عاملهای انسانی در امنیت اطلاعات/نقش عاملهای انسانی و سازمانی در امنیت رایانهها و اطلاعات: مسیری به سوی تهدید
عنوان انگلیسی : Human and Organization factors in Computer and Information Security: pathway to vulnerabilities
عنوان فارسی :نقش عامل های انسانی و سازمانی در امنیت رایانه ها و اطلاعات: مسیری به سوی تهدید
مقدمه
ویرایششناخت و توصیف این موضوع که چگونه انسان و عوامل انسانی ممکن است وابسته به اطلاعات فنی کامپیوتری باشند و در مقابل استفاده از آن دچار آسیب شوند در سالهای اخیر اهمیت زیادی پیداکردهاست. تحقیقی کیفی از CIS توسط دو تا پنچ کارشناس خبره به جهت بررسی ارتباط علی معلولی بین انسان، عاملهای سازمانی و میزان آسیب پذیری CIS منجر به ارائه پیشنهاداتی گردید که اهمیت انسان، عاملهای سازمانی و نقش مهم آنها درتوسعه آسیب پذیری CIS را نشان میدهد و تاکید برارتباطی بین پیچیدگی انسان و عاملهای سازمانی مشهود است. در این تحقیق به نه فاکتور تاثیرگذار ذیل اشاره شدهاست:
۱. تاثیر یا نفوذ محیط خارجی ۲. اشتباهات انسانی ۳. مدیریت ۴. سازمان ۵. اجرا ۶. منابع مدیریت ۷. خط مشیهای سازمانی ۸. تکنولوژی ۹. آموزش.
در این تحقیق به مشکلات تکنولوژیکی و یا اشتباهات برنامه نویسی که امنیت افراد شاغل و مدیریت را با آسیب زدن به تحت تاثیر قرار میدهد اشاره شدهاست.
درسال ۲۰۰۸ بنیاد امنیت کامپیوتر در دفتر فدرال طی یک بررسی میدانی که از ۵۲۲ نفر از استفاده کنندگان از کامپیوتر از جمله یک مدیر ارشد از آمریکا، نمایندههای دولت، موسسههای مالی، موسسههای پزشکی و ... انجام داده اعلام نموده که میانگین خسارت هر پاسخ دهنده در قبال حادثههای امنیت کامپیوتری ایجاد شده حدوداً ۶۱۸/۲۸۸ دلار زیان دیدهاست. این حملهها در یک دوره ۱۲ ماهه اتفاق افتاده وبه نظر شرکت کنندگان در این طرح شامل موارد ذیل بودهاست:
- پنجاه و نه درصد از شرکت کنندگان به حمله یک ویروس کامپیوتری و درگیر شدن سیستم اطلاعاتی با آن اشاره داشتهاند.
- بیست و نه درصد از شرکت کنندگان به استفاده بی اجازه از سیستمهای کامپیوتری اشاره داشتهاند.
- چهل وچهار درصد از شرکت کنندگان به استفاده نادرست کارمندهای داخلی که یکی از بزرگترین مشکلات در امنیت سیستمهای اطلاعاتی به حساب میآید اشاره داشتهاند.
به هر حال تاکید سازمان به رویکرد تکنولوژیکی و حفاظت از دارایی یا موجودی سازمان امری بدیهی است. این مقاله اساساً بر روی انسان و عاملهای انسانی در داخل سیستم CIS تمرکز میکند اما به نقش عاملهای تکنولوژیکی (فنی) به صورت به هم پیوسته در داخل سیستم اشاره شدهاست. صرف نظر از دوام عاملهای کنترلی، اگر انسان وعاملهای انسانی تغییر کند اجرا و استفاده از مفهوم CIS بسیار سخت میباشد. مثل پسورد ضعیف وعدم قابلیت استفاده از آن دربرخی سیستمها که ممکن است امنیت اطلاعات را به مرحله آسیب پذیری برساند. آسیبها ممکن است نتیجه خط مشی (سیاست گذاری) نادرست و یا اشتباه فردی که عمیقاً در افراد ریشه داشته و یا یک تصمیم مدیریتی باشد.
