عامل‌های انسانی در امنیت اطلاعات/نقش عامل‌های انسانی در امنیت نرم افزار مدیریت ریسک

عنوان انگلیسی: Human Factors in Software Security Risk Management

عنوان فارسی: نقش عامل‌های انسانی در امنیت نرم افزار مدیریت ریسک

	مقدمه--S88231565 ‏۲۹ اکتبر ۲۰۱۱، ساعت ۰۸:۳۹ (UTC)

مقدمه

ویرایش

در توسعه و خرید نرم¬افزار باید عوامل انسانی، مدیریت، خرید و سیستم امنیتی نرم¬افزار جزء ریسک¬های امنیتی در نظر گرفته شود. در اینجا انسان و سازمان دو عامل در توسعه نرم افزار و نرم افزار¬های امنیتی مدیریت ریسک شناخته شده¬اند. اگر همه این جنبه از مراحل اولیه در توسعه نرم افزار در نظر گرفته شود می¬توان مدیریت ریسک امنیتی موفق را انتظار داشت. در نهایت، اگر این روابط با راه حل¬های امنیتی، تکنولوژی¬ها و ابزارها، و روش¬ها در نظر گرفته شود و زودتر به تصویب برسد باعث کاهش ریسک و افزایش چرخه عمر نرم¬افزار خواهد شد. نرم افزار مدیریت ریسک دارای چهار بعد می¬باشد:

1) ریسک ناشی از فن¬آوری و محصولات مورد استفاده

2) ریسک ناشی از توسعه نرم¬افزار و مدل چرخه زندگی

3) ریسک روش¬های نرم افزار مدیریت

4) ریسک ناشی از انسان که در سازمان مشغول هستند.

ابعاد انسانی و سازمان

ویرایش

عوامل انسانی به چهار دسته تقسیم می¬شوند: افراد، تیم، مدیریت و ذینفعان.

همیشه بین این 4 گروه رابطه و همپوشانی وجود دارد که در زیر به آنها اشاره شده است.

1- نداشتن صلاحیت در توسعه نرم¬افزار و ابزار و زبان موثر

2- تجربه، و رهبری رهبر تیم

3- عملکرد تیم

4- دسترس پرسنل ماهر

5- تعهد به پروژه

6- وفاداری کارکنان به سازمان

7- مهارت شناسایی و تجزیه و تحلیل عوامل در معرض خطر مدیریت ، و غیره


مدیران و ذینفعان دارای دیدگاه¬های مختلفی از ریسک هستند. به عنوان مثال، مدیریت، ریسک را از لحاظ سود، برنامه، کیفیت و... در نظر می¬گیرد ولی ذینفعان از جمله مشتریان یا کاربران نگرانی¬های سرمایه گذاری، سطح امنیت، قابلیت استفاده نرم¬افزار، و اثر استفاده از نرم افزار و غیره دیدگاه¬های هستند که مورد توجه ذینفعان می¬باشد. عواملی که باعث ایجاد ریسک¬های امنیتی برای مدیریت نرم¬افزار می¬شوند عبارتند از : 1- سطح اعتماد به نفس تیم مدیریت 2- استخدام پرسنل مناسب 3- همکاری با سازمان¬های خارجی 4- قرارداد بین مدیریت و ارائه دهندگان خدمات 5- منابع آموزش مناسب 6- بررسی دوره¬ای از سیاست¬ها و روش¬های امنیتی 7- پشتیبانی به طور موثر و استفاده از روش های افزایش امنیت 8- ارزیابی ریسک موقوت و برنامه ریزی امنیتی 9- بودجه اضافی عواملی که در مدیریت نرم افزار در مورد ریسک¬ها نقش دارند و باید سازمان یافته با فعل و انفعالات متقابل باشد عبارتند از: 1- ساختار سازمان و ثبات آن 2- ارتباطات داخلی و خارجی 3- راندمان 4- بلوغ 5- عوامل محیطی مناسب برای اجرای سیاست های امنیتی 6- ادغام مسائل امنیتی به روز 7- تسهیلات کافی برای توسعه نرم افزار 8- پیروی از الزامات قانونی، و غیره عوامل بالا از ابعاد انسانی و سازمان به طور مستقیم تاثیر خواهند گرفت.

آسیب پذیری امنیت

ویرایش

عوامل انسانی نقش زیادی در بسیاری از حملات در سیستم¬های دارند که می¬توان به عوامل زیر اشار کرد:

1- کمبود آگاهی های امنیتی

2- ملاحظات ناکافی از مسائل امنیتی بیشتر نسبت به ویروس ها و کرم ها

3- نادیده گرفتن هشدار¬های امنیتی

4- عدم تجزیه و تحلیل امنیتی قبل از انتخاب محصولات مسئولیت

5- نادیده گرفتن کاربر

6- پیکربندی نامناسب سیستم

7- فقدان نظارت دوره¬ای و نگهداری، و یا عدم به روز رسانی به موقع دستگاه¬های امنیتی

8- اهمیت ندادن به تهدیدات امنیتی

9- پایین بودن سطح شایستگی تیم مدیریت امنیت

10- ارتباط ضعیف با تیم های دیگر، و غیره

در نهایت، عوامل انسانی، اثرات قوی در ایجاد روش¬های اجرای سیاست¬های امنیتی و امنیت مدیریت می¬باشد.

