عاملهای انسانی در امنیت اطلاعات/نقش عاملهای انسانی در امنیت نرم افزار مدیریت ریسک
پیشنهاد شده است که این مقاله یا بخش با عاملهای انسانی در امنیت اطلاعات/نقش عامل های انسانی در مدیریت ریسک امنیت نرمافزارها ادغام گردد.
(بحث). |
عنوان انگلیسی: Human Factors in Software Security Risk Management
عنوان فارسی: نقش عاملهای انسانی در امنیت نرم افزار مدیریت ریسک
مقدمه--S88231565 ۲۹ اکتبر ۲۰۱۱، ساعت ۰۸:۳۹ (UTC)
مقدمه
ویرایشدر توسعه و خرید نرم¬افزار باید عوامل انسانی، مدیریت، خرید و سیستم امنیتی نرم¬افزار جزء ریسک¬های امنیتی در نظر گرفته شود. در اینجا انسان و سازمان دو عامل در توسعه نرم افزار و نرم افزار¬های امنیتی مدیریت ریسک شناخته شده¬اند. اگر همه این جنبه از مراحل اولیه در توسعه نرم افزار در نظر گرفته شود می¬توان مدیریت ریسک امنیتی موفق را انتظار داشت. در نهایت، اگر این روابط با راه حل¬های امنیتی، تکنولوژی¬ها و ابزارها، و روش¬ها در نظر گرفته شود و زودتر به تصویب برسد باعث کاهش ریسک و افزایش چرخه عمر نرم¬افزار خواهد شد. نرم افزار مدیریت ریسک دارای چهار بعد می¬باشد:
1) ریسک ناشی از فن¬آوری و محصولات مورد استفاده
2) ریسک ناشی از توسعه نرم¬افزار و مدل چرخه زندگی
3) ریسک روش¬های نرم افزار مدیریت
4) ریسک ناشی از انسان که در سازمان مشغول هستند.
ابعاد انسانی و سازمان
ویرایشعوامل انسانی به چهار دسته تقسیم می¬شوند: افراد، تیم، مدیریت و ذینفعان.
همیشه بین این 4 گروه رابطه و همپوشانی وجود دارد که در زیر به آنها اشاره شده است.
1- نداشتن صلاحیت در توسعه نرم¬افزار و ابزار و زبان موثر
2- تجربه، و رهبری رهبر تیم
3- عملکرد تیم
4- دسترس پرسنل ماهر
5- تعهد به پروژه
6- وفاداری کارکنان به سازمان
7- مهارت شناسایی و تجزیه و تحلیل عوامل در معرض خطر مدیریت ، و غیره
مدیران و ذینفعان دارای دیدگاه¬های مختلفی از ریسک هستند. به عنوان مثال، مدیریت، ریسک را از لحاظ سود، برنامه، کیفیت و... در نظر می¬گیرد ولی ذینفعان از جمله مشتریان یا کاربران نگرانی¬های سرمایه گذاری، سطح امنیت، قابلیت استفاده نرم¬افزار، و اثر استفاده از نرم افزار و غیره دیدگاه¬های هستند که مورد توجه ذینفعان می¬باشد.
عواملی که باعث ایجاد ریسک¬های امنیتی برای مدیریت نرم¬افزار می¬شوند عبارتند از :
1- سطح اعتماد به نفس تیم مدیریت 2- استخدام پرسنل مناسب 3- همکاری با سازمان¬های خارجی 4- قرارداد بین مدیریت و ارائه دهندگان خدمات 5- منابع آموزش مناسب 6- بررسی دوره¬ای از سیاست¬ها و روش¬های امنیتی 7- پشتیبانی به طور موثر و استفاده از روش های افزایش امنیت 8- ارزیابی ریسک موقوت و برنامه ریزی امنیتی 9- بودجه اضافی
عواملی که در مدیریت نرم افزار در مورد ریسک¬ها نقش دارند و باید سازمان یافته با فعل و انفعالات متقابل باشد عبارتند از:
1- ساختار سازمان و ثبات آن 2- ارتباطات داخلی و خارجی 3- راندمان 4- بلوغ 5- عوامل محیطی مناسب برای اجرای سیاست های امنیتی 6- ادغام مسائل امنیتی به روز 7- تسهیلات کافی برای توسعه نرم افزار 8- پیروی از الزامات قانونی، و غیره
عوامل بالا از ابعاد انسانی و سازمان به طور مستقیم تاثیر خواهند گرفت.
آسیب پذیری امنیت
ویرایشعوامل انسانی نقش زیادی در بسیاری از حملات در سیستم¬های دارند که می¬توان به عوامل زیر اشار کرد:
1- کمبود آگاهی های امنیتی
2- ملاحظات ناکافی از مسائل امنیتی بیشتر نسبت به ویروس ها و کرم ها
3- نادیده گرفتن هشدار¬های امنیتی
4- عدم تجزیه و تحلیل امنیتی قبل از انتخاب محصولات مسئولیت
5- نادیده گرفتن کاربر
6- پیکربندی نامناسب سیستم
7- فقدان نظارت دوره¬ای و نگهداری، و یا عدم به روز رسانی به موقع دستگاه¬های امنیتی
8- اهمیت ندادن به تهدیدات امنیتی
9- پایین بودن سطح شایستگی تیم مدیریت امنیت
10- ارتباط ضعیف با تیم های دیگر، و غیره
در نهایت، عوامل انسانی، اثرات قوی در ایجاد روش¬های اجرای سیاست¬های امنیتی و امنیت مدیریت می¬باشد.
