عاملهای انسانی در امنیت اطلاعات/آیا یک آموزش امنیتی همیشگی یک چالش به حساب میآید؟
چکیده
ویرایشهمانطور که در قانون امنیتی نروژ در سال 1998 تنظیم شده است، سازمانهای عمومی و خصوصی در نروژ باید اقدامات امنیتی مختلف بسیاری را اجرا نمایند تا از اطلاعات طبقهبندیشده در برابر دستبرد و افشا شدن محافظت نمایند. این قانون موضوعاتی را تحت پوشش قرار میدهد که از امنیت کامپیوتر تا مراحل امنیتی ابتدایی تا اختیارات امنیتی متغیر میباشد، بنابراین سازمانها باید کارمندان خود را به طور کامل آموزش دهند تا در قبول این قانون به همراه بندهای بیشمار این قانون به کارمندان اطمینان حاصل نمایند. سازمان امنیت ملی نروژ (NSM) این سازمانها را مورد نظارت قرار میدهد و به طور مداوم آن ها را بازرسی مینماید.
در یک همکاری با سازمان (NSM)، من مطالعهای را به انجام رساندم درباره اینکه چگونه کارمندان سیاستهای امنیتی سازمان و راهبردها را در خود به صورت نهادینه در میآورند و اینکه چگونه این مسئله بر روی عملکرد و رفتار آنها تاثیر میگذارد. من اطلاعات را از طریق مصاحبههای شخصی با 94 کارمند در چهار سازمان (NSM) منتخب مختلف جمعآوری نمودم. مدیران منابع انسانی موجود در هر یک از شرکتها، افرادی را برای پاسخگویی انتخاب کردند که معرف طیفی از پستهای کاری و سنین مختلف در درون سازمانها بودند. شاید جای تعجب نداشته باشد که یافتههای ما نشان دهنده اختلافهایی میان رفتارهای امنیتی مورد انتظار و رفتارهای امنیتی واقعی بودند (1). یافته های من همچنین نشان دهنده موانع بسیاری بودند که کارمندان باید قبل از اینکه حتی آرزوی دستیابی به رفتار امنیتی مورد انتظار را داشته باشند، از آن عبور نمایند (به شکل 1 مراجعه کنید).
این موانع هم توضیح می دهند که چرا برای افراد دشوار است که به این سیاستهای امنیتی تجاری عمل کنند و هم برخی چالشهایی را نشان میدهد که معلمان در هنگام کمک به دانش آموزان در جهت چیره شدن بر آن ها با آن ها رو به رو هستند. جدول شماره 1 نشان می دهد که حتی با آنکه هر چهار سازمان بر اساس این قانون به طور مشابه شکل گرفتهاند، کارمندان عملکرد های مختلفی نسبت به گزارش رویداد امنیتی داشته اند.
در این مقاله کوتاه، من برخی از نکات مهم این مطالعه را توصیف میکنم و این سوال را مطرح می کنم که آیا معلمان امنیتی قادر هستند از یافته های این مطالعه بهره بگیرند تا آموزش امنیتی را در آینده ارتقاء ببخشند.
موانع
ویرایشمن از ملاقات های اولیه با هر سازمان متوجه شدم که اولین گام در برنامه آموزشی آنها گفتگو با کارمندان درباره (رفتار مورد انتظار) است، به طور مثال چه موقع یک رویداد امنیتی را گزارش کنند. کارمندان به محض استخدام شدن یاد گیرند که شرکت از آن ها انتظار دارد تا هر گونه تخلف امنیتی را که مشاهده کردند، گزارش کنند و برای اینکه تا حد امکان این کار را آسان کنند، آن ها می توانند انتخاب کنند که از طریق تماس تلفنی گزارش بدهند یا مدیر امنیتی را شخصاً ملاقات کنند و یا از طریق فرستادن ایمیل گزارش بدهند. یکی از چهار سازمان از کارمندان درخواست کرد که از یک سرویس گزارشی شبکه ای استفاده کنند، اما صرف نظر از گزینه انتخابی آن ها، تمامی مکانیزم ها به طور تعمدی برای استفاده آسان بودند و بنابراین هیچگونه مانع امنیتی ایجاد نمی کردند. با این وجود، حتی با این درجه بالا از قابلیت استفاده، بسیاری از کارمندان هنوز ترجیح می دادند که تخلف های امنیتی را گزارش نکنند. چرا؟
اولین مانع، قابلیت استفاده مکانیزم گزارش وقایع امنیتی، فاقد پیامد بود و منجر به دومین مانع شد: فقدان دانش امنیتی. علاوه بر اینکه کارمندان باید بدانند که چرا نیاز است که تخلفات امنیتی را گزارش کنند و درک کنند که چگونه این کار را انجام دهند، همچنین باید قادر باشند تا در هنگامی که یک تخلف امنیتی را مشاهده کردند، آن را شناسایی نمایند. در سازمان هایی که در این مطالعه شرکت داشتند، همه کارمندان می دانستند که باید وقایع را گزارش کنند و چگونه این کار را انجام دهند، اما برخی از آن ها در شناسایی تخلف ها دچار مشکل بودند.
