عامل‌های انسانی در امنیت اطلاعات/پرش از روی موانع امنیتی

مقدمه

ویرایش

هیچگاه تهدیداتی که کاربران با آن مواجه هستند کم نمی‌شود. اغلب آنها در مواجه با تهدیدات ضعیف هستند. در این میان جوانان جز کاربران مشتاق و همچنین مخاطره آمیز، همیشگی تکنولوژی و همچنین بدترین نوع کاربر در میزان آگاهی و عمل به مسائل امنیتی و تهدیدات پیرامون خود هستند.
با این دیدگاه در این مقاله چالش‌هایی که کاربران برای رسیدن به حدی که قادر به درک باشند و قبول کنند که به امنیت برسند را بررسی می‌کنیم و آنها را در قالب موانع (مانع برای موفقیت) بیان می‌کنیم. موانعی که کاربران با آن مواجه هستند:

  • ادراک: اگر کاربران متوجه تهدیدات نشوند و یا روش خاصی از امنیت را نپسندند، آنگاه این یک مانع است. در بسیاری از موارد کاربران درک دارند اما نه از نوع صحیح. به عنوان مثال هنگام ایجاد حساب کاربری، با اینکه می‌دانند گذرواژه جزیی مهم است، اما باز می‌بینیم که کلمه عبور ضعیف می‌سازند. یا در شبکه‌های اجتماعی اطلاعات شخصی خود را به اشتراک می‌گذارند.
  • اولویت: اینکه تا چه حد جنبه‌های امنیتی و حفاظتی در کنار سایر فعالیت‌ها مهم تصور شود در اینجا مهم است. چگونه کاربران تمایل به از دست دادن یا تحمل کردن چیزی دارند، تا از حفظ امنیت خود مطمئن شوند، اینکه چقدر از دست دادن راحتی و زمان را برای حفظ امنیت تحمل می‌کنند.
  • مسئولیت‌پذیری: تا چه حد افراد برای قبول و انجام مسئولیت‌های خود ارزش قایلند. پذیرش مسئولیت و اقدام به آن یکسان نیست، افراد تمایل به پذیرش مسئولیت دارند اما بعد از آن انتظار دارند فرد دیگری کاری در مورد آنها انجام دهد.
  • اعتماد به نفس: اینکه تا چه حد کاربران این احساس را دارند که قادر به انجام مسئولیت‌های خود هستند. و توانایی‌های خود را چگونه می‌بینند. این مساله به خصوص برای تازه کارها مطرح است، کسانی که خود را در مقابله با چالش‌های IT ضعیف می‌بینند، تا چه برسد به درک جزئیات مسائلی مانند امنیت.
  • توانایی: تا چه حد کاربران مهارت و دانش مورد نیاز برای انجام مسئولیت‌های که به آنها واگذار می‌شود را دارند. توانایی انجام بعضی از امور نیاز به این دارد که درک صحیحی از تهدیدات داشته باشند. به عنوان مثال اگر شما تفاوت بین نرم افزارهای مخرب و اثرات آنها را بدانید، پاسخ به هشدارهای آنتی ویروس‌ها آسان تر می‌شود و بسیاری از تنظیمات تکنیکی تر هستند و کسانی که نتواند وظایف خود را مدیریت کنند، خود را در شرایط بدی می‌بینند.
  • قابلیت استفاده: اینکه امنیت در سطحی که ارائه شده قابل درک و تحمل باشد. در اینجا با چالش‌هایی مثل گیج کننده‌ها، اصطلاحات برنامه‌ها، کندی عملکرد بدون دلیل و... روبرو هستیم. این مسائل می‌تواند باعث تصمیم‌گیری‌هایی شود که کاربران را دربرابر حملات آسیب‌پذیر کند.

ادراک، اولویت، و مسئولیت در هر مساله امنیتی نیاز به توجه کاربر دارد و سه مورد دیگر به موقعیت وابسته‌است.

موانع می‌تواند برای افراد مختلف در اندازه‌های مختلف باشند، غلبه کردن به آن برای گروهی آسان و برای دیگری سخت باشد.

