آثار فرهنگی اجتماعی و روانی فناوری اطلاعات روی انسان/عوامل انسانی و امنیت اطلاعات : فردی ،فرهنگ و محیط زیست امنیتی: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
افزودن سرصفحه |
اصلاح نگارشی |
||
خط ۶:
| یادداشت = [[آثار فرهنگی اجتماعی و روانی فناوری اطلاعات روی انسان]]
}}
==خلاصه اجرایی==
پیشرفت های فنی متعدد در علوم اطلاعات همیشه تولید محیط های امن تر است.
بدیهی است که راه حل های صرفا فنی برای جلوگیری از نقض های امنیتی بعید است. سازمان نیاز به کم کم تزریق کردن و حفظ یک فرهنگ که در آن رفتارهای امنیتی مثبت ارزش است. قابلیت استفاده به چالش در ارتباط با امنیت اطلاعات باید به درک و حل و فصل شده است. این به این معنی است که توابع امنیتی باید معنی دار است ، آسان به کردهاید ، قابل مشاهده و راحت برای استفاده. مستخدمین نیاز به آموزش در مورد اهمیت آگاهی های امنیتی ، و این باید آموزش رفتاری ترکیب.
خط ۲۰:
با توجه به پیچیدگی مسائل عوامل انسانی در امنیت اطلاعات ، توصیه خواهد شد در مورد چگونه به ترویج رفتارهای مثبت امنیتی را از طریق آگاهی ، آموزش و پرورش و آموزش در رابطه با بهبود در امنیت فیزیکی و کامپیوتر ساخته شده است.
==نویسندگان==
Kathryn Parsons
فرماندهی ، کنترل ، ارتباطات و هوش
Kathryn Parsons ، یک دانشمند پژوهشگر درباره تعامل انسان و قابلیت انضباط در C3ID ، جایی که کار او بر روانشناسی شناختی و ادراکی ، تجسم اطلاعات و طراحی رابط کاربری است. او به دست آمده یک صنعت فوق لیسانس لینک کارآفرینی طرح (گیلز) بورس تحصیلی در سال 2005 ، با بخش عملیات زمین ، جایی که او در پژوهش عوامل انسانی درگیر شد ، در رشته علوم انسانی ، به طور خاص در منطقه از آگاهی از وضعیت پیاده نظام است. او کارشناسی ارشد روانشناسی (عوامل انسانی سازمانی و) را در دانشگاه آدلاید در تکمیل
سال 2005 بود.
Agata McCormac
فرماندهی ، کنترل ، ارتباطات و هوش
Agata McCormac در سال 2006 به DSTO پیوست. او یک دانشمند پژوهشگر درباره تعامل انسان و قابلیت انضباط در C3ID ، جایی که کار او بر روانشناسی شناختی و ادراکی ، تجسم اطلاعات و طراحی رابط کاربری است. او کارشناسی ارشد روانشناسی (سازمانی و عوامل انسانی) است که در دانشگاه آدلاید در سال 2005 به او اهدا شد.
Marcus Butavicius
فرماندهی ، کنترل ، ارتباطات و هوش
Marcus Butavicius یک دانشمند پژوهشگر درباره تعامل انسان و قابلیت انضباط در C3ID است. او بهLOD در سال 2001 پیوست ، جایی که او نقش شبیه سازی در آموزش ، نظریه ها و استدلال انسان و تجزیه و تحلیل از فن آوری های بیومتریک بررسی می شود. او در سال 2002 ، دکترای روانشناسی در دانشگاه آدلاید در مکانیسم های تشخیص شیء بصری را به اتمام رساند. او در سال 2003 به ISRD پیوست که در آن کار خود را بر روی داده های تجسمی ، تصمیم گیری و طراحی رابط کاربری متمرکز کرده است. او همچنین ویزیت کننده محقق در گروه روانشناسی در دانشگاه آدلاید است.
lael Ferguson
فرماندهی ، کنترل ، ارتباطات و هوش
lael Ferguson فارغ التحصیل از دانشگاه استرالیای جنوبی سال 1997 با مدرک لیسانس علوم کاربردی (ریاضی و رایانه) است و برای وزارت دفاع در کانبرا به عنوان یک توسعه دهنده نرم افزار شروع به کار کرد. در سال 1999 او به Geraldton منتقل و به عنوان یک مدیر سیستم مشغول به کار کرد. او در سال 2000 به سازمان دفاع علوم و فناوری در ادینبورگ رفت و به عنوان یک مدیر سیستم / توسعه دهنده نرم افزار انتقال ، مدیریت محاسبات آزمایشگاه تحقیقاتی، و در حال توسعه تظاهرکنندگان مفهوم و نرم افزار های تجربی مشغول به کار کرد.
