عاملهای انسانی در امنیت اطلاعات/عاملهای انسانی و امنیت اطلاعات
چکیده
ویرایشامنیت از جمله امنیت سیستمهای اطلاعاتی فقط یک مشکل فن آوری نیست بلکه یک مشکل اجتماعی است. مردم برای پذیرش سیستمهای امنیتی نیاز به آموزش و مطالعه دارند و باید فرهنگ امنیت در جامعه ایجاد شود. در این مقاله یک مدل برای امنیت سازمانی پیشنهاد شده که در آن رفتار امنیتی کاربر یک المان کلیدی محسوب میشود. در مرحله بعد مدلی از رفتار امنیتی کاربر پیشنهاد شده و درباره این که این فرهنگ امنیتی چگونه ایجاد میشود بحث شدهاست و در نهایت راهکارهایی برای تحقیقات در آینده ارائه شدهاست.
معرفی
ویرایشدر سیستمهای خانگی بررسی شدهاست که ۹۵٪ سرقتها به علت قفل نکردن درها و پنجرهها هنگام بیرون رفتن از منزل صورت گرفتهاست و تنها ۵٪ عوامل دیگر بودهاست؛ بنابراین آگاهی نسبت به اقدامات امنیتی و استفاده از آن در ایجاد امنیت بسیار مهم است. در سازمانها نیز آگاهی تمام کاربران و نه تنها کاربران نهایی از سیستمهای امنیتی باید مورد اهمیت قرار گیرد. از سوابق ادارات برمی آید که کاربران مبتدی و غیر فنی شناخت ضعیفی از سیستم امنیت اطلاعات دارند، بنابراین لزوم مطالعه در نقش عوامل انسانی مشخص میشود. به نظر میرسد که تنها تکنولوژی مشکل امنیت را حل میکند و در صورت حذف عوامل انسانی از این معادله میتوان این سیستم را خودکار کرد؛ و این نظر این عقیده را که امنیت از سه بخش فناوری، پردازش و انسان تشکیل شدهاست را نادیده میگیرد. در این مقاله از سه زمینه مجزا استفاده شدهاست: HCL و امنیت سیستمهای اطلاعاتی، ابداع تئوری نشر و تئوری ارتباطات.
امنیت و توانایی سیستم
ویرایشتا امروز بحثهای کمی دربارهٔ اهمیت نقش کاربر نهایی صورت گرفتهاست و بیشتر این بحثها پیرامون چگونگی استفاده کاربران غیرفنی در پسوردگذاری خوب است. شخصی به نام خانم Sasse دربارهٔ استفاده کاربران از پسوردها مطالعه کرد و فهمید که عوامل روانی از جمله ترس از لو رفتن اطلاعات یک مکانیسم مهم برای وادارکردن مردم به استفاده از پسوردها است.
تئوری انتشار
ویرایشابداع تئوری نشر (به طور خلاصه تئوری نشر) بر اساس انتشار تکنولوژی در میان یک فرهنگ یا گروه استوار است. بر این اساس ابداع باعث ایجاد ارتباط در میان اعضای یک سیستم اجتماعی میشود که در ۵ مرحله صورت میگیرد: دانش ایجاد نوآوری، ایجاد یک روش دلخواه، تصمیم، اجرا و تقویت آن بر پایه نتایج مثبت.
مدل ارتباطی Roger برای نشر نوآوری مدل ارتباط (S_M_C_R_E) است و در این مدل منبع یا فرستنده یک پیغام از طریق یک کانال به گیرنده با هدف ایجاد تغییری در دانش، روش و رفتار آن گیرنده (اثر) میفرستد.
تئوری نشر برای افزایش نظم درونی اطلاعات به کار گرفته میشود و تا کنون در زمینه کامپیوتر و امنیت شبکه استفاده نشدهاست. در صورتی که ما عقیده داریم که تحقیق در زمینه نشر دانش امنیتی باعث گسترش تئوری نشر میشود.
