز به فعال و نه نسبت به واکنشی که در هنگام برخورد با مسائل امنیتی است. مدیریت نیز تشویق به ترویج روش های نوآورانه برای برخورد با چالش های ثابت که در داخل محیط امنیتی (Ruighaver و همکاران ، 2007) رخ می دهد. سازمانهایی که تمایل دارند به خطر اغلب خلاقانه تر نسبت به سازمان هایی دارند که ریسک گریز است.

3.2.5 آشنائی با کار ، کار ، همکاران

این چارچوب در درجه اول برای پیدا کردن تعادل بین حق امنیت و دسترسی کارکنان ، به دارایی های اشاره دارد. در نهایت ، مدیریت بیشتری دسترسی ، امن تر از محیط زیست را محدود می کند. با این حال ، مدیریت باید اطمینان حاصل کرده است که محدودیت اجرا به ضرر کارکنان. به عنوان مثال ، مدیریت نمی خواهم کارکنان خود را برای تبدیل شدن به رنجش هیچ محدودیت های تحمیل شده بر آنها. برای غلبه بر این مشکل ، مدیریت نیاز به اطمینان حاصل شود که کارکنان احساس مسئولیت برای امنیت در محیط کار خود را. این به این معنی گوش دادن به پیشنهادات و اجرای آنها ، که در آن مناسب (Ruighaver و همکاران ، 2007). آموزش و پرورش نیز عمل مهم است ؛ آموزش کارکنان در مورد مسئولیت های خود احساس مالکیت (فریمن ، 2000) را افزایش می دهد. به منظور موفقیت آمیز باشد ، آموزش و پرورش باید به طور مستمر تقویت شود. 3.2.6 جداسازی در مقابل همکاری / همکاری

در بسیاری از سازمان ها ، تصمیم گیری های امنیتی ، توسط یک تیم کوچک از فناوری اطلاعات متخصصان و مدیران ساخته شده است ، و اغلب تصمیماتی که توسط این تیم ساخته شده است نادیده گرفته می شوند و یا به مقابله با عملیات روز به روز تغییر می یابد. بنابراین ، مهم است که برای کارمندان ، که اعمال پروتکل های امنیتی به صورت روزانه ، در فرآیند تصمیم گیری مشورت است. اطمینان از همکاری به احتمال زیاد در نتیجه فرآیندهای امنیتی جامع تر و سازه ها ، و پذیرش بیشتری از این فرآیندها و ساختارهای است. جریان در اثر همچنین می تواند شامل افزایش انگیزه و جهت گیری به کار (Ruighaver و همکاران ، 2007).

3.2.7 کنترل ، هماهنگی و مسئولیت

روشی که در آن تصمیم های امنیتی ساخته شده می تواند متفاوت باشد. به عنوان مثال ، تصمیم گیری به شدت ممکن است یا شل کنترل. کنترل های فشرده در سازمان که در آن یک گروه کوچک مسئول ساخت همه تصمیم گیری های مرتبط با امنیت مشاهده شده است. و یا معادل آن ، سیاست ها و رویه شل تر کنترل که در آن تصمیمات امنیت در سراسر سازمان (Ruighaver و همکاران ، 2007) واگذار. هر دو رویکرد می تواند موفق باشد. با این حال ، در هر دو مثال ، لازم است به ارائه دستورالعمل روشن مربوط به فرآیندهای تصمیم گیری ، به طوری که مشهود است که مسئول هر یک از جنبه های خاصی از امنیت است. افرادی که مسئول نیز باید پاسخگو است ، و این از طریق ارتباط موثر و پشتیبانی از تمام سطوح مدیریت (Ruighaver و همکاران ، 2007) ، تسهیل شده است.

3.2.8 جهت گیری و تمرکز -- داخلی و / یا خارجی

سازمان نیاز به در نظر گرفتن هر دو داخلی و عوامل امنیتی خارجی را. آن دسته از سازمان هایی که باید به یک توازن بین عوامل داخلی و خارجی آگاهی از محیط امنیتی خارجی که در آن عمل داشته باشد. آنها همچنین قادر خواهند بود به داخلی تقویت فرآیندهای امنیتی و روشهای خود را. این تعادل را قادر خواهد ساخت که به یک سازمان فعال در راه آنها روش و مقابله با مسائل امنیتی و چالش ها (Ruighaver و همکاران ، 2007) است.

3.3 امنیت اطلاعات و آب و هوا ایمنی

مفهوم جو سازمانی که از فرهنگ سازمانی (Reichers و اشنایدر ، 1990) مشابه است. آب و هوا سازمانی یک مفهوم است که به عنوان "درک مشترک از سیاست های سازمانی ، شیوه ها ، روش ها ، اعم از رسمی و غیر رسمی" (Reichers و اشنایدر ، 1990 ، p.29) شرح داده شده است.

ساختارهای فرهنگ و آب و هوا با هم تداخل دارند و به اشتراک گذاری شباهت های بسیاری است. آنها هر دو استفاده می شود به توضیح روش های که در آن افراد از محیط های کار خود را حس است. هر دو مفهوم استرس است که فرهنگ و آب و هوا از طریق جامعه پذیری و تعامل با دیگران آموخته. نکته مهم ، هر دو تلاش برای شناسایی محیط است که بر رفتار مردم تاثیر می گذارد در سازمانها "(Reichers و اشنایدر ، 1990 ، p.29). با این حال ، با توجه به Reichers و اشنایدر ، "فرهنگ در یک سطح انتزاع بالاتر از آب و هوا وجود دارد ، و آب و هوا نمودی از فرهنگ" (1990 ، p.29). با وجود این واقعیت است که شباهت های بسیاری بین آنها وجود دارد ، هر دو فرهنگ و آب و هوا ساختارهای پیچیده و چند سطحی است که کاملا به طور جداگانه در پژوهش و ادبیات (Pettigrew ، 1990).

با توجه به مورو (1983) دلایل که چرا دو سازه در ادبیات متفاوت ، علیرغم تشابه آنها ، انعکاسی از فشار برای حفظ مفاهیم جدا از یکدیگر در جهان علمی. زمینه های علمی مختلف در ارتباط با پژوهشگران فرهنگ و محققان آب و هوا ، از این رو مقاومت به جای تاکید بر شباهت از دو سازه (مورو ، 1983) وجود دارد.

Zohar (1980) شناسایی هشت بعد از آب و هوا ایمنی : اهمیت ایمنی و آموزش ، اثرات رفتار ایمن در ارتقاء اثر ایمنی در محل کار مورد نیاز ، اثرات رفتار امن بر روی مسائل اجتماعی ، نگرش مدیریت است نسبت به ایمنی ، سطح خطر در محیط کار ، وضعیت افسر ایمنی و وضعیت کمیته حفاظت ایمنی. تمامی هشت بعد بر اساس ادراک کارکنان از محیط کار خود را (Zohar ، 1980).

چان و همکارانش (2005) رابطه بین آب و هوا رفتارهای رعایت ایمنی و امنیت اطلاعات را در بر داشت. در این مطالعه ، امنیت اطلاعات به عنوان جنبه ای از آب و هوای ایمنی در نظر بود ، و افرادی که درک قوی آب و هوای ایمنی در محل کار خود را آگاهانه تر از امنیت اطلاعات بودند. این مطالعه همچنین نشان داد که ، در سازمان ها با آب و هوای امنیت اطلاعات قوی ، که در آن شیوه کار مطابق با سیاست های امنیت اطلاعات ، افراد ، در واقع ، کار انجام امن تر است. علاوه بر بررسی ارتباط درک از امنیت اطلاعات آب و هوا ، چان و همکاران. (2005) نیز بررسی تأثیر خود اثربخشی بر رفتارهای امنیتی. خود کارآیی ، اعتقاد یک فرد به توانایی خود برای موفقیت در هر وضعیت داده شده است ، و سابقه لازم رفتار سازگار است.

مدل ارائه شده توسط چان و همکارانش (2005) شامل Zohar است (1980) ابعاد ایمنی آب و هوا است. چان و همکاران. (2005) توضیح می دهند که سازگار با رفتار فرد است تعامل بین ادراک فرد از آب و هوا خود را که شامل متغیرهای مشترک مددکار اجتماعی ، شیوه سرپرست خود مستقیم ، و شیوه های مدیریت فوقانی. همراه با مشاهده فرد از آب و هوا ، خود بسندگی نیز دارای نفوذ بر رفتار حاصل (چان و همکاران ، 2005).

یافته های آنان نشان می دهد که رفتار سازگار را در امنیت اطلاعات است تحت تاثیر عوامل سازمانی و عوامل شخصی (چان و همکاران ، 2005). نتایج کلی نشان می دهد که رفتارهای سازگار را می توان از طریق ترویج خود بسندگی ، حصول اطمینان از درک مثبت از امنیت اطلاعات آب و هوا وجود دارد ، و تضمین که تمام سطوح سازمان (همکاران ، سرپرستان و مدیریت فوقانی) اعمال دستورالعمل های امنیتی به افزایش رفتارهای روزمره آنها (چان و همکاران ، 2005). اساسا یک رابطه مثبت بین آب و هوا ایمنی و رفتار کارمند بیش از احتمال بهبود سطح از اطلاعات در ثانیه

4. ارتباط امنیت اطلاعات

عوامل مختلف است که بر فهم و ادراک افراد از خطرات مرتبط با امنیت اطلاعات ، و تعدادی از عوامل موثر بر ارتباطات موثر امنیت اطلاعات وجود دارد. اونیل (2004) توصیف ارتباطات خطر را به عنوان :

"یک فرآیند تعاملی تبادل اطلاعات و نظر بین سهامداران با توجه به ماهیت و خطرات مربوط به یک خطر در فرد یا جامعه و پاسخ مناسب به حداقل رساندن خطرات" (اونیل ، 2004 ، p.14).

اساسا ، شیوه ای که در آن امنیت اطلاعات ابلاغ شده است به شدت می تواند آن را تفسیر نفوذ و اعم از آن است و سپس بر (های van der Pligt ، 1996) عمل کرده. ارتباطات بسیار بیشتر موثر باشد اگر درک کافی از شکاف در اعتقادات کنونی ، و یک پیام روشن و مختصر از آنچه که مخاطبان نیاز به دانستن وجود دارد (Fischhoff ، 2002). اغلب درک مناسب نیاز به اطلاعات کیفی (به عنوان مثال ، جایی که خطر سرچشمه و چگونه آن را ارزیابی) و اطلاعات کمی (به عنوان مثال ، فرکانس خطر) ، و در حالت ایده آل ، این به معنای کیفی به آمار کمی به من بدهید (Fischhoff ، 2002). این مهم است که توجه داشته باشید که ارتباطات موثر توسط حقایق واقعی در مورد خطرات خاص است نه تنها تحت تاثیر قرار است ، اما همچنین تحت تاثیر عوامل موثر بر ادراک خطر ، برجسته قبلا (Slovic 1986).

خطر را می توان از طریق تعدادی از رسانه های مختلف ، از جمله بحث های یک در یک ، جلسات گروه ، همایش ها و سمینارها آگاهی ، ایمیل ها و آگهی (پتینسون و اندرسون ابلاغ ، 2007). زبان مورد استفاده است نیز بسیار مهم است ، و شواهد حاکی از آن است که بعید است که یک روش خاص برای تمام رسانه های ارتباطی مناسب خواهد بود. در عوض ، آن است که اغلب لازم به خیاط اطلاعات بر اساس روش خاصی از ارتباطات است (پتینسون و اندرسون ، 2007). به عنوان مثال ، ارتباطات کمتر رسمی و ساختار می تواند در یک بحث مناسب است ، در حالیکه سمینار آگاهی ممکن است موثر تر اگر یک قالب بسیار ساخت یافته استفاده شده است.

اطلاعات نیز باید متناسب باشد ، آن را به عنوان مهم است تا اطمینان حاصل شود که پیام مربوط به مخاطبان در نظر گرفته شده (McIlwraith 2006) باقی می ماند. همچنین لازم است تا اطمینان حاصل شود که اطلاعات overcomplicated یا منفی نیست ، آن را به عنوان پیشنهاد شده است که واژگان مورد استفاده در داخل زمینه ی امنیت اطلاعات ، شامل بسیاری از واژه ها که به طور سنتی استفاده شده است به صحبت کردن به مردم "(McIlwraith ، 2006 ، p 0.70). به عنوان مثال ، معمولا استفاده می شود کلمات عبارتند از : اقتدار ، سازش ، نقض ، نارسایی و کنترل است.

علاوه بر این ، همانطور که قبلا ذکر شد ، مردم به شدت توسط اکتشافی دسترس را تحت تاثیر خود قرار داده ، و به احتمال زیاد بر اطلاعات است که به راحتی به یاد می آورد و یا به یاد عمل می کنند. بنابراین ، ارتباطات ، بیشتر احتمال دارد موثر باشد اگر آن را در شیوه ای است که باید با memorability آن (Slovic 1986) افزایش عبارت. به عنوان مثال ، این امکان وجود دارد که مردم ممکن است احتمال بیشتری برای پیروی از دستورالعمل های امنیت اطلاعات اگر با مطالعات موردی ارائه شده ، شرح حوادث زمانی که افراد باعث نقض ، و نه از قوانین امنیتی. این حوادث خاص ممکن است راحت تر به خاطر داشته باشید و از این رو ، احتمال بیشتری برای نفوذ در رفتار. از آنجا که مردم به احتمال زیاد به خاطر داشته باشید که آنها می توانند برای ارتباط برقرار کردن یا شناسایی با ، مطالعات موردی خاص که مستقیما به این سازمان در مورد ارتباط هستند بیشتر احتمال دارد تا موثر باشد (McIlwraith 2006) است.

با این حال ، از آنجا که بسیاری از کسب و کار ، امنیت اطلاعات را به عنوان هدف اصلی دیدن آن را ندارید ، ارتباطات موثر می تواند انجام وظیفه ای دشوار ، و آن است بنابراین لازم را برای اطمینان حاصل شود که تمام جنبه های امنیتی به طور مستقیم مربوط به استراتژی و اهداف سازمان در مورد ( ISO ، 2005). همچنین ، کسب و کار به طور کلی بیشتر به احتمال زیاد بر خطر بالقوه عمل می کنند اگر آن را نشان داده است که هزینه از تکنیک های کاهش پایین تر از هزینه های بالقوه ناشی از خطر (دیلون و کله ، کورنل ، 2005). علاوه بر این ، از آنجا که فرهنگ سازمانی می تواند تاثیر بسیار قوی بر روی امنیت یک سازمان ، زمانی که تلاش برای برقراری ارتباط اهداف امنیت اطلاعات داشته باشد ، آن را بسیار حیاتی است به فریم پیام به طوری که آن هم مطابق با ، و مربوط به فرهنگ فعلی (ISO ، 2005).

