آثار فرهنگی اجتماعی و روانی فناوری اطلاعات روی انسان/عوامل انسانی و امنیت اطلاعات : فردی ،فرهنگ و محیط زیست امنیتی: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
بدون خلاصۀ ویرایش |
بدون خلاصۀ ویرایش |
||
خط ۵۳:
'''فهرست'''
1. مقدمه
1.1 امنیت اطلاعات و انواع خطاها عامل انسانی
1.1.1 اهمیت قابلیت استفاده
2. ادراک ریسک و تعصبات پردازش اطلاعات
سطر ۸۷ ⟵ ۸۴:
3.2.8 جهت گیری و تمرکز -- داخلی و / یا خارجی
3.3 اطلاعات امنیت و آب و هوا ایمنی
4. ارتباطات امنیت اطلاعات
5.مهندسی اجتماعی
سطر ۱۰۰ ⟵ ۹۵:
5.3 دفاع در برابر مهندسی اجتماعی
6. آگاهی های امنیتی ، آموزش و آموزش
6.1 بررسی آگاهی ، آموزش و آموزش امنیت
7. نتیجه گیری
8. لیست مرجع
1. '''مقدمه'''▼
▲1. مقدمه
سطر ۱۲۳ ⟵ ۱۱۰:
این گزارش مسائل مربوط به عامل انسانی است که به احتمال زیاد برای نفوذ در افراد و چگونه ارتباط برقرار کردن با فن آوری امنیت اطلاعات را مشخص می کند. این کار شامل تجزیه و تحلیل از عواملی است که توانایی یک فرد را به دقت در درک خطر و جنبه های فرهنگ یک سازمان است که به احتمال زیاد منجر به محیطی که در آن رفتارهای امنیتی مثبت پاداش و نگهداری تاثیر می گذارند. اهمیت ارتباط موثر ، از جمله مناسب فریم اطلاعات مربوط به رفتارهای امنیت ، نیز مورد بررسی قرار داده می شود. علاوه بر این ، این گزارش می خواهد نفوذ مهندسی اجتماعی در داخل متن اطلاعات امنیتی ، از جمله عوامل که تمایل به افزایش حساسیت فرد ، تجزیه و تحلیل از مطالعات قبلی که دارند را تعریف کرده و تلاش به منظور مهندسی اجتماعی ، و مرور در خصوص دفاع موثر در برابر مهندسی اجتماعی بررسی کند. در نهایت ، توصیه ها و پیشنهادات خود را برای آزمایشات تجربی در منطقه و نتیجه گیری ارائه خواهد کرد.
1.1 '''امنیت اطلاعات و انواع خطاها عامل انسانی'''
انسان همواره به عنوان ضعیف ترین حلقه در امنیت می باشد. تمرکز انحصاری بر روی جنبه های فنی از امنیت ، بدون توجه به اینکه انسان چگونه با سیستم تعامل دارد ، به وضوح ناکافی است. این بخش شامل انواع خطاهای عامل انسانی است که می تواند منجر به نقض امنیتی شود. تعدادی از دلایل این اشتباهات نیز مورد بحث می باشد.
سطر ۱۵۳ ⟵ ۱۴۰:
مرتبط با این ، بسیاری از ضد ویروس ها به روز رسانی ها و وصله های امنیتی دیگر نیاز به دخالت انسان دارد، و از این رو ، با توجه به محدودیت های مرتبط با هر دو زمان و یا حافظه انسان ، روش ها ممکن است نه انجام ، منجر به کاهش امنیت است.
'''(1.1.1) اهمیت از قابلیت استفاده'''
همچنین لازم است به برجسته کردن اهمیت قابلیت استفاده ، و تعامل بین قابلیت استفاده فقیر و میل انسان را به کلید های میانبر. در اصل ، فن آوری های امنیتی اغلب شامل فرآیندهای پیچیده ضد شهودی که بسیار دشوار به درک (شولتز ،
سطر ۱۷۳ ⟵ ۱۶۰:
واژگان فنی است. اگر ویژگی های امنیتی با این جنبه از قابلیت استفاده در ذهن طراحی شده است ، این احتمال وجود دارد در انطباق بیشتر در نتیجه و در نتیجه ، کمتر انسان عامل
'''2. ادراک خطر و تعصبات پردازش اطلاعات'''
هنگام تصمیم گیری رفتاری ، افراد اغلب به تخمین خود را از خطرات مرتبط با گزینه های مختلف تصمیم گیری بر اساس. از این رو ، شیوه ای که در آن کاربران فناوری اطلاعات درک تهدیدات پاسخ های رفتاری خود را (هوانگ و همکاران ، 2007) تحت تاثیر قرار. این است که اغلب غیر عملی است برای پردازش تمام اطلاعاتی را که لازم بود و به شکل کاملا منطقی از یک ارزیابی خطر است. بنابراین ، مردم اغلب کلید های میانبر در فرآیند تصمیم گیری ، با استفاده از تعدادی از تعصبات و ابتکارات پردازش اطلاعات به ساده کردن کار (Kahneman ، Slovic و Tversky ، 1982).
سطر ۱۸۵ ⟵ ۱۷۳:
عواملی که تمایل به تحت تاثیر قرار ادراک افراد از خطرات امنیتی در حال حاضر در جزئیات بیشتری را در بخش زیر قرار گرفت.
