نقش عامل های انسانی و سازمان درامنیت اطلاعات و کامپیوتر
پیشنهاد شده است که این مقاله یا بخش با عاملهای انسانی در امنیت اطلاعات/مسیرهای آسیبپذیری (۱) ادغام گردد.
(بحث). |
مقدمه
ویرایششناخت و توصیف این موضوع که چگونه انسان و عوامل انسانی ممکن است وابسته به اطلاعات فنی کامپیوتری باشند و در مقابل استفاده از آن دچار آسیب شوند در سال های اخیر اهمیت زیادی پیدا کرده است. تحقیقی کیفی از CIS توسط دو تا پنچ کارشناس خبره به جهت بررسی ارتباط علی معلولی بین انسان ، عامل های سازمانی و میزان آسیب پذیری CIS منجر به ارائه پیشنهاداتی گردید که اهمیت انسان ، عامل های سازمانی و نقش مهم آنها درتوسعه آسیب پذیری CIS رانشان می دهد و تاکید برارتباطی بین پیچیدگی انسان و عامل های سازمانی مشهود است. در این تحقیق به نه فاکتور تاثیرگذار ذیل اشاره شده است:
1. تاثیر یا نفوذ محیط خارجی
2. اشتباهات انسانی
3. مدیریت
4. سازمان
5. کارایی و مدیریت بهرهوری
6. مدیریت منابع
7. خط مشی های سازمانی
8. تکنولوژی
9. آموزش
عامل های انسانی و سازمان
ویرایشدر این تحقیق به مشکلات تکنولوژیکی ویااشتباهات برنامه نویسی که امنیت افراد شاغل و مدیریت را با آسیب زدن به تحت تاثیر قرار می دهد اشاره شده است. درسال 2008 بنیاد امنیت کامپیوتر در دفتر فدرال طی یک بررسی میدانی که از 522 نفر از استفاده کنندگان ازکامپیوتر از جمله یک مدیر ارشداز آمریکا، نماینده های دولت، موسسه های مالی،موسسه های پزشکی و..... انجام داده اعلام نموده که میانگین خسارت هر پاسخ دهنده درقبال حادثه های امنیت کامپیوتری ایجاد شده حدوداً 618/288 دلار زیان دیده است. این حمله ها در یک دوره 12 ماهه اتفاق افتاده و به نظر شرکت کنندگان در این طرح شامل موارد ذیل بوده است:
1- پنجاه و نه درصد از شرکت کنندگان به حمله یک ویروس کامپیوتری و درگیر شدن سیستم اطلاعاتی با آن اشاره داشته اند.
2- بیست و نه درصد از شرکت کنندگان به استفاده بی اجازه از سیستم های کامپیوتری اشاره داشته اند.
3- چهل وچهار درصد از شرکت کنندگان به استفاده نادرست کارمندهای داخلی که یکی از بزرگترین مشکلات در امنیت سیستم های اطلاعاتی به حساب می آید اشاره داشته اند.
به هرحال تاکید سازمان به رویکرد تکنولوژیکی وحفاظت ازدارایی یا موجودی سازمان امری بدیهی است. این مقاله اساساً بر روی انسان و عامل های انسانی درداخل سیستم CIS تمرکز می کنداما به نقش عامل های تکنولوژیکی(فنی) به صورت به هم پیوسته در داخل سیستم اشاره شده است. صرف نظر از دوام عامل های کنترلی ، اگر انسان وعامل های انسانی تغییر کند اجرا و استفاده از مفهوم CIS بسیار سخت می باشد. مثل پسورد ضعیف وعدم قابلیت استفاده ازآن دربرخی سیستم ها که ممکن است امنیت اطلاعات را به مرحله آسیب پذیری برساند. آسیب ها ممکن است نتیجه خط مشی (سیاست گذاری) نادرست و یااشتباه فردی که عمیقاً در افراد ریشه داشته و یا یک تصمیم مدیریتی باشد.
