عاملهای انسانی در امنیت اطلاعات/خطاهای انسانی و تخلفات در کامپیوتر و امنیت اطلاعات از دیدگاه مدیران شبکه و متخصصین امنیت
مطالعات گذشته نشان میدهد همیشه خطراتی در سیستمهای اطلاعاتی و امنیت آنها وجود داشتهاست. این خطاها میتوان عمدی و یا غیر عمدی باشد. علل تصادفی یا غیر عمدی در اثر خطاهای انسانی یا مثلا اشتباهات برنامه نویسی یا علل تصادفی مثل صاعقه یا قطع کابل میباشد. خطاهای عمدی به عنوان حملات شناخته میشوند و ناشی از مدیریت ضعیف و یا شیوههای عملیاتی نادرست میباشد. در این مقاله سعی میشود یک چهارچوب ادراکی برای طبقه بندی خطاها و تخلفات انسانی مطرح شود که میتواند به امنیت سیستمهای اطلاعاتی و کامپیوترها کمک شایانی کند.
طبق مدل مشهور (carayon and smith) که در سال ۲۰۰۰ با عنوان مدل سیستم کار مطرح گردید، یک سیستم کاری دارای ۵ عنصر میباشد:۱) فرد ۲)کار یا وظیفه ۳) ابزار و فن آوری ۴) محیط ۵) سازمان
اگر از دیدگاه امنیت اطلاعات و کامپیوتر به این مدل نگاه کنیم، هر یک از آنها میتواند منجر به آسیب پذیری و خطای انسانی و تخلفات گردد. در این مقاله با استفاده از این مدل سعی میشود چهارچوبی برای خطاهای انسانی و تخلفات مطرح گردد.
عامل فرد (Individual element)
ویرایش- تخمین وضعیت امنیت سیستم از روی ادراک و حدس فردی عاملی است که میتواند منجر به خطای انسانی شود.
- عامل تجربه و مهارت افراد(مدیر شبکه و متخصص امنیت) که احاطه کامل داشته باشد
- واگذاری وظایف خاص امنیتی به هر فرد
- آموزش فردی در زمینه امنیت برای مدیران و متخصصین شبکه
عامل کار یا وظیفه (task elements)
ویرایش- ساختاری: واگذاری ناحیههای مختلف شبکه به یک مدیر شبکه ممکن است باعث بروز خطا شود.
- وظیفه:
- شناسایی نقاط آسیب پذیر شبکه از طرف مدیر شبکه و متخصص امنیت صورت گیرد. وجود نقاط آسیب پذیر در شبکه میتواند یک سازمان را در معرض تهدیدات جدی قرار دهد.
- بکار گیری patchها میباشد. حتی شرکتهای بزرگ و شناخته شده به این موضوع اذعان دارند که برخی از سیستمهای آنان با همان سرعت که یک باگ و یا اشکال تشخیص و شناسائی میگردد، توسط patch مربوطه اصلاح نشدهاست.
- کنترل مناسب دسترسی افراد مختلف بنا به نیازشان به امکانات شبکه میباشد.
عامل ابزار و فن آوری (Technology elements)
ویرایش- استفاده و انتخاب سیستم عامل امن تر (UNIX, Windows) میتواند عامل مهمی باشد.
- سخت افزارها و نرم افزارها: خطاهای موجود در آنها، آسیب پذیریها و بروز رسانی آنها میتواند از خطا جلوگیری کند.
- امنیت نرم افزاری:کشف ویروسها و جستجوی نقاط آسیب پذیر
عامل محیط کاری (Workplace environment elements)
ویرایش- دسترسی فیزیکی: از لحاظ ساختمان محطی امن باشد و محیط کاری قفل گزاری شده باشد.
- اختلال محیطی از سوی کارکنان و تجهیزات اداری میتواند اثر گزار باشد.
- وقفه در اثر خراب تجهیزات اداری و کارکنان شرکت
عامل سازمانی (Organizational elements)
ویرایش- ارتباط:ارتباطات گروههای سازمانی به صورت امنی انجام شود.
- فرهنگ سازمانی: فلسفه امنیت اطلاعات در میان کارکنان و مدیر شبکه بازگو شود.
- ساختار سازمان:از لحاظ توابع امنیتی
- طراحی و استقرار استراتژی امنیتی میتواند از خطاها جلوگیری کند.
نتیجهگیری
ویرایشطبق نتیجهای که از مصاحبه با ۱۴۰ مدیر شبکه و متخصص کامپیوتر انجام شد ۳۶ نفر عامل فردی، ۴۷ نفر عامل کار و وظیفه، ۲۲ نفر عامل تکنولوژی، ۴ نفر عامل محیط، ۱۲۷ نفر عامل سازمانی را دلیل اصلی خطاهای انسانی و تخلفات بیان نمودهاند.
منابع
ویرایشHuman errors and violations in computer and information security: The viewpoint of network administrators and security specialists