'''2.1 در دسترس اکتشافی'''
یکی از رایج ترین تعصبات است به عنوان اکتشافی در دسترس شناخته شده است. این تعصب است بر اساس این ایده که افراد تمایل به قضاوت فرکانس و یا احتمال یک رویداد بر اساس چگونه به راحتی به عنوان مثال می توان به ذهن (Tversky و Kahneman ، 1973 Slovic ، Fischhoff ، و لیختن اشتاین ، 1979) آورده شده است. این اکتشافی است نیز ارتباط نزدیکی با پوشش رسانه ای از وقایع مرتبط ، حوادث بسیار به اطلاع عموم نیز به یاد ماندنی تر است. با این حال ، مطالعات انجام شده به طور مداوم
سطر ۱۹۵ ⟵ ۱۸۳:
علاوه بر این ، از رخنه های امنیتی بسیار نادر است ، اکتشافی در دسترس است به احتمال زیاد منجر به ناچیز شماری از خطر است. اساسا ، کاربران دارند احتمال بیشتری برای یادآوری وقایع زمانی که روش های نادرست رسیده و یا غیر ، پایبندی به سیاست های امنیتی به تصادفات منجر نشده ، و در نتیجه ، خطر واقعی از روش زیر نیست ، بیشتر احتمال دارد که نباید دست کم گرفت (Slovic و همکاران ، 1976). در واقع ، هر زمان که یک فرد امنیتی نقض بدون هرگونه عواقب این رفتار مخاطره آمیز است به احتمال زیاد به تقویت ، که به معنی آن است که به احتمال زیاد در آینده رخ می دهد.
'''2.2 خوشبینی تعصب'''
به این تعصب خوش بینی ، که اشاره به این واقعیت است که اکثر مردم باور ندارند که آنها شخصا در معرض خطر ، و به جای آن ، تمایل دارند به این باور است که نتایج منفی به مراتب بیشتر احتمال دارد اتفاق می افتد را به دیگران (خاکستری و Ropeik ، 2002) . این تعصب در یک مطالعه که در آن شرکت کنندگان خواسته شد به قاضی احتمال خطرات مختلف روز اتفاق نه افتاده است به خود ، اعضای خانواده خود و عموم مردم (Sjoberg 2000) نشان داده شد. برای تمام خطرات ، رأی به طور متوسط پایین تر برای فرد و خانواده فرد نسبت به آنها برای عموم مردم (Sjoberg 2000) بودند.
سطر ۲۰۴ ⟵ ۱۹۲:
'''2.3 سطح از کنترل'''
افراد همچنین به خوشبینی غیر واقعی برای خطرات است که آنها درک به تحت کنترل شخصی خود (Kreuter و Strecher ، 1995). از آنجا که یک فرد ممکن است اقدامات خود را بر روی کامپیوتر شخصی خود را تحت کنترل خود را مشاهده ، تهدید را ممکن است به عنوان کمتر مخاطره آمیز دیده می شود. از این رو ، شانس که غیر - پایبندی به سیاست های امنیتی در نتیجه عواقب جدی نیز ممکن است دست کم گرفته شود. این بدان معنی است که افراد ممکن است بیشتر احتمال دارد به رفتارهای پرخطر درگیر است. این تعصب است که معمولا در ادراک رانندگان از خطرات خودرو ، که در آن مردم اغلب احساسات اغراق آمیز نشان می دهد اعتماد به نفس ناشی از احساسات خود را کنترل (Slovic ، Fischhoff ، و لیختن اشتاین ، 1978) مشاهده شده است.
سطر ۲۱۰ ⟵ ۱۹۸:
این افزایش در رفتار مخاطره آمیز است به طور کلی شایع به خصوص در افرادی که دارای سطح بالایی از شایستگی و درک مهارت است. از این رو ، این احتمال وجود دارد که افرادی که دارای مهارت در زمینه امنیت اطلاعات می تواند توانایی خود را برای کنترل این تهدید دست بالا گرفتن است ، و بنابراین آنها ممکن است خطرات بیشتری است.
'''2.4 سطح دانش'''
در مقابل ، ریسک ها همچنین می تواند به شدت می شود توسط فقدان افراد از دانش و یا آموزش و پرورش در امنیت اطلاعات را تحت تاثیر خود قرار داده است. اغلب ، آن را دشوار است به درک خطر و تهدید است که آن را به شمار بدون درک دقیق از جزئیات از خطر در مورد. این درست است به خصوص از بعضی از خطرات امنیتی ، به عنوان افراد ممکن است دانش فنی نیاز به درک قدر یا پیامدهای رخنه های امنیتی بالقوه است. بدون این دانش ، موثر تصمیم گیری و خطر ادراک می تواند به طور جدی تحت تاثیر (Fischhoff ،
سطر ۲۱۷ ⟵ ۲۰۵:
به عنوان مثال ، مطالعه انجام شده توسط آدامز و Sasse (1999) دریافتند که کاربران به حال دانش ناکافی از آنچه به منزله یک رمز ورود ایمن ، و کاربران بسیار کمی درک چگونه کلمه عبور می تواند ترک خورده. از این رو ، کاربران گاهی اوقات حتی انتخاب رمزهای عبور بسیار ناامن ، بدون پی بردن به این مسئله که آنها انجام این کار بودند. عدم آگاهی و دانش همچنین می تواند منجر به فقدان انگیزه های امنیتی ، به عنوان افراد ممکن است جدی بودن خطر بالقوه ، و نیاز به منظور انجام اقدامات امنیتی را درک نمی کنند. این عوامل تاکید بر اهمیت آگاهی و خطر موثر امنیت ارتباطات ، که در جزئیات بیشتری را در بخش های بعدی تحت پوشش خواهد بود.
