عامل‌های انسانی در امنیت اطلاعات/مشکلات انسانی، سازمانی و فناورانه پیاده‌سازی امنیت فناوری اطلاعات در سازمان‌ها

عنوان انگلیسی: Human, Organizational and Technological Challenges of Implementing IT Security in Organizations

عنوان فارسی: مشکلات انسانی، سازمانی و تکنولوژی پیاده سازی امنیت فناوری اطلاعات در سازمانها

تحقیقات اخیر مشخص کرده اند که فاکتورهای مبتنی بر تکنولوژی تنها عامل موثر بر کنترل امنیت اطلاعات نیستند بلکه هچنین نیاز به شناخت اثر انسان و فاکتورهای سازمانی نیز وجود دارد. شناخت بهتر اثر متقابل عوامل انسانی، سازمانی و تکنولوژی می تواند فاکتورهایی را که منجر به ایجاد شکاف های امنیتی و آسیب پذیری داخل سازمان می شود، تشریح نماید. این مقاله چالش هایی که کارشناسان امنیت در داخل سازمانها با آن مواجه هستند، بررسی می نماید. در این مقاله برای شناخت فاکتورهای ایجاد بهترین رویه امنیتی داخل سازمان، از متدهای کیفی استفاده شده است. داده های مورد بررسی شامل 34 پرسشنامه و 27 مصاحبه با کارشناسان امنیت در سازمانهای مختلف است.

پیش زمینه

عوامل انسانی، سازمانی و تکنولوژی عناصری هستند که بکارگیری امنیت در سازمان ها را با چالش مواجه می کنند. جنبه های انسانی عبارتست از آنچه مربوط به شناخت و درک افراد است مانند فرهنگ و تعامل با دیگر با افراد. جنبه های سازمانی مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصمیمات مدیریتی در حوزه امنیت فناوری اطلاعات. جنبه های تکنولوژی، شامل راه حل های تکنیکی مانند برنامه ها و پروتکل هاست. برای مثال، برای رسیدن به درک متقابل درباره ریسک های امنیت در میان ذینفعان مختلف، ارتباطات و تعاملات موثر موردنیاز است. همچنین خطاهای انسانی تهدید دیگری برای راهکارهای امنیتی هستند. تحلیل ها نشان می دهد که فاکتورهای سازمانی مانند ارتباطات، فرهنگ امنیت و قوانین دلایل متداول خطاها در حوزه امنیت اطلاعات هستند.

متدولوژی

شناخت بهتر شرایط و محدودیت های دنیای واقعی در ارائه راهکارهای امنیتی برای ایجاد سیستم های امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سیستم کمک خواهد کرد. سوالات اصلی که در این مطالعه مطرح شده است، عبارتند از:

1- مشکلات اصلی که کارشناسان امنیت در سازمان خود با آنها روبرو هستند، چیست؟

2- چگونه این چالش ها و مشکلات با هم در تقابل هستند؟

3- الزامات این چالش ها بر روی تحقیقات آینده چیست؟

برای پاسخ به این پرسشها، داده های تجربی از مصاحبه با کارشناسان امنیت که در محیط های واقعی مشغول به فعالیت هستند، جمع آوری شده است.

ارائه چارچوب یکپارچه چالش ها

شرکت کنندگان فاکتورهای متعددی که پیاده سازی کنترل های امنیتی در سازمان های آنها را با مشکل مواجه کرده است، ذکر کرده اند؛ خلاصه ای از این مشکلات به این شرح است:

سه دسته از این مشکلات بعنوان فاکتورهای انسانی دسته بندی می شود:

1- فرهنگ 2- فقدان آموزش امنیت 3- فرآیندهای امنیت ارتباطات (communication of security)

فقدان فرهنگ امنیت داخل سازمانها تغییر شیوه ها را مشکل کرده است. برای مثال، چندین کارمند از یک نام کاربری برای دسترسی به یک سیستم استفاده می کنند. در برخی موارد، کارمندان دسترسی به داده را بعنوان یک امتیاز در نظر می گیرند و در برابر از دست دادن این امتیاز بعنوان یک تغییر سازمانی مقاومت می نمایند. فقدان آموزش امنیت موضوع دیگر است. پیاده سازی کنترل های امنیتی در حالی که افراد توجه کافی یا دانش کافی درباره امنیت فناوری اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ریسک هایی که ذینفعان داخل سازمان با آن مواجه هستند، تحت تاثیر قرار می دهد. زمانی که دیدگاه مشترک از ریسک ها میان ذینفعان وجود نداشته باشد امنیت ارتباطات communication of security بویژه با مشکل روبرو خواهد شد.