1. مقدمه
1.1 امنیت اطلاعات و انواع خطاها عامل انسانی
1.1.1 اهمیت قابلیت استفاده
2. ادراک ریسک و تعصبات پردازش اطلاعات
2.1 در دسترس اکتشافی
2.2 تعصب خوشبینی
2.3 سطح کنترل
2.4 سطح دانش
2.5 خطر هموستاز
2.6 خطر تجمعی
2.7 حذف تعصب
2.8 نفوذ آشنایی
(2.9) تأثیر از قابسازی
2.10 شخصیت و سبک شناختی
2.11 تاثیر عوامل اجتماعی
3. فرهنگ امنیت سازمانی
3.1 تعاریف و تئوری فرهنگ سازمانی
3.2 ابعاد هشتگانه چارچوب فرهنگ سازمانی و کاربردی در امنیت اطلاعات
3.2.1 اساس حقیقت و عقلانیت
3.2.2 طبیعت زمان و خط فکری
3.2.3 انگیزه پایداری در مقابل تغییر
3.2.4 / نوآوری / رشد شخصی
3.2.5 آشنائی با کار ، وظیفه ، همکاران
3.2.6 جداسازی در مقابل همکاری / همکاری
3.2.7 کنترل، هماهنگی و مسئولیت
3.2.8 جهت گیری و تمرکز -- داخلی و / یا خارجی
3.3 اطلاعات امنیت و آب و هوا ایمنی
4. ارتباطات امنیت اطلاعات
5.مهندسی اجتماعی
5.1 چه افراد مستعدی می سازد؟
5.1.1 انگیزاننده روانی و عوامل فردی که باعث افزایش حساسیت می شود
5.1.2 استراتژی های مورد استفاده در حملات فیشینگ و وب سایت های نامشروع به افزایش استعداد ابتلا
5.2 مطالعات قبل از مهندسی اجتماعی
5.3 دفاع در برابر مهندسی اجتماعی
6. آگاهی های امنیتی ، آموزش و آموزش
6.1 بررسی آگاهی ، آموزش و آموزش امنیت
سطر ۱۲۷ ⟵ ۱۴۳:
شکل 1 : دو عامل طبقه بندی از پایان رفتارهای امنیت کاربر (استانتون و همکاران ، 2005.)
سطر ۱۸۵ ⟵ ۱۹۶:
نشان داده است که پوشش رسانه ای از وقایع ارتباط کمی و یا بدون فرکانس واقعی از خطرات ، و در نتیجه این احتمال را افزایش می دهد که مردم ادراک نادرست از خطر داشته باشند
به طور کلی ، فرکانس خطرات بسیار معمول است اما مزمن ، که ساخت تا با گذشت زمان (به عنوان مثال ، بیماری های قلبی) ، کمتر احتمال دارد به گزارش شود ، و نیز به میزان قابل توجهی دست کم گرفت. در امنیت اطلاعات ، مسائل مزمن تر عبارتند از عوامل از جمله کارکنان به شدت آموزش دیده ، روش های نامناسب و طراحی سیستم های ضعیف (McIlwraith ، 2006). در مقابل خطرات نسبتا نادر اما حاد ، که ناگهانی تر و دراماتیک تر (به عنوان مثال ، قتل) دست بالا ، و همچنین پوشش بیشتر رسانه ها را دریافت. در توجه به امنیت اطلاعات در ، خطرات است که به احتمال زیاد دست بالا باشد ، شامل جاسوسی هک و صنعتی (McIlwraith 2006).
سطر ۲۱۴ ⟵ ۲۲۶:
همچنین ممکن است که یک پدیده شناخته شده به عنوان هموستاز خطر یا پرداخت غرامت خطر ممکن است رفتار افراد ، نفوذ و کاهش احتمال که مردم با دقت درک جدی بودن خطرات امنیتی اطلاعات (استوارت ، 2004). این نظریه بیان که مردم به طور کلی قبول سطح خاصی از ریسک ، و پس از آن ، به عنوان تغییر شرایط ، رفتار تغییر خواهد کرد که در سطح مورد نظر را از خطر (وایلد ، 2001) باقی می ماند. به عبارت دیگر ، اگر شرایط تصور می شود کمتر مخاطره آمیز ، و سپس مردم ممکن است خطر بیشتری ، می گیرد و اگر شرایط تصور مخاطره آمیز تر می شود ، سپس میزان خطر گرفته شده ممکن است کاهش می یابد.
این نظریه زمانی که ترمز antilock برای اولین بار در وسایل نقلیه موتوری معرفی شدند نشان داده شد. با مقدمه ای از این تکنولوژی جدید ، از آن است که نرخ تصادفات را پایین رفتن انتظار می رفت. با این حال ، این مورد وجود نداشت. این تئوری فرض می گیرد که مردم در زمان را به حساب افزایش ایمنی رانندگی ، و در نتیجه راند پرخاشگرانه بیشتری (که منجر به صدمات بیشتر). اگر چه برخی از بحث در مورد اعتبار این نظریه (اونیل و ویلیامز وجود دارد ،
1998) ، آن را به خوبی ممکن است به توضیح دهد که چرا افرادی که از روش های امنیتی آگاه به اصول امنیت همیشه رعایت کمک کند. این امکان وجود دارد که افراد ممکن است درک که بهبود حفاظت فایروال و یا سایر مکانیزم های امنیتی ممکن است به کاهش هر گونه تهدید احتمالی ، و بنابراین آنها ممکن است تغییر رفتار آنها ، و عمل به شیوه ای مخاطره آمیز تر است. به عنوان مثال ، اگر یک سیستم در یک منطقه به شدت کنترل دسترسی ، مردم ممکن است باید سخت کوش کمتر در مورد حفاظت از کامپیوتر (Mitnick و سیمون ، 2005).
