عامل‌های انسانی در امنیت اطلاعات/آیا یک آموزش امنیتی همیشگی یک چالش به حساب می‌آید؟

چکیده

ویرایش

همانطور که در قانون امنیتی نروژ در سال 1998 تنظیم شده است، سازمان‌های عمومی و خصوصی در نروژ باید اقدامات امنیتی مختلف بسیاری را اجرا نمایند تا از اطلاعات طبقه‌بندی‌شده در برابر دستبرد و افشا شدن محافظت نمایند. این قانون موضوعاتی را تحت پوشش قرار می‌دهد که از امنیت کامپیوتر تا مراحل امنیتی ابتدایی تا اختیارات امنیتی متغیر می‌باشد، بنابراین سازمان‌ها باید کارمندان خود را به طور کامل آموزش دهند تا در قبول این قانون به همراه بندهای بیشمار این قانون به کارمندان اطمینان حاصل نمایند. سازمان امنیت ملی نروژ (NSM) این سازمان‌ها را مورد نظارت قرار می‌دهد و به طور مداوم آن ها را بازرسی می‌نماید.

در یک همکاری با سازمان (NSM)، من مطالعه‌ای را به انجام رساندم درباره اینکه چگونه کارمندان سیاست‌های امنیتی سازمان و راهبردها را در خود به صورت نهادینه در می‌آورند و اینکه چگونه این مسئله بر روی عملکرد و رفتار آنها تاثیر می‌گذارد. من اطلاعات را از طریق مصاحبه‌های شخصی با 94 کارمند در چهار سازمان (NSM) منتخب مختلف جمع‌آوری نمودم. مدیران منابع انسانی موجود در هر یک از شرکت‌ها، افرادی را برای پاسخگویی انتخاب کردند که معرف طیفی از پست‌های کاری و سنین مختلف در درون سازمان‌ها بودند. شاید جای تعجب نداشته باشد که یافته‌های ما نشان دهنده اختلاف‌هایی میان رفتارهای امنیتی مورد انتظار و رفتارهای امنیتی واقعی بودند (1). یافته های من همچنین نشان دهنده موانع بسیاری بودند که کارمندان باید قبل از اینکه حتی آرزوی دستیابی به رفتار امنیتی مورد انتظار را داشته باشند، از آن عبور نمایند (به شکل 1 مراجعه کنید).

 
شکل 1. موانعي که از رفتار امنيتي مورد انتظار جلوگيري مي کنند. در يک مطالعه بر روي شرکت هاي نروژي ميان رفتار هاي امنيتي مورد انتظار از کارمندان و رفتار هاي امنيتي واقعي اختلاف زايدي يافت شده است.


این موانع هم توضیح می دهند که چرا برای افراد دشوار است که به این سیاست‌های امنیتی تجاری عمل کنند و هم برخی چالش‌هایی را نشان می‌دهد که معلمان در هنگام کمک به دانش آموزان در جهت چیره شدن بر آن ها با آن ها رو به رو هستند. جدول شماره 1 نشان می دهد که حتی با آنکه هر چهار سازمان بر اساس این قانون به طور مشابه شکل گرفته‌اند، کارمندان عملکرد های مختلفی نسبت به گزارش رویداد امنیتی داشته اند.

در این مقاله کوتاه، من برخی از نکات مهم این مطالعه را توصیف می‌کنم و این سوال را مطرح می کنم که آیا معلمان امنیتی قادر هستند از یافته های این مطالعه بهره بگیرند تا آموزش امنیتی را در آینده ارتقاء ببخشند.

موانع

ویرایش

من از ملاقات های اولیه با هر سازمان متوجه شدم که اولین گام در برنامه آموزشی آنها گفتگو با کارمندان درباره (رفتار مورد انتظار) است، به طور مثال چه موقع یک رویداد امنیتی را گزارش کنند. کارمندان به محض استخدام شدن یاد گیرند که شرکت از آن ها انتظار دارد تا هر گونه تخلف امنیتی را که مشاهده کردند، گزارش کنند و برای اینکه تا حد امکان این کار را آسان کنند، آن ها می توانند انتخاب کنند که از طریق تماس تلفنی گزارش بدهند یا مدیر امنیتی را شخصاً ملاقات کنند و یا از طریق فرستادن ایمیل گزارش بدهند. یکی از چهار سازمان از کارمندان درخواست کرد که از یک سرویس گزارشی شبکه ای استفاده کنند، اما صرف نظر از گزینه انتخابی آن ها، تمامی مکانیزم ها به طور تعمدی برای استفاده آسان بودند و بنابراین هیچگونه مانع امنیتی ایجاد نمی کردند. با این وجود، حتی با این درجه بالا از قابلیت استفاده، بسیاری از کارمندان هنوز ترجیح می دادند که تخلف های امنیتی را گزارش نکنند. چرا؟