اهمیت مناسب فریم و یا هدف قرار دادن پیام های امنیت اطلاعات نیز توسط پتینسون و اندرسون (2005) تاکید کرد. پیام ها را می توان و یا در راه های مختلف به جای تاکید مختلف در جنبه های خاصی از ارتباط قاب دقت کنید. به عنوان مثال ، برخی از مردم ممکن است بیشتر تحت تاثیر یک پیام است که بر تصویر سازمانی و شهرت ، و هزینه های اجتماعی در ارتباط با نقض امنیتی ، در حالی که دیگر افراد ممکن است تحت تاثیر بیشتر تصویر به نفس خود را و چگونه اطلاعات آنها را شخصا تحت تاثیر قرار (پتینسون و اندرسون ، 2005).

علاوه بر این ، کاربران رایانه ای را از کارشناسان فناوری اطلاعات ، که به احتمال زیاد علاقه مند به جنبه های فنی از هر گونه خطرات بالقوه ، به تازه کار ، که احتمال بیشتری می خواهید اطلاعات در مورد دقیقا چگونه و چرا هر تغییر بالقوه ممکن است نقش شغل خود را تحت تاثیر قرار می برد. از این رو ، آن را می تواند مفید باشد برای اطلاعات توضیح همین دلیل برخی از روش های مورد نیاز نسبت به گروههای خاص را هدف قرار می شود.

مدارک و شواهد نیز نشان می دهد که جنبه های شخصیت افراد یا سبک شناختی به احتمال زیاد برای نفوذ در شیوه ای که در آن آنها به اطلاعات در مورد خطر است. این تنوع در توجه به خطر گرفتن رفتار بدان معنی است که آن را به کلمه یک پیام بسیار مشکل است به طوری که آن ها برای تمام کاربران درخواست های. از این رو ، اثر ارتباطات ریسک افزایش می یابد در صورتی که پیام شناختی نسبت به سبک های مختلف قاب ، با پیام های مختلف به سبک های مختلف (پتینسون و اندرسون ، 2005).

با توجه به اونیل (2004) ، مردم را می توان به چهار نوع مبتنی بر شیوه ای که در آن رفتار خود را با خطر تحت تاثیر قرار تقسیم ، برخی از مردم به دنبال خطر ، دیگران هر دو به خطر تحمل ، برخی از ریسک گریز هستند ، و برخی از انکار خطر است. از آنجا که اطلاعات در مورد تهدیدات امنیتی بالقوه است به احتمال زیاد برای نفوذ در این گروه ها به روش های بسیار متفاوتی است ، اونیل (2004) استدلال می کند که پیام طور خاص طراحی شده برای این گروه های مختلف لازم است. به عنوان مثال ، مردم که انکار یا اجتناب از خطر ممکن است بیشتر تحت تاثیر اطلاعات بر اساس بدترین نتایج ممکن است و ممکن است بیشتر احتمال دارد توسط اطلاعات مثبت (شیر و Meertens اطمینان می شود ، 2005). در مقابل ، اطلاعات بر اساس بدترین نتایج ممکن است تاثیر کمتری بر افرادی که در ریسک پذیری رشد ، و به جای آن ، مردم می تواند چنین باشد بیشتر علاقه مند به اطلاعات مربوط به پاداش های بالقوه و فرصت های مرتبط با رفتار خود را (شیر و Meertens ، 2005).

پتینسون و اندرسون (2005) نشان می دهد که ابعاد وابستگی میدانی و استقلال میدان می تواند مورد استفاده قرار گیرد به فریم سناریوهای تهدید مربوط به امنیت کامپیوتر ، با این فرض که افراد باید بیشتر اطلاعات تراز وسط قرار دارد با سبک شناختی آنها را تحت تاثیر خود قرار داده است. وابستگی زمینه در مقابل استقلال فیلد مربوط به حدی که افراد تمایل به درک عناصر جهانی و چهارچوبی از وضعیت می شود. به طور کلی ، افراد با میدان بیشتر سبک شناختی وابسته به بیشتر مردم گرا ، و محل تمرکز بیشتر بر روی مفاهیم کلی هر شرایطی است. از این رو ، اطلاعات با هدف نسبت به انواع وابسته به میدان را باید قاب تأکید بر پیامدهای اجتماعی و جهانی ، تاثیری بر مردم ، و آنچه افراد می توانند انجام دهند برای جلوگیری از خطر (پتینسون و اندرسون ، 2005). در مقابل ، افراد با سبک در عرصه مستقل تر هستند ، کمتر احتمال دارد به زمینه و یا پیامد های اجتماعی از هر تصمیم (پتینسون و اندرسون ، 2005) تحت تاثیر قرار می شود. در عوض ، اطلاعات بیشتر احتمال دارد که موثر باشد آن است که اگر قاب تأکید بر راه حل های عملی تر و عمل گرا به جای مفاهیم برای مردم (پتینسون و اندرسون ، 2005).

هم وجود دارد برخی از عواملی که می تواند در اثر ارتباطات را کاهش دهد. اگر چه قرار گرفتن در معرض مکرر به یک پیام می تواند memorability خود را را افزایش دهد و در نتیجه افزایش احتمال که افراد مناسب را به خطر پاسخ است که خلاف این نیز ممکن است. بیش از قرار گرفتن در معرض می تواند منجر به رفتار خودکار شود که در آن مردم نادیده گرفتن پیام و به نظر می رسد بی تفاوت (پتینسون و اندرسون ، 2007). مدارک و شواهد نیز نشان می دهد که مردم ترجیح می دهند برای دریافت اطلاعات واقعی در مورد دقیقا همان چیزی است و نه نسبت به اظهارات احتمال (Slovic 1986) اتفاق خواهد افتاد. در نهایت ، ارتباطات موثر باید یک فرآیند دو طرفه است ، که در آن هر طرف از جهات و ارزش بینش ارائه شده توسط دیگر (Slovic 1986). بدون این cooperat

5. اجتماعی مهندسی

مهندسی اجتماعی یک اصطلاح مورد استفاده برای توصیف چگونه یک فرد متقاعد یکی دیگر از اطلاعاتی که آنها می خواهند را به آنها بدهد. در زمینه امنیت اطلاعات ، مهندسی اجتماعی بسیار موثر عنوان آن می تواند استفاده از استراتژی است که دور زدن تکنولوژی کامپیوتر (Schneier ، 2000). بنابراین ، سازمان به کار پروتکل های امن و روش ، رمزنگاری استفاده ، و سخت افزار و نرم افزار امن هستند به همان اندازه مستعد ابتلا به حملات مهندسی اجتماعی به عنوان آن دسته از سازمان فنی و کامپیوتر امنیت وجود ندارد (Schneier ، 2000) است. مهندسی اجتماعی است که عمدتا با پیدا کردن و بهره برداری از آسیب پذیری های نگران ، و در بسیاری از سازمان ها ، آسیب پذیر ترین عنصر است کارکنان ، عامل انسانی (Schneier ، 2000).

Schneier (2000) توضیح می دهد که در پنج مرحله برای اطمینان از موفقیت آمیز حمله مهندسی اجتماعی وجود دارد. اول ، فرد یا هدف انتخاب شده و تمام اطلاعات مربوطه در مورد آن هدف جمع آوری می شود. چنین اطلاعاتی می تواند تبلیغات شغل ، اسناد مناقصه ، گزارش های منتشر شده ، روزنامه ها ، مجلات ، شرکت و هر گونه اطلاعات دیگر در دسترس عموم ، شامل هدف از جمع آوری به اندازه کافی برای تشدید مشروعیت درک شده از حمله (ایلو ، 2008). دوم ، اطلاعات جمع آوری شده است و سپس تجزیه و تحلیل و آسیب پذیری ، که می تواند مورد استفاده قرار گیرد برای رسیدن به هدف ، مصمم است. سوم ، دسترسی به فرد برقرار شده است. پس از تمام این کار مقدماتی تکمیل شده است ، پس از آن حمله می تواند انجام شود. در نهایت ، این حمله می تواند به پایان خواهد رسید و تمام مدارک مربوط به حمله نابود شده و یا حذف (Schneier ، 2000).

Schneier (2000) نیز در مورد اقدامات متقابل است که می تواند به کار به منظور کاهش خطر و آسیب پذیری است. حفاظت ، تشخیص ، و واکنش : اقدامات متقابل از سه بخش است که کار در پشت سر هم تشکیل شده است. از آنجا که حفاظت را می توان هرگز تضمین شده ، تاکید بیشتر باید در تشخیص و واکنش قرار می گیرد. این باید شانس است که سازمان می دانید که نقض امنیتی صورت گرفته است و اقدامات پس از آن می تواند گرفته شده برای رسیدگی به این تهدید (Schneier ، 2000) را افزایش می دهد.

Mitnick و سیمون (2005) بر این باورند که حملات مهندسی اجتماعی بسیار سختی آشکار می شوند و این باعث می شود آنها را تقریبا غیر ممکن برای دفاع در برابر. Mitnick و سیمون (2005) طبقه بندی حملات مهندسی اجتماعی را به سه دسته اصلی : مستقیم درخواست ها ، موقعیت های ساختگی و ترغیب شخصی است.

درخواست مستقیم ساده ترین روش ، به عنوان حمله به وضوح و سادگی برای اطلاعات آنها نیاز بپرسید. جای تعجب ندارد ، این رویکرد حداقل موفق است ، به دلیل آن را نشانی از تمایل به بالا بردن سوء ظن است. با این حال ، حملات ساختگی ، به طور کلی موفق تر هستند. حمله اضافه کردن اطلاعات به داستان آنها را صدا بیشتر قانع کننده. به عنوان مثال ، مهاجمان ممکن است بگویند که آنها از رمز عبور خود را فراموش کرده اید و نیاز به دسترسی به سیستم. اقناع شخصی نیاز به ترین مهارت است. هنگامی که با استفاده از ترغیب شخصی هکر با هدف دستکاری فرد به اعتقاد داشتند که آنها ارائه اطلاعات به طور داوطلبانه و با استفاده از این رویکرد ، فرد هیچ خطر (Mitnick و سیمون ، 2005) را درک نمی.

نمونه ای از مهندسی اجتماعی توسط Schneier (2000) ارائه شد. در فرانسه ، 1994 ، آنتونی Zboralski FBI در واشنگتن تماس او با استفاده از یک موقعیت ساختگی و ادعا می کرد که یک نماینده اف بی آی که در حال حاضر مشغول به کار بود در سفارت آمریکا در فرانسه. هدف او بود

کشف چگونگی استفاده از تلفن ، سیستم کنفرانس. این اطلاعات توسط کارکنان FBI به او داده می شود و در نتیجه از این نقض امنیتی FBI قبض تلفن از یک چهارم از یک میلیون دلار (Schneier ، 2000) بود. او هر گونه دانش فنی یا استراتژی برای استفاده از این اطلاعات برای به دست آوردن. او مجبور به انجام آن ها برای ساخت یک داستان قانع کننده و از آنها بخواهید برای اطلاعات.

مثال دیگر توسط بازرس کل وزارت خزانه داری ایالات متحده برای ادارات مالیاتی ارائه شده است ، در سال 2007 ممیزی خود را که سرویس درآمد داخلی (IRS) (اندرسون ، 2008). در این ممیزی ، کارکنان IRS 102 از سطوح مختلف اشتغال از طریق تلفن تماس گرفته شد. این کارکنان به ارائه شناسه کاربری خود را خواسته بودند ، و نیز دستور برای تغییر رمزهای عبور خود را به ارزش ارائه شده است. از کارکنان 102 تماس ، 62 به عنوان آنها دستور. از آنجا که IRS کارکنان به اطلاعات بسیار حساس مالی دسترسی دارند ، این افشاء نقض امنیتی بالقوه عظیمی را نشان داد ، و در صورتی که این یک حمله مهندسی اجتماعی واقعی بود ، پیامدهای بالقوه ویرانگر بودند. این تا حدودی تعجب آور بود که بسیاری از کارکنان که به راحتی دستکاری به خصوص با توجه به اینکه ممیزی های مشابه در هر دو سال 2001 و 2004 (اندرسون ، 2008) انجام شد.

یکی دیگر از صورت مشترک از مهندسی اجتماعی است که به عنوان فیشینگ می گویند. فیشینگ عنوان تعریف می شود :

"یک شکل از مهندسی اجتماعی که در آن مهاجم ، همچنین به عنوان phisher شناخته می شود ، تلاش متقلبانه بازیابی محرمانه یا حساس کاربران مشروع اعتبار با تقلید از ارتباطات الکترونیکی از یک سازمان قابل اعتماد و یا عمومی" (مایرز ، 2007 ، P1).

فیشینگ است که معمولا از طریق ایمیل انجام می شود و phishers بیشتر علاقه مند در به دست آوردن کلمه عبور و کارت اعتباری و شماره حساب.

داده ها حاکی از آن است که حدود پنج درصد از افراد تبدیل به قربانیان حملات فیشینگ ، و به عنوان یک نتیجه ، ارائه اطلاعات حساس به وب سایت های جعلی (Dhamija ، Tygar و هرست ، 2006). با این حال ، این امکان وجود دارد که برخی از مردم ممکن است اشتباه خود را اعتراف نمی کند ، و دیگران ممکن است متوجه نشوند که آنها را بی ارزش افشا اطلاعات حساس ، دشوار است برای به دست آوردن یک تقریب معتبر تعدادی از مردم که قربانی حملات فیشینگ (Egelman ، Cranor و هنگ ، 2008). کار گروه های ضد فیشینگ را حفظ آرشیوی از حملات فیشینگ ، و در ژانویه 2008 به تنهایی ، 29284 گزارش فیشینگ منحصر به فرد ، ارائه شد نشان می دهد که فیشینگ است یک مشکل شایع و جدی (ضد فیشینگ گروه کاری ، 2008).

5.1 چه افراد مستعد می سازد؟

تعدادی از عوامل است که تمایل به افزایش حساسیت فرد به حملات مهندسی اجتماعی وجود دارد. به طور کلی ، تلاش مهندسی اجتماعی هستند بیشتر احتمال دارد به نظر می رسد مشروع در صورتی که مهاجم می تواند یک رابطه اعتماد با قربانی ، فرم و ساخت آنها را آسیب پذیر تر به دستورالعمل (ایلو ، 2008). هم وجود دارد تعدادی از عوامل فردی یا صفات شخصیتی است که می تواند احتمال قربانی سقوط فردی به حملات مهندسی اجتماعی را افزایش دهد. علاوه بر این ، تعدادی از استراتژی های مورد استفاده در فیشینگ ایمیل ها و وب سایت های نامشروع است که می تواند کارآیی خود را افزایش می دهد وجود دارد. در این بخش برجسته این عوامل مختلف است که می تواند حساسیت فرد به حمله به افزایش است.