مواردی که به ویژگی های سازمان ها مربوط می شود، عبارتند از:

1- برآورد ریسک 2- محیط های باز و آزاد دانشگاهی 3- فقدان بودجه 4- قرار دادن امنیت در اولویت دوم 5- زمانبندی فشرده 6- روابط تجاری با دیگر سازمان ها 7- توزیع مسئولیت های فناوری اطلاعات 8- کنترل دسترسی به داده های حساس

فاکتورهای مبتنی بر تکنولوژی که برای پیاده سازی قوانین امنیتی مطرح می شوند، عبارتند از:

1- پیچیدگی سیستم ها 2- دسترسی های توزیع شده و سیار 3- آسیب در سیستم ها و برنامه ها

مباحثه

چالش هایی که در اینجا مطرح شد، نه تنها پیچیدگی محیطی را نشان می دهد بلکه محدودیت هایی را که سازمان در هنگام پیاده سازی قوانین امنیتی با آن مواجه است، مطرح می نماید.

تجزیه و تحلیل ها نشان داد که ارتباطات موثر یک مشکل برای کارشناسانی که ریسک ها و کنترل های امنیتی را با دیگر ذینفعان مطرح می نمایند، می باشد. برای پیاده سازی فرآیندهای امنیتی باید فرهنگ سازمانی و دیدگاه ذینفعان مختلف و نه فقط کاربران نهایی درباره ریسک های امنیتی در نظر گرفته شود. توزیع مدیریت فناوری اطلاعات و عدم آموزش های امنیتی ذینفعان فاکتورهایی هستند که تاثیر منفی بر روی کارآیی و اثربخشی ارتباطات ایجاد شده توسط کارشناسان امنیت دارند.

زمانبندی فشرده برای تحویل سرویس هایی که شامل نیازمندیهای امنیتی است، مشکل دیگری است. این مشکل به کمبود زمان، منابع و ارتباطات متناقض بین مسئولان مربوط می باشد. به این ترتیب یک ارتباط مستقیم بین زمانبندی فشرده و سطح امنیت وجود دارد.

توزیع، در حوزه دسترسی کنترل شده به داده دو جنبه دارد: اول، کنترل کردن دسترسی کاربرانی که پراکنده هستند و از تکنولوژی های دسترسی متفاوت استفاده می کنند. دوم، کنترل دسترسی به داده های توزیع شده در کل سازمان که توسط ذینفعان مختلف مدیریت می شود.

پیشنهاد مطرح شده اینست که، پروسه های امنیتی باید با فرض محیط های توزیع شده توسعه یابند. این سیستم ها باید به منظور فراهم کردن دسترسی کنترل شده به داده های توزیع شده، به اندازه کافی انعطاف پذیر باشند و کانال های ارتباطی بین ذینفعان مختلف که به آن داده ها دسترسی دارند، بهبود ببخشند.

نتیجه گیری

این مقاله با استفاده از داده های تجربی و بهره گیری از نتایج مطالعات قبلی یک چارچوب یکپارچه از چالش های انسانی ، سازمانی و تکنولوژی که کارشناسان امنیت با آن روبرو هستند، ارائه کرده است، این چارچوب در واقع راهنمایی است برای آن دسته از سازمان ها و کارشناسان امنیت، که نیاز به تعیین محدودیت های سازمان خود برای پیاده سازی قوانین امنیتی دارند.

منبع مورد استفاده برای این مطلب:دریافت مقاله اصلی

--S89231525 ‏۲۷ اکتبر ۲۰۱۱، ساعت ۱۴:۲۱ (UTC)