عامل‌های انسانی در امنیت اطلاعات/مدیریت موثر و سیاست در امنیت تجارت الکترونیک

مقدمه

ویرایش

استفاده از اینترنت در سازمان‌ها و شرکت‌ها برای انجام فعالیت‌های مختلف و کسب و کار در حال تبدیل شدن به یک جزء عمده از کسب و کار الکترونیکی می‌باشد.

سوء استفاده سهوی و عمدی از اینترنت توسط کارکنان داخلی و احزاب خارجی، همراه با اینترنت فزاینده و آسیب‌پذیر جهانی و کمبود مقررات اینترنت در زیرساخت‌ها، منجر به رویداد مشکل امنیت اینترنت برای سازمان‌ها می‌شود.

در این مقاله به گزارش یافته‌های عمده‌ای از مطالعات سالها که شامل اکتشافات قابل توجهی از امنیت تجارت الکترونیکی از طریق شش روش مطالعه در مورد پنج سازمان متوسط تا بزرگ می‌پردازیم که توسط تمرکز گروهی از رهبران صنعت صورت گرفته است. نتایج تحقیقات شامل یک چارچوب کلی سیاست امنیتی برای تجارت الکترونیکی است.

این تحقیق همچنین بر اهمیت مسائل و نیاز انسان به تغییرات در شیوه‌های جاری مدیریت و سیاست امنیت تجارت الکترونیکی تاکید دارد.

مدیریت مسائل امنیتی

ویرایش

استفاده گسترده از کسب و کار الکترونیکی نگرانی‌های امنیتی سازمانی جدی و جدیدی را با خود به همراه آورده است. سیاست ها، ساختارها، استانداردها و دستورالعمل‌های مدیریتی دیگر هستند که به عنوان منتقد در مدیریت مسائل امنیتی داخلی کسب و کار الکترونیکی از قبیل سوء استفاده کارکنان و سوء استفاده از اینترنت، که در کنترل عامل‌های انسانی تعیین کننده هستند، به کار گرفته می‌شوند.

پس از اتمام این پروژه، ما سیاست‌های امنیت اینترنت را که از آن در این پروژه به عنوان یک درمان یاد شده به رسمیت شناخته و در واقع، به نام سیاست‌های امنیت کسب و کار الکترونیکی می شناسیم، که در اکثر سازمان‌ها و شرکت ها امری ضروری و جزو قواعد اولیه است.

نگرشی کلی در خصوص ساختار خط مشی امنیت کسب و کار الکترونیکی از نیازهای اساسی این مبحث می باشد. در این تحقیق سعی شده است با برجسته سازی اهمیت پیامد های انسانی و اعمال تغییرات مورد نیاز در مدیریت امنیت اطلاعات و سیاست گذاری های پذیرش کسب و کار الکترونیکی ( که معمولا توسط بسیاری از سازمان ها پذیرفته شده است) نگرانی های جدید را که در سازمان ها به وجود آمده است ، رفع نماید. بطور کلی در این تحقیق نشان داده شده است که نمی توان بطور قاطع عامل های انسانی را در استفاده از اینترنت کنترل نمود و سعی شده تا سیاست ها و روندهایی که برای کنترل مخاطرات بیشتر موثر هستند را تنظیم کرد. در نهایت سازمان ها سیاستی را به عنوان (internet acceptable usage policy ) IAUP یا سیاست پذیرش استفاده از اینترنت را تنظیم می نمایند تا یک چهارچوب برای راهنماهای استفاده و روند کنترل و مدیریت در کسب و کار الکترونیک تدوین نمایند. عواملی که در تدوین سیاست های امنیتی موثر هستند و در حقیقت نگارنده سیاست های امنیتی شامل عوامل زیر می باشد:

  1. مدیر شبکه Network administrator
  2. مدیر امنیت Security manager
  3. کاربران پیشرفته Technical experts
  4. کارفرما Employer
  5. و یا شرکای تجاری Participants

همچنین چهارچوب اصلی در سیاست گذاری های امنیتی در نهایت به تدوین سه مجموعه ذیل ختم می گردد:

  1. مجموعه ای از عواملی که در هنگام توسعه سیاست در نظر گرفته می شوند.
  2. روش توسعه سیاست گذاری
  3. چهار چوب برای محتوای سیاست ها

مجموعه‌ای از انواع خطرات اینترنت

ویرایش

ارتباط ریسک (ارتباط مخاطره) یک زمینه رشد یافته‌است که تحقیقات زیادی به ویژه در مورد سلامتی و بلایای طبیعی در خصوص آن انجام گرفته‌است. ارتباط ریسک فرآیندی است که در آن چگونگی تغییر اطلاعات در مورد یک ریسک بررسی می‌شود. این فرآیند و هدف آن می‌تواند در ۳ زمینه تقسیم شود:

  1. استفاده از اینترنت برای مقاصدی غیر از کسب و کار
  2. کدهای مخرب
  3. اشتباهات نرم‌افزاری
  4. محرومیت از خدمات و یا فعالیت‌هایی که سرویس‌دهی سازمان را در بخش مورد نظر خود سلب می نماید.
  5. تراکنش‌هایی که به اشتباه درون سیستم توسط کاربران ثبت می شوند.
  6. تقلب توسط کاربران
  7. تبلیغات نادرست (به عنوان مثال email شخصی یک کاربر که به اشتباه دیدگاه رسمی شرکت تلقی می شود)
  8. ایمیل نامناسب (برای مثال، اذیت و آزار از طریق ایمیل)
  9. داده‌های با کیفیت پایین (برای مثال، شرکت و در حقیقت بخش روابط عمومی آن از اطلاعات ناکافی و کم برای اهداف کسب و کار خود درون سایت شرکت استفاده می نمایند)
  10. رسانه های سرقت شده
  11. سرقت اطلاعات (به عنوان مثال، از طریق رهگیری)
  12. افشای تصادفی (به عنوان مثال، نشت اطلاعات محرمانه کسب و کار از طریق پست الکترونیک شرکت).

این خطرات با سایر عوامل موثر در سیاست‌های امنیت کسب و کار الکترونیکی مرتبط هستند. از این رو در ساختار امنیت کسب و کار الکترونیکی خود را در یک مسیر با مدل پیشنهادی سیاست مربوطه قرار می‌دهند.

مسائل انسانی

ویرایش

مسایل انسانی که بر روی خط مشی‌ها تأثیر می‌گذارد به طور کل شامل موارد ذیل می‌باشند:

  • آزادی استفاده از اینترنت: که تحقیقات نشان می‌دهد ۸۰٪ کاربران تمایل دارند در محل کار خود از اینترنت استفاده نمایند.
  • حریم خصوصی: انتظارات کاربران برای حفظ حریم خصوصی خود (مشخصا برای email) عملاً امکان دخالت و یا مانیتورینگ را در این بخش دشوار ساخته و هنوز مکانیزم مشخصی برای کنترل ریسک کسب و کار از طریق خطرات ایمیل نمی‌توان یافت.
  • اعتماد: تحقیقات نشان می‌دهد کاربران انتظار دارند تا شرکت‌های آن‌ها در دسترسی آن‌ها و رفتار ایشان اعتماد داشته و سیاست‌های کمتری را در این خصوص اعمال نماید.

سایر عوامل انسانی مؤثر در این بخش شامل: مانیتورینگ مدیر شبکه و امنیت و نظارت و کنترل دسترسی و سیستم ثبت وقایع می‌باشد. این سیستم‌ها به مدیر سیستم کمک می‌کند تا پاسخگویی کاربران را در برابر اعمالشان بالا برده و از طریق احراز هویت و انکارناپذیری مسئولیت رفتار ایشان را در این خصوص برایشان اثبات نماید. کلیه مسایل فوق سبب می‌شوند تا تدوین خط مشی امنیتی در سیاست‌های یک سیستم مبتنی بر نیازهای یک سازمان و با در نظر گرفتن کلیه عوامل تاثیرگذار در سیستم باشد.

راهکارها

ویرایش

ریسک نتایج ارزیابی با در نظر گرفتن عوامل دیگر در سیاست امنیتی اینترنت در رابطه هستند، نمای کلی محتوا برای سیاست های امنیت کسب و کار الکترونیکی، و سیاست های مختلف سازمانی مانند کد شرکت به منظور تعیین سیاست امنیتی کسب و کار الکترونیکی در نظر گرفته می شود. از این رو، در حال حاضر یک رویکرد چند وجهی مورد نیاز است، که شامل:

  1. توسعه سیستم های بسیار امن.
  2. توجه به مسائل مهم بشر در ارتباط با نحوه استفاده و امنیت اینترنت.
  3. کارکنان پاسخگو برای اقدامات خود از طریق سیاست های مناسب، فعالیت‌های آگاهانه ، نظارت و تحریم.
  4. به حداقل رساندن تکیه بر اقدامات و رفتار کارکنان از طریق به کارگیری قدرتمند نرم‌افزارهای امنیتی مدیریت اینترنت.

پیشنهاد

ویرایش

ما چارچوب را برای سیاست‌های امنیت کسب و کار الکترونیکی ارائه داده‌ایم، این برنامه‌ها شامل یک مدل از عوامل در امنیت کسب و کار الکترونیکی و یک ساختار برای سیاست‌های امنیت کسب و کار الکترونیکی است.

نتیجه گیری

ویرایش

نیاز به منابع مناسب، زیرساخت های امنیتی رسمی سازمانی کسب و کار الکترونیکی، برنامه جامع امنیت تجارت الکترونیک مدیریت حاوی طیف وسیعی از عناصر هماهنگ از جمله: سیاست های امنیت کسب و کار الکترونیکی (سیاست های قابل قبول استفاده از اینترنت)؛ سیاست های در حال انجام آموزش و پرورش و سطوح آگاهی؛ نظارت؛ رعایت و همکاری فرایندهای رسمی که در مواردی برگرفته از عدم همکاری است.

منابع

ویرایش

عنوان انگلیسی:

effective management and policy in E-business security

عنوان فارسی: مدیریت موثر و سیاست در امنیت تجارت الکترونیک