عاملهای انسانی در امنیت اطلاعات/نقش عامل های انسانی در مدیریت ریسک امنیت نرمافزارها
پیشنهاد شده است که این مقاله یا بخش با عاملهای انسانی در امنیت اطلاعات/نقش عاملهای انسانی در امنیت نرم افزار مدیریت ریسک ادغام گردد.
(بحث). |
عنوان انگلیسی: Human Factors in Software Security Risk Management
عنوان فارسی: نقش عامل های انسانی در امنیت نرم افزار مدیریت ریسک
مقدمه
ویرایشدر توسعه و خرید نرمافزار باید عوامل انسانی، مدیریت، خرید و سیستم امنیتی نرمافزار جزء ریسکهای امنیتی در نظر گرفته شود. در اینجا انسان و سازمان دو عامل در توسعه نرمافزار و مدیریت ریسک نرمافزارهای امنیتی شناخته میشوند. اگر همه این جنبه از مراحل اولیه در توسعه نرمافزار در نظر گرفته شود می¬توان مدیریت ریسک امنیتی موفق را انتظار داشت. در نهایت، اگر این روابط با راه حلهای امنیتی، تکنولوژیها (فناوریها) و ابزارها، و روشها در نظر گرفته شود و زودتر به تصویب برسد باعث کاهش ریسک و افزایش چرخه عمر نرمافزار خواهد شد.
نرم افزار مدیریت ریسک دارای چهار بعد می¬باشد: 1) ریسک ناشی از فن¬آوری و محصولات مورد استفاده
2) ریسک ناشی از توسعه نرم¬افزار و مدل چرخه زندگی
3) ریسک روش¬های نرم افزار مدیریت
4) ریسک ناشی از انسان که در سازمان مشغول هستند.
ابعاد انسانی و سازمان
ویرایشعوامل انسانی به چهار دسته تقسیم می¬شوند: افراد، تیم، مدیریت و ذینفعان. همیشه بین این 4 گروه رابطه و همپوشانی وجود دارد که در زیر به آنها اشاره شده است.
1- نداشتن صلاحیت در توسعه نرم¬افزار و ابزار و زبان موثر 2- تجربه، و رهبری رهبر تیم 3- عملکرد تیم 4- دسترس پرسنل ماهر 5- تعهد به پروژه 6- وفاداری کارکنان به سازمان 7- مهارت شناسایی و تجزیه و تحلیل عوامل در معرض خطر مدیریت ، الخ
مدیران و ذینفعان دارای دیدگاه¬های مختلفی از ریسک هستند. به عنوان مثال، مدیریت، ریسک را از لحاظ سود، برنامه، کیفیت و... در نظر می¬گیرد ولی ذینفعان از جمله مشتریان یا کاربران نگرانی¬های سرمایه گذاری، سطح امنیت، قابلیت استفاده نرم¬افزار، و اثر استفاده از نرم افزار و غیره دیدگاه¬های هستند که مورد توجه ذینفعان می¬باشد.
عواملی که باعث ایجاد ریسک¬های امنیتی برای مدیریت نرم¬افزار می¬شوند عبارتند از : 1- سطح اعتماد به نفس تیم مدیریت 2- استخدام پرسنل مناسب 3- همکاری با سازمان¬های خارجی 4- قرارداد بین مدیریت و ارائه دهندگان خدمات 5- منابع آموزش مناسب 6- بررسی دوره¬ای از سیاست¬ها و روش¬های امنیتی 7- پشتیبانی به طور موثر و استفاده از روش های افزایش امنیت 8- ارزیابی ریسک موقوت و برنامه ریزی امنیتی 9- بودجه اضافی عواملی که در مدیریت نرم افزار در مورد ریسک¬ها نقش دارند و باید سازمان یافته با فعل و انفعالات متقابل باشد عبارتند از:
1- ساختار سازمان و ثبات آن 2- ارتباطات داخلی و خارجی 3- راندمان 4- بلوغ 5- عوامل محیطی مناسب برای اجرای سیاست های امنیتی 6- ادغام مسائل امنیتی به روز 7- تسهیلات کافی برای توسعه نرم افزار 8- پیروی از الزامات قانونی، الخ
عوامل بالا از ابعاد انسانی و سازمان به طور مستقیم تاثیر خواهند گرفت.
آسیب پذیری امنیت
ویرایشعوامل انسانی نقش زیادی در بسیاری از حملات در سیستم¬های دارند که می¬توان به عوامل زیر اشاره کرد
1- کمبود آگاهی های امنیتی 2- ملاحظات ناکافی از مسائل امنیتی بیشتر نسبت به ویروس ها و کرم ها 3- نادیده گرفتن هشدار¬های امنیتی 4- عدم تجزیه و تحلیل امنیتی قبل از انتخاب محصولات مسئولیت 5- نادیده گرفتن کاربر 6- پیکربندی نامناسب سیستم 7- فقدان نظارت دوره¬ای و نگهداری، و یا عدم به روز رسانی به موقع دستگاه¬های امنیتی 8- اهمیت ندادن به تهدیدات امنیتی 9- پایین بودن سطح شایستگی تیم مدیریت امنیت 10- ارتباط ضعیف با تیم های دیگر، و غیره در نهایت، عوامل انسانی، اثرات قوی در ایجاد روش¬های اجرای سیاست¬های امنیتی و امنیت مدیریت می¬باشد.