هنگامی که زمان عملکرد کارمندان در جهت ایجاد امنیت فرا رسید، مانعی دیگری ایجاد گردید. برخی احساس می کردند که گزارش کردن تخلفات امنیتی که یک کارمند جدید انجام داده است، کاری ناعادلانه می باشد، حتی اگر این کار به معنای نقض این التزام امنیتی اصلی باشد مبنی بر اینکه هر گونه تخلف مشاهده شده باید گزارش گردد.
مشاهده کنندگان بر این باور بودند که باید به متخلف و کارمند جدید شانس دیگری داده شود و بنابراین آن ها تمایل داستند تا مشکل امنیتی را با همکار خود مورد بحث قرار دهند و به او بگویند که چگونه به درستی رفتار نماید تا اینکه یک گزارش دفتری را به ثبت برسانند. در هر حال، این مسئله همچنین به این معناست که مدیر امنیتی از این رویداد بی خبر مانده است و بنابراین متوجه نشده است که چنین بازخوردی نشان دهنده نیاز به آموزش بیشتر، به خصوص برای کارمندان جدید می باشد.
همچنین برخی از پاسخ دهندگان معنایی را کا در پشت قانون امنیتی قرار داشت را زیر سوال بردند و مایل نبودند تخلفاتی را که از نظر آن ها قدیمی، بی مورد و بی معنا بود را گزارس دهند. عملکرد برخی دیگر از آن ها به گونه ای بود که امنیت در مسئولیت آن ها نیست و در نتیجه از عمل کردن به آن خودداری می کردند.
برخی ممکن است اینطور بگویند که آموزش آگاهانه ممکن است این مانع را کوچکتر نماید زیرا عملکرد های امنیتی را بهبود می بخشد، اما این کافی نیست (2). این مطالعه بدون تردید نشان می دهد که چه زمانی کارمندان ترجیح می دهند ببینند تا همکاران دیگر چگونه عمل می کنند و یا از آن ها کمک بگیرند. این نقطه ای است که در آن نوعی فعالیت امنیتی متداول، فرهنگ و یا هنجار درباره رفتار درست رشد پیدا می کند. یکی از پاسخ دهندگان گفت: من چرا نباید از کارت های حافظه استفاده کنم زمانی که همه از آن ها برای فرستادن اطلاعات استفاده می کنند؟ به طور مشابه، برخی دیگر این عملکرد را دنبال کردند که چرا من باید وقایعی را که تقریباً خطا به حساب می آیند را گزارش کنم هنگامی که هیچکس این کار را انجام نمی دهد؟
به این مشکلات یک عامل سازمانی دیگر هم اضافه گردیده: اهداف متضاد. بسیاری از کارمندان تحت فشار زیادی کار می کنند تا محصولات را در طی یک فرجه زمانی مشخص که ممکن است با مراحل وقت گیر در تضاد باشد، تحویل دهند. در چنین موقعیتی کارمندان چگونه باید اهداف امنیتی را به طور مثال با تعاریف شغلی خود اولویت بندی کنند. اگر انتخاب میان انجام وظیفه ای باشد که بخشی از عملکرد اصلی می باشد که شخص بر اساس آن مورد قضاوت قرار می گیرد (و احتمالاً ترفیع می گیرد) و یا پر کردن یک صفحه در شبکه برای گزارش امنیتی و یا نوشتن یک ایمیل، گزارش تخلف فرستاده نخواهد شد. این نوعی از مانع است که مدیریت قادر است از طریق شرایط کار و توضیح رفتار مورد انتظار بر روی آن تاثیر بگذارد، اما این امر همچنین نیازمند آن است که مدیریت هم به اهمیت امنیت پی برد.
