عاملهای انسانی در امنیت اطلاعات/فرد، فرهنگ و محیط امنیتی
فرهنگ فردی و محیط امنیت
ویرایشعاملهای انسانی نقش مهمی در امنیت کامپیوتر ایفا میکنند. عاملهایی همچون تفاوتهای فردی، تواناییهای شناختی و ویژگیهای شخصیتی بر روی رفتارهای امنیت تأثیر شدیدی دارد. رفتارهای امنیت اطلاعات بسیار تحت تأثیر درک ریسک فردی میباشد. همه این عاملها از فرهنگ سازماندهی و محیط امنیت که در آن رخ میدهند، تأثیر میگیرند. این عاملها با هم در تعامل میباشند و میتوانند نتیجهبخش رفتاری باشند که اغلب برای امنیت اطلاعات زیانآور است. این مقاله پیشنهاد میکند چگونه عاملهای انسانی و فرهنگی باید از هم تأثیر بپذیرند تا رفتارهای مثبت را فراهم میکند و به سوی محیط اطلاعاتی امنتری راهبری نماید.
تأثیر عاملهای انسانی بر روی رفتار، موضوع حائز اهمیتی میباشد. این عاملها مشتمل بر روشهایی که افراد تصمیمگیری میکنند و گرایشات و ابتکاراتی که بر روی ادراک ریسک تأثیر میگذارند، همچنین تاثیری که دانش و کنترل بر فرایند تصمیمگیری دارند، میباشد؛ اگر سطح دانش افراد محدود باشد، ممکن است که حجم عظیم ریسک امنیتی را درک نکنند. سطح کنترل افراد نیز دارای اهمیت میباشد؛ اگر افراد در انجام کارهایشان احساس کنند که کنترل میشوند، طوری رفتار میکنند که ریسکهای بیشتری را متحمل شوند و تواناییهایشان را برای کنترل یک تهدید، تخمین بزنند. البته، نمیتوان از تأثیر تفاوتهای فردی و عاملهای اجتماعی چشمپوشی نمود. عاملهای فردی و سبکهای شناختی در تفاوتهای ادراک ریسک دخالت میکنند. معیارهای گروهی در شرایط اجتماعی گوناگون به اندازه زیادی بر اینکه چگونه افراد فقط ریسکی را درک میکنند و نیز اینکه چگونه به آن واکنش نشان خواهند داد، تأثیر میگذارد. مرتبط با این موضوع تأثیرِ فضا و فرهنگ سازماندهی شده نیز یکی از عوامل میباشد.
فرهنگ سازماندهی به طور قابل توجهی متفاوت است. فرایند اجتماعی کردن یا مجتمعسازی توسط کارمندان تجربه شده است که بازتابی از فرهنگ سازماندهی میباشد. فرهنگ همچنین میتواند با بهکارگیری عاملهای گوناگونی همچون رضایت شغلی، انگیزه، رهبری و تعهد تحت تأثیر قرار گیرد. زیرفرهنگها همچنین غالباً بدون فرهنگ سازماندهی شدهای توسعه مییابند. همه این عاملها درهم پیچیده شده و بر روی گرایشها، رفتارها و ارزشها تأثیر میگذارند. فرهنگ امنیت، جزئی از فرهنگ جمعی است. فضای سازماندهی شده مشابه فرهنگ سازماندهی شده میباشد و تحقیقات نشان داده است که ارتباط مثبتی میان فضای امن و رفتار کارمندی منجر به بهبود امنیت اطلاعات وجود دارد.
