عاملهای انسانی در امنیت اطلاعات/درک افراد از امنیت اطلاعات
امنیت اطلاعات یک دغدغه بزرگ برای کاربران کامپیوتر میباشد که هم یک مشکل فنی به حساب میآید، و هم با عاملهای انسانی نیز مرتبط میباشد. هدف از این تحقیق شناسایی عواملی است که میتوانند بر درک افراد از امنیت اطلاعات تأثیرگذار باشند. در این مقاله هانگ و همکارانش به پرسشهای: «درک افراد از امینت اطلاعات چیست؟»، «چگونه افراد به چنین درکی رسیدهاند؟» و از همه مهمتر، «چطور در مقابل تهدیدهای امنیتی رفتار میکنند؟» پاسخ میدهند و بر همین اساس یک مدل بهتر برای فهمیدن عوامل تاثیرگذار بر درک افراد ارائه میدهند.
نویسندگان ابتدا به بیان مثالهایی از تهدیدهای امنیتی که همه روزه کاربران با آنها سر و کار دارند، از قبیل: ویروسها، هکرها، اسپم، Spy-ware، شبکه زامبیها که بر اقتصاد، تضییع حقوق افراد، ضرر و زیان شرکتها تأثیر میگذارند و سبب از کار افتادن سیستمهای اطلاعاتی میشوند، اشاره میکنند و به اینکه این تهدیدهای امنیتی میتوانند بر چگونگی درک و شناخت کاربران از فناوری اطلاعات تأثیر گذار باشند، تاکید مینمایند و بیان میکنند که «عوامل انسانی نقش پاشنه آشیل در امنیت اطلاعات را دارند». با وجود توسعه و ایجاد راهکارها و تکنیکهای پیچیده امنیتی شاهد وخیمتر شدن وضعیت امنیت اطلاعات هستیم. در واقع این روشها هر چقدر هم که خوب طراحی شده باشند، میبایستی توسط افراد بهدرستی بکار برده شوند، و در غیر این صورت به هدفی که برای آن ایجاد شدهاند، نخواهند رسید. به عبارتی دیگر بیشتر افراد در استفاده از این ابزارها تردید دارند و همواره نگران مشکلات امنیتی هستند و اعمال کارهای امنیتی توسط افراد نه تنها براساس میزان واقعی تهدیدها و بلکه با توجه به درک خود فرد از امنیت اتخاذ میگردد. براساس پرسشنامهای که درسال ۲۰۰۶ میلادی در خصوص جرایم کامپیوتری و امنیت توسط مؤسسه CSI/FBI انجام گرفت، بیش از ۷۲ درصد پاسخ دهندگان که از شرکتهای بزرگ و دولتی بودند بر اینکه در ۱۲ ماه اخیر شاهد روی دادن مشکل امنیتی بودهاند، تاکید نمودهاند و چهار نوع رویداد اول شامل: حمله توسط ویروس، سرقت اطلاعاتی از موبایل و نوت بوک و سوء استفاده داخلی از دسترسی شبکه و دسترسی بدون اجازه به اطلاعات بوده است که بیش ۷۴ درصد باعث ضرر مالی شده است.