این رویکرد نشان میدهد که هم انسان و هم عاملهای انسانی در یک سیستم اجتماعی اقتصادی به فرهنگ و ساختار آن سازمان رجوع میکند و این طرح شامل مرزهای اداری، سیستمهای پاداش، نظارت و سرپرستی و سیستمهای کنترل، اصول طراحی شغل، اجرای انتظارات، فرصت درگیر کردن کارمندان، قرارداد کارمند و مدیر و قرارداد اجتماعی بین سازمان واعضاء میباشد.
هدف
ویرایشهدف از این مقاله توصیف انسان و عاملهای سازمانی است که در آسیب پذیری CIS (سیستم های اطلاعاتی کامپیوتری در سازمان) دخالت داشته و ارتباط بین این فاکتورها است.
- کدامیک از انسان و عاملهای سازمانی ممکن است در آسیب پذیری CIS شرکت داشته باشد؟
- ارتباط بین این عاملها چگونه ممکن است در آسیب پذیری CIS مشارکت داشته باشد؟
پشتیبانی مدیریت با نحوه توسعه سیاستهای امنیتی نیز مرتبط است. برای مثال پشتیبانی مدیریتی ضعیف باعث تبیین ضعیف سیاستهای CIS میشود، بودجه موجود بر استخدام نیروی انسانی تاثیر میگذارد و مشکلات برنامه ریزی که برای کارکنان CIS پیش میآید، با تشدید سیاستهای CIS و ارتباط آن باپیچیدگیهای سیستمهای گوناگون کمتر میشوند. پیچیدگی به ظرافتهای سیستمهای ادغامی اطلاق میشود و تحت تاثیر کاربردی بودن فن آوریهای CIS قرار میگیرد. مدیریت ضعیف نیروی انسانی و عدم برخورداری کارکنان از دانش CIS میتواند با سوگیریهایی به نفع برخی خدمات، محصولات یا فن آوری هایIT یا CIS مرتبط باشد. این خدمات، محصولات و فن آوریها ممکن است نسبت به دیگر محصولات وخدمات از لحاظ قابلیتها و یا ویژگیهای دیگر فن آوریهای CIS نامطمئن باشند و به اندازه کافی از پشتیبانی فروشندگان از جمله رفع نکردن مشکلات نرم افزاری و فراهم نکردن اسناد کافی برای ویژگیهای تکنولوژیکی برخوردار نباشند. عدم برخورداری مدیر CIS و کارکنان از مهارتها و دانش کافی بر کیفیت سیستم تاثیر مستقیم دارد که ضعف یا کیفیت پایین آن به آسیب پذیری طرح میانجامد.
تیم های قرمز (Red Teams)
ویرایشتیم های قرمز به عنوان منابع اطلاعاتی جهت بررسی ابعاد و میزان نقش عامل های انسانی و تهدیدات آن ها برای امنیت در سیستم های اطلاعاتی سازمان شناخته می شوند. این نوع فعالیت ها می تواند جزوی از دارایی های یک سازمان بشمار رود که ابعاد وسیعی از ضعف ها و نقاط تهدید را در سطح فعالیت آن سازمان مانند هک مشخص می کند. استفاده از تیم های قرمز باعث می شود تا نقاط تهدید و ضعف شناسایی شده و باعث تقویت امنیت در سازمان گردد.
نتایج بررسی
ویرایشاین تحقیق با همکاری تیم قرمز سازمان Information Design Assurance (IDART) در مکزیک صورت گرفته است. آنها توسط بررسی های متعدد و مستمر تهدیدات امنیتی روی سازمان ها و شرکت های مختلف به نتایج مختلفی دست پیدا کردند که بعد از جمع بندی در این مقاله می توان به 9 مورد زیر به عنوان نقش عامل های انسانی و سازمانی در بحث امنیت سیستم های اطلاعاتی اشاره نمود. این 9 مورد حاصل جمع بندی و دسته بندی نکاتی است که تیم های قرمز در سازمان های مختلف بصورت های متفاوت بیان کرده اند :
1. اثرات خارجی: مانند قوانین جدید.