قابلیت استفاده
ویرایشمتاسفانه حتی اگر کارمندی یک گزارش شبکهای را پر نماید و یا آن را به صورت ایمیل ارسال نماید، هنوز یک ریسک باقی است که گزارش ناقص و اشتباه باشد و یا فرستاده نشود، به دلیل خطاهای انسانی معمول نظیر اشتباهات تایپی و یا حواسپرتی نظیر یک تماس تلفنی غیر منتظره و یک بازدید کننده که تمرکز فکری کارمند را از گزارش به موضوع دیگری منحرف می سازد.
این مطالعه بر روی گزارش وقایع توسط کارمندان تمرکز دارد، به دلیل قابلیت استفاده بالا در این اقدام امنیتی ویژه: تمامی کارمندان از سیاستهای شرکت خود با خبر بودند زیرا این سیاستها به وضوح نوشته و به آن ها توضیح داده شده بودند و همه میدانستند که چگونه باید یک گزارش را ارائه کنند. اما برای آنهایی که انتخاب کرده بودند تا اقدامات امنیتی تکنیکی از قبیل پنهان کردن ایمیل (3) و یا استفاده داوطلبانه از پسوورد دارای آنتروپی بالا در سرویسها و شبکههای گوناگون را مورد مطالعه قرار دهند (4)، قابلیت استفاده تبدیل به یک چالش بزرگتر شده بود. موانعی که در اینجا توضیح داده شدند، همچنان باقی هستند اما پیچیدگیهای تکنیکی چنین مکانیزمهای امنیتی با قابلیت پایین با یکدیگر جمع شدهاند و شکاف بزرگتری میان رفتار مورد انتظار و رفتار واقعی ایجاد کردهاند.
نتایج مطمئن به سادگی قابل انتظار نیستند اما واضح هستند. اگر افراد حق انتخاب داشته باشند، ایمیلی را پنهان نخواهند کرد و پسووردهای ساده را انتخاب خواهند نمود که به تنهایی نشان دهنده اهمیت قابلیت استفاده خوب مکانیزمهای امنیتی میباشد که همچنین نشان دهنده چالشهای بزرگی است که متخصصین امنیت کامپیوتری در هنگام طراحی سیستمهای امنیتی باید آنها را رعایت نمایند. همیشه مهم است که بر روی درجهای بالا از قابلیت استفاده تمرکز کرد، اما همانطور که مطالعه نشان داد موانع بحرانی دیگری باید پشت سر گذاشته شوند و آنها به طور مشخص از ویژگیهای روان شناختی روابط و رفتار انسانی نمو پیدا میکنند، اما مسیر حرکت به سوی تغییر رفتار، مسیری باریک و طولانی است و موانع بسیاری دارد که باید از آن ها عبور کرد.
تا کنون به نظر میرسد که تمرکز اصلی آموزشهای امنیتی بر روی مسائل تکنیکی، مکانیزم های امنیتی و مهاجمین بد اندیش و با کمی تاکید بر روی قابلیت استفاده امنیت بوده است. اما آیا سودمند تر نخواهد بود که این تمرکز را بر روی مسائل مربوط به عوامل انسانی گسترش دهیم؟ آیا آموزش امنیتی اطلاعات میتواند به چیره شدن بر برخی از چالشهای مربوط به نقصان کاربردپذیری تکنولوژی امنیتی کمک کند؟ در حال حاضر پاسخ روشنی وجود ندارد، اما می توان به طور ارزشمند بهترین راه های تربیت متخصصین امنیتی را بررسی و مورد بحث قرار داد. دست کم آموزش امنیتی کامپیوتر می تواند از گنجاندن موضوعات و ایده ای دیگر از علم اقتصاد، علم اخلاق، نظریه سازمانی و روان شناسی بهره گیرد.
منابع
ویرایش۱- جی. ام. هاگن، عامل انسانی در پس محیط امنیتی: ارزیابی ناثیر اقدامات امنیتی اطلاعات سازمانی و خدمت رسانی کارمندان به امنیت. پایاننامه دکترا ارائه شده برای دفاع به دانشگاه اسلو، ۲۰۰۹.
۲- ای. آلبراشتن، دوست یا دشمن؟ مدیریت امنیتی اطلاعاتی کارمندان، پایاننامه دکترا، دانشگاه نروژ، علم و فن آوری، ۲۰۰۸.
۳- ای. وایتن و جی. دی. تایگار، چرا جانی قادر به پنهان کردن نیست: ارزیابی قابلیت استفاده PGP 5%، ۱۹۹۹، ص. ۱۴.
۴- آر. موریس و کی. تامپسون، امنیت پسوورد: تاریخچه، جلد بیست و دوم، شماره ۱۱، ۱۹۷۹، صص. ۵۹۴-۵۹۷.