این رویکرد نشان می دهد که هم انسان و هم عامل های انسانی در یک سیستم اجتماعی اقتصادی به فرهنگ و ساختار آن سازمان رجوع می کند و این طرح شامل مرزهای اداری، سیستم های پاداش، نظارت و سرپرستی و سیستم های کنترل، اصول طراحی شغل ، اجرای انتظارات، فرصت درگیر کردن کارمندان، قرارداد کارمند و مدیر و قرارداد اجتماعی بین سازمان واعضاء می باشد. هدف از این مقاله توصیف انسان و عامل های سازمانی است که در آسیب پذیری CIS دخالت داشته و ارتباط بین این فاکتورها است.
1.کدامیک از انسان و عامل های سازمانی ممکن است در آسیب پذیری CIS شرکت داشته باشد؟
2. ارتباط بین این عامل ها چگونه ممکن است در آسیب پذیری CIS مشارکت داشته باشد؟
آسیب پذیری CIS
ویرایشپشتیبانی مدیریت با نحوه توسعه سیاست های امنیتی نیز مرتبط است. برای مثال پشتیبانی مدیریتی ضعیف باعث تبیین ضعیف سیاست های CIS می شود ، بودجه موجود بر استخدام نیروی انسانی تاثیر می گذارد و مشکلات برنامه ریزی که برای کارکنان CIS پیش می آید، با تشدید سیاست های CIS و ارتباط آن با پیچیدگی های سیستم های گوناگون کمتر می شوند. پیچیدگی به ظرافت های سیستم های ادغامی اطلاق می شود و تحت تاثیر کاربردی بودن فن آوری های CIS قرار می گیرد. مدیریت ضعیف نیروی انسانی و عدم برخورداری کارکنان از دانش CIS می تواند با سوگیری هایی به نفع برخی خدمات، محصولات یا فن آوری هایIT یا CIS مرتبط باشد. این خدمات، محصولات و فن آوری ها ممکن است نسبت به دیگر محصولات وخدمات از لحاظ قابلیت ها و یا ویژگی های دیگر فن آوری های CIS نامطمئن باشند و به اندازه کافی از پشتیبانی فروشندگان از جمله رفع نکردن مشکلات نرم افزاری و فراهم نکردن اسناد کافی برای ویژگی های تکنولوژیکی برخوردار نباشند. عدم برخورداری مدیر CIS و کارکنان از مهارت ها و دانش کافی بر کیفیت سیستم تاثیر مستقیم دارد که ضعف یا کیفیت پایین آن به آسیب پذیری طرح می انجامد.
آسیب پذیری ممکن است در اثر آزمایش نکردن عملکرد های سیستم و فرآیندهای CIS بوجود بیاید. آسیب پذیری در بکارگیری و تنظیمات می تواند از عدم آزمایش یا آزمایش ضعیف ناشی شود. درطرح مذکور در مجموع 45 عامل انسانی و سازمانی و 118 رابطه ( تعداد کل روابط بین هر دو عامل) شناسایی شدند. اهمیت ذخایر یا حساسیت ذخایر حفاظت شده و منابع موجود ( از جمله بودجه و نیروی انسانی) در ایجاد یک سیستم تجاری قوی برای امنیت CIS تاثیرگذار است.بدون یک سیستم تجاری قوی امنیتی، CIS نسبت به دیگر جنبه های بازرگانی در اولویت های پایین تر قرار می گیرد و مدیریت ازCIS پشتیبانی نمی کند. عدم پشتیبانی کافی توسط مدیریت ، توانایی سازمان ها برای استخدام و حفظ پرسنل خبره و حرفه ای را محدود می کند. فقدان پرسنل مناسب به کمبود وقت در انجام پروژه های CIS منجر می شود.هنگامی که در سیستم CIS تغییراتی ایجاد می شود( برای مثال اضافه کردن یک سیستم CIS جدید یا ارتقاء سیستم)، این تغییرات در کل محیط سیستم CIS انجام نمی پذیرد. این امر به آسیب پذیری طرح سیستم CIS منجر می شود.
برای مثال اگر مجری یک سیستم یا مکانیسم CIS فراموش کند که یکی از سرویس ها را اجرا کند و این اشتباه به آسیب پذیری اجرا منجر شد، این اشتباه ممکن است در اثر کار کردن مجری تحت فشار ناشی از محدودیت زمانی ، پشتیبانی تک مکانیسمی و یا فقدان فرآیند مدیریتی برای پشتیبانی خدمات بوجود آورد.
