عامل‌های انسانی در امنیت اطلاعات/امنیت در محیط پر ریسک: راهبردهایی به منظور مدیریت امنیت به عنوان یک مسئله روزمره درگیرکننده

امنیت در محیط پر ریسک : راهبردهایی به منظور مدیریت امنیت به عنوان یک مسئله روزمره درگیرکننده

Security in the wild: user strategies for managing security as an everyday, Practical problem By: Paul Darius. Rebecca E. Grinter and etc

در حالی که فراگیری شبکه‌های کامپیوتری (رایانه‌ای) دستیابی به اهداف بالاتری را رصد می‌کنند، یک چالش بزرگ در ارتباط با مسئله امنیت را نیز پیش می‌کشند. اگرچه امنیت سیستم‌های اطلاعاتی یک قسمت مهم از صنایع نظامی و شرکت ها بوده است، اما به دغدغه اصلی شبکه‌های کامپیوتری و موبایل تبدیل شده است. با ورود تجارت الکترونیک (تجارت الکترونیکی) خطر دزدی اطلاعات کارت‌های اعتباری، اطلاعات هویت فردی، نقل و انتقالات بانکی، الخ افزایش یافته است و از سوی دیگر در شبکه‌های پرتابل موقعیت جغرافیایی (location) و فعالیت ها در معرض خطر دزدی قرار دارند. منظور از امنیت در این مقاله توانایی کاربر برای اعتماد به یک سری از کارکردهایی است سیستم به طور مستقیم و غیرمسقیم به منظور حفاظت از اطلاعات کاربر و دیگر منابع استفاده می‌کند. در حالی که امنیت اجتماعی و امنیت در سیستم‌های شبکه‌ای رابطه بسیار نزدیکی دارند اما در این مقاله تفاوت عمده‌ای میان امنیتی که یک نگرانی تکنیکی است و امنیتی که یک نگرانی اجتماعی است قائل شده‌ایم.

مشکل امنیت در شبکه های کامپیوتری در حقیقت به تضادی بر می‌گردد که بین استفاده آسان از کامپیوتر و مسئله امنیت وجود دارد، سیستم های امنیتی عموما سعی می‌کنند که محدودیت هایی را برای استفاده ایجاد نمایند (مانند کلمه عبور و سایر موارد تشخیص هویت)؛ معمولا محدودیت‌هایی که سیستم‌های امنیتی ایجاد می‌نمایند باعث دردسر کاربران می‌باشد، درحالی که همان ها در نهایت به نقاط ضعف شبکه تبدیل می‌شوند. محققان دو رهیافت برای غلبه بر این مشکل ابداع نموده‌اند که یکی از پایین به بالا است (تمرکز بر سیستم‌های تکنیکی و فنی) و دومی‌از بالا به پایین است (تمرکز بر عوامل انسانی). یکی از تکنیک‌ها در رهیافت پایین به بالا از منظر تکنیکی فرآیند ایجاد امنیت در پشت پرده سیستم اتفاق می‌افتد و کاربر اطلاعات چندانی از تکنیک‌ها و فرآیندهای ایجاد امنیت ندارد. بزرگ‌ترین مشکل این نوع سیستم‌ها این است که چون کاربر اطلاعات چندانی از سیستم ندارد، در مواقع لزوم قادر نیست واکنش‌های مورد نیاز را به مشکلات ایجاد شده نشان دهد. تکنیک دیگر این رهیافت دسته‌بندی و قید گذاری سیستم‌های امنیتی با ایده افزایش کیفیت سیستم‌های امنیتی می‌باشد و با توجه به اینکه در یک ساختار سازمانی برای استفاده بهینه از منابع موجود لازم است، عوامل مختلف سازمان با یکدیگر ارتباط موثری داشته باشند که سیستم امنیتی نیز از این قاعده مستثنی نیستند، مدیریت به منظور استفاده راحت‌تر از منابع این سیستم‌های امنیتی را از کار خواهد انداخت. دومین رهیافت تمرکز بر تحلیل عوامل انسانی را در اولویت نسبت به تمرکز بر تکنولوژی (فناوری) قرار می‌دهد.

در این مقاله از دو رهیافت نیمه ساخت یافته کیفی مصاحبه ای برای جمع‌آوری اطلاعات و تحلیل آنها استفاده شده است. هدف اصلی در این مقاله این نیست که کاربران چه می‌کنند، بلکه مهم نحوه تفکر آنها نسبت به مقوله امنیت است. در این مقاله سعی شده است به جای استفاده از سیستم‌های آماری، سوالات عمیق تری از نمونه کوچکتر پرسیده شود تا اطلاعات بیشتری به دست آید، و بتوان دسته‌بندی درست تری از کاربران ارائه کرد. نتایج مصاحبه‌ها به دو دسته تقسیم می‌شوند، اول در پاسخ به اینکه مقوله امنیت چگونه بر فعالیت های روزمره افراد تاثیر می‌گذارد و افراد چه برداشتی از مقوله امنیت دارند و دوم اینکه افراد چه الگویی را برای برآوردن نیازهای امنیتی خود استفاده می‌نمایند. از اولی به تجربه امنیت و از دومی‌به تمرین امنیت تعبیر شده است.

