عاملهای انسانی در امنیت اطلاعات/امنیت در محیط پر ریسک: راهبردهایی به منظور مدیریت امنیت به عنوان یک مسئله روزمره درگیرکننده
امنیت در محیط پر ریسک : راهبردهایی به منظور مدیریت امنیت به عنوان یک مسئله روزمره درگیرکننده
Security in the wild: user strategies for managing security as an everyday, Practical problem By: Paul Darius. Rebecca E. Grinter and etc
مقدمه
ویرایشدر حالی که فراگیری شبکههای کامپیوتری (رایانهای) دستیابی به اهداف بالاتری را رصد میکنند، یک چالش بزرگ در ارتباط با مسئله امنیت را نیز پیش میکشند. اگرچه امنیت سیستمهای اطلاعاتی یک قسمت مهم از صنایع نظامی و شرکت ها بوده است، اما به دغدغه اصلی شبکههای کامپیوتری و موبایل تبدیل شده است. با ورود تجارت الکترونیک (تجارت الکترونیکی) خطر دزدی اطلاعات کارتهای اعتباری، اطلاعات هویت فردی، نقل و انتقالات بانکی، الخ افزایش یافته است و از سوی دیگر در شبکههای پرتابل موقعیت جغرافیایی (location) و فعالیت ها در معرض خطر دزدی قرار دارند. منظور از امنیت در این مقاله توانایی کاربر برای اعتماد به یک سری از کارکردهایی است سیستم به طور مستقیم و غیرمسقیم به منظور حفاظت از اطلاعات کاربر و دیگر منابع استفاده میکند. در حالی که امنیت اجتماعی و امنیت در سیستمهای شبکهای رابطه بسیار نزدیکی دارند اما در این مقاله تفاوت عمدهای میان امنیتی که یک نگرانی تکنیکی است و امنیتی که یک نگرانی اجتماعی است قائل شدهایم.
رویکرد به عوامل انسانی یا عوامل فنی
ویرایشمشکل امنیت در شبکه های کامپیوتری در حقیقت به تضادی بر میگردد که بین استفاده آسان از کامپیوتر و مسئله امنیت وجود دارد، سیستم های امنیتی عموما سعی میکنند که محدودیت هایی را برای استفاده ایجاد نمایند (مانند کلمه عبور و سایر موارد تشخیص هویت)؛ معمولا محدودیتهایی که سیستمهای امنیتی ایجاد مینمایند باعث دردسر کاربران میباشد، درحالی که همان ها در نهایت به نقاط ضعف شبکه تبدیل میشوند. محققان دو رهیافت برای غلبه بر این مشکل ابداع نمودهاند که یکی از پایین به بالا است (تمرکز بر سیستمهای تکنیکی و فنی) و دومیاز بالا به پایین است (تمرکز بر عوامل انسانی). یکی از تکنیکها در رهیافت پایین به بالا از منظر تکنیکی فرآیند ایجاد امنیت در پشت پرده سیستم اتفاق میافتد و کاربر اطلاعات چندانی از تکنیکها و فرآیندهای ایجاد امنیت ندارد. بزرگترین مشکل این نوع سیستمها این است که چون کاربر اطلاعات چندانی از سیستم ندارد، در مواقع لزوم قادر نیست واکنشهای مورد نیاز را به مشکلات ایجاد شده نشان دهد. تکنیک دیگر این رهیافت دستهبندی و قید گذاری سیستمهای امنیتی با ایده افزایش کیفیت سیستمهای امنیتی میباشد و با توجه به اینکه در یک ساختار سازمانی برای استفاده بهینه از منابع موجود لازم است، عوامل مختلف سازمان با یکدیگر ارتباط موثری داشته باشند که سیستم امنیتی نیز از این قاعده مستثنی نیستند، مدیریت به منظور استفاده راحتتر از منابع این سیستمهای امنیتی را از کار خواهد انداخت. دومین رهیافت تمرکز بر تحلیل عوامل انسانی را در اولویت نسبت به تمرکز بر تکنولوژی (فناوری) قرار میدهد.
روش تحقیق
ویرایشدر این مقاله از دو رهیافت نیمه ساخت یافته کیفی مصاحبه ای برای جمعآوری اطلاعات و تحلیل آنها استفاده شده است. هدف اصلی در این مقاله این نیست که کاربران چه میکنند، بلکه مهم نحوه تفکر آنها نسبت به مقوله امنیت است. در این مقاله سعی شده است به جای استفاده از سیستمهای آماری، سوالات عمیق تری از نمونه کوچکتر پرسیده شود تا اطلاعات بیشتری به دست آید، و بتوان دستهبندی درست تری از کاربران ارائه کرد. نتایج مصاحبهها به دو دسته تقسیم میشوند، اول در پاسخ به اینکه مقوله امنیت چگونه بر فعالیت های روزمره افراد تاثیر میگذارد و افراد چه برداشتی از مقوله امنیت دارند و دوم اینکه افراد چه الگویی را برای برآوردن نیازهای امنیتی خود استفاده مینمایند. از اولی به تجربه امنیت و از دومیبه تمرین امنیت تعبیر شده است.
