عامل‌های انسانی در امنیت اطلاعات/نقش عامل های انسانی در مدیریت ریسک امنیت نرم‌افزارها (۲)

Human Factors in Software Security Risk Management

نقش عامل هاي انساني در مديريت مخاطره امنيت نرم افزار

مقدمه ویرایش

امروزه بسياري از انسان ها در سراسر جهان به نحوي با نرم افزارها سر و كار دارند؛ چه در منزل و چه در محل كار. بنابر نيازها روز به روز اين نرم افزارها پيچيده تر و مي گردند و در هم‌زمان با آن سرعت نقل و انتقال داده ها نيز با استفاده از شبكه هاي پرسرعت، بيشتر مي گردد. يكي از مشكلات و مسايل مهمي كه همواره در زمينه استفاده از نرم افزارها و شبكه ها وجود دارد، وجود نقص هاي امنيتي است و يكي از بزرگ‌ترين منابع بروز چنين نقص هايي كه سرمنشأ بسياري از مخاطرات مي باشند، اشخاصي هستند كه در مراحل طراحي، توسعه، مديريت و استفاده از نرم افزار دخالت دارند.

متن ویرایش

براي شناسايي و كنترل و ترميم نقص هايي كه موجب وجودآسيب پذيري در سيستمهاي مبتني بر رايانه و اطلاعات شده و متعاقب آن تهديد و مخاطره بروز مي نمايند، نياز به مديريت مخاطره مي باشد كه بايد با رويكردي جامع شامل موارد زير - با توجه به فناوري ها و محصولات- صورت پذيرد:
• مخاطرات ناشي از فناوري ها و محصولات در اختيار گرفته شده(جهت استفاده)
• مخاطرات ناشي از فرآيند توسعه و مدل هاي طول عمر نرم افزار
• متدلوژي‌هاي مديريت مخاطره نرم افزار و
• مخاطرات ناشي از انسان ها و سازمان هاي درگير (در استفاده از نرم افزار و فناوري هاي مربوطه)
از ديد معيار و بُعد انساني، افراد به چهار صورت مي توانند در توسعه نرم افزار نقش ايفا نمايند:

شخص،
تيم،
مديريت و
سهام دار/طرف ذي نفع.

مي توان اثرات اين چهار دسته را در دو گروه اصلي جاي داد:

گروه اول: شخص و تيم،
گروه دوم: مديريت و سهام دار.

در گروه اول فاكتورهايي از قبيل مهارت، تجربه، تلاش و وفاداري شاخص هستند و در گروه دوم فاكتورهايي از قبيل دستورالعمل هاي مديريتي، سياست ها، ارتباطات و تأمين منابع شاخص مي باشند. از ديد معيار و بُعد سازماني نيز ساختار و ثبات سازماني، ارتباطات، بلوغ، امكانات و غيره شاخص مي باشند هكرها، نفوذ گران و نويسندگان بد افزار معمولاً از آسيب پذيري هايي استفاده مي نمايند كه منشاء ان عوامل انساني مي باشند به عنوان نمونه كارمندي كه در محل كار خود از نرم افزاري استفاده مي نمايد كه داراي حفره ها و نقص هاي امنيتي بسياري مي باشد و يا كاربري كه نرم افزار آنتي ويروس خود را به روز نمي نمايد و يا كاربري كه از رمز عبور مناسبي استفاده نمي‌نمايد. اين مسأله ممكن است ريشه‌اي‌تر باشد يعني به عنوان نمونه وجود سياست امنيتي ضعيف در سازمان، مديريت ضعيف در زمينه پيشگيري از مخاطرات، استفاده از کنترل‌هاي نامناسب، عدم آگاهي رساني مناسب در زمينه تهديدات و موارد ديگر. تمامي مواردي كه ذكر شدند با هم ارتباط تنگاتنگي دارند كه فرآيند مديريت مخاطره امنيت نرم افزار نيز ته تنها بي‌تأثير از عوامل انساني نمي باشد بلكه بسيار هم تحت ‌تأثير آن قرار دارد. اين فرآيند، فرآيندي است كه در برگيرنده فعاليت ها به صورت مرحله به مرحله، از جمله تعيين دارايي ها، تعيين مخاطره، اندازه گيري مخاطره، تعيين كميت و برآورد پيامد مخاطره، گزارش و تخفيف مخاطره از اولين فازهاي توسعه نرم افزار مي باشد. محصول نرم افزاري كه چنين فرآيندي را با موفقيت طي نموده و به مرحله توليد برسد مي تواند در زمان تعيين شده عرضه شده و از هزينه هاي جانبي و اضافي پيشگيري شود. طبيعي است كه نقش عوامل انساني در سراسر اين فرآيند بسيار مهم و تعيين كننده مي باشد[۱].

منبع ویرایش

  1. Shareeful Islam, Wei Dong,” Human Factors in Software Security Risk Management”, ICSE’08 International Conference on Software Engineering, Leipzig, Germany, May 10-18;2008

دانلود اصل مقاله ویرایش

https://mailserver.di.unipi.it/ricerca/proceedings/ICSE2008/lmsa/p13.pdf

--Hayeri ‏۲۵ اکتبر ۲۰۱۱، ساعت ۱۰:۰۱ (UTC)