یک نوع تهدید امنیتی در حال افزایش حملههای مهندسی اجتماعی میباشد. همه سازمانها در حملههای مهندسی اجتماعی آسیبپذیر هستند. از جمله این حملهها، فیشینگ میباشد. حملات فیشینگ از طریق ایمیل، هماهنگ شده و اغلب با هدف اصلی مشاهده جزئیات کارت اعتباری و حساب بانکی و رمزهای عبور انجام میشود. برخی افراد بیشتر از دیگران مستعد این حملات میباشند؛ تفاوتهای فردی از قبیل خصیصههای شخصی از دلایل آنست. حملات فیشینگ ایمیل و وبگاههای جعلی برای فریب در حال افزایش میباشند. آنها حقههای بصری را بهکار میگیرند و بر اشتباه شاخص امنیتی جاری برای موفقیت استوار هستند. دفاعهای متعددی در مقابل مهندسی اجتماعی میتواند برای کاهش تهدید استفاده شود که شامل اعمالی همچون استفاده از دستگاههای خردکننده کاغذ(shredder) در از بین بردن اطلاعات حساس، بکارگیری امنیت فیزیکی مناسب و اندازهگیریهای امنیتی کامپیوتر و از همه مهمتر آموزش و پرورش و آگاهی کارکنان میباشد. از زمانیکه انسانها هدف حملات مهندسی اجتماعی میباشند، آموزش یکی از بهترین دفاعها میباشد. آموزش و پرورش بایستی مناسب شخص باشد، به طور مستمر تقویت و به طور کارا پیادهسازی و به طور اختصاصی تأثیر داشته باشد.
عاملهای انسانی در امنیت اطلاعات مطمئناً نتایج پویا و پیچیده بسیاری ارائه مینمایند. متغیرهای بسیاری وجود دارند که نیاز است که بایستی در نظر گرفته شوند، و اینکه نه تنها تفاوتهای فردی و تهدیدات فردی وجود دارند بلکه تعاملات و تأثیرات فرهنگ و فضای سازماندهی شده نیز وجود دارند. انسان در امنیت اطلاعات مرجعی از یک لینک ضعیف امنیتی میباشد. رخنه کردن در امنیت اطلاعات به تعدادی روش متفاوت طبقهبندی میشود. خطای اشتباهات فردی از دیدگاه دو دانشمند سوآین و گاتمن، به پنج نوع متفاوت تقسیم میشوند که میتواند برای توصیف رخنههای امنیتی استفاده شود. نخست، انجام غفلت که افراد ضرورت انجام کاری ضروری را فراموش میکنند (مثلا تغییر دادن رمز عبور را فراموش کنند). دوم، خطاها نتیجه انجام فرمانهایی میباشد که افراد رویه و یا عمل نادرستی را اجرا میکنند (رمز عبور را در جایی مینویسند). سوم، تعدادی خطا نتیجه اعمال خارجی میباشند که کارهایی غیر ضروری را در بر میگیرند. چهارم، خطاها، نتیجه اعمال ترتیبی میباشند که بعضی افراد آنها را با ترتیب نادرست انجام میدهند و در نهایت، خطاهای زمانی که افراد نمیتوانند وظیفهای را در زمان موردنیاز انجام دهند.
رفتار امنیتی همچنین میتواند با استفاده از دو عامل ردهبندی شوند. همانند شکل زیر، شش رده امنیتی ایجاد میشود که دوتای آن رفتارها (تضمین آگاهی و حفظ صحت ابتدایی) مثبت هستند و برای افزایش امنیت طراحی شدهاند و چهارتای دیگر رفتارها ممکن است در نتیجه شکاف امنیتی باشند.
تخریب عمدی اعمال به کارمند داخلی بداندیش مربوط میشود که آگاهی تخصصی تکنیکی و عمدی برای انجام زیان را داراست در حالیکه سوءاستفاده زیانآور کارمندانی که زیان عمدی با فقدان تخصص تکنیکی را انجام میدهند را هم در بر میگیرد. تعمیرکردن خطرناک رفتارهایی که تخصصهای تکنیکی نیاز دارد را پوشش میدهد ولی هیچ عمدی در انجام زیان وجود ندارد که در نتیجه اشتباهات افراد بیتجربه میباشد.
در حقیقت، اشتباهات عاملهای انسانی بصورت تصادفی تشریح میشوند؛ بنابراین، استفاده از تکنولوژیهای امنیت اطلاعات، همیشه برای بهبود امنیت نمیباشد.
منابع
ویرایشپیوند به مقاله: دریافت منبع
--Soleimani89 ۳۰ اکتبر ۲۰۱۱، ساعت ۱۰:۵۰ (UTC)