چارچوبی برای عوامل انسانی در امنیت اطلاعات

برای عوامل انسانی در امنیت اطلاعات


هر سیستم امنیتی، بدون توجه به چگونگی طراحی و اجرا، مجبور است بر انسانها تکیه نماید .عوامل انسانی نقش حیاتی در اکثر حوادث بر عهده دارند از ویژگی های نگران کننده"امنیت دانش یا تکنولوژی "است. ما می توانیم راه حل های مناسب فنی اجرا نماییم ، اما ما هنوز موفق به مدیریت عوامل انسانی نشده ایم هدف پروژه تحقیقاتی ما در درک بهتر نقش عوامل انسانی در امنیت سیستم های اطلاعاتی میباشد. توسعه یک مدل شبیه سازی سیستم های دینامیکی ، راه حلی برای کشف مشکلات امنیتی پیچیده است ما با استفاده از یک سیستم غیرواقعی ساده، برای نشان دادن اینکه چگونه یک سیستم دینامیکی میتواند به مشکل امنیتی مردم شناخت ایجاد نماید و به طراحی سیاست ها ی امنیتی قوی کمک کند. برای پیشرفت های آتی نیاز به جمع آوری مطالعات موردی بیشتر از شرکت ها و سازمانها میباشیم با تمام تمهیداتی که برای امنیت اطلاعات انجام گرفته با این وجود عوامل انسانی به عنوان نقطه ضعف مطرح است. اشنیر schneier ابتدا معتقد بود امنیت خوبی در رابطه با حفظ اطلاعات وجود دارد ولی 6 سال بعد خود این ادعا را زیر سوال برد. او آورده است با تمام تمهیداتی که در امنیت کامپیوترها و شبکه ها انجام شده هیچکدام نتوانتسته اند کمکی در رفع مشکل انسانی کنند.

2- تدوین مشکل آگاهی به این حقیقت که 80 تا 90 درصد تصادفات سازمانی به عامل انسانی باز می‌گردد کمک چندانی به علل این موارد نمی‌کند. البته میتوان حوادث سازمانی را جایگزین مشکل امنت نیز نمود. بهبود در امنیت نیاز به درک بازخورد دارد. و آن شکل گیری مشکل است و آن شتاخت رابطه علت و معلول و یافتن الگوی رفتاری است.

2-1 مطالعات تجربی

دو منبع جمع آوری داده منعکس کننده رویارویی تکنولوژی، محیط کار و رفتار انسانی در سیستم های امنیت اطلاعاتی وجود دارد : (1) مطالعات میدانی ، (2) تجربیات (شبیه سازی شده) در "دنیای میکرو" . روش اول به جمع آوری بخشی اطلاعات از مواردی که سیستم امنیتی به درستی عمل نکرده و در روش دوم به مواردی می پردازد که سیستم امنیتی با موفقیت پیاده سازی شده است. متاسفانه تا کنون هیچ مطالعه منتشر شده‌ای از این دو روش در دسترس نیست. بعلاوه هیچ مطالعه مناسبی نیز از عملکرد انسان در سیستم امنیت اطلاعات شبیه سازی شده یافت نشده است.

2-2 روش شناسی

برای مدیریت سیستم امنیت نیاز به طراحی رشته صریح است که در آن بازخورد، تغییرات موقت (نیروهای غیر خطی)، تاخیرات زمانی، عوامل نرم، جنبه‌های بین رشته‌ای مد نظر قرار میگیرد. اصل اساسی این است که فرد یک سیستم را الگو قرار ندهد بلکه یک مشکل را در نظر قرار داد تا حد و مرز در قالب زمان و ساختار وبا ویژگی های الگو های رفتار مشکل دار و همچنین الگوی رفتار مورد نظر ( رفتار مرجع) قادر باشد جنبه های نامناسب سیستم را حذف نماید. به عبارتی آنچه را که برای مساله ضروری است حفظ شود. در این رابطه ما سیستم الگو پویایی از جنبه مشکلات حیاتی که جنبه انسانی دارد را ارائه می‌نماییم که حاوی عواملی همسو با مسائل ایمنی است.

3- ابعاد مورد پذیرش

3-1 عوامل شکل دهنده پذیرش

ابعاد مورد پذیرش زیادی ملاکهای امنیتی را تحت تاثیر قرار میدهد ابتدا فشار برونداد است که تاکید زیادی بر تولید و تاکید کمتری بر موارد امنیتی می نماید (حفظ رابطه هزینه به درآمد) شامل منافع و ضررهای شخصی ، تضاد بین اهداف فردی و سازمانی که هر دو در جهت تخریب اهاف ایمنی عمل می کنند؛ در نهایت ریسک یا ریسک های درک شده مد نظر قرار دارد که به دلیل ریشه ای که در ادراک دارد بسیار متغیر و وابسته به شرایط است. مکانیزم قوی روانشناختی از طریق شرطی سازی عامل که دلالت بر هوشیاری نسبت به ریسک دارد تاثیر مثبتی بر پذیرش دارد. از سوی دیگر تخفیف رفتار شرطی شده دلیل کلیدی برای افت پذیرش در طول زمان است.