سطر ۲۴۷ ⟵ ۲۶۰:
تفاوت های فردی در توجه به عواملی مانند شخصیت و سبک شناختی نیز ممکن است ادراک (و تمایل به گرفتن) خطرات (شیر و Meertens ، 2005) را تحت تاثیر قرار دهد. اونیل (2004) نشان می دهد که مردم را می توان بر اساس آنها چگونه با خطر برخورد ، از کسانی که بسیار ریسک گریز ، به کسانی که به دنبال خطر طبقه بندی شده است. این تفاوت به احتمال زیاد برای تاثیر گذاری در راه است که مردم درک اطلاعات اطراف آنها ، که به نوبه خود ، به احتمال زیاد برای نفوذ در رفتار آنها هستند. مطالعه ای که توسط شیر Meertens و (2001) بررسی میزان اطلاعاتی که شرکت کنندگان در توجه به یک دارو نگاه ، و متوجه شد که تفاوت قابل توجهی بین استقبال خطرات و avoiders خطر وجود دارد.
جویندگان احساس ، و یا افرادی که به دنبال خطر ، اغلب خطرات برای حفظ انگیختگی فیزیولوژیکی ، گرفتن و احتمال بیشتری به تمرکز بر پاداش در ارتباط با رفتار پرخطر (Horvath و زاکرمن ، 1993). در مقابل ، افرادی که بیشتر خطر ابتلا به مخالف و یا قانون آگاه هستند احتمال بیشتری برای تمرکز بر روی هزینه های مرتبط با ریسک پذیری ، و آنها به طور کلی بیشتر اخلاقی ، و کمتر احتمال دارد به بی اعتنایی به روش های امنیتی (شیر و Meertens ، 2005). اینها ، با این حال ، فرضیه های نظری در مقابل به صفات سازگار است که تجربی ثابت شده است.
'''2.11 تأثیر عوامل اجتماعی'''
سطر ۲۶۰ ⟵ ۲۶۹:
اثر اجتماعی شناخته شده به عنوان اثر تماشاچی نیز می توانند به شیوه ای که در آن مردم برای پاسخگویی ، یا درک ، خطرات را تحت تاثیر قرار دهد. این اثر بر اساس این ایده که به عنوان تعدادی از افراد را افزایش می دهد در حال حاضر ، مردم مسئولیت خود را ، تغییر به طوری که احتمال هر شخص پاسخ کاهش است. از این رو ، در گروه های بزرگ ، افراد ممکن است مسئولیت برای امنیت شخصی کمتر احساس راحتی کنید. این عوامل اجتماعی و گروهی به شدت به سازمانها مرتبط بود
'''3. امنیت سازمانی تمدن و فرهنگ و هنر'''
فرهنگ امنیت می تواند در انزوا از فرهنگ کلی ، در محیط کار ارزیابی ، دلیل این است که فرهنگ یک سازمان است که تاثیر قوی در زمینه امنیت سازمانی (Ruighaver ، مینارد و چانگ ، 2007). بنابراین برای درک فرهنگ های امنیتی آن است که برای اولین بار مهم است که درک در ادبیات وسیع تری از فرهنگ سازمانی است.
سطر ۲۹۳ ⟵ ۲۹۶:
قدرت فرهنگ یک سازمان از طریق اجتماعی شدن اعضای جدید (ون Mannen و شاین ، 1979) مشاهده شده است. Socialisation یک فرایند است که در سراسر ارتباط فرد با سازمان ادامه می یابد ، زیرا به عنوان یک سازمان تغییر و توسعه ، افراد نیاز به انطباق با تغییرات جدید با. افراد بیشتر آگاهی از فرایند جامعه پذیری در هنگامی که برای اولین بار پیوستن به یک شرکت یا به بخش های مختلف و یا تیم است (فلدمن برت ، 1983) منتقل شده. در اصل ، اجتماعی می تواند به عنوان یک فرم یکپارچه سازی سازمانی (Ivancevich و همکاران ، 2000) مشاهده شده است. به طور خاص ، اجتماعی "به یک استراتژی برای دستیابی به تجانس اهداف سازمانی و فردی است... [و] یک فرایند مهم و قدرتمند برای انتقال فرهنگ سازمانی" (Ivancevich و همکاران ، 2000 ، p.605).
سازمان با فرهنگ قوی ، تحت مجموعه ای منسجم از ارزش ها و هنجارهای (جورج و جونز ، 1996) عمل در نظر گرفته است. این ارزش ها و هنجارهای متحد اعضای تیم با یکدیگر و تولید یک تعهد کارکنان برای رسیدن به اهداف سازمانی (جورج و جونز ، 1996). در فرهنگ های ضعیف ، جهت حداقل و ارشاد به کارکنان ارائه شده ، و در این محیط از آن است که ساختار رسمی سازمانی است که راهنماهای رفتار ، به جای ارزش ها و هنجارهای (جورج و جونز ، 1996). پیترز و Waterman (1982) استدلال می کنند که فرهنگ های قوی هستند قادر به تولید با کارایی بالا و گزارش کرده اند که سازمان های موفق و فرهنگی قوی سه چیز مشترک است.