2. خطاهای انسانی: اشتباهات و خطاهای مختص بشر
3. مدیریت: مانند ضعف پشتیبانی مدیریت، عدم تمکین به نگهداری از سیستم ها
4. سازماندهی کامپیوترها و سیستم های اطلاعاتی: مانند کیفیت پایین تیم تست کامپیوترها و سیستم های اطلاعاتی.
5. مدیریت بهره وری: مانند ضعف در دسته بندی و اولیت بندی داده ها مهم و غیر مهم، پیچیدگی سیستم های کامپیوتری و اطلاعاتی.
6. سیاست: مانند نداشتن سیاست کاری، بروز نکردن سیاست های کاری، عدم جامعیت قوانین و دستورات.
7. مدیریت منابع: مانند اختصاص غیر صحیح منابع، ضعف در جذب نیرو.
8. فناوری: مانند ورود تکنولوژی های جدید، قدیمی شدن فناوری های بکار رفته در سازمان ها.
9. آموزش: ضعف در دانش و آموزش کارمندان
آسیب پذیری
ویرایشآسیب پذیری ممکن است در اثر آزمایش نکردن عملکردهای سیستم و فرآیندهای CIS بوجود بیاید. آسیب پذیری در بکارگیری و تنظیمات میتواند از عدم آزمایش یا آزمایش ضعیف ناشی شود. درطرح مذکور در مجموع ۴۵ عامل انسانی و سازمانی و ۱۱۸ رابطه (تعداد کل روابط بین هر دو عامل) شناسایی شدند.
اهمیت ذخایر یا حساسیت ذخایر حفاظت شده و منابع موجود (از جمله بودجه و نیروی انسانی) در ایجاد یک سیستم تجاری قوی برای امنیت CIS تاثیرگذار است. بدون یک سیستم تجاری قوی امنیتی، CIS نسبت به دیگر جنبههای بازرگانی در اولویتهای پایین تر قرار میگیرد و مدیریت ازCIS پشتیبانی نمیکند. عدم پشتیبانی کافی توسط مدیریت، توانایی سازمانها برای استخدام و حفظ پرسنل خبره و حرفهای را محدود میکند. فقدان پرسنل مناسب به کمبود وقت در انجام پروژههای CIS منجر میشود. هنگامی که در سیستم CIS تغییراتی ایجاد میشود (برای مثال اضافه کردن یک سیستم CIS جدید یا ارتقاء سیستم)، این تغییرات در کل محیط سیستم CIS انجام نمیپذیرد. این امر به آسیب پذیری طرح سیستم CIS منجر میشود.
برای مثال اگر مجری یک سیستم یا مکانیسم CIS فراموش کند که یکی از سرویسها را اجرا کند و این اشتباه به آسیب پذیری اجرا منجر شد، این اشتباه ممکن است در اثر کار کردن مجری تحت فشار ناشی از محدودیت زمانی، پشتیبانی تک مکانیسمی و یا فقدان فرآیند مدیریتی برای پشتیبانی خدمات بوجود آورد.