'''2.5 خطر هموستاز'''
همچنین ممکن است که یک پدیده شناخته شده به عنوان هموستاز خطر یا پرداخت غرامت خطر ممکن است رفتار افراد ، نفوذ و کاهش احتمال که مردم با دقت درک جدی بودن خطرات امنیتی اطلاعات (استوارت ، 2004). این نظریه بیان که مردم به طور کلی قبول سطح خاصی از ریسک ، و پس از آن ، به عنوان تغییر شرایط ، رفتار تغییر خواهد کرد که در سطح مورد نظر را از خطر (وایلد ، 2001) باقی می ماند. به عبارت دیگر ، اگر شرایط تصور می شود کمتر مخاطره آمیز ، و سپس مردم ممکن است خطر بیشتری ، می گیرد و اگر شرایط تصور مخاطره آمیز تر می شود ، سپس میزان خطر گرفته شده ممکن است کاهش می یابد.
سطر ۲۲۳ ⟵ ۲۱۱:
1998) ، آن را به خوبی ممکن است به توضیح دهد که چرا افرادی که از روش های امنیتی آگاه به اصول امنیت همیشه رعایت کمک کند. این امکان وجود دارد که افراد ممکن است درک که بهبود حفاظت فایروال و یا سایر مکانیزم های امنیتی ممکن است به کاهش هر گونه تهدید احتمالی ، و بنابراین آنها ممکن است تغییر رفتار آنها ، و عمل به شیوه ای مخاطره آمیز تر است. به عنوان مثال ، اگر یک سیستم در یک منطقه به شدت کنترل دسترسی ، مردم ممکن است باید سخت کوش کمتر در مورد حفاظت از کامپیوتر (Mitnick و سیمون ، 2005).
'''2.6 خطر تجمعی'''
بسیاری از خطرات مرتبط با امنیت اطلاعات از ماهیت تجمعی هستند. این به این معنی است که احتمال یک رویداد در یک روز داده شده و یا در یک زمان معین اتفاق می افتد ممکن است بسیار کوچک است ، اما در طول زمان ، این افزایش شانس (Fischhoff 2002). به عنوان مثال ، اگر کسی را انتخاب رمز عبور ناامن ، شانس که این عدم پایبندی به روش بهره برداری خواهد شد ممکن است بسیار کوچک در یک روز مشخص ، اما در طول هفته ها و ماه ها ، این احتمال می سازد.
سطر ۲۲۹ ⟵ ۲۱۷:
همچنین لازم به حساب آورد خطر تجمعی مطرح شده توسط افراد مختلف از همه در نظر گرفتن ریسک های کوچک. به عنوان مثال ، خطر در ارتباط با یک فرد ، عدم به دنبال یکی روش ممکن است بالا باشد ، اما اگر تعدادی از افراد ، ایجاد آسیب پذیری های مختلف ، خطر تجمعی ممکن است قابل توجه باشد. با این حال ، افراد به طور کلی در درک این خطر تجمعی (Slovic 2000) کاملا فقیر ، و از این رو ، آنها ممکن است احتمال بیشتری برای پذیرفتن ریسک های کوچک ، چون ممکن است عواقب کامل درک نمی.
'''2.7 حذف تعصب'''
رفتار افراد نیز می تواند توسط تعصب حذف خواهد شد. اساسا ، مردم رای دادن به حذف (و یا عدم عمل) به عنوان قابل قبول تر از عمل کمیسیون (Ritov و بارون ،
2002). بسیاری از رخنه های امنیتی (مانند شکست به طور منظم تغییر رمزهای عبور) می تواند به عنوان حذفیات مشاهده و inactions بنابراین ممکن است به عنوان قابل قبول تر از عمل به همان اندازه مخاطره آمیز از نوشتن رمز عبور پایین دیده می شود. پس از تکمیل اشتباهات ، که قبلا ذکر شد ، یک شکل از تعصب حذف است. در اصل ، پس از حذف تعصب نشان می دهد که inactions هستند به طور کلی دیده می شود به کمتر از نظر اخلاقی نسبت به اقدامات سوال برانگیز ، این تعصب است به احتمال زیاد افزایش وقوع اشتباهات پس از تکمیل است.
'''2.8 نفوذ آشنایی'''
شواهد حاکی از آن است که آشنایی از خطر نیز نفوذ می تواند شیوه ای است که در آن درک شده است. خطرات رمان و ناآشنا هستند ، کمتر احتمال دارد به دست کم گرفت ، در حالی که مردم با خطرات مشترک است که آنها برای مدت طولانی زندگی خود راضی می تواند تبدیل به. از این رو ، خطرات آشنا هستند بیشتر احتمال دارد که نباید دست کم گرفت. به عبارت دیگر ، مردم به احتمال زیاد به خطر هنگامی که با کار آنها آشنا هستند. و این ممکن است امنیت اطلاعات اعمال می شود ، به عنوان مردم می توانند از خود راضی با وظایف که آنها تکمیل هر روز ، مانند قفل شدن خود را
سطر ۲۴۳ ⟵ ۲۳۱:
با این حال ، لازم به یاد داشته باشید که در مقابل گاهی اوقات درست است. مطالعه مطابق با دستورالعمل های ایمنی در محصولات مختلف ارزیابی ، و متوجه شد که شرکت کنندگان با احتمال بیشتری به دنبال اقدامات احتیاطی در هنگام استفاده از مارک محصول که با آنها بیشتر آشنا (اورتیز ، Resnick و Kengskool ، 2000) بودند. این لینک برگشت به نفوذ از دانش کاربران ، آن را نشان می دهد که مردم خواهد بود به احتمال زیاد برای ادامه به رعایت دستورالعمل های ایمنی لازم را از خطر آشنا اگر آنها را در درک دلیل اقدامات احتیاطی. از این رو ، این تاکید بر اهمیت آموزش و پرورش کاربر ، که در جزئیات بیشتری را در بخش های بعدی تحت پوشش خواهد بود.