اول ، فرهنگ سازمانی قوی تشویق کارمندان خود را به خطرات و استقلال ارزش و کارآفرینی. دوم ، این سازمان ها ، درک روشنی از رسالت سازمانی خود ، آنها قادر به کسب و کار اصلی خود تمرکز کرده و همچنان برای حفظ و توسعه آن هستند. سوم ، آنها ارزش ها و هنجارهای که ایجاد انگیزه در کارکنان خود را. آنها بر این باورند که بهره وری از طریق افراد قابل دسترسی است و به شدت متعهد به سرمایه گذاری در منابع انسانی خود (پیترز و Waterman ، 1982).
سطر ۳۶۲ ⟵ ۳۶۴:
یافته های آنان نشان می دهد که رفتار سازگار را در امنیت اطلاعات است تحت تاثیر عوامل سازمانی و عوامل شخصی (چان و همکاران ، 2005). نتایج کلی نشان می دهد که رفتارهای سازگار را می توان از طریق ترویج خود بسندگی ، حصول اطمینان از درک مثبت از امنیت اطلاعات آب و هوا وجود دارد ، و تضمین که تمام سطوح سازمان (همکاران ، سرپرستان و مدیریت فوقانی) اعمال دستورالعمل های امنیتی به افزایش رفتارهای روزمره آنها (چان و همکاران ، 2005). اساسا یک رابطه مثبت بین آب و هوا ایمنی و رفتار کارمند بیش از احتمال بهبود سطح از اطلاعات در ثانیه
'''4. ارتباط امنیت اطلاعات'''
عوامل مختلف است که بر فهم و ادراک افراد از خطرات مرتبط با امنیت اطلاعات ، و تعدادی از عوامل موثر بر ارتباطات موثر امنیت اطلاعات وجود دارد. اونیل (2004) توصیف ارتباطات خطر را به عنوان :
سطر ۳۷۲ ⟵ ۳۷۱:
"یک فرآیند تعاملی تبادل اطلاعات و نظر بین سهامداران با توجه به ماهیت و خطرات مربوط به یک خطر در فرد یا جامعه و پاسخ مناسب به حداقل رساندن خطرات" (اونیل ، 2004 ، p.14).
اساسا ، شیوه ای که در آن امنیت اطلاعات ابلاغ شده است به شدت می تواند آن را تفسیر نفوذ و اعم از آن است و سپس بر (های van der Pligt ، 1996) عمل کرده. ارتباطات بسیار بیشتر موثر باشد اگر درک کافی از شکاف در اعتقادات کنونی ، و یک پیام روشن و مختصر از آنچه که مخاطبان نیاز به دانستن وجود دارد (Fischhoff ، 2002). اغلب درک مناسب نیاز به اطلاعات کیفی (به عنوان مثال ، جایی که خطر سرچشمه و چگونه آن را ارزیابی) و اطلاعات کمی (به عنوان مثال ، فرکانس خطر) ، و در حالت ایده آل ، این به معنای کیفی به آمار کمی به من بدهید (Fischhoff ، 2002). این مهم است که توجه داشته باشید که ارتباطات موثر توسط حقایق واقعی در مورد خطرات خاص است نه تنها تحت تاثیر قرار است ، اما همچنین تحت تاثیر عوامل موثر بر ادراک خطر ، برجسته قبلا (Slovic 1986).
خطر را می توان از طریق تعدادی از رسانه های مختلف ، از جمله بحث های یک در یک ، جلسات گروه ، همایش ها و سمینارها آگاهی ، ایمیل ها و آگهی (پتینسون و اندرسون ابلاغ ، 2007). زبان مورد استفاده است نیز بسیار مهم است ، و شواهد حاکی از آن است که بعید است که یک روش خاص برای تمام رسانه های ارتباطی مناسب خواهد بود. در عوض ، آن است که اغلب لازم به خیاط اطلاعات بر اساس روش خاصی از ارتباطات است (پتینسون و اندرسون ، 2007). به عنوان مثال ، ارتباطات کمتر رسمی و ساختار می تواند در یک بحث مناسب است ، در حالیکه سمینار آگاهی ممکن است موثر تر اگر یک قالب بسیار ساخت یافته استفاده شده است.
اطلاعات نیز باید متناسب باشد ، آن را به عنوان مهم است تا اطمینان حاصل شود که پیام مربوط به مخاطبان در نظر گرفته شده (McIlwraith 2006) باقی می ماند. همچنین لازم است تا اطمینان حاصل شود که اطلاعات overcomplicated یا منفی نیست ، آن را به عنوان پیشنهاد شده است که واژگان مورد استفاده در داخل زمینه ی امنیت اطلاعات ، شامل بسیاری از واژه ها که به طور سنتی استفاده شده است به صحبت کردن به مردم "(McIlwraith ، 2006 ، p 0.70). به عنوان مثال ، معمولا استفاده می شود کلمات عبارتند از : اقتدار ، سازش ، نقض ، نارسایی و کنترل است.