بحث
ویرایشاز خلاصه نتایج به نه دسته بندی مفهومی دست یافتیم: عوامل خارجی، خطای انسانی، مدیریت، سازماندهی CIS، مدیریت عملکرد، سیاستهای سازمانی، مدیریت منابع، فن آوری و آموزش اشتباهات و خطاهای انسانی به آسیب پذیری CIS منجر میشود. پژوهشهای دیگری که در مورد عوامل انسانی و شیوههای CIS انجام شدهاند به نقش کاربرد و رفتارهای امنیتی (بدون خطا) صحیح اشاره دارند. آدامز و دیگران (۱۹۹۷) با استفاده از یک پرسشنامه وب- محور رفتار مرتبط با رمز عبور را در ۱۳۹ نفر مورد بررسی قرار دادند. رمز عبورهایی که کمتر مورد استفاده قرار میگرفتند، برای افراد مشکلات حافظهای ایجاد میکردند. در نتایج هم چنین همبستگی چشمگیری بین «تمایل به کاهش ضریت امنیتی» و «مشکلات حافظهای مکرر» مشاهده شد که به نیاز به بررسی عوامل انسانی و کاربردی بودن شیوههای امنیتی برای پشتیبانی امنیتی کاربر اشاره دارد. کریمرو کارایون (۲۰۰۷) نیز به مطالعه دیدگاههای مدیر شبکه و مدیران امنیتی در مورد خطاهای انسانی و عوامل سازمانی و انسانی پرداختند و دریافتند که خطاهای انسانی میتواند با عوامل سازمانی از جمله برقراری ارتباط، فرهنگ امنیتی و سیاستهای سازمانی مرتبط باشد. مطالعه دیگری که در مورد بکارگیری توپولوژی مدلسازی جنریک برای تحلیل خطاهای انسانی بعنوان علت مشکلات امنیتی انجام شد نشان داد که اشتباهاتی که در مرحله پردازش اطلاعات صورت میگیرد مهمترین علت مشکلات امنیتی میباشد (لیجین لال و دیگران، 2009).
مدیریت منابع
ویرایشدر زمینه مدیریت منابع، فقدان دانش CIS در هر دو گروه مشاهده شد. فقدان دانش و مهارت پرسنل باعث تضعیف عملکرد سیستم CIS میشود. برخی پژوهشها این گفته را تایید کردهاند. یک تحلیل کمی از مصاحبههای نیمه ساختاری (مصاحبههایی که ساختار و سوالات آن تقریباً از قبل مشخص شدهاست) با ۳۰ کاربر در دو شرکت انجام شد که به چندین عامل انسانی و سازمانی تاثیرگذار بر رفتارهای مرتبط با رمز عبور اشاره داشت (آدامز و سس، ۱۹۹۹). از جمله این عوامل میتوان به اهمیت سازگاری بین فرآیندهای کار و کلمه عبور اشاره کرد. برای مثال در یک شرکت کارمندان باور داشتند رمز عبورهای شخصی با کار گروهی سازگار نیست. این پژوهش هم چنین به فقدان دانش و اطلاعات امنیتی در کاربران اشاره داشت. کاربران مخالف اقدامات امنیتی نبودند، اما قادر نبودند عواقب امنیتی فعالیتهای خود را درک کنند.
در حیطه تدابیر سازمانی یک سری عوامل وجود داشتند که به ناکارآمدی تدابیر CIS منجر میشدند، ازجمله عدم ریزبینی، فقدان توانایی لازم برای اتخاذ تدابیر صحیح و عدم وجود یک مکانیسم درست برای اجرای سیاستهای سازمانی. در مطالعهای بر روی سازمانهای بریتانیا به بررسی ادراک، انتشار محتوا و تاثیر سیاستهای CIS پرداخت و در مورد کارایی این سیاستها به نتایج مشابهی دست یافت (فول فورد و دوهرتی، ۲۰۰۳). در این پژوهش از یک پرسشنامه اکتشافی استفاده شد. جامعه آماری متشکل از ۲۰۸ مدیر اجرایی ارشد CISS بود (میزان پاسخگویی %۷٫۳). نتایج تحلیل نشان داد که ۴ فاکتور از اهمیت ویژه برخوردار بودند: (۱) تعهد مدیریت،(۲) درک درست خطرات امنیتی، (۳) آگاهی دادن در مورد سیاستهای CIS و (۴) درک صحیح ملزومات امنیتی. این نتایج نشان میدهد که درک کاربران از ملزومات و خطرات CIS مهم است و نیز عوامل دیگری بر کارایی سیاستهای CIS تاثیر گذار است، از جمله پشتیبانی مدیریتی و دانش CIS.