تئوری ارتباطات و تحقیق جامعهشناسی
ویرایشمفهوم «زمینههای مشترک» یک مفهوم مهم در زمینه اطلاعات است و تأثیر زیادی بر روی حوزههای مختلف از جمله حوزههای مرتبط با IT دارد. در هر فعالیت مشترک مخصوصاً آنهایی که شامل انتشار و پذیرش ایدههای جدید هستند رسیدن به سطح کافی از درک متقابل اهمیت بسیاری دارد. برای رسیدن به آن افراد باید درک، دانش، اعتقادات، فرضیات و پیشفرضهای متقابل را به اشتراک بگذارند. فرایند تعاملی ای که در این میان ایجاد میشود را زمینه سازی(grounding) میگویند. هر لایه از دانش و فعالیت نیاز به زمینهسازی زیادی دارد.
مفهوم زمینههای مشترک با مدل S_M_C_R در تضاد نیست بلکه مکمل آن است. زمینههای مشترک اهمیت ارتباط بین منبع و گیرنده و اثرات متعاقب آن را توضیح میدهد. برای یک عامل خارجی (غیرخودی) معرفی نوآوری در جامعه مشکل یا غیرممکن است. نظریه پردازان، عوامل تغییر و یاری کنندگان به این تغییر اگر نظاممند نباشند نمیتوانند بین عوامل تغییر و اجتماع ارتباط برقرار کنند. آنهایی که اشتراک چندانی با جامعه ندارند را خارجی مینامیم و اعتماد نسبت به آنها وجود ندارد.
حرکت به سمت یک مدل از فاکتورهای انسانی و امنیت اطلاعات:
ایجاد مدلها بخش مهمی از IT است. تا کنون هیچ مدل امنیت سازمانی و مدلی برای امنیت سیستمهای اطلاعات به وجود نیامدهاست.
مدل امنیت سازمانی
ویرایشمفهوم امنیت سیستمهای اطلاعات از مدل انتخاب منطقی برگرفته شدهاست. بر اساس این مدل افراد به میزان یکسانی بین احتمال موفقیت رفتار و انتخاب هدایت نمیشوند و چون انسانها کامل نیستند و اجتماع نیز گسترده و دینامیک است و از عناصر منطقی تشکیل نشدهاست باید در مدلهای بر اساس تعاملات انسانی، این مسئله مورد توجه قرار گیرد.
شکل زیر مدل پیشنهادی ما را برای امنیت سازمانی نشان میدهد. بعضی المانها پررنگتر هستند. حمایت مدیریتی یک امر ناگزیر در تلاش برای کسب و کار موفق است؛ بنابراین هم IT و هم رفتار امنیتی کاربر را تحت تأثیر قرار میدهد. از سوی دیگر فاکتورهای تجارت خارحی مثل رقابت کاری و توسعه محصول به سختی قابل پیش بینی هستند.
در مدل امنیت سازمانی حمایت از مدیریت امری مهم برای هر کسب و کار موفق است بنابراین عوامل کسب و کار خارجی رفتار کاربر و امنیت او را تحت تأثیر قرار میدهد. مدل رفتار امنیتی کاربر هم کاربر و هم فناوری را مورد مطالعه قرار میدهد و کاربران در اینجا به عنوان کاربران نهایی هستند. در این مدل هم کاربران و هم فناوری از عوامل مهم هستند و باید حس کاری مشترک داشته باشند.
ولی ما باید بر روی تأثیر آنها بر روی امنیت سازمانی حساس باشیم. امنیت روانی بر روی امنیت سیستمهای اطلاعاتی اثر میگذارد که خود به صورت تئوری مورد بررسی قرار گرفتهاست. همچنین عوامل جهانی مثل تروریسم سایبری کاملاً بر روی امنیت سیستمهای امنیتی سازمانها تأثیرگذار است.
رفتار امنیتی کاربر
ویرایششکل زیر مشخصههایی را که نیاز به مطالعه در هر دو عرصه IT و کاربر نهایی دارد به تصویر میکشد. فاکتورهای فنی به IT مربوط میشود و بسیار مهم است و اگر ارزش، دانش و تعهد افراد در سازمان مورد توجه قرار نگیرد مشکل ایجاد خواهد شد. ارزشهای شخصیتی در هر دو مورد کاربر نهایی و پرسنل IT مهم هستند و هر دو باید روحیه مشترک تیمی را دارا باشند و در صورت داشتن ارزشهای شخصیتی و اجتماعی مختلف باید نقاط مشترک بین خود راپیدا کنند.