عوامل انسانی برای امنیت فرآیند مدیریت ریسک
ویرایشنرم افزار امنیتی مدیریت ریسک یک فرایندی است که شامل چندین مرحله است
شناسایی ریسک
ویرایشریسک¬های امنیتی را می¬توان شناسایی کرد ولی چون هر فرد دیدگاه مختلفی دارد لذا شاید بعضی مشترک و بعضی متفاوت.
ریسک¬های امنیتی عبارتند از:
1- اولویت بندی اشتباه ریسک¬ها
2- توجه بیش از حد به شناسایی ریسک¬های ناآشنا و یا نامشخص 3
3- توجه کم به ریسک¬ها
4- تخمین بیش از حد به ریسک¬های پنهان و کم بها دادن به ریسک¬های معمول
5- غفلت و یا سوء تفاهم از تهدیدهای محیطی
6- اطمینان بیش از حد از سیستم¬های داخلی
7- توجه به حملات خارجی که باعث می¬شود رخنه¬ها و نفوذها شناسایی شوند
8- توجه کمتر به کاربران داخلی که گاهی می¬تواند باعث آسیب پذیری¬های شدید امنیتی شود
9- کم بها دادن به خطرات ناشی از کنترل¬ها و یا اعتماد کردن به منابع خارجی، و غیره
با توجه به این عوامل، خطرات واقعی ممکن است به درستی یا به طور کامل در ابتدا شناسایی نشوند بنابراین، ادراک و آگاهی انسانی باید به عنوان یک عامل خطر مهم برای فرایند مدیریت ریسک در نظر گرفته شود.
تجزیه و تحلیل و کاهش ریسک
ویرایشهمه ریسک¬های مشخص شده نیاز به تجزیه و تحلیل و اولویت بندی دارند به طوری که آنها می تواند حذف شود و یا حداقل به یک سطح قابل قبول کاهش داده شود.
در تجزیه و تحلیل چندین جنبه خاص باید در نظر گرفته شود در تجزیه و تحلیل هر یک از ریسک¬های فردی مانند احتمال وقوع، شدت، مقدار هزینه، اثربخشی از اقدام متقابل به کاهش خطر، و غیره این ریسک¬ها با یکدیگر مرتبط و باید در جزئیات به طور موثر برای کاهش ریسک¬ها مورد تجزیه و تحلیل قرارگیرند.
سازمان و مدیریت
ویرایشنیاز سیاست¬های امنیتی و روش¬های مورد تایید توسط مدیریت برای کل محیط سازمانی پیاده سازی شده است. مهم¬ترین تعهد مدیریت این است که باید در نظر داشته باشد که نقش¬ها و مسئولیت¬ها پرسنل معیار برای ریسک قابل قبول است یعنی اینکه نسبت به نقش و مسئولیت پرسنل کارها را به آنها محول کرد.
بخشی از سیاست¬های عمده و روش¬های که ممکن است در پرداختن به انسان و سازمان عوامل ریسک باشند عبارتند از:
1- سیاست های امنیتی
2- سیاست های کنترل دسترسی
3- مسئولیت کاربر
4- متدولوژی¬های مدیریت ریسک
5- ساختار سازمانی
6- شناسایی دارایی¬ها، طبقه¬بندی، برای نحوه استفاده از فن¬آوری به صورت قابل قبول
7- ورودی / خروجی
8- کنترل رمزنگاری
9- امنیت فیزیکی محیط سازمان
10- تشخیص فعالیت¬های مخرب و نظارت بر شبکه
11- تشخیص کدهای مخرب در توسعه نرم افزار
12- امنیت معمار، طراحی ، برنامه نویسی و تست
13- ارزیابی، آموزش، برنامه ریزی و بازخورد
14- صلاحیت / ماتریس مهارت سطح برای همه کارکنان
15- امنیت برنامه¬ها، آگاهی و آموزش های امنیتی
16- چک لیست برای ارتقاء سیستم و نگهداری
17- پاسخ از حادثه امنیتی
18- پیروی از الزامات قانونی، و غیره
برای بهبود ادراک و آگاهی انسانی برای شناسایی ریسک، توصیه می¬کنیم با توجه به روش هایی از قبیل ارزیابی حس مشترک (مبتنی بر تجربه)، ریسک¬های طبقه بندی شده، ریسک¬های شناخته شده (از جمله آنهایی که دست کم گرفته و دست بالا گرفته)، تجزیه و تحلیل تهدیدات دارایی، تجزیه و تحلیل آسیب پذیری و مدل سازی و غیره. همه این روش را می¬توان مورد استفاده قرار گیرد به شناسایی و تجزیه و تحلیل ریسک¬هایی که بیشتر از نزدیک مطابقت با واقعیت برای شکست سازمان است.
بررسی فنی
ویرایشما باید بیشتر در مورد چگونگی ایجاد لینک و یا روابط میان عوامل انسانی و سازمان، خطرات امنیتی، سیاست¬های امنیتی و روش¬ها، نیازمندی¬های امنیتی، فن¬آوری¬های مربوطه و معماری نرم¬افزار¬های امن مطالعه شد.
منبع مورد استفاده: http://delivery.acm.org/10.1145/1380000/1373312/p13-islam.pdf?ip=80.66.181.94&acc=ACTIVE%20SERVICE&CFID=51307613&CFTOKEN=53399880&__acm__=1319877780_c78673c1409cac2adee04fa00b3145e5--S88231565 ۲۹ اکتبر ۲۰۱۱، ساعت ۰۸:۳۹ (UTC)