'''(2.9) تأثیر از قابسازی'''
شیوه ای که در آن شرح داده شده است و یا قاب خطر نیز می تواند ادراک افراد از خطر را تحت تاثیر قرار دهد. به عنوان مثال ، هنگامی که خطر با تاکید بر زیان های احتمالی مشخص شده ، استراتژی ریسک پذیری بیشتر رایج است ، در حالی که یک استراتژی ریسک گریزی بیشتر احتمال دارد زمانی که خطر در رابطه به دستاوردهای احتمالی (Kahneman و Tversky شرح داده شده ، 1979). این در نظریه چشم انداز بر اساس ، با این ایده که افراد دارای ارزش های ذهنی برای زیان و سود (Schneier ، 2003).
سطر ۲۴۹ ⟵ ۲۳۷:
اثر از فریم به وضوح در یک مطالعه توسط مک نیل ، چاپ Pauker و Tversky (1982) نشان داده شده است. شرکت کنندگان در این مطالعه خواسته شد تصور کنید که آنها تا به حال سرطان ریه ، و پس از آن با گزینه های درمان ارائه شد. هنگامی که شرکت کنندگان با احتمال قاب در از نظر احتمال مرگ در اثر (32 ٪) به جای شانس زنده ماندن (68 ٪) ، درصد افرادی که انتخاب درمان از 44 ٪ فقط به 18 درصد کاهش یافته است (Slovic 1986) ارائه شد. این پیامدهای مهم برای امنیت اطلاعات ، آن را به عنوان نشان می دهد که مردم می توانند به شدت از سوی شیوه ای که در آن خطر ابلاغ شده است را تحت تاثیر خود قرار داده است. به عنوان مثال ، این نشان می دهد که مردم ممکن است احتمال بیشتری برای پیروی از دستورالعمل های امنیت اطلاعات در صورتی که نتیجه با تاکید بر دستاوردهای ممکن است شرح داده شده است. این در جزئیات بیشتری را در بخش ارتباطات خطر تحت پوشش خواهد بود ، به دنبال.
'''2.10 شخصیت و سبک شناختی'''
تفاوت های فردی در توجه به عواملی مانند شخصیت و سبک شناختی نیز ممکن است ادراک (و تمایل به گرفتن) خطرات (شیر و Meertens ، 2005) را تحت تاثیر قرار دهد. اونیل (2004) نشان می دهد که مردم را می توان بر اساس آنها چگونه با خطر برخورد ، از کسانی که بسیار ریسک گریز ، به کسانی که به دنبال خطر طبقه بندی شده است. این تفاوت به احتمال زیاد برای تاثیر گذاری در راه است که مردم درک اطلاعات اطراف آنها ، که به نوبه خود ، به احتمال زیاد برای نفوذ در رفتار آنها هستند. مطالعه ای که توسط شیر Meertens و (2001) بررسی میزان اطلاعاتی که شرکت کنندگان در توجه به یک دارو نگاه ، و متوجه شد که تفاوت قابل توجهی بین استقبال خطرات و avoiders خطر وجود دارد.
سطر ۲۵۹ ⟵ ۲۴۷:
و کمتر احتمال دارد به بی اعتنایی به روش های امنیتی (شیر و Meertens ، 2005). اینها ، با این حال ، فرضیه های نظری در مقابل به صفات سازگار است که تجربی ثابت شده است.
'''2.11 تأثیر عوامل اجتماعی'''
هنجارهای گروه نیز می تواند امنیت رفتار افراد را تحت تاثیر قرار دهد. مردم به طور کلی هنجارهای گروه ، به دنبال و در نتیجه در صورتی که گروه امنیت اطلاعات را به یک مشکل مهم و جدی ، سپس آن را بیشتر احتمال دارد که افراد درون آن گروه ارزش و پیروی از سیاست های امنیتی. در مقابل ، اگر ریسک پذیری است که در داخل این گروه پذیرفته شده ، و سپس از آن است که احتمال دارد که خطرات بیشتری گرفته خواهد شد.
سطر ۲۷۲ ⟵ ۲۶۰:
'''3. امنیت سازمانی تمدن و فرهنگ و هنر'''
فرهنگ امنیت می تواند در انزوا از فرهنگ کلی ، در محیط کار ارزیابی ، دلیل این است که فرهنگ یک سازمان است که تاثیر قوی در زمینه امنیت سازمانی (Ruighaver ، مینارد و چانگ ، 2007). بنابراین برای درک فرهنگ های امنیتی آن است که برای اولین بار مهم است که درک در ادبیات وسیع تری از فرهنگ سازمانی است.
'''3.1 تعاریف و تئوری فرهنگ سازمانی'''
مفهوم از فرهنگ است که به وضوح فهمیده می شود ؛ در واقع هیچ دو نظریه پردازان و محققان تعریف فرهنگ را در همان راه (Ivanchevich ، Olekalns و Matterson ، 2000). فرهنگ متفاوت تعریف شده است ، اندازه گیری متفاوت و ارزیابی متفاوت (شاین ، 1985). این عدم اتفاق نظر در ساخت فرهنگ در یک معامله بزرگ از مجادلات و بحثهای (سوزن ، 2000) منجر شده است.
