عامل‌های انسانی در امنیت اطلاعات/تامین امنیت قابل قبول برای کاربر

مقدمه

ویرایش

همه سازمانها، با مشکل روز افزون و پیچیده تامین امنیت سیستم‌ها و اطلاعات‌شان روبرو هستند. مشکلاتی که در این زمینه وجود دارد، افزایش الزامات قانونی و مقرارت می‌باشد. متاسفانه این قوانین در بسیاری از موارد غیر قابل اجرا و بیهوده‌است. امنیت اطلاعات مشکلی نیست که تنها با افزایش استفاده از فناوری‌های اطلاعاتی و ارتباطی (ICT) بوجود آمده باشد، بلکه یک مشکل قدیمی است که به محیط جدید منتقل شده‌است. متاسفانه ما در جهانی ناقص زندگی می‌کنیم و نتیجه این تحول به ظاهر منطقی، کاهش قابل توجهی در سطح امنیت اطلاعاتِ حساسِ ذخیره شده ما در سیستم ICT می‌باشد.

ذخیره‌سازی داده دیجیتال

ویرایش

امروزه، حجم اسنادی که در رسانه‌های دیجیتال ذخیره می‌شوند، رشد قابل توجهی دارد. در رسانه‌های جدیدِ ذخیره سازی دیجیتال، بایگانی و فهرست کردن اطلاعات در یک محیط مجازی انجام می‌شود. آنچه کاربران می‌بینند تنها نمایشی از آنچه است که واقعا رخ می‌دهد.

زمانی که از ذخیره‌سازان فیزیکی برای ذخیره‌سازی اطلاعات استفاده می‌کنیم، اعتبار سنجی شان نسبتا آسان می‌باشد، چون که سازمان‌های مختلف به منظور اشتراک گذاشتن اطلاعات، از یک مقیاس واحد استفاده می‌کنند. این امر باعث می‌شود بتوانیم با توجه به تاریخچه کاری یک سازمان و آزمایشات صورت گرفته، میزان کارایی سازمان را از نظر امنیتی بررسی کنیم.

این مساله، درمورد دارایی‌هایی که در رسانه‌های دیجیتال ذخیره می‌شوند، صادق نیست. یکی از مشکلات این است که، سازمان‌های مختلف نیازهای مختلفی دارند و فن آوری‌ها (تکنولوژی‌ها) و اقدامات امنیتی متفاوتی به آنها تحمیل می‌شود، که در طول زمان تغییر می‌کنند. با سیستم‌های ICT، اقداماتی که برای حفاظت از اطلاعات استفاده می‌شود، تا حد زیادی از دید کاربر پنهان است. بیشتر اقدامات امنیتی ICT در پس زمینه صورت می‌گیرد (firewall, IDS, malware scanning) و کاربر نمی‌داند که اقدامات امنیتی در حال وقوع است.

اوایل، هنگامی که دسترسی به سیستم‌های اطلاعاتی، تا حد زیادی محدود به سازمان‌های دولتی و موسسات دانشگاهی بود، رویکرد دولت در برابر امنیت اطلاعات، بر امنیت مطلق استوار بود. همانطور که استفاده از پردازنده‌های کامپیوتر و ICT فراگیر شد، این مساله روشن شد که امنیت مطلق غیر قابل حصول است. پس از آن رویکردی به نام مدیریت ریسک تصویب شد. در این رویکرد، اقدامات امنیتی مناسب با اطلاعات حساسِ نیازمندِ حفاظت طراحی شد. منطقی است که مشکلاتی در ایجاد روشی برای تعیین دقیق ریسک، در محیطی که تهدید موجود و فناوری‌ها دائما در حال تغییر است، وجود دارد. یکی از مشکلاتی که با رویکرد مدیریت ریسک داریم، این است که سیستم‌های ICT سابقه نسبتا کوتاهی دارند و هیچ داده مهمی که پایه تصمیم‌گیری‌های ریسکی باشد، وجود ندارد. دلیل دیگر این که سیستم‌های ICT محدودیت جغرافیایی ندارند و در زیر ساخت‌های جهانی وجود دارند.

عامل مشکل‌ساز دیگر این است که، زیر ساخت‌های مشابه (اینترنت) برای حمایت از هردو بعد شخصی و سازمانی مورد استفاده قرار می‌گیرد، در این صورت سازمانها در معرض حملاتی از سوی کامپیوترهایی که به اینترنت متصلند از هرجا و در هر زمان قرار گرفته‌اند. در گذشته، زمانی که اطلاعات مبتنی بر کاغذ بودند، یک مهاجم معمولا باید به مکان فیزیکی که اطلاعات در آن ذخیره شده مراجعه می‌کرد و اقدامات مخرب فیزیکی انجام می‌داد. این مساله موجب کاهش تعداد حملات بالقوه و ایجاد فرصت برای شناسایی مهاجم می‌شد. از آنجایی که در حال حاضر دسترسی به اطلاعات از طریق ابزارهای الکترونیکی صورت می‌گیرد دیگر نیازی به حضور فیزیکی در نیست و طیف تهدید حملات بالقوه نسبت به قبل افزایش یافته‌است.

آزمایش اقدامات امنیتی برای سیستم‌های ICT بسیار دشوار است. آنها باید به سایر عناصر سیستم تکیه کنند (بطور مثال سیستم عامل). تنوع زیاد اقدامات امنیتی موجود کار را پیچیده می‌کند. هم چنین هزینه آزمایش اقدامات امنیتی ICT بالاست، که با دوره زمانی محدود تشدید می‌شود.