اولین مانع، قابلیت استفاده مکانیزم گزارش وقایع امنیتی، فاقد پیامد بود و منجر به دومین مانع شد: فقدان دانش امنیتی. علاوه بر اینکه کارمندان باید بدانند که چرا نیاز است که تخلفات امنیتی را گزارش کنند و درک کنند که چگونه این کار را انجام دهند، همچنین باید قادر باشند تا در هنگامی که یک تخلف امنیتی را مشاهده کردند، آن را شناسایی نمایند. در سازمان هایی که در این مطالعه شرکت داشتند، همه کارمندان می دانستند که باید وقایع را گزارش کنند و چگونه این کار را انجام دهند، اما برخی از آن ها در شناسایی تخلف ها دچار مشکل بودند.

هنگامی که زمان عملکرد کارمندان در جهت ایجاد امنیت فرا رسید، مانعی دیگری ایجاد گردید. برخی احساس می کردند که گزارش کردن تخلفات امنیتی که یک کارمند جدید انجام داده است، کاری ناعادلانه می باشد، حتی اگر این کار به معنای نقض این التزام امنیتی اصلی باشد مبنی بر اینکه هر گونه تخلف مشاهده شده باید گزارش گردد.

مشاهده کنندگان بر این باور بودند که باید به متخلف و کارمند جدید شانس دیگری داده شود و بنابراین آن ها تمایل داستند تا مشکل امنیتی را با همکار خود مورد بحث قرار دهند و به او بگویند که چگونه به درستی رفتار نماید تا اینکه یک گزارش دفتری را به ثبت برسانند. در هر حال، این مسئله همچنین به این معناست که مدیر امنیتی از این رویداد بی خبر مانده است و بنابراین متوجه نشده است که چنین بازخوردی نشان دهنده نیاز به آموزش بیشتر، به خصوص برای کارمندان جدید می باشد.


 
جدول 1. عملکرد ها در برابر رفتار ها در تخلفات امنيتي گزارش شده.



همچنین برخی از پاسخ دهندگان معنایی را کا در پشت قانون امنیتی قرار داشت را زیر سوال بردند و مایل نبودند تخلفاتی را که از نظر آن ها قدیمی، بی مورد و بی معنا بود را گزارس دهند. عملکرد برخی دیگر از آن ها به گونه ای بود که امنیت در مسئولیت آن ها نیست و در نتیجه از عمل کردن به آن خودداری می کردند.

برخی ممکن است اینطور بگویند که آموزش آگاهانه ممکن است این مانع را کوچکتر نماید زیرا عملکرد های امنیتی را بهبود می بخشد، اما این کافی نیست (2). این مطالعه بدون تردید نشان می دهد که چه زمانی کارمندان ترجیح می دهند ببینند تا همکاران دیگر چگونه عمل می کنند و یا از آن ها کمک بگیرند. این نقطه ای است که در آن نوعی فعالیت امنیتی متداول، فرهنگ و یا هنجار درباره رفتار درست رشد پیدا می کند. یکی از پاسخ دهندگان گفت: من چرا نباید از کارت های حافظه استفاده کنم زمانی که همه از آن ها برای فرستادن اطلاعات استفاده می کنند؟ به طور مشابه، برخی دیگر این عملکرد را دنبال کردند که چرا من باید وقایعی را که تقریباً خطا به حساب می آیند را گزارش کنم هنگامی که هیچکس این کار را انجام نمی دهد؟

به این مشکلات یک عامل سازمانی دیگر هم اضافه گردیده: اهداف متضاد. بسیاری از کارمندان تحت فشار زیادی کار می کنند تا محصولات را در طی یک فرجه زمانی مشخص که ممکن است با مراحل وقت گیر در تضاد باشد، تحویل دهند. در چنین موقعیتی کارمندان چگونه باید اهداف امنیتی را به طور مثال با تعاریف شغلی خود اولویت بندی کنند. اگر انتخاب میان انجام وظیفه ای باشد که بخشی از عملکرد اصلی می باشد که شخص بر اساس آن مورد قضاوت قرار می گیرد (و احتمالاً ترفیع می گیرد) و یا پر کردن یک صفحه در شبکه برای گزارش امنیتی و یا نوشتن یک ایمیل، گزارش تخلف فرستاده نخواهد شد. این نوعی از مانع است که مدیریت قادر است از طریق شرایط کار و توضیح رفتار مورد انتظار بر روی آن تاثیر بگذارد، اما این امر همچنین نیازمند آن است که مدیریت هم به اهمیت امنیت پی برد.

