عاملهای انسانی در امنیت اطلاعات/پرش از روی موانع امنیتی
مقدمه
ویرایشهیچگاه تهدیداتی که کاربران با آن مواجه هستند کم نمیشود. اغلب آنها در مواجه با تهدیدات ضعیف هستند. در این میان جوانان جز کاربران مشتاق و همچنین مخاطره آمیز، همیشگی تکنولوژی و همچنین بدترین نوع کاربر در میزان آگاهی و عمل به مسائل امنیتی و تهدیدات پیرامون خود هستند.
با این دیدگاه در این مقاله چالشهایی که کاربران برای رسیدن به حدی که قادر به درک باشند و قبول کنند که به امنیت برسند را بررسی میکنیم و آنها را در قالب موانع (مانع برای موفقیت) بیان میکنیم. موانعی که کاربران با آن مواجه هستند:
- ادراک: اگر کاربران متوجه تهدیدات نشوند و یا روش خاصی از امنیت را نپسندند، آنگاه این یک مانع است. در بسیاری از موارد کاربران درک دارند اما نه از نوع صحیح. به عنوان مثال هنگام ایجاد حساب کاربری، با اینکه میدانند گذرواژه جزیی مهم است، اما باز میبینیم که کلمه عبور ضعیف میسازند. یا در شبکههای اجتماعی اطلاعات شخصی خود را به اشتراک میگذارند.
- اولویت: اینکه تا چه حد جنبههای امنیتی و حفاظتی در کنار سایر فعالیتها مهم تصور شود در اینجا مهم است. چگونه کاربران تمایل به از دست دادن یا تحمل کردن چیزی دارند، تا از حفظ امنیت خود مطمئن شوند، اینکه چقدر از دست دادن راحتی و زمان را برای حفظ امنیت تحمل میکنند.
- مسئولیتپذیری: تا چه حد افراد برای قبول و انجام مسئولیتهای خود ارزش قایلند. پذیرش مسئولیت و اقدام به آن یکسان نیست، افراد تمایل به پذیرش مسئولیت دارند اما بعد از آن انتظار دارند فرد دیگری کاری در مورد آنها انجام دهد.
- اعتماد به نفس: اینکه تا چه حد کاربران این احساس را دارند که قادر به انجام مسئولیتهای خود هستند. و تواناییهای خود را چگونه میبینند. این مساله به خصوص برای تازه کارها مطرح است، کسانی که خود را در مقابله با چالشهای IT ضعیف میبینند، تا چه برسد به درک جزئیات مسائلی مانند امنیت.
- توانایی: تا چه حد کاربران مهارت و دانش مورد نیاز برای انجام مسئولیتهای که به آنها واگذار میشود را دارند. توانایی انجام بعضی از امور نیاز به این دارد که درک صحیحی از تهدیدات داشته باشند. به عنوان مثال اگر شما تفاوت بین نرم افزارهای مخرب و اثرات آنها را بدانید، پاسخ به هشدارهای آنتی ویروسها آسان تر میشود و بسیاری از تنظیمات تکنیکی تر هستند و کسانی که نتواند وظایف خود را مدیریت کنند، خود را در شرایط بدی میبینند.
- قابلیت استفاده: اینکه امنیت در سطحی که ارائه شده قابل درک و تحمل باشد. در اینجا با چالشهایی مثل گیج کنندهها، اصطلاحات برنامهها، کندی عملکرد بدون دلیل و... روبرو هستیم. این مسائل میتواند باعث تصمیمگیریهایی شود که کاربران را دربرابر حملات آسیبپذیر کند.
ادراک، اولویت، و مسئولیت در هر مساله امنیتی نیاز به توجه کاربر دارد و سه مورد دیگر به موقعیت وابستهاست.
موانع میتواند برای افراد مختلف در اندازههای مختلف باشند، غلبه کردن به آن برای گروهی آسان و برای دیگری سخت باشد.
از دیدگاهی دیگر امکان دارد کاربر در دام بیفتد بدون آنکه به آن، آگاه باشد، با این دیدگاه شکستهای بالقوه در زیر بیان شدهاست:
- شکست درک: مشکل رایج اینجا است که کاربران ممکن است دچار اشتباه در درک ماهیت تهدید شوند.