3-2 تئوری نظم رفتاری
3-2-1 مقدمه

الگو کردن وابستگی به پذیرش ادراک ریسک باید نقطه شروع خوبی برای مطالعه سیستم امنیت اطلاعات قرار داد. شرطی شدن ابزاری یادگیری از طریق نتیجه است . رفتاری که به پاداش منجر می گردد تقویت می شود و برعکس رفتاری که تقویت نشود یا نتیجه منفی روبرو شود رفته رفته از یاد می رود. هبستگی بین موارد مورد علاقه (پاداش) و چیزی که بوسیله فرد کمتر مورد علاقه ارزیابی شود (پاسخ ابزاری) و همبستگی بین پاسخ ابزاری و پاداش. سعادت رفتاری در اینجا به منزله عمومیت دادن به فعالیت ها در غیاب ممانعت های دستوری است.

3-2-2 مورد مطالعاتی :پذیرش وابستگی به ریسک مشکل امنیتی کیم

کیم که در کودکی آموخته بود در ازای درس خواندن می تواند موزیک مورد علاقه خود را گوش کند حال بزرگ شده و به عنوان متخصص کامپیوتر در دانشگاه کوچکی کار می کند. در قبل کامپیوتر های محل کار او صدمه ای از حملات ندیده است و او به این ریسک پایین عادت کرده است رفتار خوب او در این باره بکار انداختن برنامه ویروس کش هر پانزده روز یکبار است. ما این را کار مربوط به ایمنی می گوییم. از اول جولای سال 2002 دانشگاه کیم هدف حمله هکر‌ها قرار گرفته‌است. سیستم امنیی خاصی به کیم معرفی می شود و مورد پذیرش قرار می گیرد و او هر روزه به این کار مبادرت می کند که بیش از اندازه هم هست. این مورد ریسک حادثه را ازبین می برد و ریسک را پایین تر از حد تصادف قرار می دهد.

3-2-3 هویت یابی رفتار مرجع برای مشکل امنیتی کیم

برای مشکل کیم لازم به فرموله کردن چارچوب زمانی و رفتار مرجع است. 1- چارچوب زمانی را درنظر می گیریم که به اندازه کافی طولانی هست که وزن ریسک تغییر نکند و لی نه آن اندازه که طولانی ارزیابی شود تا تغییر رفتاری را بدنبال آورد.

2- از آنجایی که امنیت بالا می رود عدم رخ دادن تصادف را خواهیم داشت و به این ترتیب کاهش ریسک اتفاق می افتد. تا آنکه یکبار دیگر شبکه کامپیوتری کیم صدمه پذیر می شود. پس از رخداد های چندی و درک ریسک ، پذیرش بالا می رود و این چرخه ادامه خواهد داشت.

3- بسته به شخصیت کیم و سیاست های مدانشگاه این چرخه چندین با اتفاق می افتد تا در س های اصلی آموخته شود.

4- ما روی زمان ورای یادگیری اصلی تمرکز می کنیم یعنی چند تا از چرخه های ادراک ریسک .

3-3 الگو قرار دادن مشکل امنیتی کیم
3-3-1 ساختار مدل فعال

مفهوم شرطی سازی عامل به معنی پاسخ شرطی و رضایت است مانند کاهش اضطراب و نبود حوادث است. این الگو معتقد است که هر اندازه درک ریسک با میزان خارجی یا واقعی ریسک منطبق باشد به همان اندازه واکنش های توصیه شده برای سطح و میزان امنیت واقعی تر خواهد بود. درک ریسک اساسا با دو جریان تغییر می یابد . جریان مثبت که درک ریسک را در هنگامی که حادثه‌ای رخ می دهد افزایش می دهد. و جریان منفی که درک ریسک را در زمانی که حادثه رخ نمی دهد کاهش می دهد. از طرفی نمودار چرخه علتی رابطه را به تاثیر یک عامل تاثیر گذار با یک تاخیر زمانی ساده می نماید. "سطح ریسک توصیه شده" = "نقطه سعادت رفتاری" باشد . "حد ایمنی ترجیح داده شده" = "سطح ریسک توصیه شده" باشد و اینکه شکاف نتیجه شده "تاثیر ریسک درک شده بر پذیرش" در برابر "ریسک درک شده" افزایش یکنواختی به صورت یک منحنی با شکل S خواهد بود. سطح ایمنی یک موجودیت پایدار است که بتدریج در طی زمان با جریان تغییر می کند. "میزان امنیت ترجیح داده شده" بالای ارزش جاری "سطح امنیت" است. هنگامی که میزان امنیت ترجیح داده شده به پایین ارزش جاری سطح امنیت