قابلیت استفاده

ویرایش

متاسفانه حتی اگر کارمندی یک گزارش شبکه‌ای را پر نماید و یا آن را به صورت ایمیل ارسال نماید، هنوز یک ریسک باقی است که گزارش ناقص و اشتباه باشد و یا فرستاده نشود، به دلیل خطاهای انسانی معمول نظیر اشتباهات تایپی و یا حواسپرتی نظیر یک تماس تلفنی غیر منتظره و یک بازدید کننده که تمرکز فکری کارمند را از گزارش به موضوع دیگری منحرف می سازد.

این مطالعه بر روی گزارش وقایع توسط کارمندان تمرکز دارد، به دلیل قابلیت استفاده بالا در این اقدام امنیتی ویژه: تمامی کارمندان از سیاست‌های شرکت خود با خبر بودند زیرا این سیاست‌ها به وضوح نوشته و به آن ها توضیح داده شده بودند و همه می‌دانستند که چگونه باید یک گزارش را ارائه کنند. اما برای آن‌هایی که انتخاب کرده بودند تا اقدامات امنیتی تکنیکی از قبیل پنهان کردن ایمیل (3) و یا استفاده داوطلبانه از پسوورد دارای آنتروپی بالا در سرویس‌ها و شبکه‌های گوناگون را مورد مطالعه قرار دهند (4)، قابلیت استفاده تبدیل به یک چالش بزرگتر شده بود. موانعی که در اینجا توضیح داده شدند، همچنان باقی هستند اما پیچیدگی‌های تکنیکی چنین مکانیزم‌های امنیتی با قابلیت پایین با یکدیگر جمع شده‌اند و شکاف بزرگتری میان رفتار مورد انتظار و رفتار واقعی ایجاد کرده‌اند.

نتایج مطمئن به سادگی قابل انتظار نیستند اما واضح هستند. اگر افراد حق انتخاب داشته باشند، ایمیلی را پنهان نخواهند کرد و پسوورد‌های ساده را انتخاب خواهند نمود که به تنهایی نشان دهنده اهمیت قابلیت استفاده خوب مکانیزم‌های امنیتی می‌باشد که همچنین نشان دهنده چالش‌های بزرگی است که متخصصین امنیت کامپیوتری در هنگام طراحی سیستم‌های امنیتی باید آن‌ها را رعایت نمایند. همیشه مهم است که بر روی درجه‌ای بالا از قابلیت استفاده تمرکز کرد، اما همانطور که مطالعه نشان داد موانع بحرانی دیگری باید پشت سر گذاشته شوند و آن‌ها به طور مشخص از ویژگی‌های روان شناختی روابط و رفتار انسانی نمو پیدا می‌کنند، اما مسیر حرکت به سوی تغییر رفتار، مسیری باریک و طولانی است و موانع بسیاری دارد که باید از آن ها عبور کرد.

تا کنون به نظر می‌رسد که تمرکز اصلی آموزش‌های امنیتی بر روی مسائل تکنیکی، مکانیزم های امنیتی و مهاجمین بد اندیش و با کمی تاکید بر روی قابلیت استفاده امنیت بوده است. اما آیا سودمند تر نخواهد بود که این تمرکز را بر روی مسائل مربوط به عوامل انسانی گسترش دهیم؟ آیا آموزش امنیتی اطلاعات می‌تواند به چیره شدن بر برخی از چالش‌های مربوط به نقصان کاربردپذیری تکنولوژی امنیتی کمک کند؟ در حال حاضر پاسخ روشنی وجود ندارد، اما می توان به طور ارزشمند بهترین راه های تربیت متخصصین امنیتی را بررسی و مورد بحث قرار داد. دست کم آموزش امنیتی کامپیوتر می تواند از گنجاندن موضوعات و ایده ای دیگر از علم اقتصاد، علم اخلاق، نظریه سازمانی و روان شناسی بهره گیرد.

منابع

ویرایش

۱- جی. ام. هاگن، عامل انسانی در پس محیط امنیتی: ارزیابی ناثیر اقدامات امنیتی اطلاعات سازمانی و خدمت رسانی کارمندان به امنیت. پایان‌نامه دکترا ارائه شده برای دفاع به دانشگاه اسلو، ۲۰۰۹.

۲- ای. آلبراشتن، دوست یا دشمن؟ مدیریت امنیتی اطلاعاتی کارمندان، پایان‌نامه دکترا، دانشگاه نروژ، علم و فن آوری، ۲۰۰۸.

۳- ای. وایتن و جی. دی. تایگار، چرا جانی قادر به پنهان کردن نیست: ارزیابی قابلیت استفاده PGP 5%، ۱۹۹۹، ص. ۱۴.

۴- آر. موریس و کی. تامپسون، امنیت پسوورد: تاریخچه، جلد بیست و دوم، شماره ۱۱، ۱۹۷۹، صص. ۵۹۴-۵۹۷.