عاملهای انسانی در امنیت اطلاعات/تامین امنیت قابل قبول برای کاربر
مقدمه
ویرایشهمه سازمانها، با مشکل روز افزون و پیچیده تامین امنیت سیستمها و اطلاعاتشان روبرو هستند. مشکلاتی که در این زمینه وجود دارد، افزایش الزامات قانونی و مقرارت میباشد. متاسفانه این قوانین در بسیاری از موارد غیر قابل اجرا و بیهودهاست. امنیت اطلاعات مشکلی نیست که تنها با افزایش استفاده از فناوریهای اطلاعاتی و ارتباطی (ICT) بوجود آمده باشد، بلکه یک مشکل قدیمی است که به محیط جدید منتقل شدهاست. متاسفانه ما در جهانی ناقص زندگی میکنیم و نتیجه این تحول به ظاهر منطقی، کاهش قابل توجهی در سطح امنیت اطلاعاتِ حساسِ ذخیره شده ما در سیستم ICT میباشد.
ذخیرهسازی داده دیجیتال
ویرایشامروزه، حجم اسنادی که در رسانههای دیجیتال ذخیره میشوند، رشد قابل توجهی دارد. در رسانههای جدیدِ ذخیره سازی دیجیتال، بایگانی و فهرست کردن اطلاعات در یک محیط مجازی انجام میشود. آنچه کاربران میبینند تنها نمایشی از آنچه است که واقعا رخ میدهد.
زمانی که از ذخیرهسازان فیزیکی برای ذخیرهسازی اطلاعات استفاده میکنیم، اعتبار سنجی شان نسبتا آسان میباشد، چون که سازمانهای مختلف به منظور اشتراک گذاشتن اطلاعات، از یک مقیاس واحد استفاده میکنند. این امر باعث میشود بتوانیم با توجه به تاریخچه کاری یک سازمان و آزمایشات صورت گرفته، میزان کارایی سازمان را از نظر امنیتی بررسی کنیم.
این مساله، درمورد داراییهایی که در رسانههای دیجیتال ذخیره میشوند، صادق نیست. یکی از مشکلات این است که، سازمانهای مختلف نیازهای مختلفی دارند و فن آوریها (تکنولوژیها) و اقدامات امنیتی متفاوتی به آنها تحمیل میشود، که در طول زمان تغییر میکنند. با سیستمهای ICT، اقداماتی که برای حفاظت از اطلاعات استفاده میشود، تا حد زیادی از دید کاربر پنهان است. بیشتر اقدامات امنیتی ICT در پس زمینه صورت میگیرد (firewall, IDS, malware scanning) و کاربر نمیداند که اقدامات امنیتی در حال وقوع است.
اوایل، هنگامی که دسترسی به سیستمهای اطلاعاتی، تا حد زیادی محدود به سازمانهای دولتی و موسسات دانشگاهی بود، رویکرد دولت در برابر امنیت اطلاعات، بر امنیت مطلق استوار بود. همانطور که استفاده از پردازندههای کامپیوتر و ICT فراگیر شد، این مساله روشن شد که امنیت مطلق غیر قابل حصول است. پس از آن رویکردی به نام مدیریت ریسک تصویب شد. در این رویکرد، اقدامات امنیتی مناسب با اطلاعات حساسِ نیازمندِ حفاظت طراحی شد. منطقی است که مشکلاتی در ایجاد روشی برای تعیین دقیق ریسک، در محیطی که تهدید موجود و فناوریها دائما در حال تغییر است، وجود دارد. یکی از مشکلاتی که با رویکرد مدیریت ریسک داریم، این است که سیستمهای ICT سابقه نسبتا کوتاهی دارند و هیچ داده مهمی که پایه تصمیمگیریهای ریسکی باشد، وجود ندارد. دلیل دیگر این که سیستمهای ICT محدودیت جغرافیایی ندارند و در زیر ساختهای جهانی وجود دارند.
عامل مشکلساز دیگر این است که، زیر ساختهای مشابه (اینترنت) برای حمایت از هردو بعد شخصی و سازمانی مورد استفاده قرار میگیرد، در این صورت سازمانها در معرض حملاتی از سوی کامپیوترهایی که به اینترنت متصلند از هرجا و در هر زمان قرار گرفتهاند. در گذشته، زمانی که اطلاعات مبتنی بر کاغذ بودند، یک مهاجم معمولا باید به مکان فیزیکی که اطلاعات در آن ذخیره شده مراجعه میکرد و اقدامات مخرب فیزیکی انجام میداد. این مساله موجب کاهش تعداد حملات بالقوه و ایجاد فرصت برای شناسایی مهاجم میشد. از آنجایی که در حال حاضر دسترسی به اطلاعات از طریق ابزارهای الکترونیکی صورت میگیرد دیگر نیازی به حضور فیزیکی در نیست و طیف تهدید حملات بالقوه نسبت به قبل افزایش یافتهاست.
آزمایش اقدامات امنیتی برای سیستمهای ICT بسیار دشوار است. آنها باید به سایر عناصر سیستم تکیه کنند (بطور مثال سیستم عامل). تنوع زیاد اقدامات امنیتی موجود کار را پیچیده میکند. هم چنین هزینه آزمایش اقدامات امنیتی ICT بالاست، که با دوره زمانی محدود تشدید میشود.