5.1.1 انگیزاننده روانی و عوامل فردی که استعداد ابتلا به افزایش

همانطور که قبلا ذکر شد ، مهندسان اجتماعی اغلب یک موقعیت ساختگی یا اقناع شخصی برای افزایش شانس است که درخواست خود را موفق خواهد بود استفاده کنید. موفقیت از چنین حملاتی نیز می تواند با ایجاد موقعیتی که در آن برخی از واکنش های روانی در درون قربانی باعث افزایش یافته است. علاوه بر این ، این امکان وجود دارد که برخی افراد بیشتر احتمال دارد به این نمایشگاه اغلب پاسخ های روانی ، و بنابراین ، مردم حساسیت به احتمال زیاد در ارتباط با هر دو مهندس اجتماعی "توانایی ماشه پاسخ ، و همچنین با جنبه از شخصیت افراد است. این عوامل به طور مفصل در زیر شرح داده شده شده است.

با توجه به کارگر (2008) ، حساسیت تا حد زیادی با likeability و اعتماد افراد همراه است ، و افرادی که اعتماد بیشتری هستند هستند ، بیشتر احتمال دارد برای تسلیم به حملات مهندسی اجتماعی است. Mitnick و سیمون (2002) توضیح آن است که طبیعت انسانی را به اعتماد مردم ، به خصوص هنگامی که درخواست خود را به نظر می رسد معقول است ، و زمانی که آنها هیچ دلیلی برای مشکوک می شود ندارد. به طور کلی ، مردم میل به مفید باشند ، و آنها اغلب از ابراز وجود مناسب است. از این رو ، مهندسان اجتماعی می تواند این دانش را به بهره برداری مردم استفاده کنید ، و آنها اغلب با تلاش خواهد کرد رابطه دوستانه به ساخت ، دانستن این است که قربانیان به احتمال زیاد مطابق با هر گونه درخواست در صورتی که دوست یا اعتماد مهاجم (Gragg 2002).

مردم نیز بعید است از درخواست که به نظر می رسد بی ضرر باشد مشکوک است. اگر یک مهندس اجتماعی می پرسد برای یک قطعه کوچکی از اطلاعات به ظاهر بی ضرر است ، مردم به طور کلی می خواهم برای شما مفید باشند ، و بنابراین به احتمال زیاد به پیروی است. از این رو ، مهندسان اجتماعی اغلب مدیریت برای به دست آوردن تکه های کوچکی از اطلاعات را از منابع گوناگون و مختلف قربانیان این حمله ممکن است متوجه نشوند که آنها اجتماعی مهندسی شده اند ، و در معرض اطلاعات مفید است. به عنوان مثال ، آشکار نسخه از قطعه خاصی از نرم افزار یا نام ناظر نمی ممکن است به نظر می رسد مانند اطلاعات مهم است ، اما قطعه ای از اطلاعات مانند آنچه که پس از آن می تواند مورد استفاده قرار گیرد به کمک مهاجم خود را به دیگری کارمند اجتماعی مهندس.

یکی دیگر از روش موثر شامل افزایش تحت تاثیر قرار دهد و یا افزایش حالت احساسی در قربانی ، که پس از آن را قادر می سازد مهاجم را درخواست که ممکن است تحت شرایط عادی رد (Gragg 2002). هنگامی که احساسات مانند تعجب ، هیجان ، خشم ، وحشت و یا ترس به اوج می رسد ، قربانی بیشتر احتمال دارد که به راحتی منحرف شوند ، و کمتر احتمال دارد که منطقی ارزیابی و پرسش از داستان مهاجم (Gragg 2002) است. به عنوان مثال ، مهاجم می تواند یک موقعیت ساختگی است که در آن کار قربانی برای سوء استفاده از منابع شرکت تهدید ایجاد کنید. مهاجم پس از آن می تواند به رفع مشکل ارائه دهد ، و می تواند رمز عبور قربانی را به منظور تکمیل این کار (ایلو ، 2008) درخواست. در چنین وضعیتی ، قربانی می تواند با خطر و یا کار خود غرق ، و بنابراین ممکن است مایل به مطابق با درخواست به منظور از بین بردن این مشکل است.

به طور مشابه ، احساس گناه یا خشم اخلاقی نیز می تواند به طور موثر توانایی فرد به اعتبار منطقی هر گونه درخواست را کاهش دهد. بنابراین مهندسین اجتماعی ممکن است از موقعیت طراحی شده برای ایجاد همدلی ، تولید و قربانی ممکن است مطابق با درخواست به منظور کمک به کاهش دهد مشکل خواهش (ایلو ، 2008). چنین تکنیکهایی به خصوص موفق هستند در صورتی که مهندس اجتماعی قادر به ایجاد ارتباط با هدف ، و ایجاد وضعیتی که در آن قربانی قادر است تا با مشکل مهاجم را شناسایی است. به منظور کمک در این ، مهندسان اجتماعی ، اغلب اوقات جمع آوری اطلاعات قبل از هر گونه تماس ، که درخواست رسیدگی به جنبه های خاصی از شخصیت یا شخصیت مورد نظر می تواند مورد استفاده قرار گیرد ، یا می تواند مورد استفاده قرار گیرد را به هدف بر این باورند که آنها

بسیار به طور یکسان (Gragg 2002). درخواست ها مانند این ها نیز احتمالا موفق خواهد بود در صورتی که قربانی منجر به این باور است که عمل یا انفعال آنها خواهد پیامدهای مهم (Gragg داشته باشد ،2002). به عنوان مثال ، مهاجم ممکن است ادعا کنند که این شرکت می تواند از دست دادن فاجعه بار خواهد بود که کاهش در صورتی که قربانی قادر به کمک داشته باشند.

این ایده است که توسط کارگر (2008) به عنوان تعهد عاطفی نامیده می شود. اساسا ، هنگامی که مردم احساس دلبستگی یا پیوند عاطفی به یک مهندس اجتماعی ، آنها به احتمال زیاد احساس متعهد به فاش شدن اطلاعات حساس (کارگر ، 2008). به طور کلی ، سطح مردم تعهد را تحت تاثیر قرار می حساسیت آنها و افرادی که سطوح بالاتری از تعهد هستند ، بیشتر احتمال دارد برای تبدیل شدن به قربانیان حملات مهندسی اجتماعی است. این نیز توسط Cialdini (2006) ، که استدلال می کند که مردم یک بار یک تصمیم پشتیبانی ، سپس آنها را فشار باقی می ماند سازگار با آن انتخاب ، احساس و این فشار است که اغلب به اندازه کافی قوی برای افرادی که به در راه است که بر خلاف خود عمل می کنند منافع.

مربوط به این ، کارگر (2007) نیز توصیف تعهد هنجاری ، که با این ایده از عمل متقابل همراه است. شواهد حاکی از آن است که مردم به مقابله به مثل کرده اند ، کمک و یا دریافت کرده اند سود (Cialdini 2006) ، و مردم که بیشتر به هنجار نسبت به فرد به طور متوسط متعهد به احتمال زیاد احساس موظف هستند ، و از این رو ، به احتمال زیاد تسلیم به مهندسی اجتماعی است. مهندسان اجتماعی می تواند این را به نفع خود را با ظاهر شدن در به گونه ای سخاوتمندانه عمل می کنند ، منجر به وضعیتی که در آن قربانی است ، احتمال بیشتری برای ارائه کمک های متقابل به مهاجم استفاده کنید. نمونه ای از این شکل روانی تحریک است به عنوان مهندسی معکوس اجتماعی شناخته می شود ، و آن شامل یک موقعیت که در آن مهاجم ایجاد یک مشکل ، و پس از آن ارائه می دهد برای کمک به قربانی (ایلو ، 2008) است. از آنجایی که قربانی در این مثال بی اطلاع است که مهاجم ، یکی از به علت مشکل است ، او به احتمال زیاد برای قدردانی و یا قدردانی از طریق کمک به مهاجم با هر درخواست پس از آن نشان می دهد. مهندسان های اجتماعی نیز می تواند عمل متقابل با درخواست بیشتری از آنها در واقع می خواهید و سپس کاهش درخواست های خود استفاده کنید. مدارک و شواهد نشان می دهد که اگر یک عملکرد فرد در یک نقطه ، فرد دیگری است به احتمال زیاد نیز در برخی از بخشی از درخواست (Cialdini ، سبز و Rusch ، 1992) عملکرد.

درخواست ها نیز بیشتر احتمال دارد به دنبال داشته باشد در صورتی که هدف با اطلاعات غیرمنتظره است. از این رو ، هنگامی که استدلال های ناقص به گوش می رسد به سرعت و همراه با حقایق قانع کننده نوشته شده است ، مردم بیشتر به احتمال زیاد غیرمنتظره باشد ، و بنابراین احتمال کمتری دارد که به سوال دقت از حقایق (Gragg 2002). به طور مشابه ، مردم نیز کمتر احتمال دارد به سوال درخواست غیر منطقی زمانی که آنها با فشار زمان مواجه هستند. بنابراین مهندسین اجتماعی اغلب در زمان های غیر منتظره و یا ناراحت تماس بگیرید (از جمله در پایان روز) و اغلب نشان می دهد که یک آیتم خاص یا پیشنهاد کمیاب یا فقط برای یک دوره کوتاه از زمان (Cialdini 2006) در دسترس است. مدارک و شواهد نشان می دهد که مردم تمایل به میل به چیزی بیش از این محدودیت های قرار داده شده بر روی توانایی خود را به دست آوردن آن (Cialdini 2006) وجود دارد.

مدارک و شواهد نیز نشان می دهد که مهندسی اجتماعی موثر تر است وقتی که یک تعصب شناخته شده به عنوان انتشار مسئولیت استفاده (Gragg ، 2002 ؛ ایلو ، 2008). اساسا ، با افراد دارند احتمال بیشتری برای تصمیم گیری یا ارائه اطلاعات در صورتی که صرفا مسئول هرگونه عواقب احساس نمی. از این رو ، مهندس اجتماعی اغلب موقعیت طراحی شده برای رقیق احساس مسئولیت شخصی فرد ، ایجاد و سپس قربانی ممکن است تمایل بیشتری برای کمک به مهاجم (Gragg 2002). و این ممکن است شامل این ادعا که همکاران فرد در حال حاضر ارائه اطلاعات مشابه ، به عنوان فرد و سپس ممکن است بخواهید به مطابقت.

علاوه بر این ، مردم به طور کلی بیشتر احتمال دارد به تبعیت در صورتی که احساس می کنند که آنها را تنها پس از سفارشات ، و در نتیجه ، مهندسان اجتماعی ممکن است ادعا می کنند که تصمیم گیری شده است توسط یک سرپرست یا مدیر مجاز است.

نفوذ قدرت بر افراد توانایی تصمیم گیری شده است به طور گسترده ای مورد مطالعه و تحقیق نتیجه گیری کرده است که مردم به مراتب بیشتر احتمال دارد به اطاعت از درخواست در زمانی که توسط کسی که در موضع قدرت (Gragg 2002) داده می شود. برای مثال ، یک مطالعه بررسی اینکه آیا پرستاران دستورات پزشک را هنگامی که آنها به وضوح در تخلف از سیاست های بیمارستان (Hofling ، Brotzman Dalrymple ، گریوز و پیرس ، 1966) سوال. پرستاران تماس تلفنی از یک پزشک ناشناخته ، پرستار برای این مورد درخواست به اداره دو برابر حداکثر دوز از مواد مخدر است که برای استفاده در بخش مجاز نبود. با وجود این عوامل (و این حقیقت که سیاست بیمارستان پرستاران از تجویز داروهای بدون نظم نوشته شده است منع شده) ، 95 ٪ از پرستاران به دست آمده دوز ، و آن اداره در صورتی که توسط یک ناظر نمی شد متوقف (Hofling و همکاران. ، 1966) . این مثال نشان می دهد که مردم اغلب موفق به سوال شکل اقتدار ، حتی زمانی که دستورات به وضوح نقض سیاست است. از این رو ، مهندسان اجتماعی می تواند شانس خود را برای رسیدن به موفقیت از طریق تظاهر به کسی که در موضع قدرت را افزایش می دهد ، و کارگر (2007) نشان می دهد که مردم دارند احتمال بیشتری برای تبدیل شدن از قربانیان ، زمانی که آنها مطیع تر و کمتر مقاوم در برابر فشار یا تهدید.

5.1.2 استراتژی های مورد استفاده در حملات فیشینگ و سایت های نامشروع به افزایش استعداد

تعداد کمی از مطالعات نیز اقدام به بررسی که استراتژی های مهندسی اجتماعی کار ، و به همین دلیل (Dhamija و همکاران ، 2006 ؛ وو ، میلر و Garfinkel ، 2006 ، فریدمن ، هرلی ، هوو ، Felten و Nissenbaum ، 2002).

یک مطالعه توسط Dhamija و همکارانش (2006) شرکت کنندگان با بیست وب سایت ارائه شده ، و از آنها خواست به منظور نشان دادن سایت های جعلی. این که 23 ٪ از شرکت کنندگان نشانه جستجوگر مشترک و بر اساس مانند نوار آدرس ، نوار وضعیت و شاخص های امنیتی استفاده نمی شد. در نتیجه نادرست انتخاب در رابطه با صحت یک وب سایت در نرخ حدود 40 درصد ساخته شد.

Dhamija و همکاران. (2006) برجسته تعدادی از ویژگی های است که به طور کلی ، افزایش استعداد ابتلا فرد به حملات فیشینگ. آنها نتیجه گرفتند که فریب بصری یک استراتژی بسیار موفق بود. Phishers اغلب از حقه های بصری کاربر را متقاعد کند که از متن ، عکس و ویندوز است که آنها به دنبال در می مشروع استفاده کنید. این مطالعه نشان می دهد که حتی در یک وضعیت که در آن کاربران انتظار دارند با وب سایت های نامشروع ارائه شده آن ها هنوز هم در تشخیص یک وب سایت های مشروع را از یک وب سایت جعلی مشکل. در واقع ، یکی از وب سایت های فیشینگ مورد استفاده در مطالعه قادر به فریب بیش از 90 ٪ از شرکت کنندگان بود. Dhamija و همکاران. (2006) بر این باورند که این نتایج نشان دهنده فقدان دانش از اینکه چگونه سیستم های کامپیوتر محل کار ، و برجسته کردن فقدان درک درستی از سیستم های امنیتی و شاخص های امنیتی است.