علاوه بر این ، همانطور که قبلا ذکر شد ، مردم به شدت توسط اکتشافی دسترس را تحت تاثیر خود قرار داده ، و به احتمال زیاد بر اطلاعات است که به راحتی به یاد می آورد و یا به یاد عمل می کنند. بنابراین ، ارتباطات ، بیشتر احتمال دارد موثر باشد اگر آن را در شیوه ای است که باید با memorability آن (Slovic 1986) افزایش عبارت. به عنوان مثال ، این امکان وجود دارد که مردم ممکن است احتمال بیشتری برای پیروی از دستورالعمل های امنیت اطلاعات اگر با مطالعات موردی ارائه شده ، شرح حوادث زمانی که افراد باعث نقض ، و نه از قوانین امنیتی. این حوادث خاص ممکن است راحت تر به خاطر داشته باشید و از این رو ، احتمال بیشتری برای نفوذ در رفتار. از آنجا که مردم به احتمال زیاد به خاطر داشته باشید که آنها می توانند برای ارتباط برقرار کردن یا شناسایی با ، مطالعات موردی خاص که مستقیما به این سازمان در مورد ارتباط هستند بیشتر احتمال دارد تا موثر باشد (McIlwraith 2006) است.
با این حال ، از آنجا که بسیاری از کسب و کار ، امنیت اطلاعات را به عنوان هدف اصلی دیدن آن را ندارید ، ارتباطات موثر می تواند انجام وظیفه ای دشوار ، و آن است بنابراین لازم را برای اطمینان حاصل شود که تمام جنبه های امنیتی به طور مستقیم مربوط به استراتژی و اهداف سازمان در مورد ( ISO ، 2005). همچنین ، کسب و کار به طور کلی بیشتر به احتمال زیاد بر خطر بالقوه عمل می کنند اگر آن را نشان داده است که هزینه از تکنیک های کاهش پایین تر از هزینه های بالقوه ناشی از خطر (دیلون و کله ، کورنل ، 2005). علاوه بر این ، از آنجا که فرهنگ سازمانی می تواند تاثیر بسیار قوی بر روی امنیت یک سازمان ، زمانی که تلاش برای برقراری ارتباط اهداف امنیت اطلاعات داشته باشد ، آن را بسیار حیاتی است به فریم پیام به طوری که آن هم مطابق با ، و مربوط به فرهنگ فعلی (ISO ، 2005).
سطر ۳۹۴ ⟵ ۳۸۷:
مدارک و شواهد نیز نشان می دهد که جنبه های شخصیت افراد یا سبک شناختی به احتمال زیاد برای نفوذ در شیوه ای که در آن آنها به اطلاعات در مورد خطر است. این تنوع در توجه به خطر گرفتن رفتار بدان معنی است که آن را به کلمه یک پیام بسیار مشکل است به طوری که آن ها برای تمام کاربران درخواست های. از این رو ، اثر ارتباطات ریسک افزایش می یابد در صورتی که پیام شناختی نسبت به سبک های مختلف قاب ، با پیام های مختلف به سبک های مختلف (پتینسون و اندرسون ، 2005).
با توجه به اونیل (2004) ، مردم را می توان به چهار نوع مبتنی بر شیوه ای که در آن رفتار خود را با خطر تحت تاثیر قرار تقسیم ، برخی از مردم به دنبال خطر ، دیگران هر دو به خطر تحمل ، برخی از ریسک گریز هستند ، و برخی از انکار خطر است. از آنجا که اطلاعات در مورد تهدیدات امنیتی بالقوه است به احتمال زیاد برای نفوذ در این گروه ها به روش های بسیار متفاوتی است ، اونیل (2004) استدلال می کند که پیام طور خاص طراحی شده برای این گروه های مختلف لازم است. به عنوان مثال ، مردم که انکار یا اجتناب از خطر ممکن است بیشتر تحت تاثیر اطلاعات بر اساس بدترین نتایج ممکن است و ممکن است بیشتر احتمال دارد توسط اطلاعات مثبت (شیر و Meertens اطمینان می شود ، 2005). در مقابل ، اطلاعات بر اساس بدترین نتایج ممکن است تاثیر کمتری بر افرادی که در ریسک پذیری رشد ، و به جای آن ، مردم می تواند چنین باشد بیشتر علاقه مند به اطلاعات مربوط به پاداش های بالقوه و فرصت های مرتبط با رفتار خود را (شیر و Meertens ، 2005).
سطر ۴۲۲ ⟵ ۴۱۳:
کشف چگونگی استفاده از تلفن ، سیستم کنفرانس. این اطلاعات توسط کارکنان FBI به او داده می شود و در نتیجه از این نقض امنیتی FBI قبض تلفن از یک چهارم از یک میلیون دلار (Schneier ، 2000) بود. او هر گونه دانش فنی یا استراتژی برای استفاده از این اطلاعات برای به دست آوردن. او مجبور به انجام آن ها برای ساخت یک داستان قانع کننده و از آنها بخواهید برای اطلاعات.
