عامل‌های انسانی در امنیت اطلاعات/درک افراد از امنیت اطلاعات

امنیت اطلاعات یک دغدغه بزرگ برای کاربران کامپیوتر می‌باشد که هم یک مشکل فنی به حساب می‌آید، و هم با عامل‌های انسانی نیز مرتبط می‌باشد. هدف از این تحقیق شناسایی عواملی است که می‌توانند بر درک افراد از امنیت اطلاعات تأثیرگذار باشند. در این مقاله هانگ و همکارانش به پرسش‌های: «درک افراد از امینت اطلاعات چیست؟»، «چگونه افراد به چنین درکی رسیده‌اند؟» و از همه مهمتر، «چطور در مقابل تهدیدهای امنیتی رفتار می‌کنند؟» پاسخ می‌دهند و بر همین اساس یک مدل بهتر برای فهمیدن عوامل تاثیرگذار بر درک افراد ارائه می‌دهند.

نویسندگان ابتدا به بیان مثال‌هایی از تهدیدهای امنیتی که همه روزه کاربران با آن‌ها سر و کار دارند، از قبیل: ویروس‌ها، هکرها، اسپم، Spy-ware، شبکه زامبی‌ها که بر اقتصاد، تضییع حقوق افراد، ضرر و زیان شرکت‌ها تأثیر می‌گذارند و سبب از کار افتادن سیستم‌های اطلاعاتی می‌شوند، اشاره می‌کنند و به اینکه این تهدیدهای امنیتی می‌توانند بر چگونگی درک و شناخت کاربران از فناوری اطلاعات تأثیر گذار باشند، تاکید می‌نمایند و بیان می‌کنند که «عوامل انسانی نقش پاشنه آشیل در امنیت اطلاعات را دارند». با وجود توسعه و ایجاد راهکارها و تکنیک‌های پیچیده امنیتی شاهد وخیم‌تر شدن وضعیت امنیت اطلاعات هستیم. در واقع این روش‌ها هر چقدر هم که خوب طراحی شده باشند، می‌بایستی توسط افراد به‌درستی بکار برده شوند، و در غیر این صورت به هدفی که برای آن ایجاد شده‌اند، نخواهند رسید. به عبارتی دیگر بیشتر افراد در استفاده از این ابزارها تردید دارند و همواره نگران مشکلات امنیتی هستند و اعمال کارهای امنیتی توسط افراد نه تنها براساس میزان واقعی تهدیدها و بلکه با توجه به درک خود فرد از امنیت اتخاذ می‌گردد. براساس پرسشنامه‌ای که درسال ۲۰۰۶ میلادی در خصوص جرایم کامپیوتری و امنیت توسط مؤسسه CSI/FBI انجام گرفت، بیش از ۷۲ درصد پاسخ دهندگان که از شرکت‌های بزرگ و دولتی بودند بر اینکه در ۱۲ ماه اخیر شاهد روی دادن مشکل امنیتی بوده‌اند، تاکید نموده‌اند و چهار نوع رویداد اول شامل: حمله توسط ویروس، سرقت اطلاعاتی از موبایل و نوت بوک و سوء استفاده داخلی از دسترسی شبکه و دسترسی بدون اجازه به اطلاعات بوده است که بیش ۷۴ درصد باعث ضرر مالی شده است.

تعداد تهدیدهای امنیتی به طور قطعی قابل شمارش نیست و هر روز در حال افزایش است؛ در این تحقیق نویسندگان برای فهم بهتر، انواع تهدیدهای امنیتی را به ۱۲ گروه تقسیم نمودند و با توجه به مطالعات انجام شده در زمینه امنیت اطلاعات و نقش عوامل انسانی ۲۰ مورد از موارد تاثیرگذار بر درک امنیتی افراد را مشخص نمودند، برای اطمینان از صحت موارد تعیین شده، این موارد طی مصاحبه‌هایی با ۲۰ دانشجو که تجربهٔ کافی در زمینه کامپیوتر و اینترنت داشتند، بررسی مجدد قرار گرفت و صحت موارد تعیین شده مورد تصدیق قرار گرفت. سپس بر این اساس پرسشنامه طراحی شد و ۶۰۲ نفر از افرادی که کاربران کامپیوتر و اینترنت بودند (۳۷ درصد خانم و ۶۳ درصد آقا از گروه سنی ۱۷ تا ۵۱ سال) در این نظر سنجی شرکت کردند. داده‌های خام بدست آمده از این نظرسنجی توسط تحلیل عواملی (Factor Analysis) مورد تست قرار گرفت و توسط روش تحلیل عامل اکتشافی (EPA) شش عامل مؤثر بدست آمد؛ لذا با توجه به نتایج این مطالعه، ۶ عامل که اساس درک افراد در برابر تهدیدهای امنیتی را شکل می‌دهند، بدست آمد:

  • دانش (Knowledge): که مرتبط با شناخت افراد به تهدیدهای امنیتی می‌باشد و عواملی چون جدید بودن تهدید امنیتی، داشتن شناخت و فهم از تهدیدهای امنیتی در آن مؤثر است؛
  • تأثیر (Impact):که مواردی چون مدت زمان شیوع تهدید، محدوده دربرگیرنده تهدید امنیتی و اینکه در رسانه‌های به آن پرداخته شده باشد را شامل می‌شود؛
  • شدت (Severity): که مواردی چون آشکار شدن اطلاعات شخصی افراد بواسطه این تهدید و شدت خسارت‌های ناشی از تهدید امنیتی را شامل می‌گردد؛
  • احتمال (Possibility): احتمال روی دادن و داشتن سابقه از تهدید امنیتی، یکی از عواملی است که باعث توجه بیشتر افراد به تهدید امنیتی می‌گردد؛
  • کنترل (Controllability): که با قابل کنترل بودن تهدید، امکان کاهش تأثیرات منفی آن و قابل جبران بودن خسارت‌های ناشی از تهدید مرتبط است؛
  • آگاهی (Awareness): که مرتبط با میزان آگاهی از وجود تهدید امنیتی است.

همچنین نویسندگان از روش تحلیل وایازش چند متغیره (Multiple Regressions) برای مشخص کردن عواملی که در مجموع درک بیشتری نسبت به خطر امنیتی را ایجاد می‌کنند، استفاده نمودند، و در نتیجه چهار عامل "دانش"، "تاثیر"، "شدت" و "احتمال" موثرتر شناخته شدند. نویسندگان این مقاله بر این باورند که این عوامل ساختاری می‌توانند در توسعه و ارزیابی روش‌های امنیتی، تهیه راهنما برای ابزارها و فعالیت‌ها در فناوری اطلاعات و همچنین پیشنهاد کردند سیاست گزاری‌های تشویقی برای ترقیب افراد به انجام رفتار امن در مقابل تهدیدها استفاده گردد.

با توجه به نتایج این مطالعه، ۶ عامل ساختاری: دانش، تأثیر، شدت، کنترل، احتمال و آگاهی شناسایی شد؛ که ۴ عامل اول موثرتر شناخته شدند، این عوامل ساختاری می‌توانند در توسعه و ارزیابی روش‌های امنیتی، تهیه راهنما برای ابزارها و فعالیت‌ها در فناوری اطلاعات و همچنین سیاست گزاری‌های تشویقی برای ترغیب افراد به انجام رفتار امن در مقابل تهدیدها استفاده گردد.

در مجموع این مقاله به خوبی توانسته است با استفاده از روش‌های علمی، و بر مبنای داده‌های واقعی، عوامل مؤثر بر درک افراد در امنیت اطلاعات را مشخص نماید. با این وجود همانطور که خود نویسندگان نیز اشاره کرده‌اند، تهدیدهای امنیتی در حال افزایش می‌باشند و تکرار این چنین تحقیقات و پرسشنامه‌هایی با در نظر گرفتن تهدیدهای جدید امنیتی که با گسترش دامنه شبکه‌های اجتماعی و رایانش ابری امری ضروری به نظر می‌رسد.

منابع

ویرایش
  • دریافت منبع
  • عنوان انگلیسی مقاله: A Survey of Factors Influencing People’s Perceptions of Information Security