در یک مطالعه انجام شده توسط Jackobsson ، Tsow ، شاه ، Blevis و لیم (2007) ، شرکت کنندگان همچنین لازم بود برای ارزیابی وب سایت ها و ایمیل های انتخاب شده ، و آنها را برای نشانه های فیشینگ تماشا دستور شدند. هدف از مطالعه برای کشف نشانه نفر بودند با استفاده از تعیین اینکه آیا یک وب سایت معتبر و یا کلاهبرداری بود. آنها نتیجه گرفتند که افراد توجه نزدیک به URL ها در وب سایت ، آنها توسط طرح بندی صفحه وب را تحت تاثیر خود قرار داده بودند و مشروعیت اغلب

قضاوت توسط محتوی. همچنین یافته شد که به رسمیت شناخته تایید شخص ثالث تقویت اعتماد به نفس ، و برعکس ، بیش از حد تاکید بر امنیت بسیار کاهش اعتماد به نفس و خود سبب افزایش بدگمانی. به همین ترتیب ، آیکن قفل بر روی وب سایت ها همیشه نمی افزایش اعتماد. تغییرات سلیقه ای ، با این حال ، آیا تمایل به استنباط اعتماد اعتماد نیز تقویت شد و زمانی که فرصت موجود به اعتبار سایت ، مانند شماره تماس برای تایید صحت وجود دارد. به طور کلی ، شرکت کنندگان با احتمال بیشتری مشکوک ایمیل بیش از صفحات وب و قطعا بیشتر از تماس های تلفنی (Jackobsson و همکاران ، 2007).

مطالعه انجام شده توسط Egelman و همکاران (2008) بررسی اثر هشدارهای فیشینگ مورد استفاده در مرورگرهای وب. هشدارهای ارائه شده توسط مرورگرهای وب یا فعال و یا منفعل شد ، هشدارهای فعال وقفه وظیفه اصلی یک کاربر ، در حالی که هشدارهای منفعل کار کاربر را قطع نکند ، و در نتیجه به عنوان توجه زیادی تقاضا نیست. شصت نفر در مطالعه شرکت نمودند و آن است که زمانی که هیچ هشدارهای ارائه شده بودند ، 97 ٪ از شرکت کنندگان برای حداقل یک ایمیل فیشینگ است که آنها را به یک وب سایت جعلی کارگردانی کاهش یافت. هنگامی که هشدارهای مرورگر وب تحریک ، Egelman و همکاران. (2008) دریافتند که هشدارهای فعال موفق تر است که هشدارهای منفعل بودند. هشدار فعال منجر به یک میزان موفقیت ٪ 79 ، به موجب آن کاربر هیچ اطلاعات شخصی را افشا نکرد ، این است که در تضاد با میزان موفقیت بسیار پایین تر از 13 ٪ زمانی که هشدارهای منفعل مورد استفاده قرار گرفت. با توجه به این یافته ها ، Egelman و همکارانش (2008) توصیه می شود که مرورگرهای وب باید هشدارهای فعال است که وظیفه اصلی را قطع می کند و جلب توجه کاربر را استخدام کند. آنها همچنین پیشنهاد کرد که این پیام ها فعال ، نیاز به توصیه روشن به کاربر در مورد چه اقداماتی را باید.

این مطالعات نشان می دهد که شاخص های امنیتی فعلی اثبات موثر باشد و به همین دلیل است که نیاز به توسعه استراتژی های جدید برای مقابله با مهندسی اجتماعی هر چه پیچیده تر و حملات فیشینگ وجود دارد.

5.2 مطالعات قبل از مهندسی اجتماعی

تعداد کمی از مطالعات ، اقدام به تجزیه و تحلیل تجربی چگونه مردم پاسخ به حملات مهندسی اجتماعی است. Jagatic ، جانسون ، Jakobsson و Menczer (2007) به عنوان مثال ، انجام یک مطالعه بر روی پدیده مهندسی اجتماعی فیشینگ است. ، در مطالعه خود ، Jagatic و همکارانش (2007) در راه اندازی حملات فیشینگ واقعی بر روی 921 دانش آموزان دانشگاه ایندیانا ، با هدف از مطالعه که آیا مردم خواهد بود به احتمال زیاد برای پاسخ دادن به ایمیل های سبک فیشینگ زمانی که آنها توسط دوستان به جای یک فرد ناشناس فرستاده می شود. این حوزه از مطالعه بسیار مهم است ، به عنوان حملات فیشینگ به طور فزاینده ای با استفاده از عناصر متنی ، و ، بر اساس عوامل روانی که تمایل به مردم را بیشتر در معرض حملات هدفمند به طور بالقوه بسیار خطرناک تر (Jagatic و همکاران ، 2007).

با استفاده از اطلاعات به دست آمده در سایت های قابل دسترس برای عموم مردم ، آنها کشف شبکه های اجتماعی ، و پس از آن ایمیل های فرستاده شده به دانش آموزان ، تظاهر به دوست. گروه شاهد ایمیل از یک آدرس ایمیل ساختگی دانشگاه دریافت کرد. لینک در پست الکترونیک به شرکت کنندگان در زمان را به یک صفحه وب ، جایی که آنها خواسته شد به دانشگاه ID و رمز عبور خود را وارد کنید. انتخاب شرکت کننده در میزان و کیفیت اطلاعات قابل دسترس برای عموم مردم قابل دسترسی بر روی وب سایت های شبکه های اجتماعی وابسته بود. این مطالعه تا حدودی بحث برانگیز بود به عنوان شرکت کنندگان می توانند از جزئیات این مطالعه (و رضایت آنان را فراهم) نمی شود آگاه قبل به شروع ، به عنوان این که تحت تاثیر پاسخ (Jagatic و همکاران ، 2007).

اقدامات فیشینگ در گروه شاهد ، که در آن هیچ زمینه اجتماعی مورد استفاده قرار گرفت انجام شده ، میزان موفقیت 16 ٪ ، در مقایسه با میزان موفقیت 72 ٪ در هنگام استفاده از اطلاعات جمع آوری شده از شبکه های اجتماعی (Jagatic و همکاران ، 2007). که با استفاده از یک بستر اجتماعی در شرکت کنندگان نادیده گرفتن نشانه مهم ، ساخت آنها را بیشتر آسیب پذیر برای حمله منعقد شد. تفاوت های جنسیتی نیز مشاهده با زن بودن به راحتی هدف قرار ، و همچنین همبستگی با بالا رفتن سن وجود دارد ، با جوان شرکت کنندگان که بیشتر در معرض. جالب توجه است ، به ویژه برای مردان ، حمله موثرتر بود که به نظر می رسید به عنوان اینکه ایمیل توسط فردی از جنس مخالف فرستاده شد ، با نرخ پاسخ برای مردان با افزایش از 53 ٪ ، هنگامی که پیام از یک مرد بود ، به 68 ٪ آن را توسط یک زن فرستاده شد. این تحقیق مهم است آن را به عنوان اولین مطالعه به گزارش رقم پایه برای حملات فیشینگ ، هر دو حملات سنتی و کسانی که در درون یک بافت اجتماعی (Jagatic و همکاران ، 2007) به اتمام بود.

یکی دیگر از مطالعه رفتار کارکنان در دانشگاه آفریقای جنوبی (Steyn ، Kruger به و Drevin ، 2007) بررسی کردند. یکی از چهار نوع ایمیل به 1600 شرکت کنندگان فرستاده شد. دو نامه بود که هر دو سوال برانگیز و طراحی شده باشد مشکوک است. اولین ایمیل حاوی یک لینک HTML ، شرکت کنندگان که این لینک اطلاعات مفید در مورد امور مالی شخصی را فراهم مطلع شدند. از 400 نفر به صورت تصادفی انتخاب کارکنان که این ایمیل را دریافت کرده ، 295 باز ایمیل ، و از اعضای هیات آن ، 147 نفر (49.8 ٪) کلیک بر روی لینک. دومین ایمیل های مشکوک به درخواست شرکت کنندگان برای باز کردن یک پیوست است. در این مثال ، 213 شرکت کنندگان ایمیل را باز و 53 از اعضای هیات آن (24.9 درصد) ضمیمه افتتاح شد. میزان موفقیت این ایمیل خاص پایین تر از چهار نوع از ایمیل های فرستاده می شدند ، و این به احتمال زیاد با توجه به سطح بالایی از آگاهی را در میان کاربران در مورد تهدیدات ویروس. ایمیل سه و چهار به نظر می رسد به توان مشروع طراحی شده بودند. ایمیل سه درخواست کارکنان برای پیروی از یک لینک که از شرکتکنندگان خواستند به افشای اطلاعات خصوصی ، که می تواند برای سرقت هویت استفاده می شود. از 400 شرکت کنندگانی که این ایمیل را دریافت کرده ، 320 شرکت کنندگان ایمیل را باز و 171 نفر (53.4 ٪) از آن شرکت کنندگان ارائه اطلاعات حساس است. پست الکترونیک چهارم از شرکتکنندگان خواستند برای اجرای یک فایل اجرایی ، که کارایی کامپیوتر را بهبود بخشد ، و 117 از 265 نفریست که ایمیل را باز کرده (44.2 درصد) پیروی با درخواست (Kruger به ، Drevin و Steyn ، 2007) است.

مطالعه مشابه انجام شده در آکادمی نظامی وست پوینت برجسته تاثیر مقررات و اقتدار (فرگوسن ، 2005). یک ایمیل جعلی از سرهنگ ساختگی به فرستاده 512 کادتها ، اطلاع رسانی آنها را از یک مشکل با درجه خود. محل ارائه شده برای سرهنگ ساختگی عمدا ساخته شد (طبقه هفتم از یک ساختمان که هفت طبقه ندارد) ، و با وجود به طور منظم بازدید از این ساختمان ، اکثریت قریب به اتفاق دانشجویان دانشکده افسری موفق توجه به این نشانه است. به طور متوسط از 80 ٪ از دانش آموزان کلیک بر روی لینک تعبیه شده ، و این عدد را با افزایش به نود درصد برای دانشجویان سال اول ، با وجود این واقعیت که دانشجویان سال اول چهار ساعت آموزش آگاهی امنیتی (فرگوسن ، 2005) دریافت کرده بود. این مطالعه برجسته به نفوذ قدرت بر افراد توانایی تصمیم گیری است.

علاوه بر این ، مطالعه همچنین تاکید بر این که یک دولت به اوج عاطفی می تواند بر روی توانایی افراد برای توجیه یک تصمیم داشته باشند. کادتها دریافت ایمیل به سوی پایان ترم ، که زمانی که دانش آموزان به احتمال زیاد به خصوص به پاسخ به هر گونه اشاره به نمرات خود است. این واقعیت که ایمیل ذکر شده 'مشکل' با نمرات خود را ممکن است داشته باشند اضطراب در کادتها ایجاد شده ، و در نتیجه وضعیت جایی که آنها به احتمال کمتری دارد که

تمرکز بر روی نشانه های است که باید آنها را در مورد ایمیل های مشکوک و از این رو ، این ممکن است به افزایش احتمال از آنها کلیک کردن بر روی لینک.

5.3 Defences علیه مهندسی اجتماعی

با توجه به Schneier (2000) ، سه قسمت به مجموعه ای موثر از مقابله با ، وجود دارد که باید در پشت سر هم کار می کنند. این حفاظت ، تشخیص ، و واکنش است. اگر سازمان حفاظت قوی دارد ، سپس آن را ممکن است ممکن است به جای تاکید کمتر مکانیزم های کشف و شناسایی و واکنش. برعکس ، اگر یک سازمان دارای مکانیسم های محافظت ضعیف ، به آن نیاز دارد به سرمایه گذاری در تشخیص آن و مکانیزم واکنش (Schneier ، 2000).

دفاع چند که سازمان می تواند استفاده از خود را در برابر تهدیدات مهندسی اجتماعی محافظت وجود دارد ، و بسیاری از این اقدامات احساس مشترک است که به سادگی قابل اجرا است. در اصل ، بسیاری از دفاع در برابر مهندسی اجتماعی با آگاهی امنیتی موثر و آموزش همراه است. آگاهی امنیت و آموزش در جزئیات بیشتری در بخش های بعدی توضیح داده شده است. با وجود این ، جنبه های آگاهی های امنیتی که به طور خاص مربوط به مهندسی اجتماعی خواهد شد مشخص شده در زیر است.

این دفاع شامل تضمین که هر کس که وارد محل سازمان مورد نیاز است نشان می دهد شناسایی ، از جمله کارکنان ، پیمانکاران ، شرکای تجاری ، فروشندگان و همه بازدید کنندگان. این استراتژی بسیار مهم است زیرا بسیاری از مهندسین اجتماعی به سادگی به یک سازمان راه رفتن ، آنها مانند یکی از کارکنان رفتار می کنند ، و در بسیاری از موارد ، آنها به چالش کشیده نشده. این امر به ویژه مربوطه در داخل سازمان های بزرگ ، که در آن کارکنان به دیدن مردم که آنها را به رسمیت نمی شناسد (Schneier ، 2000) عادت کرده اند است.

در تلاش برای تامین امنیت بیشتر محل سازمان آن است که توصیه می شود که ایستگاه های کاری و سرورها در اتاق های جداگانه نگهداری می شوند که دسترسی به این اتاق را از طریق استفاده از کارت های کش رفتن امن. کارکنان باید داده شود دسترسی به اتاق و مناطقی که مشروط بر روی نقش کار خود است. این باعث می شود آن را راحت تر برای نظارت بر که وارد یک اتاق و کمک می کند تا اطمینان حاصل شود که تنها افراد مجاز حق ورود. البته ، کارکنان سخت کوش تا اطمینان حاصل شود که درب همیشه بسته امن می شود یک بار آنها را وارد به طوری که افراد غیر مجاز می توانید آنها را دنبال نشده اید.

یکی دیگر از استراتژی بسیار ساده است که به سرمایه گذاری در shredders ، اطلاعات حساس و ارزشمند می تواند به راحتی با رفتن را از طریق سطلهای زباله را از یک سازمان به دست آمده است. اطلاعات موجود در این روش می تواند توسط یک مهندس اجتماعی مورد استفاده قرار گیرد به منظور افزایش اعتبار از هر درخواست. سیاست که در آن همه اسناد کاغذی نیاز به تکه تکه کرده به جای قرار داده شده در بن به از بین بردن این تهدید (Schneier ، 2000). پس از این ، نیاز به درخواست تکنولوژی هر جا که ممکن است وجود دارد. به عنوان مثال ، یک سازمان می تواند اطمینان حاصل شود که امنیت فیزیکی کافی و امنیت کامپیوتر وجود دارد ، مانند فایروال ها ، و سازمان همچنین باید اطمینان حاصل شود که آنها می توانند تماس های تلفنی و ردیابی محل محدودیتی در تعداد از گوشی های است که می تواند مورد استفاده برای برقراری تماس های خارج از کشور . این مهم است که عنوان آن می تواند از دست دادن مالی به حداقل رساندن به سازمان است.