مثال دیگر توسط بازرس کل وزارت خزانه داری ایالات متحده برای ادارات مالیاتی ارائه شده است ، در سال 2007 ممیزی خود را که سرویس درآمد داخلی (IRS) (اندرسون ، 2008). در این ممیزی ، کارکنان IRS 102 از سطوح مختلف اشتغال از طریق تلفن تماس گرفته شد. این کارکنان به ارائه شناسه کاربری خود را خواسته بودند ، و نیز دستور برای تغییر رمزهای عبور خود را به ارزش ارائه شده است. از کارکنان 102 تماس ، 62 به عنوان آنها دستور. از آنجا که IRS کارکنان به اطلاعات بسیار حساس مالی دسترسی دارند ، این افشاء نقض امنیتی بالقوه عظیمی را نشان داد ، و در صورتی که این یک حمله مهندسی اجتماعی واقعی بود ، پیامدهای بالقوه ویرانگر بودند. این تا حدودی تعجب آور بود که بسیاری از کارکنان که به راحتی دستکاری به خصوص با توجه به اینکه ممیزی های مشابه در هر دو سال 2001 و 2004 (اندرسون ، 2008) انجام شد.
یکی دیگر از صورت مشترک از مهندسی اجتماعی است که به عنوان فیشینگ می گویند. فیشینگ عنوان تعریف می شود :
سطر ۴۵۱ ⟵ ۴۴۱:
بسیار به طور یکسان (Gragg 2002). درخواست ها مانند این ها نیز احتمالا موفق خواهد بود در صورتی که قربانی منجر به این باور است که عمل یا انفعال آنها خواهد پیامدهای مهم (Gragg داشته باشد ،2002). به عنوان مثال ، مهاجم ممکن است ادعا کنند که این شرکت می تواند از دست دادن فاجعه بار خواهد بود که کاهش در صورتی که قربانی قادر به کمک داشته باشند.
این ایده است که توسط کارگر (2008) به عنوان تعهد عاطفی نامیده می شود. اساسا ، هنگامی که مردم احساس دلبستگی یا پیوند عاطفی به یک مهندس اجتماعی ، آنها به احتمال زیاد احساس متعهد به فاش شدن اطلاعات حساس (کارگر ، 2008). به طور کلی ، سطح مردم تعهد را تحت تاثیر قرار می حساسیت آنها و افرادی که سطوح بالاتری از تعهد هستند ، بیشتر احتمال دارد برای تبدیل شدن به قربانیان حملات مهندسی اجتماعی است. این نیز توسط Cialdini (2006) ، که استدلال می کند که مردم یک بار یک تصمیم پشتیبانی ، سپس آنها را فشار باقی می ماند سازگار با آن انتخاب ، احساس و این فشار است که اغلب به اندازه کافی قوی برای افرادی که به در راه است که بر خلاف خود عمل می کنند منافع.
سطر ۴۶۷ ⟵ ۴۵۶:
نفوذ قدرت بر افراد توانایی تصمیم گیری شده است به طور گسترده ای مورد مطالعه و تحقیق نتیجه گیری کرده است که مردم به مراتب بیشتر احتمال دارد به اطاعت از درخواست در زمانی که توسط کسی که در موضع قدرت (Gragg 2002) داده می شود. برای مثال ، یک مطالعه بررسی اینکه آیا پرستاران دستورات پزشک را هنگامی که آنها به وضوح در تخلف از سیاست های بیمارستان (Hofling ، Brotzman Dalrymple ، گریوز و پیرس ، 1966) سوال. پرستاران تماس تلفنی از یک پزشک ناشناخته ، پرستار برای این مورد درخواست به اداره دو برابر حداکثر دوز از مواد مخدر است که برای استفاده در بخش مجاز نبود. با وجود این عوامل (و این حقیقت که سیاست بیمارستان پرستاران از تجویز داروهای بدون نظم نوشته شده است منع شده) ، 95 ٪ از پرستاران به دست آمده دوز ، و آن اداره در صورتی که توسط یک ناظر نمی شد متوقف (Hofling و همکاران. ، 1966) . این مثال نشان می دهد که مردم اغلب موفق به سوال شکل اقتدار ، حتی زمانی که دستورات به وضوح نقض سیاست است. از این رو ، مهندسان اجتماعی می تواند شانس خود را برای رسیدن به موفقیت از طریق تظاهر به کسی که در موضع قدرت را افزایش می دهد ، و کارگر (2007) نشان می دهد که مردم دارند احتمال بیشتری برای تبدیل شدن از قربانیان ، زمانی که آنها مطیع تر و کمتر مقاوم در برابر فشار یا تهدید.
'''5.1.2 استراتژی های مورد استفاده در حملات فیشینگ و سایت های نامشروع به افزایش استعداد'''
تعداد کمی از مطالعات نیز اقدام به بررسی که استراتژی های مهندسی اجتماعی کار ، و به همین دلیل (Dhamija و همکاران ، 2006 ؛ وو ، میلر و Garfinkel ، 2006 ، فریدمن ، هرلی ، هوو ، Felten و Nissenbaum ، 2002).
