عامل‌های انسانی در امنیت اطلاعات/فرد، فرهنگ و محیط امنیتی

فرهنگ فردی و محیط امنیت

ویرایش

عامل‌های انسانی نقش مهمی در امنیت کامپیوتر ایفا می‌کنند. عامل‌هایی همچون تفاوت‌های فردی، توانایی‌های شناختی و ویژگی‌های شخصیتی بر روی رفتارهای امنیت تأثیر شدیدی دارد. رفتارهای امنیت اطلاعات بسیار تحت تأثیر درک ریسک فردی می‌باشد. همه این عامل‌ها از فرهنگ سازماندهی و محیط امنیت که در آن رخ می‌دهند، تأثیر می‌گیرند. این عامل‌ها با هم در تعامل می‌باشند و می‌توانند نتیجه‌بخش رفتاری باشند که اغلب برای امنیت اطلاعات زیان‌آور است. این مقاله پیشنهاد می‌کند چگونه عامل‌های انسانی و فرهنگی باید از هم تأثیر بپذیرند تا رفتارهای مثبت را فراهم می‌کند و به سوی محیط اطلاعاتی امن‌تری راهبری نماید.

تأثیر عامل‌های انسانی بر روی رفتار، موضوع حائز اهمیتی می‌باشد. این عامل‌ها مشتمل بر روش‌هایی که افراد تصمیم‌گیری می‌کنند و گرایشات و ابتکاراتی که بر روی ادراک ریسک تأثیر می‌گذارند، همچنین تاثیری که دانش و کنترل بر فرایند تصمیم‌گیری دارند، می‌باشد؛ اگر سطح دانش افراد محدود باشد، ممکن است که حجم عظیم ریسک امنیتی را درک نکنند. سطح کنترل افراد نیز دارای اهمیت می‌باشد؛ اگر افراد در انجام کارهایشان احساس کنند که کنترل می‌شوند، طوری رفتار می‌کنند که ریسک‌های بیشتری را متحمل شوند و توانایی‌هایشان را برای کنترل یک تهدید، تخمین بزنند. البته، نمی‌توان از تأثیر تفاوت‌های فردی و عامل‌های اجتماعی چشم‌پوشی نمود. عامل‌های فردی و سبک‌های شناختی در تفاوت‌های ادراک ریسک دخالت می‌کنند. معیارهای گروهی در شرایط اجتماعی گوناگون به اندازه زیادی بر اینکه چگونه افراد فقط ریسکی را درک می‌کنند و نیز اینکه چگونه به آن واکنش نشان خواهند داد، تأثیر می‌گذارد. مرتبط با این موضوع تأثیرِ فضا و فرهنگ سازماندهی شده نیز یکی از عوامل می‌باشد.

فرهنگ سازماندهی به طور قابل توجهی متفاوت است. فرایند اجتماعی کردن یا مجتمع‌سازی توسط کارمندان تجربه شده است که بازتابی از فرهنگ سازماندهی می‌باشد. فرهنگ همچنین می‌تواند با به‌کارگیری عامل‌های گوناگونی همچون رضایت شغلی، انگیزه، رهبری و تعهد تحت تأثیر قرار گیرد. زیرفرهنگ‌ها همچنین غالباً بدون فرهنگ سازماندهی شده‌ای توسعه می‌یابند. همه این عامل‌ها درهم پیچیده شده و بر روی گرایش‌ها، رفتارها و ارزش‌ها تأثیر می‌گذارند. فرهنگ امنیت، جزئی از فرهنگ جمعی است. فضای سازماندهی شده مشابه فرهنگ سازماندهی شده می‌باشد و تحقیقات نشان داده است که ارتباط مثبتی میان فضای امن و رفتار کارمندی منجر به بهبود امنیت اطلاعات وجود دارد.