عوامل انسانی برای امنیت فرآیند مدیریت ریسک
ویرایشنرم افزار امنیتی مدیریت ریسک یک فرایندی است که شامل چندین مرحله است
شناسایی ریسک
ویرایشریسک¬های امنیتی را می¬توان شناسایی کرد ولی چون هر فرد دیدگاه مختلفی دارد لذا شاید بعضی مشترک و بعضی متفاوت. ریسک¬های امنیتی عبارتند از:
1- اولویت بندی اشتباه ریسک¬ها 2- توجه بیش از حد به شناسایی ریسک¬های ناآشنا و یا نامشخص 3- توجه کم به ریسک¬ها 4- تخمین بیش از حد به ریسک¬های پنهان و کم بها دادن به ریسک¬های معمول 5- غفلت و یا سوء تفاهم از تهدیدهای محیطی 6- اطمینان بیش از حد از سیستم¬های داخلی 7- توجه به حملات خارجی که باعث می¬شود رخنه¬ها و نفوذها شناسایی شوند 8- توجه کمتر به کاربران داخلی که گاهی می¬تواند باعث آسیب پذیری¬های شدید امنیتی شود 9- کم بها دادن به خطرات ناشی از کنترل¬ها و یا اعتماد کردن به منابع خارجی، الخ
با توجه به این عوامل، خطرات واقعی ممکن است به درستی یا به طور کامل در ابتدا شناسایی نشوند بنابراین، ادراک و آگاهی انسانی باید به عنوان یک عامل خطر مهم برای فرایند مدیریت ریسک در نظر گرفته شود.
تجزیه و تحلیل و کاهش ریسک
ویرایشهمه ریسک¬های مشخص شده نیاز به تجزیه و تحلیل و اولویت بندی دارند به طوری که آنها می تواند حذف شود و یا حداقل به یک سطح قابل قبول کاهش داده شود. در تجزیه و تحلیل چندین جنبه خاص باید در نظر گرفته شود در تجزیه و تحلیل هر یک از ریسک¬های فردی مانند احتمال وقوع، شدت، مقدار هزینه، اثربخشی از اقدام متقابل به کاهش خطر، و غیره این ریسک¬ها با یکدیگر مرتبط و باید در جزئیات به طور موثر برای کاهش ریسک¬ها مورد تجزیه و تحلیل قرارگیرند.
سازمان و مدیریت
ویرایشنیاز سیاست¬های امنیتی و روش¬های مورد تایید توسط مدیریت برای کل محیط سازمانی پیاده سازی شده است. مهم¬ترین تعهد مدیریت این است که باید در نظر داشته باشد که نقش¬ها و مسئولیت¬ها پرسنل معیار برای ریسک قابل قبول است یعنی اینکه نسبت به نقش و مسئولیت پرسنل کارها را به آنها محول کرد. بخشی از سیاست¬های عمده و روش¬های که ممکن است در پرداختن به انسان و سازمان عوامل ریسک باشند عبارتند از:
1- سیاست های امنیتی 2- سیاست های کنترل دسترسی 3- مسئولیت کاربر 4- متدولوژی¬های مدیریت ریسک 5- ساختار سازمانی 6- شناسایی دارایی¬ها، طبقه¬بندی، برای نحوه استفاده از فن¬آوری به صورت قابل قبول 7- ورودی / خروجی 8- کنترل رمزنگاری 9- امنیت فیزیکی محیط سازمان 10- تشخیص فعالیت¬های مخرب و نظارت بر شبکه 11- تشخیص کدهای مخرب در توسعه نرم افزار 12- امنیت معمار، طراحی ، برنامه نویسی و تست 13- ارزیابی، آموزش، برنامه ریزی و بازخورد 14- صلاحیت / ماتریس مهارت سطح برای همه کارکنان 15- امنیت برنامه¬ها، آگاهی و آموزش های امنیتی 16- چک لیست برای ارتقاء سیستم و نگهداری 17- پاسخ از حادثه امنیتی 18- پیروی از الزامات قانونی، الخ
برای بهبود ادراک و آگاهی انسانی برای شناسایی ریسک، توصیه می¬کنیم با توجه به روش هایی از قبیل ارزیابی حس مشترک (مبتنی بر تجربه)، ریسک¬های طبقه بندی شده، ریسک¬های شناخته شده (از جمله آنهایی که دست کم گرفته و دست بالا گرفته)، تجزیه و تحلیل تهدیدات دارایی، تجزیه و تحلیل آسیب پذیری و مدل سازی و غیره. همه این روش را می¬توان مورد استفاده قرار گیرد به شناسایی و تجزیه و تحلیل ریسک¬هایی که بیشتر از نزدیک مطابقت با واقعیت برای شکست سازمان است.
بررسی فنی
ویرایشما باید بیشتر در مورد چگونگی ایجاد لینک و یا روابط میان عوامل انسانی و سازمان، خطرات امنیتی، سیاست¬های امنیتی و روش¬ها، نیازمندی¬های امنیتی، فن¬آوری¬های مربوطه و معماری نرم¬افزار¬های امن مطالعه شد.