سطر ۳۱۱ ⟵ ۲۹۹:
بسیاری از تحقیقات انجام شده در منطقه از فرهنگ سازمانی ، اعتقاد به این که درک از محیط کار و فرهنگ سازمانی روابط مهم و قابل توجهی با رفتار سازمانی حمایت کرده است. این خدمات عبارتند از : رضایت شغلی ، تعهد ، انگیزه ، رفاه ، ارتباطات ، عملکرد و رفتار های امنیتی (Ruighaver و همکاران ، 2007 ، پارکر و همکاران ، 2003 ؛ است. DeCotiis و سامرز ، 1987 ؛ Muchinsky ، 1977). امنیت نه تنها یک ماده از استفاده از آخرین فن آوری امنیت موثر است به شدت در درون فرهنگ سازمانی تعبیه شده (Ruighaver و همکاران ، 2007).
'''3.2 هشت ابعاد چارچوب فرهنگ سازمانی به امنیت اطلاعات کاربردی'''
Ruighaver و همکاران. (2007) توضیح دهد که در داخل یک سازمان ، امنیت اطلاعات در درجه اول یک مشکل مدیریت و چگونگی معاملات مدیریت امنیت اطلاعات است ، بازتاب مستقیم از فرهنگ یک سازمان. فرهنگ امنیت را می توان با استفاده از چارچوب فرهنگ سازمانی درک شده است. این چارچوب توسط بازداشتن ، شرودر و Mauriel (2000) توسعه داده شد ، و آن را تقسیم فرهنگ به هشت بعد.
سطر ۳۱۷ ⟵ ۳۰۵:
هشت ابعاد به شرح زیر عبارتند از : اساس حقیقت و عقلانیت ، ماهیت زمان و افق ، انگیزه ، ثبات در مقابل تغییر ، نوآوری و یا رشد شخصی ، جهت گیری به کار ، کار ، همکاران ؛ انزوا در مقابل همکاری و یا همکاری ، کنترل ، هماهنگی و مسئولیت و جهت گیری و تمرکز داخلی یا خارجی (Ruighaver و همکاران ، 2007).
'''3.2.1 اساس حقیقت و عقلانیت'''
اساس حقیقت و عقلانیت جزء اول از چارچوب فرهنگ سازمانی است ، و آن را به حقیقت در باورهای امنیتی و اقدامات اشاره است. به عنوان مثال ، مدیریت حمایت از رفتار های امنیتی مناسب و سیاست ها ، هر دو در آنچه که توسط مدیریت اعلام است ، و چه اعمال و رفتار در محیط کار مشاهده است؟ اگر مدیریت سیاست های امنیتی قوی در جای خود ، و منعکس کننده این سیاست در عملیات روز به روز ، این بدان معنی است که کارکنان به احتمال زیاد نیز اتخاذ آرمان های امنیتی مشابه (Ruighaver و همکاران ، 2007).
'''(3.2.2) طبیعت از زمان و افق'''
ماهیت زمان و افق اشاره دارد که چگونه یک سازمان در نظر دارد برای آینده خود است. به عنوان مثال ، برخی از سازمان ها به اهداف بلند مدت و برنامه های استراتژیک در محل ، به دنبال سال های بسیاری را به آینده است. سازمان های دیگر فرستاده شده از طرف دستیابی به اهداف کوتاه مدت و فوری به کار گیرند. بلند مدت برنامه ریزی استراتژیک اجازه می دهد تا یک سازمان را به یک تعهد قوی برای امنیت است. به عنوان مثال ، آنها می توانند پول است که می تواند به طور خاص مورد استفاده قرار گیرد به منظور ارتقاء و بهبود امنیت اطلاعات را به کناری بگذاریم ، این شانس را افزایش می دهد که سطح مناسب از بودجه در دسترس خواهد بود. این برنامه ریزی بلند مدت بدان معنی است که امنیت ، و به احتمال زیاد باقی می ماند ، یک اولویت بالا (Ruighaver و همکاران ، 2007) است.
'''3.2.3 انگیزه'''
مستخدمین نیاز به انگیزه برای اتخاذ رفتارهای امن و شیوه ، و مدیریت باید قادر به شناسایی انگیزه کارکنان خود را. به عنوان مثال ، آیا افراد به محرکها درونی یا بیرونی ، پاداش کار بهتر از مجازات ، یا بالعکس؟ پیشنهاد شده است که انگیزه زمانی اتفاق می افتد که کارکنان شخصا مسئول امنیت است. افقی مشارکت اجتماعی نیز پیشنهاد شده است که به افزایش انگیزه. این اتفاق می افتد زمانی که اعضای هیات از مناطق مختلف سازمان مورد بحث در مورد مسائل مشترک امنیت و فعالانه در فرایند تصمیم گیری دخیل (کوه ، Ruighaver ، مینارد و احمد ، 2005).
'''3.2.4 پایداری در مقابل تغییر / نوآوری / رشد شخصی'''
این جزء از چارچوب بر که امنیت هرگز نباید باقی می ماند استاتیک (شین ،
2000). فرهنگ امنیت نیاز به مدیریت تغییر مناسب و در نتیجه سازمان نیاز به فعال و نه نسبت به واکنشی که در هنگام برخورد با مسائل امنیتی است. مدیریت نیز تشویق به ترویج روش های نوآورانه برای برخورد با چالش های ثابت که در داخل محیط امنیتی (Ruighaver و همکاران ، 2007) رخ می دهد. سازمانهایی که تمایل دارند به خطر اغلب خلاقانه تر نسبت به سازمان هایی دارند که ریسک گریز است.