تجربه امنیت
ویرایشدر حالی که این توابع ریاضی و تکنیک های برنامهنویسی هستند که حد و مرزهای امنیت را مشخص مینمایند، کاربران نگاه متفاوت و بازتری نسبت به این مقوله دارند. در این قسمت نویسندگان مقاله سعی دارند که تشریح نمایند، چگونه افراد با فناوریهای مختلف امنیتی مواجه میشوند و بر 3 تجربهای که از دادههای جمعآوری شده مشخص شده بود تکیه دارند.
گرایش های به امنیت
ویرایشناراحتی و ناخوشایندی: اگرچه جزئیات تجربیاتی که افراد مختلف با سیستم های امنیتی دارند بسیار متفاوت است داده های جمع آوری شده گرایش های مشخص و معمولی که افراد نسبت به سیستم امنیتی نشان میدهند مشخص میکند. متاسفانه داده های جمع آوری شده مشخص مینماید که بیشترین واکنش ها و گرایش ها به مقوله امنیت گرایش های منفی و خنثی است. در حالی که نمونه گیری ها در این تحقیق بر روی سن افراد تمرکز نداشته است، بر اساس داده های بدست آمده میتوان حدس زد که سن و تجربه کار با کامپیوتر با گرایش افراد به سیستم های امنیتی وابستگی دارد، به طور مثال افراد جوانتر که سابقه کار بیشتری با کامپیوتر دارند اعتماد بیشتری در مواجهه با سیستم های امنیتی که به نظر بیشتر مزاحم میرسند تا یاری دهنده از خود بروز میدهند، به عنوان مثال هنگام انتقال اطلاعات از طریق شبکه و خاموش کردن فایر وال ها این افراد تمایل بیشتری به گزارش کردن آن دارند و همانقدر که به هزینه های راه اندازی سیستم های امنیتی توجه دارند در مورد فوائد آن نیز صحبت میکنند.
عمل گرایانه: در مرحله قبل توضیح داده شد که جوانترها عمل گرایانه تر با سیستم های امنیتی برخورد میکنند، به طور مثال جوانترها هنگامیکه فکر میکردند با ریسک بالاتری مواجه هستند(مانند زمان استفاده از یک درایو خارجی که به نظر میرسید مملو از ویروس باشد) از تکنولوژی های مطمئن تری استفاده مینمودند. در نهایت برای کاربران عمل گر سیستم هم باید به صورت قابل انعطاف و نیم شفاف (توضیح داده شده) عمل نماید تا روابط آنها با سیستم به صورت عملی برقرارگردد.
بی فایدگی و پوچی: این افراد بیشترین اعتماد را نسبت به توانایی های خود دارند حتی عمل گراتر از دسته پیشین به مقوله امنیت مینگرند، لیکن بدلیل عدم کارایی های ملاحظه شده پیشین اعتماد به سیستم را از دست داده اند. نتیجه این احساس پوچی در مقابل تهدیدات مختلف متفاوت است.
تجربه سیستم به عنوان یک عامل محدود کننده
ویرایشیافته های نویسندگان مقاله نشان میدهد که یکی از دلایلی که نگاه کاربران به مسائل امنیتی منفی است بدلیل محدودیت هایی است که این گونه سیستم ها در دسترسی آنها به اطلاعات ایجاد مینماید. به عنوان مثال هنگامیکه در مصاحبه ها بر روی مسائل تکنولوژیک تمرکز شده بود پاسخ دهندگان بحث را به مسائل بازتری مانند پست های الکترونیک ناخواسته و غیره میکشاندند. سه مورد در این خصوص به ذهن متبادر میشود که بر اساس اطلاعات جمع آورری شده به قرار زیر میباشند.
- یک سیستم امنیتی که صرفا بتواند یک مسئله امنیتی را حل کند و نتواند به مشکلات دیگر پاسخ گوید از طرف کاربران مورد قبول قرار نخواهد گرفت.
- ممکن است تلقی اشتباه کاربران از یک سیستم امنیتی منجر به ناکارآمد جلوه کردن آن سیستم شود،
- در نهایت تمرکز کاربر بر یک جنبه از امنیت میتواند باعث افزایش خطر جنبه های دیگر شود.
تمرین امنیت
ویرایشدر قسمت قبل به نوع نگرش عموم به مقوله امنیت پرداخته شد در این قسمت به نحوه تعامل افراد در استفاده از تکنولوژی هایی که در امنیت استفاده میشوند پرداخته شده است. بسیاری از مردم در کارهای روزمرهاشان نه تمایل و نه وقت آن را دارند که دائما نسبت به تهدیدات جدید هوشیار باشند، آنها بر روی انجام کار خود تمرکز مینمایند. یکی از نکات جالب در این زمینه مدل هایی است که بر اساس آن افراد این هوشیاری دائمی خود را به آن محول مینمایند.