تعداد تهدیدهای امنیتی به طور قطعی قابل شمارش نیست و هر روز در حال افزایش است؛ در این تحقیق نویسندگان برای فهم بهتر، انواع تهدیدهای امنیتی را به ۱۲ گروه تقسیم نمودند و با توجه به مطالعات انجام شده در زمینه امنیت اطلاعات و نقش عوامل انسانی ۲۰ مورد از موارد تاثیرگذار بر درک امنیتی افراد را مشخص نمودند، برای اطمینان از صحت موارد تعیین شده، این موارد طی مصاحبههایی با ۲۰ دانشجو که تجربهٔ کافی در زمینه کامپیوتر و اینترنت داشتند، بررسی مجدد قرار گرفت و صحت موارد تعیین شده مورد تصدیق قرار گرفت. سپس بر این اساس پرسشنامه طراحی شد و ۶۰۲ نفر از افرادی که کاربران کامپیوتر و اینترنت بودند (۳۷ درصد خانم و ۶۳ درصد آقا از گروه سنی ۱۷ تا ۵۱ سال) در این نظر سنجی شرکت کردند. دادههای خام بدست آمده از این نظرسنجی توسط تحلیل عواملی (Factor Analysis) مورد تست قرار گرفت و توسط روش تحلیل عامل اکتشافی (EPA) شش عامل مؤثر بدست آمد؛ لذا با توجه به نتایج این مطالعه، ۶ عامل که اساس درک افراد در برابر تهدیدهای امنیتی را شکل میدهند، بدست آمد:
- دانش (Knowledge): که مرتبط با شناخت افراد به تهدیدهای امنیتی میباشد و عواملی چون جدید بودن تهدید امنیتی، داشتن شناخت و فهم از تهدیدهای امنیتی در آن مؤثر است؛
- تأثیر (Impact):که مواردی چون مدت زمان شیوع تهدید، محدوده دربرگیرنده تهدید امنیتی و اینکه در رسانههای به آن پرداخته شده باشد را شامل میشود؛
- شدت (Severity): که مواردی چون آشکار شدن اطلاعات شخصی افراد بواسطه این تهدید و شدت خسارتهای ناشی از تهدید امنیتی را شامل میگردد؛
- احتمال (Possibility): احتمال روی دادن و داشتن سابقه از تهدید امنیتی، یکی از عواملی است که باعث توجه بیشتر افراد به تهدید امنیتی میگردد؛
- کنترل (Controllability): که با قابل کنترل بودن تهدید، امکان کاهش تأثیرات منفی آن و قابل جبران بودن خسارتهای ناشی از تهدید مرتبط است؛
- آگاهی (Awareness): که مرتبط با میزان آگاهی از وجود تهدید امنیتی است.
همچنین نویسندگان از روش تحلیل وایازش چند متغیره (Multiple Regressions) برای مشخص کردن عواملی که در مجموع درک بیشتری نسبت به خطر امنیتی را ایجاد میکنند، استفاده نمودند، و در نتیجه چهار عامل "دانش"، "تاثیر"، "شدت" و "احتمال" موثرتر شناخته شدند. نویسندگان این مقاله بر این باورند که این عوامل ساختاری میتوانند در توسعه و ارزیابی روشهای امنیتی، تهیه راهنما برای ابزارها و فعالیتها در فناوری اطلاعات و همچنین پیشنهاد کردند سیاست گزاریهای تشویقی برای ترقیب افراد به انجام رفتار امن در مقابل تهدیدها استفاده گردد.
با توجه به نتایج این مطالعه، ۶ عامل ساختاری: دانش، تأثیر، شدت، کنترل، احتمال و آگاهی شناسایی شد؛ که ۴ عامل اول موثرتر شناخته شدند، این عوامل ساختاری میتوانند در توسعه و ارزیابی روشهای امنیتی، تهیه راهنما برای ابزارها و فعالیتها در فناوری اطلاعات و همچنین سیاست گزاریهای تشویقی برای ترغیب افراد به انجام رفتار امن در مقابل تهدیدها استفاده گردد.
در مجموع این مقاله به خوبی توانسته است با استفاده از روشهای علمی، و بر مبنای دادههای واقعی، عوامل مؤثر بر درک افراد در امنیت اطلاعات را مشخص نماید. با این وجود همانطور که خود نویسندگان نیز اشاره کردهاند، تهدیدهای امنیتی در حال افزایش میباشند و تکرار این چنین تحقیقات و پرسشنامههایی با در نظر گرفتن تهدیدهای جدید امنیتی که با گسترش دامنه شبکههای اجتماعی و رایانش ابری امری ضروری به نظر میرسد.
منابع
ویرایش- دریافت منبع
- عنوان انگلیسی مقاله: A Survey of Factors Influencing People’s Perceptions of Information Security