'''3.2.5 آشنائی با کار ، کار ، همکاران'''
این چارچوب در درجه اول برای پیدا کردن تعادل بین حق امنیت و دسترسی کارکنان ، به دارایی های اشاره دارد. در نهایت ، مدیریت بیشتری دسترسی ، امن تر از محیط زیست را محدود می کند. با این حال ، مدیریت باید اطمینان حاصل کرده است که محدودیت اجرا به ضرر کارکنان. به عنوان مثال ، مدیریت نمی خواهم کارکنان خود را برای تبدیل شدن به رنجش هیچ محدودیت های تحمیل شده بر آنها. برای غلبه بر این مشکل ، مدیریت نیاز به اطمینان حاصل شود که کارکنان احساس مسئولیت برای امنیت در محیط کار خود را. این به این معنی گوش دادن به پیشنهادات و اجرای آنها ، که در آن مناسب (Ruighaver و همکاران ، 2007). آموزش و پرورش نیز عمل مهم است ؛ آموزش کارکنان در مورد مسئولیت های خود احساس مالکیت (فریمن ، 2000) را افزایش می دهد. به منظور موفقیت آمیز باشد ، آموزش و پرورش باید به طور مستمر تقویت شود.
'''3.2.6 جداسازی در مقابل همکاری / همکاری'''
در بسیاری از سازمان ها ، تصمیم گیری های امنیتی ، توسط یک تیم کوچک از فناوری اطلاعات متخصصان و مدیران ساخته شده است ، و اغلب تصمیماتی که توسط این تیم ساخته شده است نادیده گرفته می شوند و یا به مقابله با عملیات روز به روز تغییر می یابد. بنابراین ، مهم است که برای کارمندان ، که اعمال پروتکل های امنیتی به صورت روزانه ، در فرآیند تصمیم گیری مشورت است. اطمینان از همکاری به احتمال زیاد در نتیجه فرآیندهای امنیتی جامع تر و سازه ها ، و پذیرش بیشتری از این فرآیندها و ساختارهای است. جریان در اثر همچنین می تواند شامل افزایش انگیزه و جهت گیری به کار (Ruighaver و همکاران ، 2007).
'''3.2.7 کنترل ، هماهنگی و مسئولیت'''
روشی که در آن تصمیم های امنیتی ساخته شده می تواند متفاوت باشد. به عنوان مثال ، تصمیم گیری به شدت ممکن است یا شل کنترل. کنترل های فشرده در سازمان که در آن یک گروه کوچک مسئول ساخت همه تصمیم گیری های مرتبط با امنیت مشاهده شده است. و یا معادل آن ، سیاست ها و رویه شل تر کنترل که در آن تصمیمات امنیت در سراسر سازمان (Ruighaver و همکاران ، 2007) واگذار. هر دو رویکرد می تواند موفق باشد. با این حال ، در هر دو مثال ، لازم است به ارائه دستورالعمل روشن مربوط به فرآیندهای تصمیم گیری ، به طوری که مشهود است که مسئول هر یک از جنبه های خاصی از امنیت است. افرادی که مسئول نیز باید پاسخگو است ، و این از طریق ارتباط موثر و پشتیبانی از تمام سطوح مدیریت (Ruighaver و همکاران ، 2007) ، تسهیل شده است.
'''3.2.8 جهت گیری و تمرکز -- داخلی و / یا خارجی'''
سازمان نیاز به در نظر گرفتن هر دو داخلی و عوامل امنیتی خارجی را. آن دسته از سازمان هایی که باید به یک توازن بین عوامل داخلی و خارجی آگاهی از محیط امنیتی خارجی که در آن عمل داشته باشد. آنها همچنین قادر خواهند بود به داخلی تقویت فرآیندهای امنیتی و روشهای خود را. این تعادل را قادر خواهد ساخت که به یک سازمان فعال در راه آنها روش و مقابله با مسائل امنیتی و چالش ها (Ruighaver و همکاران ، 2007) است.
'''3.3 امنیت اطلاعات و آب و هوا ایمنی'''
مفهوم جو سازمانی که از فرهنگ سازمانی (Reichers و اشنایدر ، 1990) مشابه است. آب و هوا سازمانی یک مفهوم است که به عنوان "درک مشترک از سیاست های سازمانی ، شیوه ها ، روش ها ، اعم از رسمی و غیر رسمی" (Reichers و اشنایدر ، 1990 ، p.29) شرح داده شده است.
سطر ۳۷۱ ⟵ ۳۵۹:
'''4. ارتباط امنیت اطلاعات'''
سطر ۴۱۰ ⟵ ۳۹۸:
هم وجود دارد برخی از عواملی که می تواند در اثر ارتباطات را کاهش دهد. اگر چه قرار گرفتن در معرض مکرر به یک پیام می تواند memorability خود را را افزایش دهد و در نتیجه افزایش احتمال که افراد مناسب را به خطر پاسخ است که خلاف این نیز ممکن است. بیش از قرار گرفتن در معرض می تواند منجر به رفتار خودکار شود که در آن مردم نادیده گرفتن پیام و به نظر می رسد بی تفاوت (پتینسون و اندرسون ، 2007). مدارک و شواهد نیز نشان می دهد که مردم ترجیح می دهند برای دریافت اطلاعات واقعی در مورد دقیقا همان چیزی است و نه نسبت به اظهارات احتمال (Slovic 1986) اتفاق خواهد افتاد. در نهایت ، ارتباطات موثر باید یک فرآیند دو طرفه است ، که در آن هر طرف از جهات و ارزش بینش ارائه شده توسط دیگر (Slovic 1986). بدون این cooperat
'''5. اجتماعی مهندسی'''
سطر ۴۳۹ ⟵ ۴۲۷:
داده ها حاکی از آن است که حدود پنج درصد از افراد تبدیل به قربانیان حملات فیشینگ ، و به عنوان یک نتیجه ، ارائه اطلاعات حساس به وب سایت های جعلی (Dhamija ، Tygar و هرست ، 2006). با این حال ، این امکان وجود دارد که برخی از مردم ممکن است اشتباه خود را اعتراف نمی کند ، و دیگران ممکن است متوجه نشوند که آنها را بی ارزش افشا اطلاعات حساس ، دشوار است برای به دست آوردن یک تقریب معتبر تعدادی از مردم که قربانی حملات فیشینگ (Egelman ، Cranor و هنگ ، 2008). کار گروه های ضد فیشینگ را حفظ آرشیوی از حملات فیشینگ ، و در ژانویه 2008 به تنهایی ، 29284 گزارش فیشینگ منحصر به فرد ، ارائه شد نشان می دهد که فیشینگ است یک مشکل شایع و جدی (ضد فیشینگ گروه کاری ، 2008).