3-3-2 الگوی رفتاری در برابر رفتار مرجع
3-3-3 در طی هر سیکل ادراک ریسک می توان دو حوزه را شناسایی نمود بستگی دارد آیا "سطح ایمنی ترجیح داده شده" < "سطح امنیت است" یا "سطح ایمنی ترجیح داده شده" > "سطح امنیت است" مورد اول "حوزه شرطی شده" را داریم در این مورد ادراک درست فرد او را به درستی به سمت پذیرش تشویق می نماید. در مورد دوم حوزه خاموش شدن یا کاهش (رفتار شرطی شده) را داریم است. آنچه ناراحت کننده است این است که چرا حوزه شرطی این اندازه کوتاه و حوزه خاموش شدن متعاقبا این اندازه طویل است؟ و چرا این یک مشکل بحساب می آید؟ پاسخ 2 صریح است. حوزه خاموش یک همسویی بین رفتار غیر پذیرشی و فقدان تصادف وجود دارد- بر اساس تکنولوژی موفق جدید امنیتی که موفق که بیشتر حملات را دفع می کند . این دلالت بر این دارد که حوزه خاموش شدن جایگاهی مناسب برای یادگیری موهوم است. پاسخ به سوال اول مرکب است؛ اول رفتار شرطی شده عامل پایدار تر است اگر الگوی پاداشی بصورت "بخشی" یعنی پاداش در هر نوبت ارائه نمی شود(نه مستمر) . این همان مورد روند طبیعی کار است که نیاز های متفاوت و فشار زمانی ممکن است در ارائه پاداش نقش داشته باشد. دوم امکان کم موفقیت حملات در دنیای مدرن جایگاه های امنیت اطلاعات به معنی این است که عدم پذیرش و مطابعت می تواند برای مدت زیادی بدون آشکار شدن تبعات آن صورت پذیرد. در واقع می توان گفت که سیستم امنیت اطلاعات قربانی موفقیت تکنولوژی امنیتی دنیای مدرن شده که موجب طولانی شدن حوزه خاموشی رفتار شرطی شده قرار گرفته که شامل یادگیری غیر واقعی می شود. استدلال غلط در رابطه با ریسک ، نتایج ریسک و نتایج عدم پذیرش
3-4 طراحی و تحلیل سیاست

چگونه می توان از دور باطل تصادفاتی که بوسیله این الگو ارائه شده خلاص شد؟ کیم شروع ب پذیرفتن در هنگامی کرد دریافت ریسک به اندازه کافی زیاد است. درک کیم از ریسک ارتقاء یافت : حدوث آنها درک ریسک او را افزایش و فقدان آن درک ریسک را کاهش داد و در نتیجه پذیرش او را. از دیدگاه طراحی سیاست تاثیر مثبت تصادف در پذیرش بسیار جالب است. ولی به دلایل واضحی تصادفات به خودی خود سیاست درستی برای بهبود امنیت اطلاعات نیست. ما به روشهای دیگر برای حفظ سطح مناسب از درک ریسک داریم. همچنین مطلوب همسویی با امنیت به جایگاه امن آورده شود خیلی پیش از آنکه وارد حوزه تصادف شود،پیش از آنکه وارد حوزه رفتار خاموش شود. هر دو هدف می تواند بوسیله "تجدید درک ریسک" این امر درک خاموشی ریسک را یک مرحله بالاتر و دقیقتر می برد. آموزشهای، انتشارات، سمینارها مختلف و دیگر روش های مداخله دیگر که بر ریسکهای تکنولوژی اطلاعات تمرکز می کنندممکن است که پیشنهاد شوند که بالقوه ابزار های موثری برای افزایش و تجدیددانش امنیتی در بین استفاده کننده گان سیستم تکنولوژی اطلاعات( و در اینجا ما در رابطه با استفاده کننده نهایی سیستم و همچنین مدیران آنها گفتگو می کنیم. در واقع سازمانها این آموزشها را به عنوان مداخله گر ها به عنوان بخشی از سیاست سازمانی عنوان می کنند. ولی این مداخله کننده ها باید بخوبی برنامه ریزی شوند تا اثر یبخش تر ین شوند. همانگونه که به وسیله الگوی ما پیشنهاد شده مداخله برای خذف تصادفات باید در شروع تحلیل رفتن درک ریسک انجام شود تا تا تضمین کننده اصلاح دوره پیش آنکه سیستم خیلی صدمه پذیر شود و یادگیری مصنوعی رخ دهد.

در نتیجه برای بهبود امنیت سیستم های اطلاعاتی درک نقش عوامل انسانی بسیار مهم ارزیابی میشود هدف اصلی تحقیق ما میباست دریافت درک روابط درونی افراد و تکنولوژی و محیط کاری سیستم های امنیتی باشد.

منبع: http://ikt.hia.no/josejg/Papers/A%20Framework%20for%20Human%20Factors%20in%20Information%20Security.pdf