- شکست در اولویت و مسئولیتپذیری: وجود این دیدگاه که، امنیت مشکل شخص دیگری است و یا باور اینکه شخص دیگری باید آن را تحت پوشش قرار دهد.
- شکست در توانایی و قابلیت استفاده: این میتواند منجر به این باور شود که امنیت تنظیم شده و به خوبی کار میکند در حالی که نادرست پیکربندی شدهاست.
روشهایی برای غلبه بر موانع
ویرایشاز لحاظ استراتژیهای عملی، ما به دنبال ترکیبی از بازاریابی، آموزش و پرورش و تغییر تکنولوژی، که امکان عبور از موانع ایجاد میکند، هستیم.
اگر چه امکان دارد بعضی افراد ادعا کنند که عواملی مانند رهنمودها و قوانین میتوانند نقش مهمی در غلبه بر موانع مانند مسئولیت ایجاد کنند اما این عوامل تنها کاربران را ملزم به پذیرش میکنند ولی نمیتوانند تضمین کنند که کاربران چرایی انجام آن کار را پذیرفته باشند. یعنی با این روش کاربران را به سمت اطلاع از امنیت هدایت میکنند، نه یک فرهنگ امنیت واقعی.
AIDA اشاره به ۴ مرحله شناختی یک فرایند بازاریابی موفق دارد: توجه، علاقه، خواستن، عمل. از لحاظ امنیت اینگونه تشریح میشوند:
- توجه: جلب توجه کاربران.
- علاقه: رشد علاقه کاربر با نشان دادن اینکه امنیت به نفع آنهاست.
- خواستن: متقاعد کردن کاربر که با موافقت، با سیاستهای امنیتی و محصولات سازمانی میتواند به خواستههایش برسد.
- عمل: هدایت مشتری به سمت شیوههای امنیتی رایج با استفاده از فناوری مرتبط.
توجه و علاقه بیشتر بر غلبه به موانع اولیه مربوط میشوند. در واقع توانایی کاربران برای عمل، ممکن است به موانع بعدی بستگی داشته باشد.
اگر چه افزایش آگاهی گامی حیاتی است اما برای اطمینان بر غلبه بر موانع کافی نیست. شواهدی بسیاری وجود دارد که نشان میدهد کاربران با اینکه آگاهی کاملی از تهدیدات دارند اما هنوز کاری برای محافظت خود انجام نمیدهند. البته بخشی از مشکل اینجا میتواند از موانع اعتماد به نفس و توانایی ایجاد شده باشد. غلبه بر آنها نیاز به آموزش دارد. اگر چه آموزش امنیت، به خودی خود شیوه امنیتی ارائه نمیکند. به عنوان مثال مطالعه مزبور توسط Boldt و Nohlberg نشان داد که دانشجویان امنیت اطلاعات، بیشتر از سایر دانشجویان در دام فیشینگ میافتند. در حالی که این موضوع نشانه این نیست که آموزش مفید نیست اما دوباره این واقعیت را پر رنگ میکند که به سادگی نمیتوانیم به آن تکیه کنیم تا مشکل را حل کند.
رویکرد نهایی –تغییر فنآوری – میتواند پاسخی خاص برای مانع قابلیت استفاده باشد. در برخی از موارد چالشهای قابلیت استفاده هنوز هم میتواند با آموزش مناسب جبران شود. و در برخی موارد این غیر عملی است و تغییر در خود تکنولوژی شاید بهتر از تلاش برای کار مورد نظر باشد.
لازم است ذکر شود حتی با یک رویکرد ادغامی امکان آن وجود دارد، بعضی چالشها مشکلساز باقی بمانند. در واقع در بعضی موارد مانع آنقدربزرگ است، که غیر قابل عبور است. به عنوان مثال، در حالی که غلبه بر موانع اولیه اساسا به نگرش کاربر بستگی دارد، مسئله قابلیت استفاده میتواند به افزایش توانایی تکنیکی کاربر و تغییر در اجرای ویژگیهای امنیتی مربوط باشد.
منابع
ویرایش- پیوند به مقاله: دریافت منبع
- عنوان انگلیسی مقاله: Jumping security hurdles