حساسیت در هنگامی که با کلمه عبور یکی دیگر از نگرانی های عمده ای در امنیت اطلاعات (Gragg 2002) است. مهندسین اجتماعی کاملا موفق در تماس با کارکنان و به دست آوردن جزئیات رمز عبور و در بسیاری اوقات این است که به سادگی با تظاهر به یک سیستم به دست آورد مدیریت بستگی دارد. جزئیات رمز عبور معمولا بر روی کامپیوتر گیر سمت چپ یا پایین در این دفتر خاطرات نوشته شده است. مهندسان اجتماعی می دانند که در آن به دنبال این اطلاعات است. بنابراین مستخدمین نیاز به آموزش در مورد این خطرات ؛ آنها باید بدانند که تحت هیچ شرایطی باید از آنها تا کنون ارائه جزئیات رمز عبور از طریق تلفن ، و این که آنها باید رمز عبور اطلاعات دروغ در اطراف دفتر را هرگز. البته ، برای رسیدن به این ، کارمندان نیاز به آموزش در مورد چگونه به رفتار و پیامدهای اعمال خود است. توصیه می شود که سازمان به طور منظم چک ایستگاه های کاری تا اطمینان حاصل شود که کلمه عبور نشده نوشته شده است و نمی تواند به راحتی قرار گرفته است.

یکی دیگر از پیام است که باید خاطرنشان کرد به کارکنان خطر آشکار از اطلاعات حساس از طریق تلفن است ؛ جزئیات رمز عبور حتما باید از طریق تلفن و نیازهای مراقبت از بزرگ گرفته شود در هنگام ارائه هر گونه اطلاعات دیگر هرگز ابلاغ شده است. به عنوان مثال ، اگر کارمند است توسط کسی که درخواست اطلاعات حساس ، که ادعا می کند از مرکز داخلی تماس ، کارمند باید تماس گیرنده است که آنها را آنها را در مدت کوتاهی توصیه این زمان کارکنان برای چک کردن اعتبار قبل از آنها را فراهم می دهد هر گونه اطلاعات. مربوط به این ، این نیز مهم است تا اطمینان حاصل شود که کارمندان در مورد آنچه که دقیقا به منزله 'اطلاعات حساس آموزش.

کارکنان نیز باید در مورد ایمنی از لپ تاپ خود را هوشیار می شود. لپ تاپ ها بسیار مشکل تر را درون یک محیط سازمانی امن و آنها اغلب حاوی مقدار زیادی از اطلاعات مهم و حساس است. بنابراین تمام لپ تاپ های مورد نیاز باید به عنوان امن که ممکن است نگهداری می شوند ، که به معنای نگه داشتن آنها را در مناطق امن قفل شده است و زمانی که آنها در حال استفاده هستند و تضمین این که آنها رمزگذاری شده هستند و استفاده از حفاظت از رمز عبور امن است.

یکی دیگر از استراتژی ساده است که می تواند بهبود امنیت این است که اطمینان حاصل شود که همه کارکنان قفل »کامپیوتر خود را هر زمان که ایستگاه های کاری خود آنها را ترک. حتی اگر آنها را تنها در خروج از ایستگاه های کاری خود را برای یک دوره کوتاه از زمان ، کامپیوتر باید همیشه قفل شده باشد و امن برای جلوگیری از استفاده غیر مجاز است.

اگر چه همه کارکنان در معرض خطر حملات مهندسی اجتماعی آن دسته از کارمندانی که آسیب پذیر تر از دیگران هستند وجود دارد. این آسیب پذیری و افزایش حساسیت معمولا نتیجه مستقیم از نقش های شغلی و مسئولیت است. پوزیشن بیشتر در معرض خطر عبارتند از کسانی که سطح بالایی از تماس و تعامل وجود دارد ، چه با مردم ، مشتریان ، ارائه دهندگان خدمات و یا حتی کارمندان داخلی است. این ممکن است شامل موقعیت خود را در مدیریت ، منابع انسانی و میز کمک کند. افراد در این نقش ها بیشتر عادت کرده اند به خرید و فروش با غریبه ها هستند و در معرض طیف گسترده ای از درخواست شده است. برای نشان دادن ، در نظر گرفتن یک سازمان است که جایگاه منابع انسانی است که نیاز به یک کارمند به تماس برای برنامه های کاربردی و هرگونه پرسش درخصوص کار تمام است. این کار تا به مقدار زیادی از تعامل خارجی با نام و اطلاعات تماس با عرضه بر روی تبلیغات کار تمام است. این باعث می شود کارکنان یک هدف است و قطعا بیشتر مستعد ابتلا به حمله احتمالی است. توسل به یک مهندس اجتماعی است که آنها در حال حاضر دانستن نام خود ، مشخصات تماس و موقعیت ، بدون نیاز به درخواست و بالا بردن سوء ظن های غیر ضروری.

مهندسان اجتماعی اغلب ارعاب و استفاده از نمایش رفتارهای گریزان. به عنوان مثال ، آنها ممکن است هر اطلاعات تماس با فراهم نیست و ممکن است آنها یک مکالمه عجله. همچنین ، معمول است که آنها را به رها کردن نام افراد مهم در درون سازمان و شنونده را پیدا خواهد کرد که آنها اغلب به اشتباه کوچک در مورد جزئیات یا اطلاعات. هدف حتما باید

تبدیل شدن به محتاط زمانی که اطلاعات تماس گیرنده درخواست های که ممنوع است و یا طبقه بندی شده ، به عنوان یک کارمند هموطنان باید بدانند برای چنین اطلاعاتی بخواهید نه. با تبدیل شدن به آشنایی با تکنیک های مشترک ، کارکنان خواهد شد بهتر است مجهز به شناسایی یک تهدید بالقوه است. کارکنان نیز باید در توجه به آنچه پاسخ نیاز به یک بار یک تهدید بالقوه شناسایی شده است آموزش داده است. همه کارکنان باید بدانند چه سیاست در جای خود هستند و آنها چه کسانی نیاز به تماس با یک پاسخ سریع و موثر برای شروع است.

به عنوان مثال ، سازمان می تواند پیاده سازی امنیت اطلاعات چک لیست را تهدید می کند که شبیه به بمب تهدید چک لیست است که بسیاری از سازمان ها در حال حاضر استفاده کند. چک لیست که کارکنان برای جمع آوری اطلاعات استاندارد و یا به طور کلی ، مانند جنسیت تماس گیرنده ، هر ویژگی از صدای خود ، هر گونه مجزا و یا صداهای پس زمینه شناسایی ، آنچه را که برای پرسید و اینکه آیا آنها به نظر میرسد که هر گونه آشنایی با سیستم کامپیوتری تحریک ( Kovacich و جونز ، 2006). این است که چک لیست نیز ارائه یک لیست از تکنیک های مهندسی اجتماعی استفاده می شود که برای به دست آوردن اطلاعات حساس ، که در هشدار به کارمند به رفتار مشکوک کمک. چک لیست نیز باید اطلاعات مربوط به گزارش رویه و ارائه توصیه کارمند را در مورد آنچه به با تماس و که آنها نیاز به تماس با اقدام دیگری است (Kovacich و جونز ، 2006) برای شروع انجام دهید. در از نظر ارتباطات ، پیشگیری و واکنش ، از جمله یک لیست می تواند بسیار موثر است.

6. آگاهی های امنیتی ، آموزش و آموزش و پرورش

آگاهی های امنیتی ، آموزش و آموزش و پرورش ، برخی از اقدامات متقابل موثرترین عامل انسانی در برابر تهدید به امنیت اطلاعات در است. جنبه های مختلف از این اقدامات متقابل در حال حاضر در سراسر این گزارش ذکر شده است. در این بخش بر روی اطلاعات در حال حاضر ارائه گسترش ، ترسیم تعدادی از اجزای مرتبط با آگاهی ، آموزش و آموزش و پرورش موثر است.

بر اساس گزارش موسسه ملی استاندارد و فناوری (NIST) در مورد آگاهی به امنیت و آموزش "[L] بدست آوردن یک زنجیره است ؛ آن را با آگاهی شروع می شود ، به آموزش ایجاد و تکامل می یابد به آموزش و پرورش" (ویلسون و هش ، 2003 ، P 0.7). هدف آگاهی است تا اطمینان حاصل شود که افراد از نگرانی های امنیتی بالقوه IT آگاه هستند و می دانم چگونه به رسمیت شناختن و به نگرانی های چنین واکنش نشان می دهند (ویلسون و هش ، 2003). آموزش می رود یک گام فراتر از این ، و با هدف تولید مهارت های امنیتی مورد نیاز و شایستگی است. هدف از آموزش و پرورش است به ادغام آن دسته از مهارت های امنیتی و شایستگی را به بدن دانش ، و آموزش و پرورش "، تلاش برای تولید فناوری اطلاعات متخصصان امنیتی و حرفه ای قادر به دید و طرفدار فعال پاسخ" (ویلسون و هش ، 2003 ، p.9).

Besnard و Arief (2004) تأکید بر آموزش کارکنان تاکید که اگرچه آموزش و پرورش ممکن است رفتار خود را در آن تغییر نخواهد داد ، آموزش مردم را از عواقب اعمال خود آگاه می سازد. این تضمین می کند که افراد از تهدیدها و خسارات بالقوه است که می تواند از رفتار ناامن است (Besnard و Arief 2004) آگاه. با این حال ، به رغم اهمیت آموزش و پرورش به عنوان دفاع در برابر تهدید امنیت اطلاعات ، آن است که اغلب فاقد است. با توجه به سال 2007 SCI جرایم کامپیوتری و بررسی امنیت ، 18 ٪ از سازمانها انجام هر شکلی از آموزش آگاهی و 35 ٪ از سازمان ها که انجام آموزش کارکنان خود را اندازه گیری اثربخشی از برنامه های آگاهی رسانی آنها امنیت (ریچاردسون ، 2007) استفاده نمی کند.

در یکی دیگر از بررسی های اخیر (ارنست و یانگ ، 2007) ، مشخص شد که آموزش امنیت و میزان آگاهی در پنج نگرانی برای مدیران است. هر چند مدیران اجرایی قادر به تشخیص اهمیت آن ، اجرای برنامه های آموزشی می تواند مشکل باشد. اساسا ، طراحی هر گونه آگاهی و یا برنامه های آموزشی پیچیده است و وابسته به سازمان در مورد است. از این رو ، به منظور موفقیت آمیز باشد ، هر گونه ابتکار عمل امنیت اطلاعات باید با یک ارزیابی نیاز دارد آغاز خواهد شد.

ارزیابی نیازهای شامل جمع آوری اطلاعات مربوط به فرآیندهای در حال حاضر در محل ، دانش است که کارکنان مورد نیاز ، و شکاف در ابتکارات اطلاعات امنیت فعلی (ویلسون و هش ، 2003). تعدادی از منابع است که می تواند مورد استفاده برای به دست آوردن چنین اطلاعاتی وجود دارد. به عنوان مثال ، اعضای سازمان می تواند خواسته می شود به تکمیل پرسشنامه نظر سنجی یا است. این به طور کلی هدف تعیین کارکنان چگونه به طور منظم انجام وظایف خاصی ، که آیا آنها قبلا آموزش در روشهای امنیت اطلاعات در ارتباط با کسانی که وظایف دریافت کرده اید ، و اگر چنین است ، مرتب کردن بر اساس آموزش است که ارائه شده بود. برای کسب اطلاعات بیشتر ، مدیریت اجرایی ، پرسنل امنیتی ، مدیران سیستم و سایر اعضای هیات مربوطه می تواند مصاحبه برای به دست آوردن درک کامل از آگاهی های امنیتی خود را و نیازهای آموزشی (ویلسون و هش ، 2003).

هنگام انجام یک ارزیابی نیاز دارد ، آن را نیز مهم است به بررسی و این فایل نقد می نویسید : تمام مواد است. علاوه بر این ، تجزیه و تحلیل از هر اندازه گیری مرتبط با برنامه های آموزش و آگاهی فعلی یا گذشته است همچنین مفید است. این می تواند شامل اطلاعاتی مانند تعداد از مردم از نقش های مختلف که قبلا آموزش. به طور مشابه ، آن را نیز مهم است به بررسی هر گونه اطلاعات در مورد سواحل اطلاعات قبلی یا حوادث امنیتی. اطلاعات مفید است آن را به عنوان یک نیاز برای آموزش برای گروه خاصی از مردم ، و یا در یک منطقه خاص از امنیت اطلاعات برجسته.

هنگامی که نیازهای امنیتی سازمان اطلاعات تعیین شده اند ، آن است که پس از آن ممکن است به منظور توسعه یک استراتژی و برنامه ای برای این برنامه است. مبحث به آنها رسیدگی شود ، حالت ارائه و روش بازخورد و ارزیابی اهداف ، اهداف یادگیری و فرکانس برنامه ها و نقش ها و مسئولیت های همه مردم در درگیر : این طرح باید تعدادی از جنبه پوشش طراحی ، توسعه ، پیاده سازی و نگهداری امنیت اطلاعات ابتکار (ویلسون و هش ، 2003). همچنین لازم است به منظور توسعه اولویت های برنامه های امنیت اطلاعات ، که می تواند تحت تاثیر جنبه های مانند محدودیت های بودجه و در دسترس بودن منابع (ویلسون و هش ، 2003). به عنوان مثال ، تعدادی از موضوعات مهم در امنیت اطلاعات وجود دارد ، اما از آنجایی که منابع و بودجه ها ممکن است همیشه در دسترس باشد برای ارائه آگاهی ، آموزش و آموزش و پرورش گسترده به همه کارکنان در همه زمینه ها ، آن است که معمولا لازم را اولویت بندی است.