فاکتورهای فناوری اطلاعات (IT)
ویرایشعلاوه بر صلاحیت فنی کارکنان بخش IT آموزش هم مهم است. آگاهی افراد نسبت به مکانیسمهای امنیتی باعث گسترش راهکارهای امنیتی خواهد شد. Doughty میگوید: فرهنگ سازمانی اغلب نه تنها بر روی شیوه مدیریتی مثل سیاست، مدیریت، روشها و دستورات اثر میگذارد بلکه بر روی کارمندان نیز تأثیرگذار است مخصوصاً اگر کارکنان درگیر توسعه سیستم، مدیریت پروژه و عملیات طولانی مدت شده باشند. البته واحد IT سازمان به طور کلی چندان درگیر با فرهنگ سازمانی نیست و باید این مسئله به عنوان عامل خارجی مورد بررسی قرار گیرد.
فاکتورهای انسانی
ویرایشاعتبار بخش IT در یک سازمان از اهمیت بالایی برخوردار است که به نظر میرسد درون سازمانها اعتبار بالایی ندارد. موارد بسیاری حکایت از فقدان احترام عمومی به بخشIT درون سازمانها میکند؛ بنابراین در صورتی که این احترام و جایگاه وجود نداشته باشد مسلماً اظهارات و توصیههای اطلاعاتی صادر شده آنها نیز مورد پذیرش قرار نمیگیرد.
فاکتورهای انسانی کاربر نهایی
ویرایشاگر فرهنگ با ارزشهای سازمانی ضعیف باشد کاربران از دستورات سازمانی تبعیت نمیکنند. به عبارت دیگر اگر اعضای بخش IT خود را نشناسند و خود را به سازمان نشناسانند مورد اعتماد قرار نخواهند گرفت و تاثیرگذاریشان کاهش خواهد یافت. امنیت کاری بر روی امنیت در منزل نیز تأثیر خواهد گذاشت. برای نمونه ممکن است یک سرور سازمان از طریق VPN به کامپیوتر خانه متصل باشد؛ بنابراین اگر کاربر خانگی از سیستمهای امنیتی غافل باشد سیستم خانه و در نتیجه سرور سازمان هم مورد خطر قرار میگیرد. ما این موضوع را مستقیماً در مدل ارائه شده بررسی نکردیم چون کاربر نهایی را انسان فرض کردهایم.
تکامل مدل
ویرایشجالب است که بیشترین نقاط تأثیر ارائه شده در این مدل گرهها نیستند بلکه لبههای متصل به گره هاست. این گرهها چگونگی فاکتورهای تعاملی را نشان میدهد.
در لبهها تأثیر زبان را میتوان یافت همچنین مدیریت چهره نیز در تعاملات از اهمیت ویژهای برخوردار است. ارزشهای به کار گرفته شده توسط کاربران IT و سازمان باید مشترک باشند. ایجاد این زمینه مشترک به مفهوم نشر نوآوری برمی گردد که این که تنها افراد خودی میتوانند ارائه دهنده نظرات، فاکتورهای تغییر و دستیاران آنها باشند.
نتیجهگیری
ویرایشدر صورت صحیح بودن مدل ارائه شده نشان میدهد که تنها راه حلهای تکنولوژیکی برای ایجاد امنیت کافی نیست و فاکتورهای جامعه، سازمان و افراد باید مورد توجه قرار گیرد. همچنین نقش افراد و الگوهای ارتباطی نیز بسیار مهم است.
در پایان ما باور داریم که تهدید کردن کاربردی ندارد و فقط در محیط کاری باعث ایجاد خشم میشود. پرواضح است که اگر کامپیوتر خانگی، تلفن همراه امن نیست چون اینترنت و زیرساختهای اطلاعاتی جهانی از امنیت بالایی برخوردار نیستند.
به علاوه اگر کارکنان فنی نتوانند یک فرهنگ اجتماعی در کاربران غیرفنی ایجاد کنند، نمیتوانند اعتماد و تمایل به همکاری ای را که نیاز است در فرهنگ امنیت ایجاد شود به وجود آورند.
منابع
ویرایشمنابع
ویرایشمنبع: http://www.infosecwriters.com/text_resources/pdf/human_factors.pdf