'''5.1 چه افراد مستعد می سازد؟'''
تعدادی از عوامل است که تمایل به افزایش حساسیت فرد به حملات مهندسی اجتماعی وجود دارد. به طور کلی ، تلاش مهندسی اجتماعی هستند بیشتر احتمال دارد به نظر می رسد مشروع در صورتی که مهاجم می تواند یک رابطه اعتماد با قربانی ، فرم و ساخت آنها را آسیب پذیر تر به دستورالعمل (ایلو ، 2008). هم وجود دارد تعدادی از عوامل فردی یا صفات شخصیتی است که می تواند احتمال قربانی سقوط فردی به حملات مهندسی اجتماعی را افزایش دهد. علاوه بر این ، تعدادی از استراتژی های مورد استفاده در فیشینگ ایمیل ها و وب سایت های نامشروع است که می تواند کارآیی خود را افزایش می دهد وجود دارد. در این بخش برجسته این عوامل مختلف است که می تواند حساسیت فرد به حمله به افزایش است.
'''5.1.1 انگیزاننده روانی و عوامل فردی که استعداد ابتلا به افزایش'''
همانطور که قبلا ذکر شد ، مهندسان اجتماعی اغلب یک موقعیت ساختگی یا اقناع شخصی برای افزایش شانس است که درخواست خود را موفق خواهد بود استفاده کنید. موفقیت از چنین حملاتی نیز می تواند با ایجاد موقعیتی که در آن برخی از واکنش های روانی در درون قربانی باعث افزایش یافته است. علاوه بر این ، این امکان وجود دارد که برخی افراد بیشتر احتمال دارد به این نمایشگاه اغلب پاسخ های روانی ، و بنابراین ، مردم حساسیت به احتمال زیاد در ارتباط با هر دو مهندس اجتماعی "توانایی ماشه پاسخ ، و همچنین با جنبه از شخصیت افراد است. این عوامل به طور مفصل در زیر شرح داده شده شده است.
سطر ۴۷۳ ⟵ ۴۶۱:
نفوذ قدرت بر افراد توانایی تصمیم گیری شده است به طور گسترده ای مورد مطالعه و تحقیق نتیجه گیری کرده است که مردم به مراتب بیشتر احتمال دارد به اطاعت از درخواست در زمانی که توسط کسی که در موضع قدرت (Gragg 2002) داده می شود. برای مثال ، یک مطالعه بررسی اینکه آیا پرستاران دستورات پزشک را هنگامی که آنها به وضوح در تخلف از سیاست های بیمارستان (Hofling ، Brotzman Dalrymple ، گریوز و پیرس ، 1966) سوال. پرستاران تماس تلفنی از یک پزشک ناشناخته ، پرستار برای این مورد درخواست به اداره دو برابر حداکثر دوز از مواد مخدر است که برای استفاده در بخش مجاز نبود. با وجود این عوامل (و این حقیقت که سیاست بیمارستان پرستاران از تجویز داروهای بدون نظم نوشته شده است منع شده) ، 95 ٪ از پرستاران به دست آمده دوز ، و آن اداره در صورتی که توسط یک ناظر نمی شد متوقف (Hofling و همکاران. ، 1966) . این مثال نشان می دهد که مردم اغلب موفق به سوال شکل اقتدار ، حتی زمانی که دستورات به وضوح نقض سیاست است. از این رو ، مهندسان اجتماعی می تواند شانس خود را برای رسیدن به موفقیت از طریق تظاهر به کسی که در موضع قدرت را افزایش می دهد ، و کارگر (2007) نشان می دهد که مردم دارند احتمال بیشتری برای تبدیل شدن از قربانیان ، زمانی که آنها مطیع تر و کمتر مقاوم در برابر فشار یا تهدید.
'''5.1.2 استراتژی های مورد استفاده در حملات فیشینگ و سایت های نامشروع به افزایش'''
استعداد
سطر ۴۹۱ ⟵ ۴۷۹:
این مطالعات نشان می دهد که شاخص های امنیتی فعلی اثبات موثر باشد و به همین دلیل است که نیاز به توسعه استراتژی های جدید برای مقابله با مهندسی اجتماعی هر چه پیچیده تر و حملات فیشینگ وجود دارد.
'''5.2 مطالعات قبل از مهندسی اجتماعی'''
تعداد کمی از مطالعات ، اقدام به تجزیه و تحلیل تجربی چگونه مردم پاسخ به حملات مهندسی اجتماعی است. Jagatic ، جانسون ، Jakobsson و Menczer (2007) به عنوان مثال ، انجام یک مطالعه بر روی پدیده مهندسی اجتماعی فیشینگ است. ، در مطالعه خود ، Jagatic و همکارانش (2007) در راه اندازی حملات فیشینگ واقعی بر روی 921 دانش آموزان دانشگاه ایندیانا ، با هدف از مطالعه که آیا مردم خواهد بود به احتمال زیاد برای پاسخ دادن به ایمیل های سبک فیشینگ زمانی که آنها توسط دوستان به جای یک فرد ناشناس فرستاده می شود. این حوزه از مطالعه بسیار مهم است ، به عنوان حملات فیشینگ به طور فزاینده ای با استفاده از عناصر متنی ، و ، بر اساس عوامل روانی که تمایل به مردم را بیشتر در معرض حملات هدفمند به طور بالقوه بسیار خطرناک تر (Jagatic و همکاران ، 2007).