متاسفانه مردم برای داده‌های ذخیره شده و پردازش شده در کامپیوترشان، چنین تدابیر امنیتی را در نظر نمی‌گیرند. این به این دلیل است که مردم ارزش اطلاعات خود را نمی‌دانند. اما همچنان با وجود افزایش آگاهی مردم ذاتا ساده هستند و به راحتی اعتماد می‌کنند. به همین دلیل هنگامی که از اینترنت استفاده می‌کنند ممکن است قربانی حملات مخرب، مهندسی اجتماعی، کلاهبرداری و سرقت اطلاعات شخصی در رایانه‌های خود شوند.

عامل دیگر، مردم معمولا درک خوبی از ارزش اشیا فیزیکی دارند، در حالی که ارزش واقعی اطلاعات را تعداد کمی از مردم و یا سازمانها می‌دانند. در ابتدا، کاربران مجبور به یادگیری وارد کردن دستورات خود بر روی عملیات مورد نیاز بودند، اما امروزه با استفاده از واسط‌های گرافیکی(GUI) که منجر به سهولت کار برای کاربر شده، تعداد افرادی که قادر به استفاده از کامپیوتر هستند رو به افزایش است. یکی از مزایای GUIها این است که از بسیاری از پردازش‌هایی که درون کامپیوتر رخ می‌دهد بازخورد قابل مشاهده سریعی به کاربر می‌دهد. رویکردی که توسط امنیت اطلاعات اتخاذ شده بر اساس همان مفهومی است که برای GUI اتخاذه شده‌است، که بسیاری از فرآیندهای ممکن بطور خودکار و با استفاده از نرم افزار به جای کاربر انجام می‌شوند. این مساله به کاربرانی که سواد امنیت اطلاعاتی ندارند کمک می‌کند که با روشی نسبتا امن برای کار از سیستم استفاده کنند.

با توجه به تعداد گزارشات نقض امنیت اطلاعات و سرقت اطلاعات، نرم‌افزارهای هک و مخرب، روشن است که رویکرد امنیت موجود موثر نبوده‌است. همیشه رسیدن به امنیت مناسب پر هزینه‌است، همانطور که قبلا ذکر شد حدود ۲۰ سال پیش دولت‌ها و سازمان‌ها متوجه شدند که، دستیابی به امنیت مطلق مقرون به صرفه نیست و در بسیاری موارد دست نیافتنی است. برای دست‌یابی به تعادل سطح قابل قبول خطر و ارائه اقدامات امنیتی موثر تعیین می‌شود.

رویکردی متفاوت

ویرایش

در حال حاضر به امنیتی که لازم است دست نیافته‌ایم. برای رسیدن به روشی جایگزین که درک کاربران را نسبت به امنیت اطلاعات بهبود بخشد لازم است که کارکنان امنیت اطلاعاتی به مشکلاتی که کاربران تشخیص می‌دهند رسیدگی کنند و با تعلیم و پشتیبانی مناسب سطح آگاهی کاربران را نسبت به امنیت سیستم بالا ببرند.

رویکردی دیگر، بهبود نرم افزار و ارائه پیام‌های معنی دار به کاربر است، اگر کیفیت نرم افزاری که در سیستم‌های ICT استفاده می‌شود بهبود یابد آسیب پذیری بالقوه سیستم نیز کم می‌شود. در اکثر سازمانها سیستم‌های ICT طراحی و توسعه یافته‌اند و امنیت به عنوان یک مانع برای بهره وری شناخته شده‌است. این مساله به این دلیل است که از ابتدا قابلیت امنیتی سیستم‌های ICT طراحی نشده‌اند، اگر امنیت از ابتدا در خود سیستم طراحی می‌شد، یکپارچه تر، کاراتر و مقرون به صرفه تر می‌شد.

نتیجه

ویرایش

در حال حاضر قابلیت امنیت سیستم‌های ICT برای کاربران جز پیغام‌هایی که بی‌معنی‌اند به راحتی قابل مشاهده نمی‌باشد، حکومت‌های امنیتی برای مجازات اقدامات خطا روی کار آمدند و هیچ پاداشی برای کارهای مثبت در نظر نگرفته‌اند. مادامیکه، این محیط وجود دارد، شانس کمی برای بهبود درک کاربران از امنیت ICT وجود خواهد داشت. این امکان وجود دارد، که با هماهنگ سازی گروه‌های توسعه دهندگان سیستم و نرم افزار امنیت ICT، مدیریت کارکنان، توسعه دهندگان امنیت و آموزش، درک کاربران و تعامل‌شان با امنیت ICT بهبود یابد. معمولا هزینه بالایی خواهد داشت. اگر سازمانها متناسب با امنیت ICT فرهنگ سازمانی را تغییر دهند و فعالیت‌ها در جهت ایجاد انگیزه برروی موضوع امنیت ICT تمرکز کنند، باعث می‌شود تا تفکر کاربران به این موضوع معطوف شود.

منابع

ویرایش

عنوان انگلیسی مقاله: Making Information Security Acceptable to the use

عنوان فارسی مقاله: تامین امنیت قابل قبول برای کاربر

پیوند به مقاله: دریافت منبع