بحث و نتیجه گیری
ویرایشاز خلاصه نتایج به نه دسته بندی مفهومی دست یافتیم: عوامل خارجی، خطای انسانی، مدیریت، سازماندهی CIS ، مدیریت عملکرد، سیاست های سازمانی،مدیریت منابع، فن آوری وآموزش اشتباهات و خطاهای انسانی به آسیب پذیری CIS منجر می شود. پژوهش های دیگری که در مورد عوامل انسانی و شیوه های CISانجام شده اند به نقش کاربرد و رفتارهای امنیتی (بدون خطا) صحیح اشاره دارند. آدامز و دیگران (1997) با استفاده از یک پرسشنامه وب- محور رفتارمرتبط با رمز عبور را در 139 نفر مورد بررسی قرار دادند. رمز عبورهایی که کمتر مورد استفاده قرار می گرفتند، برای افراد مشکلات حافظه ای ایجاد می کردند. در نتایج هم چنین همبستگی چشمگیری بین "تمایل به کاهش ضریت امنیتی" و "مشکلات حافظه ای مکرر" مشاهده شد که به نیاز به بررسی عوامل انسانی وکاربردی بودن شیوه های امنیتی برای پشتیبانی امنیتی کاربر اشاره دارد. کریمرو کارایون (2007) نیز به مطالعه دیدگاه های مدیر شبکه و مدیران امنیتی در مورد خطاهای انسانی و عوامل سازمانی و انسانی پرداختند و دریافتند که خطاهای انسانی می تواند با عوامل سازمانی از جمله برقراری ارتباط ، فرهنگ امنیتی و سیاست های سازمانی مرتبط باشد. مطالعه دیگری که در مورد بکارگیری توپولوژی مدلسازی جنریک برای تحلیل خطاهای انسانی بعنوان علت مشکلات امنیتی انجام شد نشان داد که اشتباهاتی که در مرحله پردازش اطلاعات صورت می گیرد مهمترین علت مشکلات امنیتی می باشد (لیجین لال و دیگران، 2009).
در زمینه مدیریت منابع، فقدان دانش CIS در هر دو گروه مشاهده شد. فقدان دانش و مهارت پرسنل باعث تضعیف عملکرد سیستم CIS می شود. برخی پژوهش ها این گفته را تایید کرده اند. یک تحلیل کمی از مصاحبه های نیمه ساختاری (مصاحبه هایی که ساختار و سوالات آن تقریباً از قبل مشخص شده است) با 30 کاربر در دو شرکت انجام شد که به چندین عامل انسانی و سازمانی تاثیرگذار بر رفتارهای مرتبط با رمز عبور اشاره داشت ( آدامز و سس ، 1999). از جمله این عوامل می توان به اهمیت سازگاری بین فرآیند های کار و کلمه عبور اشاره کرد. برای مثال در یک شرکت کارمندان باور داشتند رمز عبورهای شخصی با کار گروهی سازگار نیست. این پژوهش هم چنین به فقدان دانش و اطلاعات امنیتی در کاربران اشاره داشت. کاربران مخالف اقدامات امنیتی نبودند، اما قادر نبودند عواقب امنیتی فعالیت های خود را درک کنند.