پس از این ، ابتکار عمل امنیت اطلاعات را می توان توسعه داد. اساسا ، هر رفتاری که باید تقویت می تواند در برنامه های آگاهی رسانی مورد خطاب و هیچ گونه مهارت که کارمندان نیاز به یادگیری و اعمال را می توان در یک برنامه آموزشی (ویلسون و هش ، 2003) مورد خطاب است. همانطور که قبلا ذکر شد ، اطلاعات پیام امنیتی را می توان از طریق تعدادی از رسانه های مختلف منتشر شده است. به عنوان مثال ، پیام آگاهی را می توان از طریق روش هایی از قبیل پوستر ، محافظ صفحه نمایش ها ، خبرنامه ها ، دی وی دی ها ، جوایز برنامه ، جلسه های مبتنی بر کامپیوتر ، و در فرد ، مدرس رهبری جلسه منتشر (ویلسون و هش ، 2003). برنامه های آموزشی به احتمال زیاد شامل جلسات آموزش مبتنی بر ویدئو ، مبتنی بر کامپیوتر و یا هدایت شده توسط مربی. این مهم است را به هر گونه آگاهی و یا برنامه های آموزشی جالب و جریان و حفظ اطلاعات کاربران را می تواند از طریق تکرار پیام و اشاعه پیام با استفاده از تکنیک های چندگانه (ویلسون افزایش

و هش ، 2003).

همچنین تعدادی از عوامل است که باید در نظر گرفته شود در زمانی که در حال توسعه آگاهی موفقیت آمیز یا برنامه های آموزشی وجود دارد. به عنوان مثال ، با توجه به ویلسون و مخلوط (2003) ، موفقیت هر طرح های امنیت اطلاعات است که به شدت با شیوه ای که در آن برنامه است با ماموریت سازمان در تراز وسط قرار دارد همراه است. این نیز توسط ارنست و یانگ 2007 بررسی امنیت جهانی ، که نشان می دهد که هر گونه اطلاعات طرح های امنیتی باید با اهداف استراتژیک سازمان در ذهن توسعه یافته (ارنست پشتیبانی و یانگ ، 2007). علاوه بر این ، به جای داشتن یک رویکرد واکنشی که در آن امنیت اطلاعات به عنوان "هزینه انجام کسب و کار" مشاهده شده ، (ارنست و یانگ ، 2007 ، p.5) ، آن را به جای حیاتی برای امنیت اطلاعات به عنوان حیاتی برای کسب و کار است.

علاوه بر این ، به منظور موفقیت آمیز باشد ، یادگیری نیاز به شخصی ، معنی دار و contextualised ، به عنوان شواهد نشان می دهد که برنامه ها احتمالا موفق خواهد بود در صورتی که کاربران احساس می کنید که موضوع و مسائل ارائه شده مربوط به نیازهای خود را (ویلسون و هش ، 2003). متاسفانه ، اکثر برنامه های آگاهی و آموزش عمومی در طراحی ، با یک "یک اندازه متناسب با همه' رویکرد است. این رویکرد منجر به شکست منجر میشود زیرا نیازهای اعضای هیات فردی را در نظر گرفته شده ، و در نتیجه تاثیر پیام های آموزشی را می توان به خطر بیافتد (ارنست و یانگ ، 2007) می باشد.

نه تنها باید آموزش را به صورت جداگانه طراحی شده ، آن را نیز باید در راه است که به یاد ماندنی و برگ ماندنی ساختار. همانطور که قبلا ذکر شد ، مطالعات موردی ، یک راه موثر برای برقراری ارتباط پیام را به مخاطبان (McIlwraith 2006). مطالعات موردی به طور کلی شامل نمونه خاص ، در زندگی واقعی ، و شواهد نشان می دهد که تعامل فعال را تبلیغ می کنند در فرآیند یادگیری و دانش آموزان اجازه دهید برای به دست آوردن درک بیشتری از معنا و کاربرد تئوری (بروک ، 2006). ارزش مطالعات موردی نیز توسط Herreid (1994) ، که به افزایش حضور و غیاب دانش آموزان از 50-65 ٪ برای سخنرانی های سنتی ، تا 95 ٪ گزارش زمانی که مطالعات موردی استفاده شد نشان داده شد. آموزش نیز نیاز به تقویت ، و باید با پیگیری جلسات آموزش انجام در تاریخ در آینده به تقویت پیام امنیتی طراحی شده است.

استفاده از تقویت مثبت همچنین می تواند پیام های امنیتی برای تقویت کمک کند. پژوهشهای روانشناسی نشان داده است که تقویت مثبت ، که در آن رفتارهای پاداش مورد نظر ، یک ابزار بسیار موثر در شکل دادن به رفتار است (اسکینر ، 1953). از این رو ، این نشان می دهد که رفتارهای مثبت امنیت اطلاعات می تواند با پاداش کسانی که رفتارهای امنیت اطلاعات صحیح را نشان داده اند افزایش یافته است. به عبارت دیگر ، به جای به سادگی مجازات کسانی که به نقض قوانین امنیتی ، مردم به اطاعت آنها را پاداش داده می شود. با وجود اثر از این تکنیک ، نتایج حاصل از بررسی امنیت جهانی در سال 2007 نشان داد که تنها 3 ٪ از سازمان ها فهرست به رسمیت شناختن رفتار نمونه را به عنوان یک ابزار در آگاهی و آموزش در امنیت اطلاعات (Deloitte ، 2007).

کارمندان نیز در مورد تعصبات ادراک خطر مانند اکتشافی در دسترس بودن و تعصب خوشبینی نیاز به آموزش است. همانگونه که قبلا بحث شد ، این تعصبات می تواند توانایی فرد را برای تصمیم گیری معقول در مورد خطر احتمالی را تحت تاثیر قرار دهد. به عنوان مثال ، اکتشافی در دسترس نشان میدهد که افراد بیشتر احتمال دارد به دست کم گرفتن خطر ابتلا به نادیده گرفتن روش در صورتی که قبلا به عنوان روش بدون عواقب نامطلوب (Slovic و همکاران ، 1976) نادیده گرفته است. خوشبینی ایالات تعصب است که مردم بیشتر احتمال دارد به دست کم گرفتن خطر ابتلا به خود و دست بالا گرفتن خطر ابتلا به دیگران (گری و Ropeik ، 2002). علاوه بر این ، ادراک فرد از خطر را می توان تحت تاثیر شخصیت و سبک های شناختی ، عوامل اجتماعی ، چارچوب و آشنایی است. آموزش کارکنان در مورد این پدیده ها که ممکن است به یک تغییر مثبت در رفتار کمک است ، با افزایش سطح دانش شما به طور بالقوه می تواند باعث کاهش خطر.

برنامه های آموزشی نیز نیاز به آموزش کارکنان در تکنیک های مشترک توسط مهندسین اجتماعی در تلاش بهتر از تبدیل شدن به یک قربانی (Gragg 2002) محافظت از خود استفاده می شود. کارکنان باید قادر به تشخیص استراتژی های کلیدی استفاده شده توسط مهندسان اجتماعی و برخی از این استراتژی های روانی شده اند شرح داده شده است. به عنوان مثال ، مهندسان اجتماعی اغلب اجتناب از ارائه اطلاعات تماس با آنها ممکن است در زمان های غیر منتظره تماس بگیرید و آنها ممکن است سعی می کند یک پاسخ عاطفی به تولید. آموزش موثر باید اطمینان حاصل شود که کارمندان از این تکنیک های مهندسی اجتماعی امکان پذیر است ، آگاه هستند و با پاسخ های مناسب مجهز شده است.

به طور کلی ، نیز وجود دارد که نیاز به سیاست های امنیتی تقویت شود تا ارائه دستورالعمل ها و دستورالعمل های روشن. آنها باید از مناطقی که در آن رخنه های امنیتی هستند به احتمال زیاد به رخ می دهند را پوشش میدهد. به عنوان مثال ، آنها نیاز به توضیح روش این است که تغییر کلمه عبور ، روش ، برای تماس با مرکز ، و در چه شرایط و چگونگی تماس مرکز فردی کارکنان. سیاست باید امتیازات دسترسی ، محدودیت های امنیتی در مناطق حساس ، سیاست های حفظ حریم خصوصی ، که مسئولیت رسیدگی به اطلاعات حساس و چگونه برای مقابله با نقض های امنیتی و گزارش را توضیح دهد. این دستورالعمل ها و دستورالعمل ها ، هنگامی که با آموزش و پرورش صدا و برنامه های آموزشی ترکیب شود ، باید به موفقیت از حملات مهندسی اجتماعی (Gragg 2002) را کاهش دهد.

اگر چه استفاده از روش های موثر ضروری است که ترویج فرهنگ ایمنی مثبت ، آن را نیز لازم برای اطمینان حاصل شود که سازمان انجام مراحل در محل قرار داده نه فقط به خاطر داشتن روش وجود دارد (Besnard و Arief ، 2004). افراد بیشتر احتمال دارد به اقدامات زمانی که آنها می دانند که چرا آنها لازم است. این یک توصیه مهم این است زیرا مردم به ندرت اقدامات به نامه آنها اغلب تغییرات برای ساده کردن فرآیند و کاهش حجم کار خود را. بنابراین مهم است که اطمینان حاصل شود که کارمندان درک روش و دلیل این که چرا پایبندی به این شیوه لازم است.

Mitnick و سیمون (2005) توصیه های بسیاری شبیه به آنهایی که در بالا اظهار داشت. آنها همچنین که سازمان نیاز دارد به وضوح دولت پروتکل های امنیتی خود را به تمام کارکنان خود را ، همراه با داشتن قواعد ساده که تعریف اطلاعات به سازمان حساس اضافه کنید و این می تواند به طور موثر با استفاده از سیستم طبقه بندی داده ها به دست آورد. Mitnick و سیمون (2005) نیز اهمیت داشتن یک قانون در جایی که هر کسی که درخواست اطلاعات حساس خواهد شد احراز هویت خود را ملزم به ارائه استرس است. آنها همچنین برنامه های آموزش آگاهی امنیتی به پیاده سازی به همراه آموزش های خاص به مهندسی اجتماعی ، به طور خاص آموزش کارکنان چگونه به مقاومت در برابر حملات مهندسی اجتماعی را تشویق کنند. توصیه نهایی آنها این است که سازمان ها برای تست سطح امنیتی خود را با انجام ارزیابی امنیتی مستقل ، که نظرات خود را در مورد امنیت هر دو نقاط قوت و ضعف (Mitnick و سیمون ، 2005) ارائه.

اساسا ، کارکنان باید با آموزش آگاهی فراهم زمانی که آنها شروع به کار برای یک سازمان و این دوره های آموزشی باید تقویت شده به طور منظم و مناسب ارزیابی شده است. این مهم است برای مدیریت مجموعه به عنوان مثال برای فناوری اطلاعات امنیتی ، با نمایش رفتارهای مطلوب (ویلسون و هش ، 2003).

6.1 بررسی آگاهی ، آموزش و آموزش امنیت

به منظور تعیین اثربخشی هیچ امنیت آگاهی ، آموزش و برنامه آموزش، ارزیابی و بازخورد مکانیسم نیاز به تاسیس می شود. انتقادات و پیشنهادات و ارزیابی های لازم برای تعیین اگر اهداف امنیتی به طور موثر ارتباط برقرار شده است، برای ارزیابی برنامه جاری چگونه کار می کند ، و برای شناسایی که در آن تغییرات و بهبود این برنامه می تواند به صورت (ویلسون و هش، 2003).

انتقادات و پیشنهادات می تواند از طریق وسایل مختلف، از جمله فرم های ارزیابی و پرسشنامه ها، گروه های تمرکز، مصاحبه ها ، مشاهدات و گزارش های رسمی به دست آمده است. یکی دیگر از استراتژی است که می تواند مورد استفاده قرار گیرد به عنوان تعیین معیار برنامه های امنیتی شناخته شده است. این روش طولی است

و نیاز به مجموعه ای از داده ها و اطلاعات جامعی از سازمان های مختلف در طول حداقل یک دوره پنج ساله است. عملکرد هر سازمان است که در مقایسه با عملکرد سازمان های دیگر، این رویکرد تعیین معیار به بررسی جنبه های مختلف عملکرد سازمانی از جمله امنیت آگاهی ، آموزش و آموزش و پرورش (ویلسون و هش ، 2003).

یکی دیگر از عناصر مرکزی به آگاهی ، آموزش و آموزش و پرورش برنامه های موثر مدیریت تغییر است. این بسیار مهم است تا اطمینان حاصل شود که برنامه ها و استراتژی curre باقی می ماند

7. نتیجه گیری

این مهم است در ذهن داشته باشیم عوامل انسانی است که رفتار را تحت تاثیر قرار می. این عوامل گسترده توصیف شده اند و در این گزارش مورد مطالعه قرار گرفت. آنها شامل راه های که در آن افراد تصمیم گیری ها و تعصبات و ابتکارات که بر ادراک خطر ، از جمله اکتشافی در دسترس بودن و تعصب خوشبینی (Lichtensteiner و همکاران ، 1978). آنها همچنین شامل تأثیر است که دانش و کنترل می تواند در فرایند تصمیم گیری داشته باشند و اگر سطح دانش افراد محدود است و سپس ممکن است آنها قدر یک ریسک امنیتی (Fischhoff 2002) را درک نمی کنند. سطح افراد از کنترل شده است نیز مهم است ، اگر مردم احساس کنند یک حس بزرگ و کنترل بر آنچه انجام می دهند ، آنها تمایل به ریسک پذیری بیشتر و دست بالا گرفتن توانایی خود را برای کنترل تهدید (Slovic و همکاران ، 1978)..

درک یک تهدید یا خطر نیز می تواند توسط هموستاز خطر ، که در آن افراد مشاهده شده را به خطرات بیشتر در موقعیت هایی که به عنوان کمتر مخاطره آمیز تلقی و کاهش خطر پذیری در موقعیت هایی که به عنوان پر مخاطره بیشتر (وایلد ، 2001) تصور می شود به خطر بیافتد. همچنین مهم است را نادیده می گیرند تاثیر خطر تجمعی که مشاهده زمانی که یک گروه از افراد ، پذیرفتن ریسک های کوچک ، که در تاریخ خود ، ممکن است به عنوان بی ضرر تلقی ، اما تجمع ممکن است آسیب پذیری های قابل توجهی (Slovic 2000) ایجاد کنید. تعصب حذف ، آشنایی از در معرض خطر و راه است که در آن خطر شرح داده شده است نیز می تواند ادراک از خطر را تحت تاثیر قرار دهد.

البته ، تاثیر تفاوت های فردی و عوامل اجتماعی را نمی توان نادیده گرفته شوند. عوامل شخصیتی و سبک شناختی منجر به تفاوت در ادراک ریسک (شیر و Meertens ، 2005). هنجارهای گروهی در تنظیمات مختلف اجتماعی تا حد زیادی تحت تاثیر قرار می افراد چگونه نه تنها به درک خطر است ، اما همچنین چگونه آنها که خطر پاسخ دهند. مربوط به این اثر از فرهنگ سازمانی و آب و هوا است.

