عامل‌های انسانی در امنیت اطلاعات/روانشناسی امنیت


اهمیت کاربر در موفقیت مکانیسم‌های امنیتی، از سالی که Kerckhoffs Auguste رساله خود La cryptographie militaire را بیش از یک قرن پیش دربارهٔ رمزنگاری نظامی منتشر نمود، به رسمیت شناخته شد. در دهه اخیر، آگاهی و پژوهش در زمینه تعامل کاربر با مکانیسم‌های امنیتی افزایش فوق‌العاده‌ای یافته است. ارزیابی مفاهیمی چون ریسک و عدم قطعیت برای مردم بسیار دشوار است، اما برای طراحان سیستم‌های امنیتی، درک چگونگی ارزیابی و تصمیم‌گیری کاربران در مورد امنیت مهم است. حتی زیباترین طراحی واسط کاربر هم وقتی باعث شود کاربران هشدارها را نادیده بگیرند، تنظیمات ضعیفی را انتخاب، و یا به طور غیرعمد سیاست‌های اصلی سیستم را زیرپا بگذارند، قادر نیست امنیت را بهبود ببخشد. مشکل کاربر در سیستم‌های امنیتی فقط در مورد واسط کاربر و یا تعاملات سیستم نیست.

این مقاله به معرفی مختصر تحقیقات در مورد ریسک، عدم قطعیت، و تصمیم‌گیری انسانی پرداخته، و چند مفهوم کلیدی و امکاناتی که ممکن است به منظور بهبود رفتار امنیتی کاربران مورد استفاده قرار گیرد را بررسی می‌کند.

کاربران فکر نمی‌کنند در معرض خطر هستند. مردم بر این باورند که نسبت به خطرات کمتر از دیگران آسیب پذیر هستند، و نیز در مقایسه با دیگران کمتر احتمال دارد که به وسیله محصولات مصرفی صدمه ببینند. به همین دلیل است که هر کاربر این باور از پیش تعیین شده را دارد که کمتر در معرض خطر آسیب کامپیوتری نسبت به دیگران است.

کاربران احمق نیستند، آن‌ها بی‌انگیزه‌اند. انسان‌ها ظرفیت محدودی برای پردازش اطلاعات دارند، و به طور معمول چند کاره هستند.

برای حفظ منابع روان، ما به طور کلی تمایل داریم سریع بر اساس قوانین آموخته و ابتکارات تصمیم بگیریم.

ایمنی یک مفهوم انتزاعی است. اغلب انتخاب‌های امنیتی هیچ نتیجه قابل مشاهده‌ای نداشته، و هیچ تهدید قابل مشاهده‌ای نیز وجود ندارد. پاداش امن‌تر بودن این است که هیچ چیز بدی اتفاق نیفتد. ایمنی در این وضعیت مفهوم انتزاعی است، و به دلیل این ماهیت خاص امنیت، برای افراد ارزیابی ذهنی مقایسه هزینه‌ها، منافع، و خطرات دشوار است.

مردم سود و از دست دادن را هم‌اندازه درک نمی‌کنند. این نشان می‌دهد که در حالی که یک طراح سیستم ممکن است با توجه به هزینه‌های امنیت آن را کوچک تلقی کند، از دست دادن می‌تواند بدتر از آورده‌های ناشی از ایمنی به نظر برسد. به عبارت ساده، کاربر باید قدر به دست آوردن را نسبت به از دست دادن بیشتر بداند.

منابع

ویرایش

R. WEST, “THE PSYCHOLOGY OF SECURITY”, COMMUNICATIONS OF THE ACM, Vol. 51, No. 4, April 2008, pp. 34-41.

پیوند به مقاله: دریافت منبع