سطر ۴۷۶ ⟵ ۴۶۵:
Dhamija و همکاران. (2006) برجسته تعدادی از ویژگی های است که به طور کلی ، افزایش استعداد ابتلا فرد به حملات فیشینگ. آنها نتیجه گرفتند که فریب بصری یک استراتژی بسیار موفق بود. Phishers اغلب از حقه های بصری کاربر را متقاعد کند که از متن ، عکس و ویندوز است که آنها به دنبال در می مشروع استفاده کنید. این مطالعه نشان می دهد که حتی در یک وضعیت که در آن کاربران انتظار دارند با وب سایت های نامشروع ارائه شده آن ها هنوز هم در تشخیص یک وب سایت های مشروع را از یک وب سایت جعلی مشکل. در واقع ، یکی از وب سایت های فیشینگ مورد استفاده در مطالعه قادر به فریب بیش از 90 ٪ از شرکت کنندگان بود. Dhamija و همکاران. (2006) بر این باورند که این نتایج نشان دهنده فقدان دانش از اینکه چگونه سیستم های کامپیوتر محل کار ، و برجسته کردن فقدان درک درستی از سیستم های امنیتی و شاخص های امنیتی است.
در یک مطالعه انجام شده توسط Jackobsson ، Tsow ، شاه ، Blevis و لیم (2007) ، شرکت کنندگان همچنین لازم بود برای ارزیابی وب سایت ها و ایمیل های انتخاب شده ، و آنها را برای نشانه های فیشینگ تماشا دستور شدند. هدف از مطالعه برای کشف نشانه نفر بودند با استفاده از تعیین اینکه آیا یک وب سایت معتبر و یا کلاهبرداری بود. آنها نتیجه گرفتند که افراد توجه نزدیک به URL ها در وب سایت ، آنها توسط طرح بندی صفحه وب را تحت تاثیر خود قرار داده بودند و مشروعیت اغلب
قضاوت توسط محتوی. همچنین یافته شد که به رسمیت شناخته تایید شخص ثالث تقویت اعتماد به نفس ، و برعکس ، بیش از حد تاکید بر امنیت بسیار کاهش اعتماد به نفس و خود سبب افزایش بدگمانی. به همین ترتیب ، آیکن قفل بر روی وب سایت ها همیشه نمی افزایش اعتماد. تغییرات سلیقه ای ، با این حال ، آیا تمایل به استنباط اعتماد اعتماد نیز تقویت شد و زمانی که فرصت موجود به اعتبار سایت ، مانند شماره تماس برای تایید صحت وجود دارد. به طور کلی ، شرکت کنندگان با احتمال بیشتری مشکوک ایمیل بیش از صفحات وب و قطعا بیشتر از تماس های تلفنی (Jackobsson و همکاران ، 2007).
سطر ۴۹۱ ⟵ ۴۷۹:
با استفاده از اطلاعات به دست آمده در سایت های قابل دسترس برای عموم مردم ، آنها کشف شبکه های اجتماعی ، و پس از آن ایمیل های فرستاده شده به دانش آموزان ، تظاهر به دوست. گروه شاهد ایمیل از یک آدرس ایمیل ساختگی دانشگاه دریافت کرد. لینک در پست الکترونیک به شرکت کنندگان در زمان را به یک صفحه وب ، جایی که آنها خواسته شد به دانشگاه ID و رمز عبور خود را وارد کنید. انتخاب شرکت کننده در میزان و کیفیت اطلاعات قابل دسترس برای عموم مردم قابل دسترسی بر روی وب سایت های شبکه های اجتماعی وابسته بود. این مطالعه تا حدودی بحث برانگیز بود به عنوان شرکت کنندگان می توانند از جزئیات این مطالعه (و رضایت آنان را فراهم) نمی شود آگاه قبل به شروع ، به عنوان این که تحت تاثیر پاسخ (Jagatic و همکاران ، 2007).
اقدامات فیشینگ در گروه شاهد ، که در آن هیچ زمینه اجتماعی مورد استفاده قرار گرفت انجام شده ، میزان موفقیت 16 ٪ ، در مقایسه با میزان موفقیت 72 ٪ در هنگام استفاده از اطلاعات جمع آوری شده از شبکه های اجتماعی (Jagatic و همکاران ، 2007). که با استفاده از یک بستر اجتماعی در شرکت کنندگان نادیده گرفتن نشانه مهم ، ساخت آنها را بیشتر آسیب پذیر برای حمله منعقد شد. تفاوت های جنسیتی نیز مشاهده با زن بودن به راحتی هدف قرار ، و همچنین همبستگی با بالا رفتن سن وجود دارد ، با جوان شرکت کنندگان که بیشتر در معرض. جالب توجه است ، به ویژه برای مردان ، حمله موثرتر بود که به نظر می رسید به عنوان اینکه ایمیل توسط فردی از جنس مخالف فرستاده شد ، با نرخ پاسخ برای مردان با افزایش از
سطر ۵۵۲ ⟵ ۵۳۸:
2003).
هنگام انجام یک ارزیابی نیاز دارد ، آن را نیز مهم است به بررسی و این فایل نقد می نویسید : تمام مواد است. علاوه بر این ، تجزیه و تحلیل از هر اندازه گیری مرتبط با برنامه های آموزش و آگاهی فعلی یا گذشته است همچنین مفید است. این می تواند شامل اطلاعاتی مانند تعداد از مردم از نقش های مختلف که قبلا آموزش. به طور مشابه ، آن را نیز مهم است به بررسی هر گونه اطلاعات در مورد سواحل اطلاعات قبلی یا حوادث امنیتی. اطلاعات مفید است آن را به عنوان یک نیاز برای آموزش برای گروه خاصی از مردم ، و یا در یک منطقه خاص از امنیت اطلاعات برجسته.