فرهنگ سازمان می تواند تا حد زیادی متفاوت است. فرایند جامعه پذیری و یا ادغام با تجربه توسط کارمندان بازتابی از فرهنگ سازمان است (فلدمن برت ، 1983) است. فرهنگ همچنین می تواند توسط عوامل اشتغال های مختلف مانند رضایت شغلی ، انگیزش ، رهبری و تعهد است مبتلا شود ، مشخص می گردد. بخشها فرهنگ اغلب نیز در فرهنگ سازمان توسعه (Hampden ترنر ، 1990). همه این عوامل درهم بافته شدن و تاثیر بر نگرش ها ، رفتارها و ارزش. فرهنگ امنیت بخشی از فرهنگ کلی است و در این گزارش با استفاده از چارچوب فرهنگ سازمانی توضیح داده شده است. آب و هوا سازمانی است شبیه به یک ساخت فرهنگ سازمانی و تحقیقات نشان داده است که یک رابطه مثبت بین آب و هوا ایمنی و رفتار کارکنان تمایل به بهبود امنیت اطلاعات (چان و همکاران ، 2005).

یکی از شکل تهدید امنیتی است که همچنان رو به افزایش تهدید حملات مهندسی اجتماعی است. همه سازمان ها در معرض خطر حملات مهندسی اجتماعی ، و یکی از رایج ترین حملات مهندسی اجتماعی می باشد به عنوان فیشینگ شناخته می شود. حملات فیشینگ هدایت شده از طریق ایمیل و اغلب هدف اصلی خود می باشد برای به دست آوردن کارت های اعتباری و مشخصات حساب بانکی و رمز عبور (مایرز ، 2007). برخی افراد بیشتر مستعد ابتلا به چنین حملاتی از دیگران ، این است که به دلیل تفاوت های فردی ، مانند صفات شخصیتی (کارگر ، 2008).

حملات فیشینگ ایمیل و وب سایت های جعلی در حال افزایش در پیچیدگی است. آنها استخدام ترفندهای بصری و تکیه بر شکست از شاخص های امنیتی فعلی برای رسیدن به موفقیت (Dhamija و همکاران ، 2006). چند دفاع در برابر مهندسی اجتماعی می تواند مورد استفاده قرار گیرد برای کاهش تهدید و آنها عبارتند از اقدامات از جمله با استفاده از shredders برای نابود کردن اطلاعات حساس ، به کارگیری امنیت فیزیکی کافی و اقدامات امنیتی کامپیوتر ، و مهم آموزش و پرورش ، آموزش و آگاهی کارکنان است. از آنجا که انسان ها هدف از حملات مهندسی اجتماعی ، آموزش و پرورش یکی از بزرگترین دفاع ما می باشد. آموزش و پرورش و آموزش باید به صورت جداگانه طراحی شده ، به طور مداوم تقویت شده ، و اجرا موثر و مناسب برای ایجاد یک تاثیر قابل توجهی (McIlwraith 2006).

عوامل انسانی در امنیت اطلاعات قطعا مجموعه و بسیاری از مسائل پویا ارائه دهد. بسیاری از متغیرها است که باید به حساب گرفته شود ، از جمله نه تنها به تفاوت های فردی و اختلاف در صفات شخصیتی ، بلکه فعل و انفعالات و تأثیرات فرهنگ سازمانی و آب و هوا وجود دارد. نیاز به مطالعات بیشتر تجربی و پژوهش وجود دارد ، به خصوص در زمینه های فیشینگ ، مهندسی اجتماعی ، و آموزش و پرورش و آموزش. موضوع امنیت نیز باید به عنوان موضوع اقتصادی ارزیابی می شود که در آن است ، با tradeoffs بین هزینه ها و منافع (Odlyzko 2003). کاربران می خواهند هر دو امنیت و انعطاف پذیری ، و پیدا کردن تعادل بین این دو عامل است که مطمئنا چالش برانگیز است. هیچ راه حل برای بهبود امنیت اطلاعات وجود دارد ، اما نه ، چندین روش مکمل باید در اجرا به منظور بهبود امنیت کامپیوتر و انسانی

آدامز ، A. Sasse، M.A. (1999). کاربران دشمن نیستند. ارتباطات ACM، 42 نفر (12)، 41-46.

ایلو ، M. (2008). مهندسی اجتماعی است. در L. J. Janczewski و صبح داده می شود Colarik (ع) ، جنگ های سایبر و سایبر تروریسم (ص 191-198). Hersey، PA : IGI جهانی.

اندرسون ، R.J. (2008). مهندسی امنیت : راهنمای ساختمان اعتماد سیستم های توزیع شده (ED 2). نیویورک : ویلی.

ضد فیشینگ کار گروه ، (2008). فیشینگ روند فعالیت درسایت : گزارش ماه ژانویه، 2008. دسترسی آنلاین ژوئن 2008، http://www.antiphishing.org/reports/apwg_report_jan_2008.pdf

Bener، A.B. (2000). ادراک خطر ، اعتماد و اعتبار : یک مورد از بانکداری اینترنتی، پایان نامه دکترا، دانشکده اقتصاد و علوم سیاسی، لندن لندن.

Besnard، D. & Arief، B. (2004). امنیت کامپیوتر توسط کاربران مشروع دچار اختلال شده است. کامپیوتر و امنیت ، 23، 253-264.

بروک، S. (2006). با استفاده از روش مورد برای آموزش کلاس های آنلاین : ترویج گفتگو سقراطی و مهارت های تفکر انتقادی است. مجله بین المللی آموزش و یادگیری در آموزش عالی است. 18 (2). 146.

Buono، AF، Bowditch، JL و لوئیس ، J. W (1985). هنگامی که فرهنگ برخورد : آناتومی ادغام. روابط انسانی، 38 (5)، 477-500.

چان، M.، I.، Woon و Kankanhalli، A. (2005). برداشت امنیت اطلاعات در محل کار : لینک کردن امنیت اطلاعات آب و هوا به رفتار سازگار، مجله از حفظ حریم خصوصی اطلاعات و امنیت، 1 (3)، 18-42.

Cialdini، R.B. (2006). تاثیر : روانشناسی ترغیب (کشیش ED). نیویورک : هارپر کالینز.

Cialdini، R.B.، سبز ، B.L. و Rusch، A.J. (1992). هنگامی که اعلانهای تاکتیکی تغییر تبدیل به تغییر واقعی مورد اقناع متقابل است. مجله شخصیت و روانشناسی اجتماعی، 62 (1)، 30-40.

DeCotiis، T.A. و سامرز ، T.P. (1987).تحلیل مسیر یک مدل از سابقه و پیامدهای تعهد سازمانی. روابط انسانی، 40 نفر (7)، 445-470.

Deloitte (2007). 2007 بررسی امنیت جهانی : جا به جایی مشغله پارادایم امنیت. Deloitte Touche Tohmatsu.

بازداشتن ، J. ، شرودر ، R. & Mauriel ، J. (2000). چارچوب برای ایجاد ارتباط بین فرهنگ و بهبود ابتکارات در سازمان است. فرهنگستان بررسی ، مدیریت 25 (4) ، 850-863.

Dhamija ، R. ، Tygar ، J.D. و هرست ، M. (2006). چرا فیشینگ کار می کند. مجموعه مقالات CHI ACM کنفرانس سال 2006 عوامل انسانی در سیستم های محاسباتی. آوریل 22-27. ص 581-590.

دیلون ، R.L. و کله ، کورنل ، E. (2005). از جمله فنی و خطرات امنیتی در مدیریت سیستم های اطلاعاتی : یک مدل مدیریت ریسک برنامه ریزی شده است. سیستم های مهندسی. 8 (1) ، 15-24.

Egelman ، S. ، Cranor ، L. F. & هنگ ، J. (2008). شما بوده ام هشدار داد : مطالعه تجربی اثر هشدارها فیشینگ مرورگر وب است. مجموعه مقالات کنفرانس ACM CHI 2008 در مورد عوامل انسانی در سیستم های محاسباتی. 5-10 آوریل ، 2008. ص 1065-1074.

ارنست و یانگ (2007). 10 سالانه جهانی امنیت اطلاعات نظر سنجی : رسیدن به تعادل از خطر و عملکرد. ارنست و یانگ.

فلدمن ، D.C. و برت ، J.M. (1983). مقابله با مشاغل جدید : مطالعه مقایسه ای از استخدام های جدید و تعویض شغل است. آکادمی مدیریت مجله ، 26 (2) ، 258-272.

فرگوسن ، A. (2005). پرورش امنیت ایمیل آگاهی : Carronade نقطه غرب است. Educause فصلنامه ، 28 (1) ، 54-57.

Fischhoff ، B. (2002). ارزیابی و برقراری ارتباط از خطرات تروریسم. در A. H. Teich ، S.D. نلسون ، و S.J. Lita نیستند (ع) ، علوم و تکنولوژی در جهان آسیب پذیر (ص 51-64). واشنگتن ، دی سی : AAAS.

فریمن ، E. (2000). E - ادغام خطرات : مسائل عملیاتی و راه حل ها در سن سایبر است. خطر مدیریت ، 47 (7) ، 12-15.

فریدمن ، B. ، هرلی ، D. ، هوو ، D. ، Felten ، E. ، Nissenbaum ، H. (2002). مفاهیم کاربران از وب سایت امنیت : مطالعه تطبیقی. چی '02تمدید خلاصه در مورد عوامل انسانی در سیستم های رایانه ، مینیاپولیس ، مینه سوتا ، 746-747. Furnell ، S. (2005). چرا کاربران می توانند امنیتی استفاده نمی کند. کامپیوتر و امنیت ، 24 ، 274-279. Furnell ، S.M. ، Jusoh ، A & Katsabas ، D. (2006). چالش از درک و با استفاده از امنیت : نظر سنجی از کاربران نهایی است. کامپیوتر و امنیت ، 25 ، 27-35.

Furnham ، A. و گونتر ، B. (1993). فرهنگ سازمانی : تشخیص و تغییر دهید. در کوپر ، C.L. و رابرتسون ، I.T. (ع) ، بررسی بین المللی روانشناسی صنعتی و سازمانی. Chichester : ویلی.

جورج ، J.M. و جونز ، G.R. (1996). درک و مدیریت رفتار سازمانی. خواندن ، MA : شرکت انتشارات ادیسون وسلی. Gragg ، D. (2002). چند سطح دفاع در برابر مهندسی اجتماعی است. کاغذ سفید ، SANS موسسه ، بازیابی در 12 ژوئن ، 2008 از http://www.sans.org/rr/papers/51/920.pdf

گری ، G.M. و Ropeik ، D.P. (2002). برخورد با خطرات ناشی از ترس : نقش ارتباطات خطر است. امور بهداشت و درمان ، 21 ، 106-116.

Hampden ترنر ، C. (1990). شرکت فرهنگ : از شریر به محافل فضیلت. لندن : رندام هاوس.

Heimer ، C.A. (1988). ساختار اجتماعی ، روانشناسی ، و برآورد خطر ، بررسی سالانه جامعه شناسی ، 14 ، 491-519.

Herreid ، C. F. (1994). مطالعات موردی در علم : متد نوین آموزش علوم. مجله علوم کامپیوتر و فناوری ، 23 (4) ، 221-229.

Hofling ، CK ، Brotzman ، E. ، Dalrymple ، S. ، گریوز ، N. و پیرس ، CM (1966). مطالعه تجربی در روابط پرستار پزشک. مجله بیماری های عصبی و روانی ، 143 مورد (2) ، 171-180.

Horvath ، P. ، و زاکرمن ، M. (1993). به دنبال احساس ، ارزیابی خطر ، و رفتار مخاطره آمیز است. تفاوت های شخصیتی و فردی ، 14 ، 41-52.

هوانگ ، D. ، Rau ، P.P. و Salvendy ، G. (2007). بررسی عوامل مؤثر بر درک مردم از امنیت اطلاعات. در J. Jacko (ع) است. تعامل انسان و کامپیوتر ، بخش چهارم. هایدلبرگ : اسپرینگر.

Huczynski ، A. و بوچانان ، D. (2001). رفتار سازمانی : آشنایی با متن (4 ED). بریتانیا : شاگردی هال.

ISO (2005). ISO / IEC 17799 فنآوری اطلاعات -- فنون امنیتی -- کد عمل برای مدیریت امنیت اطلاعات. ویرایش دوم 2005/06/15 مرجع : ISO / IEC 17799 -- 1:2005 (E). صفحات 1-115.

Ivancevich ، J. ، Olekalns ، M. & Matterson ، M. (2000). رفتار سازمانی و مدیریت. سیدنی : جستجوی هیل.

Jakobsson ، M. ، Tsow ، احمد ، شاه ، A. ، Blevis ، E و لیم ، Y. (2007). Instils اعتماد کرد؟ مطالعه کیفی فیشینگ است. کنفرانس بین المللی 11th ، باشگاه فوتبال 2007 و 1 کارگاه آموزشی بین المللی در زمینه امنیت قابل استفاده ، USEC 2007 ، اسکاربرو ، ترینیداد و توباگو ، 365-361.

Jagatic ، T.N. جانسون ، NA ، Jakobsson ، م و Menczer ، F. (2007). فیشینگ اجتماعی. ارتباطات ACM ، 50 (10) ، 94-100.

Kahneman ، D. ، Slovic ، P. ، & Tversky ، A. (1982). قضاوت تحت عدم قطعیت : heuristic ها و تعصبات است. نیویورک : انتشارات دانشگاه کمبریج است. Kahneman ، D. ، & Tversky ، A. (1979). چشم انداز تئوری : تجزیه و تحلیل تصمیم گیری تحت ریسک ، Econometrica ، XLVII ، 263-291.

Katsabas ، D. ، Furnell ، S.M. و Dowland ، ضمیمه (2005). با استفاده از اصول تعامل کامپیوتر انسان برای پیشبرد امنیت و قابل استفاده ، مجموعه مقالات پنجمین کنفرانس بین المللی شبکه (INC 2005) ، Samos ، یونان.

کوه ، K. ، Ruighaver ، AB ، مینارد ، S. & احمد ، A. (2005). امنیت حکومت و تاثیر آن بر فرهنگ امنیت. مجموعه مقالات سوم اطلاعات استرالیا کنفرانس مدیریت امنیت ، پرت ، استرالیا ، سپتامبر.

Kovacich ، G.L و جونز ، A. (2006). هندبوک تکنولوژی بالا جنایت محقق است : ایجاد و مدیریت برنامه پیشگیری از جنایت بالا فناوری است. بوستون : Butterworth - Heineman.