در حیطه تدابیر سازمانی یک سری عوامل وجود داشتند که به ناکارآمدی تدابیر CIS منجر می شدند، از جمله عدم ریزبینی، فقدان توانایی لازم برای اتخاذ تدابیر صحیح و عدم وجود یک مکانیسم درست برای اجرای سیاست های سازمانی. در مطالعه ای بر روی سازمان های بریتانیا به بررسی ادراک، انتشار محتوا و تاثیر سیاست های CIS پرداخت و در مورد کارایی این سیاست ها به نتایج مشابهی دست یافت ( فول فورد و دوهرتی، 2003). در این پژوهش از یک پرسشنامه اکتشافی استفاده شد. جامعه آماری متشکل از 208 مدیر اجرایی ارشد CISS بود (میزان پاسخگویی %7.3). نتایج تحلیل نشان داد که 4 فاکتور از اهمیت ویژه برخوردار بودند:
(1) تعهد مدیریت
(2) درک درست خطرات امنیتی
(3) آگاهی دادن در مورد سیاست های CIS
(4) درک صحیح ملزومات امنیتی
این نتایج نشان می دهد که درک کاربران از ملزومات و خطرات CIS مهم است و نیز عوامل دیگری بر کارایی سیاست های CIS تاثیر گذار است، از جمله پشتیبانی مدیریتی و دانش CIS .ورلینگر و دیگران (2009) مفهوم تعامل بین عوامل انسانی، سازمانی و تکنولوژیکی در سیستم CIS را بسط دادند و برای درک پیچیدگی های این روابط راه هایی را شناسایی و ارائه کردند. برای مثال در مورد اینکه چگونه فرهنگ یک سازمان و غیر متمرکز سازی IT می تواند مدیریت امنیتی را با مشکل مواجه سازد، راه حل هایی پیشنهاد دادند. این مفاهیم نتایج پژوهش های ما را در مورد شیوه های انسانی و سازمانی که به آسیب پذیری CIS می انجامد، تایید کرده و بسط می دهد.
نتایج این پژوهش باتعریف شرایط سازمانی نهفته که با هم ادغام شده و بستر شکست سیستم را فراهم می سازند، سازگاری دارد(ریزن،1997). ناکارآمدی سیستم ها در CIS در اثر خطاهای انسانی که به آسیب پذیری تکنولوژیکی می انجامد، بوجودمی آید.اکثر رویکردها به اصلاح آسیب پذیری تنها ناکارآمدی های اکتیو را مورد بررسی قرارداده و تاثیر کوتاه مدت و مستقیمی بر شیوه های دفاعی CIS می گذارند. رویکردهای کنونی به سیستم های CIS از شیوه های تدافعی تکنولوژیکی در زمان تعامل انسان با سیستم ها استفاده کرده تا از خطاهایی که به آسیب پذیری می انجامد، جلوگیری کنند. اما همانطور که در این پژوهش نشان داده شد، چنین اقداماتی یک رابطه علت و معلولی پدید می آورد که در بسیاری از سطوح سازمان و سیستم بسط پیدا می کند. شرایط سازمانی نهفته از اقدامات مدیران، طراحان، سیاست گذاران و مدیران شبکه ناشی می شود. این شرایط دو نوع تاثیر مخرب بر جای می گذارند: 1-می توانند احتمال بروز خطا را در محل کار افزایش دهند (محدودیت زمانی، کمبود نیروی کار، کمبود تجهیزات، حجم کاری بالا) و به آسیب پذیری سیستم CIS منجر شوند ( سیستم های به روز شده نامعتبر، فقدان کاربری های مرتبط ، رمز عبورهای پیش فرض). شرایط نهفته ممکن است با نارکارامدی های اکتیو ادغام شوند و CIS را مختل کنند. برخلاف ناکارایی های اکتیو که پیش بینی کردن آنها مشکل است ، شرایط نهفته را قبل از اینکه مشکلی به وجود بیاید، می توان شناسایی و برطرف کرد.
محدودیت ها
ویرایشدر این پژوهش محدودیت هایی وجود داشت. از جمله اینکه جامعه آماری فقط متشکل از یک تیم امنیتی بود. برای درک مشکلات موجود در شرایط باید با تیم های بیشتر که تجربیات و رویکرد های گوناگون دارند، مصاحبه کرد. علاوه بر این، زمانی که این پژوهش انجام شد،جامعه گروه های امنیتی نسبت به گروه های دیگر ارزیابی CIS (از جمله حسابرسان امنیتی و کارشناسان آزمایش ضریب نفوذ) کوچک بود.