سطر ۵۱۵ ⟵ ۵۰۳:
تمرکز بر روی نشانه های است که باید آنها را در مورد ایمیل های مشکوک و از این رو ، این ممکن است به افزایش احتمال از آنها کلیک کردن بر روی لینک.
'''5.3 Defences علیه مهندسی اجتماعی'''
با توجه به Schneier (2000) ، سه قسمت به مجموعه ای موثر از مقابله با ، وجود دارد که باید در پشت سر هم کار می کنند. این حفاظت ، تشخیص ، و واکنش است. اگر سازمان حفاظت قوی دارد ، سپس آن را ممکن است ممکن است به جای تاکید کمتر مکانیزم های کشف و شناسایی و واکنش. برعکس ، اگر یک سازمان دارای مکانیسم های محافظت ضعیف ، به آن نیاز دارد به سرمایه گذاری در تشخیص آن و مکانیزم واکنش (Schneier ، 2000).
سطر ۵۴۳ ⟵ ۵۳۱:
به عنوان مثال ، سازمان می تواند پیاده سازی امنیت اطلاعات چک لیست را تهدید می کند که شبیه به بمب تهدید چک لیست است که بسیاری از سازمان ها در حال حاضر استفاده کند. چک لیست که کارکنان برای جمع آوری اطلاعات استاندارد و یا به طور کلی ، مانند جنسیت تماس گیرنده ، هر ویژگی از صدای خود ، هر گونه مجزا و یا صداهای پس زمینه شناسایی ، آنچه را که برای پرسید و اینکه آیا آنها به نظر میرسد که هر گونه آشنایی با سیستم کامپیوتری تحریک ( Kovacich و جونز ، 2006). این است که چک لیست نیز ارائه یک لیست از تکنیک های مهندسی اجتماعی استفاده می شود که برای به دست آوردن اطلاعات حساس ، که در هشدار به کارمند به رفتار مشکوک کمک. چک لیست نیز باید اطلاعات مربوط به گزارش رویه و ارائه توصیه کارمند را در مورد آنچه به با تماس و که آنها نیاز به تماس با اقدام دیگری است (Kovacich و جونز ، 2006) برای شروع انجام دهید. در از نظر ارتباطات ، پیشگیری و واکنش ، از جمله یک لیست می تواند بسیار موثر است.
'''6. آگاهی های امنیتی ، آموزش و آموزش و پرورش'''
سطر ۵۹۴ ⟵ ۵۸۳:
اساسا ، کارکنان باید با آموزش آگاهی فراهم زمانی که آنها شروع به کار برای یک سازمان و این دوره های آموزشی باید تقویت شده به طور منظم و مناسب ارزیابی شده است. این مهم است برای مدیریت مجموعه به عنوان مثال برای فناوری اطلاعات امنیتی ، با نمایش رفتارهای مطلوب (ویلسون و هش ، 2003).
'''6.1 بررسی آگاهی ، آموزش و آموزش امنیت'''
به منظور تعیین اثربخشی هیچ امنیت آگاهی ، آموزش و برنامه آموزش، ارزیابی و بازخورد مکانیسم نیاز به تاسیس می شود. انتقادات و پیشنهادات و ارزیابی های لازم برای تعیین اگر اهداف امنیتی به طور موثر ارتباط برقرار شده است، برای ارزیابی برنامه جاری چگونه کار می کند ، و برای شناسایی که در آن تغییرات و بهبود این برنامه می تواند به صورت (ویلسون و هش، 2003).
سطر ۶۰۵ ⟵ ۵۹۴:
یکی دیگر از عناصر مرکزی به آگاهی ، آموزش و آموزش و پرورش برنامه های موثر مدیریت تغییر است. این بسیار مهم است تا اطمینان حاصل شود که برنامه ها و استراتژی curre باقی می ماند
'''7. نتیجه گیری'''
سطر ۶۲۴ ⟵ ۶۱۳:
عوامل انسانی در امنیت اطلاعات قطعا مجموعه و بسیاری از مسائل پویا ارائه دهد. بسیاری از متغیرها است که باید به حساب گرفته شود ، از جمله نه تنها به تفاوت های فردی و اختلاف در صفات شخصیتی ، بلکه فعل و انفعالات و تأثیرات فرهنگ سازمانی و آب و هوا وجود دارد. نیاز به مطالعات بیشتر تجربی و پژوهش وجود دارد ، به خصوص در زمینه های فیشینگ ، مهندسی اجتماعی ، و آموزش و پرورش و آموزش. موضوع امنیت نیز باید به عنوان موضوع اقتصادی ارزیابی می شود که در آن است ، با tradeoffs بین هزینه ها و منافع (Odlyzko 2003). کاربران می خواهند هر دو امنیت و انعطاف پذیری ، و پیدا کردن تعادل بین این دو عامل است که مطمئنا چالش برانگیز است. هیچ راه حل برای بهبود امنیت اطلاعات وجود دارد ، اما نه ، چندین روش مکمل باید در اجرا به منظور بهبود امنیت کامپیوتر و انسانی
'''8.لیست مرجع'''
| |||