یک نوع تهدید امنیتی در حال افزایش حمله‌های مهندسی اجتماعی می‌باشد. همه سازمان‌ها در حمله‌های مهندسی اجتماعی آسیب‌پذیر هستند. از جمله این حمله‌ها، فیشینگ می‌باشد. حملات فیشینگ از طریق ایمیل، هماهنگ شده و اغلب با هدف اصلی مشاهده جزئیات کارت اعتباری و حساب بانکی و رمزهای عبور انجام می‌شود. برخی افراد بیشتر از دیگران مستعد این حملات می‌باشند؛ تفاوت‌های فردی از قبیل خصیصه‌های شخصی از دلایل آنست. حملات فیشینگ ایمیل و وب‌گاه‌های جعلی برای فریب در حال افزایش می‌باشند. آن‌ها حقه‌های بصری را به‌کار می‌گیرند و بر اشتباه شاخص امنیتی جاری برای موفقیت استوار هستند. دفاع‌های متعددی در مقابل مهندسی اجتماعی می‌تواند برای کاهش تهدید استفاده شود که شامل اعمالی همچون استفاده از دستگاه‌های خردکننده کاغذ(shredder) در از بین بردن اطلاعات حساس، بکارگیری امنیت فیزیکی مناسب و اندازه‌گیری‌های امنیتی کامپیوتر و از همه مهمتر آموزش و پرورش و آگاهی کارکنان می‌باشد. از زمانیکه انسان‌ها هدف حملات مهندسی اجتماعی می‌باشند، آموزش یکی از بهترین دفاع‌ها می‌باشد. آموزش و پرورش بایستی مناسب شخص باشد، به طور مستمر تقویت و به طور کارا پیاده‌سازی و به طور اختصاصی تأثیر داشته باشد.

عامل‌های انسانی در امنیت اطلاعات مطمئناً نتایج پویا و پیچیده بسیاری ارائه می‌نمایند. متغیرهای بسیاری وجود دارند که نیاز است که بایستی در نظر گرفته شوند، و اینکه نه تنها تفاوتهای فردی و تهدیدات فردی وجود دارند بلکه تعاملات و تأثیرات فرهنگ و فضای سازماندهی شده نیز وجود دارند. انسان در امنیت اطلاعات مرجعی از یک لینک ضعیف امنیتی می‌باشد. رخنه کردن در امنیت اطلاعات به تعدادی روش متفاوت طبقه‌بندی می‌شود. خطای اشتباهات فردی از دیدگاه دو دانشمند سوآین و گاتمن، به پنج نوع متفاوت تقسیم می‌شوند که می‌تواند برای توصیف رخنه‌های امنیتی استفاده شود. نخست، انجام غفلت که افراد ضرورت انجام کاری ضروری را فراموش می‌کنند (مثلا تغییر دادن رمز عبور را فراموش کنند). دوم، خطاها نتیجه انجام فرمان‌هایی می‌باشد که افراد رویه و یا عمل نادرستی را اجرا می‌کنند (رمز عبور را در جایی می‌نویسند). سوم، تعدادی خطا نتیجه اعمال خارجی می‌باشند که کارهایی غیر ضروری را در بر می‌گیرند. چهارم، خطاها، نتیجه اعمال ترتیبی می‌باشند که بعضی افراد آن‌ها را با ترتیب نادرست انجام می‌دهند و در نهایت، خطاهای زمانی که افراد نمی‌توانند وظیفه‌ای را در زمان موردنیاز انجام دهند.

رفتار امنیتی همچنین می‌تواند با استفاده از دو عامل رده‌بندی شوند. همانند شکل زیر، شش رده امنیتی ایجاد می‌شود که دوتای آن رفتارها (تضمین آگاهی و حفظ صحت ابتدایی) مثبت هستند و برای افزایش امنیت طراحی شده‌اند و چهارتای دیگر رفتارها ممکن است در نتیجه شکاف امنیتی باشند.

تخریب عمدی اعمال به کارمند داخلی بداندیش مربوط می‌شود که آگاهی تخصصی تکنیکی و عمدی برای انجام زیان را داراست در حالیکه سوءاستفاده زیان‌آور کارمندانی که زیان عمدی با فقدان تخصص تکنیکی را انجام می‌دهند را هم در بر می‌گیرد. تعمیرکردن خطرناک رفتارهایی که تخصصهای تکنیکی نیاز دارد را پوشش می‌دهد ولی هیچ عمدی در انجام زیان وجود ندارد که در نتیجه اشتباهات افراد بی‌تجربه می‌باشد.

در حقیقت، اشتباهات عامل‌های انسانی بصورت تصادفی تشریح می‌شوند؛ بنابراین، استفاده از تکنولوژی‌های امنیت اطلاعات، همیشه برای بهبود امنیت نمی‌باشد.

منابع

ویرایش

پیوند به مقاله: دریافت منبع

--Soleimani89 ‏۳۰ اکتبر ۲۰۱۱، ساعت ۱۰:۵۰ (UTC)