Kreuter ، M.W. ، و Strecher ، V. (1995). تغییر درک نادرست از خطر ابتلا به سلامت : نمایش نتایج : از یک کارآزمایی تصادفیشده. بهداشت و درمان روانشناسی ، 14 ، 55-63.

Kruger به ، H. ، Drevin ، L. ، & Steyn ، T. (2007). ایمیل آگاهی امنیت -- عملی ارزیابی رفتار کارکنان. در L. Futcher و R. دوج (ع) IFTP فدراسیون بین المللی برای آموزش امنیت اطلاعات. بوستون : اسپرینگر ، 33-40.

Kruger به ، H.A. و Kearney ، W.D. (2006). نمونه اولیه برای ارزیابی آگاهی امنیت اطلاعات. کامپیوتر و امنیت ، 25 ، 289-296.

Lacohee ، H. ، Phippen ، بعد از میلاد مسیح و Furnell ، S.M. (2006). خطر و جبران : چگونه کاربران ایجاد اعتماد به صورت آنلاین. کامپیوتر و امنیت ، 25 ، 486-493.

لیختن اشتاین ، S. ، Slovic ، P. Fischhoff ، B. ، شخص غیر روحانی ، محمد ، و شانه ، B. (1978). فرکانس قضاوت از حوادث مرگبار است. مجله روانشناسی تجربی : یادگیری و حافظه بشر ، 4 ، 551-578.

شیر ، رضا و Meertens ، R.M. (2001). جستجوی اطلاعات در مورد طب مخاطره آمیز : اثرات تمایل به ریسک پذیری و پاسخگویی. مجله روانشناسی اجتماعی کاربردی ، 31 ، 778-795.

شیر ، رضا و Meertens ، R.M. (2005). امنیت یا فرصت : نفوذ از خطر ابتلا به مصرف تمایل در اولویت ریسک اطلاعات است. مجله تحقیقات ریسک 8 (4) ، 283-294.

مارتین ، J. و Siehl ، C. (1983). فرهنگ سازمانی و ضد فرهنگ : symbioses مضطرب. انجمن مدیریت آمریکا ، 12 (2) ، 52-64.

McIlwraith ، A. (2006). امنیت اطلاعات و رفتار کارمندان : چگونه برای کاهش ریسک از طریق آموزش کارکنان ، آموزش و آگاهی است. آلدرشات در انگلستان : Gower انتشارات محدود.

مک نیل ، BJ ، Pauker ، SG و Sox ، HC ، و Tversky ، A. (1982). در استنباط از ترجیحات برای درمان های جایگزین است. مجله نیوانگلند پزشکی ، 306 ، 1259-1262.

Mitnick ، K.D. و سیمون ، W.L. (2005). هنر نفوذ : داستان واقعی پشت سوء استفاده از هکرها ، مزاحمان و Deceivers. ایندیاناپولیس ، ID : انتشارات ویلی ، شرکت Mitnick ، K.D. و سیمون ، W.L. (2002). هنر فریب : کنترل عنصر بشر امنیت. ایندیاناپولیس ، ID : انتشارات ویلی ، شرکت

مورو ، P.C. (1983). مفهوم از افزونگی در تحقیق سازمانی : مورد تعهد کار است. آکادمی مدیریت را نقد کنید ، 8 ، 486-500.

Muchinsky ، بعد از ظهر (1977). ارتباطات سازمانی : رابطه جو سازمانی و رضایت شغلی. آکادمی مدیریت مجله ، 20 (4) ، 592-607.

مایرز ، S. (2007). مقدمه به فیشینگ. در م Jakobsson & S. مایرز (ع). فیشینگ و اقدامات متقابل : درک مشکل افزایش سرقت هویت الکترونیکی (ص 1-29). نیویورک : ویلی اینترساینس.

سوزن ، D. (2000). فرهنگ در سطح شرکت : دیدگاه های سازمانی و شرکت های بزرگ است. در بری J. ، J. Chandle ، H. Clarck ، R. جانسون & D سوزن (ع). سازمان و مدیریت : متن انتقادی. لندن : کسب و کار مطبوعات. نورمن ، D. A. (1981). طبقه بندی از ورقه عمل. چکیده روانی ، 88 نفر (1) ، 1-15. اونیل ، B. (2004). خطر مدل ارتباطی برای تشویق ایمنی جامعه را از خطرات طبیعی ، مقاله ارائه شده در چهارم NSW ایمن جوامع سمپوزیوم ، سیدنی ، NSW.

اونیل ، B. و ویلیامز ، A. (1998). خطر هموستاز فرضیه : پس زنی. پیشگیری از آسیب دیدگی ، 4 ، 92-93.

Odlyzko ، صبح داده می شود (2003) ، اقتصاد ، روانشناسی و جامعه شناسی امنیت ، در RN رایت (ع). مالی رمزنگاری : 7 کنفرانس بین المللی ، باشگاه فوتبال 2003 ، اسپرینگر ، نیویورک ، نیویورک ، یادداشت های سخنرانی در علوم کامپیوتر ، شماره 2742 ، pp.182 - 9.

اورتیز ، Resnick و Kengskool ، (2000). اثرات آشنایی و درک خطر در انطباق محل کار هشدار است. مجموعه مقالات انجمن بین المللی ارگونومی ، سان دیگو ، CA ، 826-829.

پارکر ، CP ، Baltes ، BB ، جوان ، SA ، قهر کردن ، JW ، آلتمن ، RA ، Lacost ، HA و رابرتز ، J.E. (2003). ارتباط بین برداشت آب و هوای روانی و نتایج کار : بررسی تحلیلی متا است. رفتار سازمانی ، 24 ، 389-416.

پتینسون ، م و اندرسون ، G. (2007). چگونه به خوبی خطرات اطلاعات به کامپیوتر شما کاربران نهایی ابلاغ؟ مدیریت اطلاعات و امنیت کامپیوتر ، 15 (5) ، 362-371.

پتینسون ، م و اندرسون ، G. (2005). ارتباطات خطر ، خطر ادراک و امنیت اطلاعات است. در P. Dowland ، S. Furnell ، B. Thuraisingham و X. وانگ (ع). مدیریت امنیت ، صداقت ، و کنترل داخلی در سیستم های اطلاعات ، مجموعه مقالات از IFIP TC - 11 WG 11.1 و 11.5 WG مشترک کنفرانس کار در مدیریت امنیت ، یکپارچگی و داخلی کنترل در سیستم های اطلاعاتی ، 175-184 ، ویرجینیا.

پیترز ، T.J. و Waterman ، R.H. (1982). در جستجوی برتری : درسهایی از آمریکا بهترین اجرای شرکت ها. نیویورک : هارپر و رو.

Pettigrew ، صبح داده می شود (1990). جو سازمانی و فرهنگ : دو سازه در جستجوی یک نقش. در ب اشنایدر (ع). فرهنگ و جو سازمانی. سان فرانسیسکو : ناشران Jossey - باس.

Reichers ، A.E و اشنایدر ، B. (1990). آب و هوا و فرهنگ : تکامل ساختارهای. در ب اشنایدر (ع). فرهنگ و جو سازمانی. سان فرانسیسکو : ناشران Jossey - باس.

ریچاردسون ، R. (2007). 2007 CSI جرایم کامپیوتری و بررسی امنیتی. کامپیوتر امنیت موسسه.

Ritov ، I. و بارون ، J. (2002). وضعیت موجود و حذف تعصبات ، مجله ریسک و عدم قطعیت ، 5 ، 49-61.

Ruighaver ، A.B. ، مینارد ، S.B. و چانگ (2007). فرهنگ امنیت سازمانی : توسعه چشم انداز کاربر نهایی است. کامپیوتر و امنیت ، 26 ، 56-62.

Sasse ، M.A. ، Brostoff ، S. & Weirich ، D. (2001). تغییر ضعیف ترین حلقه -- انسانی / کامپیوتر رویکرد تعامل به امنیت قابل استفاده و موثر است. مجله فناوری BT ، 19 (3) ، 122-131. شاین ، E.H. (1985). فرهنگ سازمانی و رهبری است. سان فرانسیسکو : Jossey - باس. Schneier ، B. (2003). فراتر از ترس : فکر حساسی در مورد امنیت در جهان نامشخص است ، نیویورک : اسپرینگر - Verlag.

Schneier ، B. (2000). رازها و دروغ است : امنیت دیجیتال در جهان شبکه ای ، ایندیاناپولیس ، در : انتشارات ویلی ، شرکت

شولتز ، E (2005). عامل انسانی در امنیت است. کامپیوتر و امنیت ، 24 ، 425-426. شین ، M.T. (2000). امنیت را برای کسب و کار الکترونیکی خود. مجله سیستم های سازمانی ، 15 (8) ، 615-620. Shneiderman ، B. (1998). طراحی رابط کاربری : راهبردهای موثر بشر و کامپیوتر تعامل. 3 ED. خواندن ، MA : ادیسون وسلی.

Sjoberg ، L. (2000). عوامل موثر در ادراک خطر. تجزیه و تحلیل خطر ، 20 ، 1-11. اسکینر ، B. (1953). علم و رفتار انسان است. نیویورک : مک میلان. Slovic ، P. (2000). خطر تجمعی بدانند به چه معنی است؟ درک نوجوانان از عواقب کوتاه مدت و بلند مدت استعمال سیگار است. مجله تصمیم گیری رفتاری ، 13 ، 259-266.

Slovic ، P. (1986). اطلاعات و آموزش مردم در مورد خطر است. تجزیه و تحلیل خطر ، 6 (4) ، 403-415.

Slovic ، P. ، Fischhoff ، B. ، و لیختن اشتاین ، S. (1979). رده بندی خطرات. محیط زیست ، 21 ، 14-20 ، 36 -- 39.

Slovic ، P. ، Fischhoff ، B. ، و لیختن اشتاین ، S. (1978). احتمالات حوادث و استفاده از کمربند صندلی : روانی چشم انداز است. تجزیه و تحلیل حوادث و پیشگیری ، 10 ، 281-285.

Slovic ، P. ، Fischhoff ، B. ، و لیختن اشتاین ، S. (1976). فرآیندهای شناختی و خطر اجتماعی در نظر گرفتن. کارول S. J. & J. W. پین (ع). رفتار شناختی و اجتماعی (ص 165-184). پوتوماک ، MD : لارنس Erlbaum همکاران ، شرکت

Smircich ، L. (1983). مفهوم فرهنگ و تجزیه و تحلیل سازمانی. علوم اداری فصلنامه ، 28 ، 339-358.

استانتون ، JM ، Stam ، KR ، Mastrangelo ، P. & Jolton ، J. (2005). تجزیه و تحلیل از رفتار امنیتی کاربر پایان. کامپیوتر و امنیت ، 24 ، 124-133. استوارت ، A. (2004). در معرض خطر : ادراک و جهت. کامپیوتر و امنیت ، 23 ، 362-270. Steyn ، T. ، Kruger به ، H.A. و Drevin ، L. (2007). شناسایی سرقت : شواهد تجربی از فیشینگ ورزش. در H. ونتر ، M. Eloff ، Labuschagne L. ، Eloff J. R. فون Solms (ع) IFIP فدراسیون بین المللی برای Informaiton پردازش ، جلد 232 ، رویکردهای جدید برای امنیت ، حریم خصوصی و اعتماد در محیط های پیچیده. (ص 193-203). بوستون : اسپرینگر.

نوکر ، D. A. ، و گوتمان ، H. E. (1983). راهنمای تجزیه و تحلیل قابلیت اطمینان انسان با تاکید بر برنامه های کاربردی نیروگاه هسته ای. NUREG/CR-1278 ، کمیسیون تنظیم مقررات هسته ای ایالات متحده (واشنگتن دی سی).

تامپسون ، K.R. و Luthans ، F. (1990). فرهنگ سازمانی : چشم انداز رفتاری. در ب اشنایدر (ع) است. فرهنگ و جو سازمانی. سان فرانسیسکو : ناشران Jossey - باس.

تامپسون ، P. & McHugh ، D. (1995). سازمان کار : مقدمه انتقادی (2 ED). لندن : McMillan.

Tversky ، A. ، و Kahneman ، D. (1973). در دسترس : اکتشافی برای قضاوت فرکانس و احتمال است. روانشناسی شناختی ، 5 ، 207-232.

های van der Pligt ، J. (1996). ادراک خطر و محافظ رفتار خود. روانشناس اروپایی ، 1 ، 34-43.

ون Maanen ، J. و شاین ، E.H. (1979). به سوی یک نظریه های جامعه پذیری سازمانی است. پژوهش در رفتار سازمانی جلد. 1 ، زندانی پرس ، گرینویچ ، CT.p.209 - 264.

Weinstein ، N.D. (1987). خوشبینی غیر واقعی در مورد استعداد ابتلا به مشکلات سلامتی : نتیجه گیری از یک نمونه در سطح جامعه. مجله رفتاری پزشکی ، 10 ، 481-500. Whitten.، A & Tygar، J. (1998). قابلیت استفاده از امنیت : مطالعه موردی، دانشگاه کارنگی ملون علوم کامپیوتر فنی گزارش CMU - CS - 98 - 155.

وایلد، G.J.S. (2001). خطر هدف 2 : روانشناسی جدید از ایمنی و سلامت. تورنتو : انتشارات PDE.

ویلسون، م و هش، J. (2003). کامپیوتر امنیتی : ساختمان فناوری اطلاعات آگاهی های امنیتی برنامه های آموزشی و. آزمایشگاه فناوری اطلاعات موسسه ملی استاندارد و فناوری، Gaithersburg، MD 20899-8933.

کارگر، M. (2007). دسترسی با مهندسی اجتماعی : مطالعه تجربی از تهدید است. مجله اطلاعات سیستم های امنیتی، 16 ، 315-331.

کارگر، M. (2008). Wisecrackers : تئوری پایه تحقیقات فیشینگ و بهانه تهدید مهندسی اجتماعی به امنیت اطلاعات است. مجله جامعه آمریکا برای علم و Technolgoy، 59 (4)، 662-674.

وو ، M.، میلر ، R.C.، و Garfinkel، S.L. (2006). آیا امنیت نوار ابزار در واقع جلوگیری از حملات فیشینگ؟ مجموعه مقالات کنفرانس ACM CHI 2006 بر روی عوامل انسانی در سیستم های رایانه. 22-27 آوریل، 601 -- 610.

Zohar، D. (1980). آب و هوا ایمنی در سازمان های صنعتی : نظری و کاربردی مفاهیم. مجله روانشناسی کاربردی، 65 (1)، 96-102.