سطر ۵۶۰ ⟵ ۵۴۳:
پس از این ، ابتکار عمل امنیت اطلاعات را می توان توسعه داد. اساسا ، هر رفتاری که باید تقویت می تواند در برنامه های آگاهی رسانی مورد خطاب و هیچ گونه مهارت که کارمندان نیاز به یادگیری و اعمال را می توان در یک برنامه آموزشی (ویلسون و هش ، 2003) مورد خطاب است. همانطور که قبلا ذکر شد ، اطلاعات پیام امنیتی را می توان از طریق تعدادی از رسانه های مختلف منتشر شده است. به عنوان مثال ، پیام آگاهی را می توان از طریق روش هایی از قبیل پوستر ، محافظ صفحه نمایش ها ، خبرنامه ها ، دی وی دی ها ، جوایز برنامه ، جلسه های مبتنی بر کامپیوتر ، و در فرد ، مدرس رهبری جلسه منتشر (ویلسون و هش ،
2003). برنامه های آموزشی به احتمال زیاد شامل جلسات آموزش مبتنی بر ویدئو ، مبتنی بر کامپیوتر و یا هدایت شده توسط مربی. این مهم است را به هر گونه آگاهی و یا برنامه های آموزشی جالب و جریان و حفظ اطلاعات کاربران را می تواند از طریق تکرار پیام و اشاعه پیام با استفاده از تکنیک های چندگانه (ویلسون افزایش
و هش ، 2003).
سطر ۵۶۶ ⟵ ۵۵۰:
و یانگ ، 2007). علاوه بر این ، به جای داشتن یک رویکرد واکنشی که در آن امنیت اطلاعات به عنوان "هزینه انجام کسب و کار" مشاهده شده ، (ارنست و یانگ ، 2007 ، p.5) ، آن را به جای حیاتی برای امنیت اطلاعات به عنوان حیاتی برای کسب و کار است.
علاوه بر این ، به منظور موفقیت آمیز باشد ، یادگیری نیاز به شخصی ، معنی دار و contextualised ، به عنوان شواهد نشان می دهد که برنامه ها احتمالا موفق خواهد بود در صورتی که کاربران احساس می کنید که موضوع و مسائل ارائه شده مربوط به نیازهای خود را (ویلسون و هش ، 2003). متاسفانه ، اکثر برنامه های آگاهی و آموزش عمومی در طراحی ، با یک "یک اندازه متناسب با همه' رویکرد است. این رویکرد منجر به شکست منجر میشود زیرا نیازهای اعضای هیات فردی را در نظر گرفته شده ، و در نتیجه تاثیر پیام های آموزشی را می توان به خطر بیافتد (ارنست و یانگ ، 2007) می باشد.
نه تنها باید آموزش را به صورت جداگانه طراحی شده ، آن را نیز باید در راه است که به یاد ماندنی و برگ ماندنی ساختار. همانطور که قبلا ذکر شد ، مطالعات موردی ، یک راه موثر برای برقراری ارتباط پیام را به مخاطبان (McIlwraith 2006). مطالعات موردی به طور کلی شامل نمونه خاص ، در زندگی واقعی ، و شواهد نشان می دهد که تعامل فعال را تبلیغ می کنند در فرآیند یادگیری و دانش آموزان اجازه دهید برای به دست آوردن درک بیشتری از معنا و کاربرد تئوری (بروک ، 2006). ارزش مطالعات موردی نیز توسط Herreid (1994) ، که به افزایش حضور و غیاب دانش آموزان از 50-65 ٪ برای سخنرانی های سنتی ، تا 95 ٪ گزارش زمانی که مطالعات موردی استفاده شد نشان داده شد. آموزش نیز نیاز به تقویت ، و باید با پیگیری جلسات آموزش انجام در تاریخ در آینده به تقویت پیام امنیتی طراحی شده است.
سطر ۶۱۹ ⟵ ۶۰۰:
عوامل انسانی در امنیت اطلاعات قطعا مجموعه و بسیاری از مسائل پویا ارائه دهد. بسیاری از متغیرها است که باید به حساب گرفته شود ، از جمله نه تنها به تفاوت های فردی و اختلاف در صفات شخصیتی ، بلکه فعل و انفعالات و تأثیرات فرهنگ سازمانی و آب و هوا وجود دارد. نیاز به مطالعات بیشتر تجربی و پژوهش وجود دارد ، به خصوص در زمینه های فیشینگ ، مهندسی اجتماعی ، و آموزش و پرورش و آموزش. موضوع امنیت نیز باید به عنوان موضوع اقتصادی ارزیابی می شود که در آن است ، با tradeoffs بین هزینه ها و منافع (Odlyzko 2003). کاربران می خواهند هر دو امنیت و انعطاف پذیری ، و پیدا کردن تعادل بین این دو عامل است که مطمئنا چالش برانگیز است. هیچ راه حل برای بهبود امنیت اطلاعات وجود دارد ، اما نه ، چندین روش مکمل باید در اجرا به منظور بهبود امنیت کامپیوتر و انسانی
==منابع==
| |||