- این مسئولیت را به تکنولوژی محول میکنند.
- این مسئولیت را به شخص دیگری محول میکنند.
- این مسئولیت را به یک سازمان دیگر محول میکنند.
- این مسئولیت را به یک موسسه مانند موسسات مالی و اعتباری محول میکنند.
اعمال امنیت
ویرایشواقعیت این است که افراد از سیستم پست الکترونیک استفاده می نمایند. حتی زمانی که بدانند اطلاعاتی که جابجا میشوند میبایست مورد محافظت قرار گیرند اما برای محافظت از این اطلاعات کلا دو دسته رویکرد وجود دارد. اول اینکه از یک امضای الکترونیک در پایان فایلهای پیوست شده استفاده میشود و دوم اینکه با استفاده از ادبیات کاری موضوع اصلی را که پیوست پست الکترونیک مخفی مینمایند(نوعی رمزنگاری) باید توجه داشت که راهبرد دوم به صورت تصادفی انتخاب نشده است و عموما به صورت یک الگو استفاده میشود. نکته دیگر این است که شفافیت بالاتر سیستم کاربرد و امنیت باعث افزایش احساس امنیت در افراد میشود به عنوان مثال بسیاری از مصاحبه شوندگان ادعا کرده اند که برای مکالماتشان سیستم تلفن را ترجیح میدهند و هنگامیکه موضوعات حساسی مطرح میشود تلفن را به استفاده از پست الکترونیک ترجیح میدهند. در نهایت و بر اساس مطالعات دیگری که انجام شده است میتوان به این نتیجه رسید که عموم مردم رسانهای را ترجیح میدهند که از طریق آن اسناد مکتوب جابجا نشود و بجای آن از کلمات شفاهی استفاده گردد.
مدیریت امنیت در مقیاس کلان
ویرایشراهبرد دیگر مدیریت امنیت در طراحی فضاهای اداری جا دارد. بهترین مثال برای این راهبرد افرادی هستند که از یک سو میبایست اطلاعات محرمانه (بر روی نمایشگر کامپیوتر) را مورد تحلیل قرار دهند و از سوی دیگر به طور همزمان با اشخاص مختلف تماس داشته باشند. همانطور که مشخص است این گونه برنامهریزی ها بر روی جانمایی محیط کاری اثر خواهد گذارد.
مدیریت هویت
ویرایشنویسندگان این مقاله در طی انجام مصاحبه های خود با چالش امنیتی دیگری مواجه شده اند که به مسئله هویت بر میگردد این چالش هم به تولید و معرفی هویت و هم به تحلیل و تفسیر آن برمیگردد. این مصاحبه ها نشان میداد که افراد نسبت به معرفی خود در فضای مجازی حساسیت زیادی به خرج میدهند. مورد دوم تفسیری است که از هویت فرد در محیط مجازی انجام میگیرد. به عنوان مثال در محیط اینترنت در مواردی افراد مختلفی میبایست به یک فضا دسترسی داشته باشند که این تعیین هویت آنها را دچار مشکل خواهد نمود به عنوان مثال BOB@COMPAY.COM به یک شخص اشاره میکند اما SOCCER@COMPAY.COM احتمالا به یک گروه اشاره مینماید.
نتیجه گیری
ویرایشامنیت و خصوصی سازی شاید دومین مشکل مهم در شبکه های فراگیر کامپیوتری باشد. در بسیاری از کنفرانس ها و مقالات از امنیت به عنوان بزرگترین مشکل سیستم های کامپیوتری نام برده شده است. سندروم دوم بودن مقاله امنیت دو مفهوم را مشخص مینماید. اول اینکه امنیت و خصوصیسازی مهمترین چالش سازمان برای پیشبرد اهداف آینده است و از سوی دیگر کمتر درک شده است. در حالی که تکنیک ها و مدل های ریاضی لازم برای ارتقاء سیستم های امنیتی هر روزه ارتقاء پیدا میکنند اما پیشرفت ایجاد امنیت در شبکه های فراگیر کامپیوتری متناسب با آن نبوده است.
به نظر میرسد بزرگترین مشکل این سیستم های امنیتی عدم کارایی کافی آنها در مواجهه با کاربران میباشد. این تحقیق بیشتر به منظور تبیین استراتژیهایی در طراحی این سیستمها انجام گرفته و از سوی دیگر این مسئله را مد نظر دارد که مدیریت امنیت یک مفهوم سیال است که در درون سازمان میباشد.
منابع
ویرایشDourish, P., Grinter, R.E., Flor, J.D.D.L., Joseph, M.: Security in the wild: user strategies for managing security as an everyday, practical problem. Personal and Ubiquitous Computing(2004) 391-401