ورلینگر و دیگران (۲۰۰۹) مفهوم تعامل بین عوامل انسانی، سازمانی و تکنولوژیکی در سیستم CIS را بسط دادند و برای درک پیچیدگیهای این روابط راههایی را شناسایی و ارائه کردند. برای مثال در مورد اینکه چگونه فرهنگ یک سازمان و غیر متمرکز سازی IT میتواند مدیریت امنیتی را با مشکل مواجه سازد، راه حلهایی پیشنهاد دادند. این مفاهیم نتایج پژوهشهای ما را در مورد شیوه های انسانی و سازمانی که به آسیب پذیری CIS میانجامد، تایید کرده و بسط میدهد.
نتایج این پژوهش با تعریف شرایط سازمانی نهفته که با هم ادغام شده و بستر شکست سیستم را فراهم میسازند، سازگاری دارد(ریزن،۱۹۹۷). ناکارآمدی سیستمها در CIS در اثر خطاهای انسانی که به آسیب پذیری تکنولوژیکی میانجامد، بوجود میآید. اکثر رویکردها به اصلاح آسیب پذیری تنها ناکارآمدیهای اکتیو را مورد بررسی قرارداده و تاثیر کوتاه مدت و مستقیمی بر شیوههای دفاعی CIS میگذارند. رویکردهای کنونی به سیستمهای CIS از شیوههای تدافعی تکنولوژیکی در زمان تعامل انسان با سیستمها استفاده کرده تا از خطاهایی که به آسیب پذیری میانجامد، جلوگیری کنند. اما همانطور که در این پژوهش نشان داده شد، چنین اقداماتی یک رابطه علت و معلولی پدید میآورد که در بسیاری از سطوح سازمان و سیستم بسط پیدا میکند. شرایط سازمانی نهفته از اقدامات مدیران، طراحان، سیاست گذاران و مدیران شبکه ناشی میشود. این شرایط دو نوع تاثیر مخرب بر جای میگذارند: ۱-می توانند احتمال بروز خطا را در محل کار افزایش دهند (محدودیت زمانی، کمبود نیروی کار، کمبود تجهیزات، حجم کاری بالا) و به آسیب پذیری سیستم CIS منجر شوند (سیستمهای به روز شده نامعتبر، فقدان کاربریهای مرتبط، رمز عبورهای پیش فرض). شرایط نهفته ممکن است با نارکارامدیهای اکتیو ادغام شوند و CIS را مختل کنند. برخلاف ناکاراییهای اکتیو که پیش بینی کردن آنها مشکل است، شرایط نهفته را قبل از اینکه مشکلی به وجود بیاید، میتوان شناسایی و برطرف کرد.
محدودیتها
ویرایشدر این پژوهش محدودیتهایی وجود داشت. از جمله اینکه جامعه آماری فقط متشکل از یک تیم امنیتی بود. برای درک مشکلات موجود در شرایط باید با تیمهای بیشتر که تجربیات و رویکردهای گوناگون دارند، مصاحبه کرد. علاوه بر این، زمانی که این پژوهش انجام شد، جامعه گروههای امنیتی نسبت به گروههای دیگر ارزیابی CIS (از جمله حسابرسان امنیتی و کارشناسان آزمایش ضریب نفوذ) کوچک بود. نتایج این مطالعه نباید بعنوان حقایق کلی در نظر گرفته شوند، بلکه باید به عنوان تفسیری از ارزیابیهای کارشناسان در مورد سیستمهای CIS تلقی گردند. این نتایج ممکن است به سازمانهای مشابه قابل تعمیم باشند. از آنجایی که پایه این پژوهش بر بر منطق و نه احتمالات استوار است، میتوان تئوریهای کلی این پژوهش کیفی را تعمیم داد (سیل، ۱۹۹۹). بر اساس این منطق ویژگیهای موجود در یک پژوهش کیفی میتوانند با یک جامعه آماری بزرگتر مرتبط باشند، نه از این جهت که نمونه آماری نماینده آنهاست بلکه به این دلیل که تحلیل نهایی غیر قابل رد کردن است (میچل، ۱۹۸۳). به این دلیل است که میتوان کوچکی اندازه یک نمونه آماری متنوع را که متشکل از افرادی با مهارتها، تجربیات، و پیشینههای متفاوت است، توجیه کرد.