عوامل انسانی برای امنیت فرآیند مدیریت ریسک

ویرایش

نرم افزار امنیتی مدیریت ریسک یک فرایندی است که شامل چندین مرحله است

شناسایی ریسک

ویرایش

ریسک¬های امنیتی را می¬توان شناسایی کرد ولی چون هر فرد دیدگاه مختلفی دارد لذا شاید بعضی مشترک و بعضی متفاوت.

ریسک¬های امنیتی عبارتند از:

1- اولویت بندی اشتباه ریسک¬ها

2- توجه بیش از حد به شناسایی ریسک¬های ناآشنا و یا نامشخص 3

3- توجه کم به ریسک¬ها

4- تخمین بیش از حد به ریسک¬های پنهان و کم بها دادن به ریسک¬های معمول

5- غفلت و یا سوء تفاهم از تهدیدهای محیطی

6- اطمینان بیش از حد از سیستم¬های داخلی

7- توجه به حملات خارجی که باعث می¬شود رخنه¬ها و نفوذها شناسایی شوند

8- توجه کمتر به کاربران داخلی که گاهی می¬تواند باعث آسیب پذیری¬های شدید امنیتی شود

9- کم بها دادن به خطرات ناشی از کنترل¬ها و یا اعتماد کردن به منابع خارجی، و غیره

با توجه به این عوامل، خطرات واقعی ممکن است به درستی یا به طور کامل در ابتدا شناسایی نشوند بنابراین، ادراک و آگاهی انسانی باید به عنوان یک عامل خطر مهم برای فرایند مدیریت ریسک در نظر گرفته شود.

تجزیه و تحلیل و کاهش ریسک

ویرایش

همه ریسک¬های مشخص شده نیاز به تجزیه و تحلیل و اولویت بندی دارند به طوری که آنها می تواند حذف شود و یا حداقل به یک سطح قابل قبول کاهش داده شود.

در تجزیه و تحلیل چندین جنبه خاص باید در نظر گرفته شود در تجزیه و تحلیل هر یک از ریسک¬های فردی مانند احتمال وقوع، شدت، مقدار هزینه، اثربخشی از اقدام متقابل به کاهش خطر، و غیره این ریسک¬ها با یکدیگر مرتبط و باید در جزئیات به طور موثر برای کاهش ریسک¬ها مورد تجزیه و تحلیل قرارگیرند.

سازمان و مدیریت

ویرایش

نیاز سیاست¬های امنیتی و روش¬های مورد تایید توسط مدیریت برای کل محیط سازمانی پیاده سازی شده است. مهم¬ترین تعهد مدیریت این است که باید در نظر داشته باشد که نقش¬ها و مسئولیت¬ها پرسنل معیار برای ریسک قابل قبول است یعنی اینکه نسبت به نقش و مسئولیت پرسنل کارها را به آنها محول کرد.

بخشی از سیاست¬های عمده و روش¬های که ممکن است در پرداختن به انسان و سازمان عوامل ریسک باشند عبارتند از:

1- سیاست های امنیتی

2- سیاست های کنترل دسترسی

3- مسئولیت کاربر

4- متدولوژی¬های مدیریت ریسک

5- ساختار سازمانی

6- شناسایی دارایی¬ها، طبقه¬بندی، برای نحوه استفاده از فن¬آوری به صورت قابل قبول

7- ورودی / خروجی

8- کنترل رمزنگاری

9- امنیت فیزیکی محیط سازمان

10- تشخیص فعالیت¬های مخرب و نظارت بر شبکه

11- تشخیص کدهای مخرب در توسعه نرم افزار

12- امنیت معمار، طراحی ، برنامه نویسی و تست

13- ارزیابی، آموزش، برنامه ریزی و بازخورد

14- صلاحیت / ماتریس مهارت سطح برای همه کارکنان

15- امنیت برنامه¬ها، آگاهی و آموزش های امنیتی

16- چک لیست برای ارتقاء سیستم و نگهداری

17- پاسخ از حادثه امنیتی

18- پیروی از الزامات قانونی، و غیره

برای بهبود ادراک و آگاهی انسانی برای شناسایی ریسک، توصیه می¬کنیم با توجه به روش هایی از قبیل ارزیابی حس مشترک (مبتنی بر تجربه)، ریسک¬های طبقه بندی شده، ریسک¬های شناخته شده (از جمله آنهایی که دست کم گرفته و دست بالا گرفته)، تجزیه و تحلیل تهدیدات دارایی، تجزیه و تحلیل آسیب پذیری و مدل سازی و غیره. همه این روش را می¬توان مورد استفاده قرار گیرد به شناسایی و تجزیه و تحلیل ریسک¬هایی که بیشتر از نزدیک مطابقت با واقعیت برای شکست سازمان است.

بررسی فنی

ویرایش

ما باید بیشتر در مورد چگونگی ایجاد لینک و یا روابط میان عوامل انسانی و سازمان، خطرات امنیتی، سیاست¬های امنیتی و روش¬ها، نیازمندی¬های امنیتی، فن¬آوری¬های مربوطه و معماری نرم¬افزار¬های امن مطالعه شد.

منبع مورد استفاده: http://delivery.acm.org/10.1145/1380000/1373312/p13-islam.pdf?ip=80.66.181.94&acc=ACTIVE%20SERVICE&CFID=51307613&CFTOKEN=53399880&__acm__=1319877780_c78673c1409cac2adee04fa00b3145e5--S88231565 ‏۲۹ اکتبر ۲۰۱۱، ساعت ۰۸:۳۹ (UTC)