عامل‌های انسانی در امنیت اطلاعات/پژوهش امنیت اطلاعات بر پایه علوم رفتاری

بررسی‌ها نشان می دهد که ۷۰ الی ۸۰ درصد از وقایع امنیتی در سازمان‌ها به دلیل قصور یا افشاء اطلاعات محرمانه توسط پرسنل و ۲۰ الی ۳۰ درصد به دلیل حملات هکرها یا عوامل خارجی می‌باشد. بنابراین می‌توان گفت عامل انسانی مهمترین فاکتور موثر در امنیت اطلاعات است. به عبارت دیگر عامل انسانی نقش به سزایی در حفاظت از امنیت اطلاعات بر عهده دارد.

تخلف‌های رخ داده در این زمینه حاکی از این است که نیاز مالی عامل انسانی، مهمترین انگیزه انجام چنین رفتارهای غیر مجاز می باشد.

از آنجایی که شبکه یکی از اجزای اصلی سیستم‌های اطلاعاتی می‌باشد، بنابراین مطالعه رفتار کاربران سیستم در شبکه بسیار حائز اهمیت می‌باشد. با تحلیل رفتار کاربران در شبکه‌های مختلف می‌توان الگوهای رفتاری انواع شبکه ها را طبقه‌بندی نمود و ضمن بررسی عادات رفتاری کاربران، تخلفات کاربران را پیش‌بینی و یا مشخص نمود. در مدل رفتاری کاربر در شبکه، جریان‌های وقایع امن و ناامن مشخص می گردد که می‌توان گفت برخی از این وقایع ناامن تحت تاثیر عامل خارجی اتفاق می‌افتد. حفظ امنیت نه تنها جنبه فنی داشته بلکه رفتار عامل انسانی نیز نقش تعیین کننده‌ای در این حوزه دارا می‌باشد.

در مدل مدیریت امنیت بر پایه رفتار سعی می‌شود با رعایت اصولی بتوان نقش عامل انسانی را در بروز وقایع امنیتی کاهش داد. در ادامه به برخی از این اصول اشاره می‌کنیم.

بررسی میزان ریسک در سیستم‌های اطلاعاتی جزء فعالیت‌های اصلی یک سازمان محسوب می‌شود و بایستی برای سوالاتی از قبیل موارد ذیل، پاسخ و راهکار مناسب در نظر گرفته شود:

نیازمندی‌های امنیت اطلاعات سیستم چیست؟ آیا شرایط فعلی سازمان پاسخگو است؟ چه مواردی سیستم را تهدید می‌کند؟ تامین امنیت اطلاعات در سیستم، چه قسمت‌هایی از سازمان را تحت تاثیر قرار خواهد داد؟ خطرات پنهانی که در سیستم وجود دارد چیست؟

تحلیل آمار وقایع امنیتی نشان می‌دهد که بخش عمده‌ای از این وقایع ناشی از رفتار ناامن کاربران می‌باشد. در حالیکه در سیستم‌های اطلاعاتی از برنامه‌های ضد ویروس و فایروال‌ها استفاده می‌گردد، کماکان شاهد بروز وقایع امنیتی در اینگونه سیستم‌ها می‌باشیم که علت اصلی آن حضور یک عامل انسانی در نقش کاربر سیستم می‌باشد. کاربری که در حال استفاده از پست الکترونیکی می‌باشد، اطلاعی از ویروسی بودن نامه‌های الکترونیکی نداشته و یا اگر در وبگاهی ثبت نام می‌کند، نسبت به سوءاستفاده‌هایی که ممکن است توسط آن وبگاه در آینده رخ دهد مطلع نیست. بنابراین با توجه به اینکه کاربر سیستم‌های اطلاعاتی عامل انسانی می باشد، همواره احتمال بروز وقایع ناامن نیز در اینگونه سیستم‌ها وجود دارد که کنترل این مساله تا حدی توسط ابزارهای فناوری اطلاعات امکان پذیر و بخش دیگری از آن به سطح دانش و فرهنگ کاربران در حوزه امنیت سیستمهای اطلاعاتی بستگی دارد.

آموزش دیدن عوامل انسانی در حوزه امنیت سیستم‌های اطلاعاتی، اطلاع کامل کاربران از میزان مسئولیت‌های خود در این حوزه به صورت شفاف و همچنین ارتقاء سطح فرهنگ امنیتی کاربران، می تواند هر یک از آنها را به یک فایروال انسانی تبدیل نماید. منظور از آموزش عامل انسانی، اطلاع ایشان از میزان اهمیت موضوع امنیت، اهداف و قواعد کنترل امنیت اطلاعات، مسئولیت‌ها، رویه ها ، قوانین و آئین نامه های مدیریت امنیت می باشد.

همچنین افزودن امکان کنترل سطح دسترسی به سیستم‌های اطلاعاتی می تواند از دسترسیهای غیر مجاز افراد بدون مجوز جلوگیری نماید. مانیتور نمودن رفتار کاربران در شبکه به منظور تشخیص تخلفهای انجام شده و همچنین اعلام هشدار به صورت بلادرنگ نیز می‌تواند سهم بسزائی در جلوگیری از وقایع ناامن در سیستمهای اطلاعاتی داشته باشد.

به عنوان نتیجه گیری این مقاله می توان گفت که رفتار عامل انسانی مهمترین فاکتور تامین امنیت در سیستم‌های اطلاعاتی بوده و می توان در کنار فناوریهای گوناگون، با آموزش دادن و بالابردن سطح دانش و فرهنگ کاربران، بروز وقایع و تخلفات امنیتی در سیستمهای اطلاعاتی را کاهش داد.

منابع

ویرایش

دریافت منبع