دلایل متعددی برای تفاوتهای بین مفاهیم گوناگون شبکههای تحلیلی سببی وجود دارد. اول اینکه با فرض تفاوت تجربیات اعضای نمونه آماری، واریانسهای نتایج میتواند از ترکیب متفاوت هر گروه ناشی شود. دوماً، طرح پژوهش بصورت نیمه ساختاری و اکتشافی بود. مصاحبه در چنین شرایطی به ویژه بین گروههای مختلف به نتایج مختلفی میانجامد. چرا که رویکرد تجویزی و ازپیش تعیین شده نیست (فوناتا و فری، ۲۰۰۰). سوماً اینکه هنگامی که یک گروه امنیتی به تبادل نظر میپردازند، تیم ارزیابی مرکزی تمرکز گروه را روی ماموریت سیستم، ماموریت تیم امنیتی و چگونگی عملکرد سیستم قرار میدهد. در هر کدام از این جلسات این اطلاعات ارائه نمیگردد. فقدان جمع بندیهای قبل از جلسات نیز میتواند توجیهی برای تفاوت بین رویکردها و نتایج دو گروه باشد.
پیشنهاداتی برای مطالعات بیشتر
ویرایشپژوهشهای آتی را میتوان بر اساس تحلیل کنونی بنا کرد، به این ترتیب که عوامل انسانی و سازمانی بیشتری برای بررسی روابط بین عوامل و عملکرد سیستم CIS در نظر بگیریم. پژوهشگران میتوانند عواملی مانند کمبود بودجه CIS یا کمبود دیتا را در مدلهای گسترده تری از کارایی سازمانی و عملکرد CIS در نظر بگیرند.
از این پژوهش استنباط میشود که نقش عوامل انسانی و سازمانی درCIS پیچیدهاست و میتواند سیستمهای CISرا طوری آسیب پذیر سازد که راه حلهای تکنولوژیکی نتوانند آنها را برطرف سازند. از جمله راههایی که میتوان روابط (و یا عدم وجود روابط) بین عوامل انسانی و سازمانی را شناسایی کرد عبارتند از: تحلیل شبکهای اجتماعی گسترده، تحلییل واریانس، شیوههای ارزیابی ماکرو ارگونومیک مانند تحلیل ماکرو ارگونومیک و روش شناسی طرحها (رابرتسون و دیگران، ۲۰۰۲). با استفاده از گروههای بیشتر میتوان به تحلیل بهتری از عوامل و شیوه آن دست یافت. پیشنهاداتی برای کارشناسان امنیتی نیز وجود دارد: از جمله اینکه عوامل انسانی وسازمانی بر عملکرد CIS به شیوه چند لایهای تاثیر میگذارد و اینکه آسیب پذیریهای CIS همیشه نتیجه یک اشتباه نیستند. بلکه عوامل متعددی از جمله پشتیبانی مدیریتی یا تصمیمات طراحان نقش دارند. کارشناسان امنیتی و متخصصان باید به تاثیر عوامل سازمانی بر CIS پی ببرند و به این نکته توجه کنند که یک برنامه مدیریتی سیستماتیک لازم است تا بتوان شرایط سازمانی نهفته را که به آسیب پذیری CIS منجر میشوند برطرف کرد.