متاسفانه مردم برای دادههای ذخیره شده و پردازش شده در کامپیوترشان، چنین تدابیر امنیتی را در نظر نمیگیرند. این به این دلیل است که مردم ارزش اطلاعات خود را نمیدانند. اما همچنان با وجود افزایش آگاهی مردم ذاتا ساده هستند و به راحتی اعتماد میکنند. به همین دلیل هنگامی که از اینترنت استفاده میکنند ممکن است قربانی حملات مخرب، مهندسی اجتماعی، کلاهبرداری و سرقت اطلاعات شخصی در رایانههای خود شوند.
عامل دیگر، مردم معمولا درک خوبی از ارزش اشیا فیزیکی دارند، در حالی که ارزش واقعی اطلاعات را تعداد کمی از مردم و یا سازمانها میدانند. در ابتدا، کاربران مجبور به یادگیری وارد کردن دستورات خود بر روی عملیات مورد نیاز بودند، اما امروزه با استفاده از واسطهای گرافیکی(GUI) که منجر به سهولت کار برای کاربر شده، تعداد افرادی که قادر به استفاده از کامپیوتر هستند رو به افزایش است. یکی از مزایای GUIها این است که از بسیاری از پردازشهایی که درون کامپیوتر رخ میدهد بازخورد قابل مشاهده سریعی به کاربر میدهد. رویکردی که توسط امنیت اطلاعات اتخاذ شده بر اساس همان مفهومی است که برای GUI اتخاذه شدهاست، که بسیاری از فرآیندهای ممکن بطور خودکار و با استفاده از نرم افزار به جای کاربر انجام میشوند. این مساله به کاربرانی که سواد امنیت اطلاعاتی ندارند کمک میکند که با روشی نسبتا امن برای کار از سیستم استفاده کنند.
با توجه به تعداد گزارشات نقض امنیت اطلاعات و سرقت اطلاعات، نرمافزارهای هک و مخرب، روشن است که رویکرد امنیت موجود موثر نبودهاست. همیشه رسیدن به امنیت مناسب پر هزینهاست، همانطور که قبلا ذکر شد حدود ۲۰ سال پیش دولتها و سازمانها متوجه شدند که، دستیابی به امنیت مطلق مقرون به صرفه نیست و در بسیاری موارد دست نیافتنی است. برای دستیابی به تعادل سطح قابل قبول خطر و ارائه اقدامات امنیتی موثر تعیین میشود.
رویکردی متفاوت
ویرایشدر حال حاضر به امنیتی که لازم است دست نیافتهایم. برای رسیدن به روشی جایگزین که درک کاربران را نسبت به امنیت اطلاعات بهبود بخشد لازم است که کارکنان امنیت اطلاعاتی به مشکلاتی که کاربران تشخیص میدهند رسیدگی کنند و با تعلیم و پشتیبانی مناسب سطح آگاهی کاربران را نسبت به امنیت سیستم بالا ببرند.
رویکردی دیگر، بهبود نرم افزار و ارائه پیامهای معنی دار به کاربر است، اگر کیفیت نرم افزاری که در سیستمهای ICT استفاده میشود بهبود یابد آسیب پذیری بالقوه سیستم نیز کم میشود. در اکثر سازمانها سیستمهای ICT طراحی و توسعه یافتهاند و امنیت به عنوان یک مانع برای بهره وری شناخته شدهاست. این مساله به این دلیل است که از ابتدا قابلیت امنیتی سیستمهای ICT طراحی نشدهاند، اگر امنیت از ابتدا در خود سیستم طراحی میشد، یکپارچه تر، کاراتر و مقرون به صرفه تر میشد.
نتیجه
ویرایشدر حال حاضر قابلیت امنیت سیستمهای ICT برای کاربران جز پیغامهایی که بیمعنیاند به راحتی قابل مشاهده نمیباشد، حکومتهای امنیتی برای مجازات اقدامات خطا روی کار آمدند و هیچ پاداشی برای کارهای مثبت در نظر نگرفتهاند. مادامیکه، این محیط وجود دارد، شانس کمی برای بهبود درک کاربران از امنیت ICT وجود خواهد داشت. این امکان وجود دارد، که با هماهنگ سازی گروههای توسعه دهندگان سیستم و نرم افزار امنیت ICT، مدیریت کارکنان، توسعه دهندگان امنیت و آموزش، درک کاربران و تعاملشان با امنیت ICT بهبود یابد. معمولا هزینه بالایی خواهد داشت. اگر سازمانها متناسب با امنیت ICT فرهنگ سازمانی را تغییر دهند و فعالیتها در جهت ایجاد انگیزه برروی موضوع امنیت ICT تمرکز کنند، باعث میشود تا تفکر کاربران به این موضوع معطوف شود.
منابع
ویرایشعنوان انگلیسی مقاله: Making Information Security Acceptable to the use
عنوان فارسی مقاله: تامین امنیت قابل قبول برای کاربر
پیوند به مقاله: دریافت منبع