عامل‌های انسانی در امنیت اطلاعات/مسيرهای آسیب‌پذیری (۲)

مقدمه:

اين مقاله قصد دارد تا نقش عامل‌های انسانی و سازماني را در آسيب‌پذيري امنيتي سيستم‌های اطلاعاتی از لحاظ فنی بررسی نمايد. از آنجا که عامل‌های انسانی ارتباطات پيچيده‌ای را با سيستم‌های اطلاعاتی دارند، نقش مهمی را در توسعه آسيب‌پذيري سيستم‌های اطلاعاتی بازی می‌کنند. اين عوامل در 9 گروه دسته‌بندی می‌شوند: تاثيرات خارجي، خطای انساني، مديريت، سازمان، کارايي و مديريت منابع، خط‌مشی، تکنولوژي و آموزش. از جمله بزرگترين مشکلات در سيستم‌های اطلاعاتی بهبود و رفع موثر آسيب‎های ناشی از حملات می‌باشد. از آنجا که سازمان‎ها بر محافظت دارايي‌هايشان بوسيله راه حل‌های تکنولوژيکي تاکيد دارند، سيستم‌های اطلاعاتی هم به دنبال همين رويکرد می‌باشند. در نتيجه با وجود اينکه عوامل انسانی در اثر‌بخشي سيستم‌های بحرانی نقش مهمی را دارند ولی عوامل تکنولوژيکی نيز اين مفاهيم را به هم پيوند می‌دهد. آسيب پذيري‌ها ريشه در شکاف‌های رويه‌های سازمانی، مفروضات اوليه طراحی و تصميمات مديريتی دارند. اين تحقيق براساس رويکرد مهندسی انسانی انجام گرفته و سيستم‌های اطلاعاتی را يک سيستم فنی- اجتماعی در نظر می‌گيرد که عوامل فرهنگی و ساختاری سازمان‌ها در آن تاثير زيادی ايجاد می‌کنند. اين تحقيق به دنبال پاسخ به دو پرسش زير می‌باشد:

1. چه عوامل انساني و سازمانی‌ای هستند که در آسيب پذيری سيستم‌های اطلاعاتی شرکت می‌کنند؟

2. چه ارتباطاتی بين اين عوامل و چگونگی همکاری آنها در انواع آسيب‌ها وجود دارد؟

فاکتورهای سازمانی در تحقيقات سيستم‌های اطلاعاتی شامل خط مشی‌ها، فرهنگ و حمايت مديريت می‌باشد. اين تحقيق تعريف عوامل انسانی و سازمانی، مکانيسم و ارتباطات آنها و تاثير آنها در کارايي سيستم‌های اطاعاتی را بررسي می‌کند.

متدولوژي:

در اين تحقيق از روش طراحی کيفي استفاده می‌شود که در جمع‌آوری و شرح جزييات و پيچيدگی‌ها مفيد خواهد بود. همچنين از دو گروه، تيم قرمز استفاده شده تا زمينه تاثير عوامل انسانی را بر آسيب پذيری ايجاد و توسعه دهند که اين روش، روشی است برای شناسايي آسيب‌های سيستم و افزايش امنيت آن. برای مستند کردن مسيرهای ارتباطی ممکن بين عوامل انسانی و آسيب‌ها از روش دياگرام ارتباطی و تحليل شبکه‌های سببی استفاده می‌شود.

نتايج:

براساس نتايج کار دو گروه، 66 مورد از عوامل انسانی و سازمانی موثر بر آسيب پذيری شناسايي شد که 21 مورد مربوط به گروه 1 و 45 مورد مربوط به گروه 2 می‌باشد. همچنين 50 مسير آسيب پذيري هم شناسايي شد که 37 مسير مربوط به گروه 1 و 13 مسير به گروه 2 می‌باشد. . هر دو گروه آسيب پذيري عملياتی را به طبقه بندی انواع آسيب پذيري اضافه کردند.

مباحثه:

با استفاده از تکنيک تحليل شبکه سببی برای ثبت عوامل انسانی و مسيرهای ممکن آن، 4 نوع آسيب پذيري طراحی، پياده سازی، پيکره بندی و عملياتی تعيين گرديد. در گروه 1، 9 مسير آسيب پذيري طراحی، 10 مسير آسيب پذيري پياده سازی، 10 مسير آسيب پذيري پيکربندی و 8 مسير آسيب پذيري عملياتی شناسايي شد. همچنين در گروه 2، 2 مسير آسيب پذيري طراحی، 3 مسير آسيب پذيري پياده سازی، 2 مسير آسيب پذيري پيکربندی و 2 مسير آسيب پذيري عملياتی شناسايي شد. همچنين طبق نتايج مشخص شد که خطای انسانی و اشتباهات نقش مهمی در آسيب پذيري سيستم‌های اطلاعاتی و روش‌های آن دارد و از طرفی به عوامل سازمانی همچون ارتباطات، فرهنگ امنيتي و خط مشی‌ها وابسته است.

براساس نتايج حاصل از تحقيق موارد زير به عنوان عوامل انسانی شناسايي شده معرفی گرديد که در 9 گروه نام برده شده در بالا قرار مي‌گيرد.

گروه‌ها عوامل
تاثيرات خارجی ندارد
خطای انسانی اشتباهات
مديريت کمبود حمايت مديران، کمبود الزام به نگهداری
سازمان‌های سيستم‌های اطلاعاتی کيفيت تيم‌های تست سيستم‌های اطلاعاتی
مديريت کارايي فرايندها و مقياس‌های تعريف نشده کارايي، کمبود حمايت کاربران
خط مشي عدم وجود خط مشی، خط مشی‌های متعدد و پراکنده
مديريت منابع کمبود دانش سيستم‌های اطلاعاتي، رده بندی‌های پايين کارمندان
تکنولوژی کيفيت پايين تعريف نيازمندي‌ها، انواع نرم افزارها و سخت افزارها
آموزش عدم آموزش کاربران