نتایج این مطالعه نباید به عنوان حقایق کلی در نظر گرفته شوند، بلکه باید به عنوان تفسیری از ارزیابی های کارشناسان در مورد سیستم های CIS تلقی گردند.این نتایج ممکن است به سازمان های مشابه قابل تعمیم باشند.از آنجایی که پایه این پژوهش بر منطق و نه احتمالات استوار است، می توان تئوری های کلی این پژوهش کیفی را تعمیم داد(سیل، 1999).بر اساس این منطق ویژگی های موجود در یک پژوهش کیفی می توانندبا یک جامعه آماری بزرگتر مرتبط باشند، نه از این جهت که نمونه آماری نماینده آنهاست بلکه به این دلیل که تحلیل نهایی غیر قابل رد کردن است (میچل، 1983).به این دلیل است که می توان کوچکی اندازه یک نمونه آماری متنوع را که متشکل از افرادی با مهارت ها، تجربیات، و پیشینه های متفاوت است، توجیه کرد. دلایل متعددی برای تفاوت های بین مفاهیم گوناگون شبکه های تحلیلی سببی وجود دارد.اول این که با فرض تفاوت تجربیات اعضای نمونه آماری، واریانس های نتایج می تواند از ترکیب متفاوت هر گروه ناشی شود. دوماً، طرح پژوهش بصورت نیمه ساختاری و اکتشافی بود. مصاحبه در چنین شرایطی به ویژه بین گروه های مختلف به نتایج مختلفی می انجامد. چرا که رویکرد تجویزی و از پیش تعیین شده نیست (فوناتا و فری، 2000). سوماً اینکه هنگامی که یک گروه امنیتی به تبادل نظر می پردازند ، تیم ارزیابی مرکزی تمرکز گروه را روی ماموریت سیستم، ماموریت تیم امنیتی و چگونگی عملکرد سیستم قرار می دهد. در هر کدام از این جلسات این اطلاعات ارائه نمی گردد.فقدان جمع بندی های قبل از جلسات نیز می تواند توجیهی برای تفاوت بین رویکردها و نتایج دو گروه باشد.
پیشنهاداتی برای مطالعات بیشتر
ویرایشپژوهش های آتی را می توان بر اساس تحلیل کنونی بنا کرد، به این ترتیب که عوامل انسانی و سازمانی بیشتری برای بررسی روابط بین عوامل و عملکرد سیستم CIS در نظر بگیریم. پژوهشگران می توانند عواملی مانند کمبود بودجه CIS یا کمبود دیتا را در مدلهای گسترده تری از کارایی سازمانی و عملکرد CIS در نظر بگیرند.
از این پژوهش استنباط می شود که نقش عوامل انسانی و سازمانی در CIS پیچیده است و می تواند سیستم های CISرا طوری آسیب پذیر سازد که راه حل های تکنولوژیکی نتوانند آن ها را برطرف سازند. از جمله راه هایی که می توان روابط (و یا عدم وجود روابط) بین عوامل انسانی و سازمانی را شناسایی کرد عبارتند از : تحلیل شبکه ای اجتماعی گسترده ، تحلییل واریانس ، شیوه های ارزیابی ماکرو ارگونومیک مانند تحلیل ماکرو ارگونومیک و روش شناسی طرح ها (رابرتسون و دیگران، 2002). با استفاده از گروه های بیشتر می توان به تحلیل بهتری از عوامل و شیوه آن دست یافت.
پیشنهاداتی برای کارشناسان امنیتی نیز وجود دارد : از جمله اینکه عوامل انسانی وسازمانی بر عملکرد CIS به شیوه چند لایه ای تاثیر می گذارد واینکه آسیب پذیری های CIS همیشه نتیجه یک اشتباه نیستند. بلکه عوامل متعددی از جمله پشتیبانی مدیریتی یا تصمیمات طراحان نقش دارند. کارشناسان امنیتی و متخصصان باید به تاثیر عوامل سازمانی بر CIS پی ببرند و به این نکته توجه کنند که یک برنامه مدیریتی سیستماتیک لازم است تا بتوان شرایط سازمانی نهفته را که به آسیب پذیری CIS منجر می شوند برطرف کرد.
منابع
ویرایش"Human and organizational factors in computer and information security: Pathways to vulnerabilities" .(sara Kraemer, Pascale Carayon, John Clem)
Kraemer S et al., Human and organizational factors in computer and information security Pathways to vulnerabilities, Comput. Secur. (2009), doi:10.1016/j.cose.2009.04.006