عامل‌های انسانی در امنیت اطلاعات/خطاهای انسانی و تخلفات در کامپیوتر و امنیت اطلاعات از دیدگاه مدیران شبکه و متخصصین امنیت

مطالعات گذشته نشان می‌دهد همیشه خطراتی در سیستم‌های اطلاعاتی و امنیت آنها وجود داشته‌است. این خطاها می‌توان عمدی و یا غیر عمدی باشد. علل تصادفی یا غیر عمدی در اثر خطاهای انسانی یا مثلا اشتباهات برنامه نویسی یا علل تصادفی مثل صاعقه یا قطع کابل می‌باشد. خطاهای عمدی به عنوان حملات شناخته می‌شوند و ناشی از مدیریت ضعیف و یا شیوه‌های عملیاتی نادرست می‌باشد. در این مقاله سعی می‌شود یک چهارچوب ادراکی برای طبقه بندی خطاها و تخلفات انسانی مطرح شود که می‌تواند به امنیت سیستم‌های اطلاعاتی و کامپیوترها کمک شایانی کند.

طبق مدل مشهور (carayon and smith) که در سال ۲۰۰۰ با عنوان مدل سیستم کار مطرح گردید، یک سیستم کاری دارای ۵ عنصر می‌باشد:۱) فرد ۲)کار یا وظیفه ۳) ابزار و فن آوری ۴) محیط ۵) سازمان

اگر از دیدگاه امنیت اطلاعات و کامپیوتر به این مدل نگاه کنیم، هر یک از آن‌ها می‌تواند منجر به آسیب پذیری و خطای انسانی و تخلفات گردد. در این مقاله با استفاده از این مدل سعی می‌شود چهارچوبی برای خطاهای انسانی و تخلفات مطرح گردد.


عامل فرد (Individual element)

ویرایش
  • تخمین وضعیت امنیت سیستم از روی ادراک و حدس فردی عاملی است که می‌تواند منجر به خطای انسانی شود.
  • عامل تجربه و مهارت افراد(مدیر شبکه و متخصص امنیت) که احاطه کامل داشته باشد
  • واگذاری وظایف خاص امنیتی به هر فرد
  • آموزش فردی در زمینه امنیت برای مدیران و متخصصین شبکه


عامل کار یا وظیفه (task elements)

ویرایش
  • ساختاری: واگذاری ناحیه‌های مختلف شبکه به یک مدیر شبکه ممکن است باعث بروز خطا شود.
  • وظیفه:
    • شناسایی نقاط آسیب پذیر شبکه از طرف مدیر شبکه و متخصص امنیت صورت گیرد. وجود نقاط آسیب پذیر در شبکه می‌تواند یک سازمان را در معرض تهدیدات جدی قرار دهد.
    • بکار گیری patch‌ها می‌باشد. حتی شرکت‌های بزرگ و شناخته شده به این موضوع اذعان دارند که برخی از سیستم‌های آنان با همان سرعت که یک باگ و یا اشکال تشخیص و شناسائی می‌گردد، توسط patch مربوطه اصلاح نشده‌است.
    • کنترل مناسب دسترسی افراد مختلف بنا به نیازشان به امکانات شبکه می‌باشد.

عامل ابزار و فن آوری (Technology elements)

ویرایش
  • استفاده و انتخاب سیستم عامل امن تر (UNIX, Windows) می‌تواند عامل مهمی باشد.
  • سخت افزار‌ها و نرم افزار‌ها: خطاهای موجود در آنها، آسیب پذیری‌ها و بروز رسانی آنها می‌تواند از خطا جلوگیری کند.
  • امنیت نرم افزاری:کشف ویروس‌ها و جستجوی نقاط آسیب پذیر


عامل محیط کاری (Workplace environment elements)

ویرایش
  • دسترسی فیزیکی: از لحاظ ساختمان محطی امن باشد و محیط کاری قفل گزاری شده باشد.
  • اختلال محیطی از سوی کارکنان و تجهیزات اداری می‌تواند اثر گزار باشد.
  • وقفه در اثر خراب تجهیزات اداری و کارکنان شرکت


عامل سازمانی (Organizational elements)

ویرایش
  • ارتباط:ارتباطات گروه‌های سازمانی به صورت امنی انجام شود.
  • فرهنگ سازمانی: فلسفه امنیت اطلاعات در میان کارکنان و مدیر شبکه بازگو شود.
  • ساختار سازمان:از لحاظ توابع امنیتی
  • طراحی و استقرار استراتژی امنیتی می‌تواند از خطاها جلوگیری کند.

نتیجه‌گیری

ویرایش

طبق نتیجه‌ای که از مصاحبه با ۱۴۰ مدیر شبکه و متخصص کامپیوتر انجام شد ۳۶ نفر عامل فردی، ۴۷ نفر عامل کار و وظیفه، ۲۲ نفر عامل تکنولوژی، ۴ نفر عامل محیط، ۱۲۷ نفر عامل سازمانی را دلیل اصلی خطاهای انسانی و تخلفات بیان نموده‌اند.

منابع

ویرایش

[۱]

Human errors and violations in computer and information security: The viewpoint of network administrators and security specialists