از دیدگاهی دیگر امکان دارد کاربر در دام بیفتد بدون آنکه به آن، آگاه باشد، با این دیدگاه شکست‌های بالقوه در زیر بیان شده‌است:

  • شکست درک: مشکل رایج اینجا است که کاربران ممکن است دچار اشتباه در درک ماهیت تهدید شوند.
  • شکست در اولویت و مسئولیت‌پذیری: وجود این دیدگاه که، امنیت مشکل شخص دیگری است و یا باور اینکه شخص دیگری باید آن را تحت پوشش قرار دهد.
  • شکست در توانایی و قابلیت استفاده: این می‌تواند منجر به این باور شود که امنیت تنظیم شده و به خوبی کار می‌کند در حالی که نادرست پیکربندی شده‌است.

روش‌هایی برای غلبه بر موانع

ویرایش

از لحاظ استراتژی‌های عملی، ما به دنبال ترکیبی از بازاریابی، آموزش و پرورش و تغییر تکنولوژی، که امکان عبور از موانع ایجاد می‌کند، هستیم.

اگر چه امکان دارد بعضی افراد ادعا کنند که عواملی مانند رهنمودها و قوانین می‌توانند نقش مهمی در غلبه بر موانع مانند مسئولیت ایجاد کنند اما این عوامل تنها کاربران را ملزم به پذیرش می‌کنند ولی نمی‌توانند تضمین کنند که کاربران چرایی انجام آن کار را پذیرفته باشند. یعنی با این روش کاربران را به سمت اطلاع از امنیت هدایت می‌کنند، نه یک فرهنگ امنیت واقعی.

AIDA اشاره به ۴ مرحله شناختی یک فرایند بازاریابی موفق دارد: توجه، علاقه، خواستن، عمل. از لحاظ امنیت اینگونه تشریح می‌شوند:

  • توجه: جلب توجه کاربران.
  • علاقه: رشد علاقه کاربر با نشان دادن اینکه امنیت به نفع آنهاست.
  • خواستن: متقاعد کردن کاربر که با موافقت، با سیاست‌های امنیتی و محصولات سازمانی می‌تواند به خواسته‌هایش برسد.
  • عمل: هدایت مشتری به سمت شیوه‌های امنیتی رایج با استفاده از فناوری مرتبط.

توجه و علاقه بیشتر بر غلبه به موانع اولیه مربوط می‌شوند. در واقع توانایی کاربران برای عمل، ممکن است به موانع بعدی بستگی داشته باشد.

اگر چه افزایش آگاهی گامی حیاتی است اما برای اطمینان بر غلبه بر موانع کافی نیست. شواهدی بسیاری وجود دارد که نشان می‌دهد کاربران با اینکه آگاهی کاملی از تهدیدات دارند اما هنوز کاری برای محافظت خود انجام نمی‌دهند. البته بخشی از مشکل اینجا می‌تواند از موانع اعتماد به نفس و توانایی ایجاد شده باشد. غلبه بر آنها نیاز به آموزش دارد. اگر چه آموزش امنیت، به خودی خود شیوه امنیتی ارائه نمی‌کند. به عنوان مثال مطالعه مزبور توسط Boldt و Nohlberg نشان داد که دانشجویان امنیت اطلاعات، بیشتر از سایر دانشجویان در دام فیشینگ می‌افتند. در حالی که این موضوع نشانه این نیست که آموزش مفید نیست اما دوباره این واقعیت را پر رنگ می‌کند که به سادگی نمی‌توانیم به آن تکیه کنیم تا مشکل را حل کند.

رویکرد نهایی –تغییر فن‌آوری – می‌تواند پاسخی خاص برای مانع قابلیت استفاده باشد. در برخی از موارد چالش‌های قابلیت استفاده هنوز هم می‌تواند با آموزش مناسب جبران شود. و در برخی موارد این غیر عملی است و تغییر در خود تکنولوژی شاید بهتر از تلاش برای کار مورد نظر باشد.

لازم است ذکر شود حتی با یک رویکرد ادغامی امکان آن وجود دارد، بعضی چالش‌ها مشکل‌ساز باقی بمانند. در واقع در بعضی موارد مانع آنقدربزرگ است، که غیر قابل عبور است. به عنوان مثال، در حالی که غلبه بر موانع اولیه اساسا به نگرش کاربر بستگی دارد، مسئله قابلیت استفاده می‌تواند به افزایش توانایی تکنیکی کاربر و تغییر در اجرای ویژگی‌های امنیتی مربوط باشد.

منابع

ویرایش
  • پیوند به مقاله: دریافت منبع
  • عنوان انگلیسی مقاله: Jumping security hurdles