در حالی که این توابع ریاضی و تکنیک های برنامه‌نویسی هستند که حد و مرزهای امنیت را مشخص می‌نمایند، کاربران نگاه متفاوت و بازتری نسبت به این مقوله دارند. در این قسمت نویسندگان مقاله سعی دارند که تشریح نمایند، چگونه افراد با فناوری‌های مختلف امنیتی مواجه می‌شوند و بر 3 تجربه‌ای که از داده‌های جمع‌آوری شده مشخص شده بود تکیه دارند.

ناراحتی و ناخوشایندی: اگرچه جزئیات تجربیاتی که افراد مختلف با سیستم های امنیتی دارند بسیار متفاوت است داده های جمع آوری شده گرایش های مشخص و معمولی که افراد نسبت به سیستم امنیتی نشان می‌دهند مشخص می‌کند. متاسفانه داده های جمع آوری شده مشخص می‌نماید که بیشترین واکنش ها و گرایش ها به مقوله امنیت گرایش های منفی و خنثی است. در حالی که نمونه گیری ها در این تحقیق بر روی سن افراد تمرکز نداشته است، بر اساس داده های بدست آمده می‌توان حدس زد که سن و تجربه کار با کامپیوتر با گرایش افراد به سیستم های امنیتی وابستگی دارد، به طور مثال افراد جوانتر که سابقه کار بیشتری با کامپیوتر دارند اعتماد بیشتری در مواجهه با سیستم های امنیتی که به نظر بیشتر مزاحم می‌رسند تا یاری دهنده از خود بروز می‌دهند، به عنوان مثال هنگام انتقال اطلاعات از طریق شبکه و خاموش کردن فایر وال ها این افراد تمایل بیشتری به گزارش کردن آن دارند و همانقدر که به هزینه های راه اندازی سیستم های امنیتی توجه دارند در مورد فوائد آن نیز صحبت می‌کنند.

عمل گرایانه: در مرحله قبل توضیح داده شد که جوانترها عمل گرایانه تر با سیستم های امنیتی برخورد می‌کنند، به طور مثال جوانترها هنگامی‌که فکر می‌کردند با ریسک بالاتری مواجه هستند(مانند زمان استفاده از یک درایو خارجی که به نظر می‌رسید مملو از ویروس باشد) از تکنولوژی های مطمئن تری استفاده می‌نمودند. در نهایت برای کاربران عمل گر سیستم هم باید به صورت قابل انعطاف و نیم شفاف (توضیح داده شده) عمل نماید تا روابط آنها با سیستم به صورت عملی برقرارگردد.

بی فایدگی و پوچی: این افراد بیشترین اعتماد را نسبت به توانایی های خود دارند حتی عمل گراتر از دسته پیشین به مقوله امنیت می‌نگرند، لیکن بدلیل عدم کارایی های ملاحظه شده پیشین اعتماد به سیستم را از دست داده اند. نتیجه این احساس پوچی در مقابل تهدیدات مختلف متفاوت است.

یافته های نویسندگان مقاله نشان می‌دهد که یکی از دلایلی که نگاه کاربران به مسائل امنیتی منفی است بدلیل محدودیت هایی است که این گونه سیستم ها در دسترسی آنها به اطلاعات ایجاد می‌نماید. به عنوان مثال هنگامی‌که در مصاحبه ها بر روی مسائل تکنولوژیک تمرکز شده بود پاسخ دهندگان بحث را به مسائل بازتری مانند پست های الکترونیک ناخواسته و غیره می‌کشاندند. سه مورد در این خصوص به ذهن متبادر می‌شود که بر اساس اطلاعات جمع آورری شده به قرار زیر می‌باشند.

- یک سیستم امنیتی که صرفا بتواند یک مسئله امنیتی را حل کند و نتواند به مشکلات دیگر پاسخ گوید از طرف کاربران مورد قبول قرار نخواهد گرفت.

- ممکن است تلقی اشتباه کاربران از یک سیستم امنیتی منجر به ناکارآمد جلوه کردن آن سیستم شود،

- در نهایت تمرکز کاربر بر یک جنبه از امنیت می‌تواند باعث افزایش خطر جنبه های دیگر شود.

در قسمت قبل به نوع نگرش عموم به مقوله امنیت پرداخته شد در این قسمت به نحوه تعامل افراد در استفاده از تکنولوژی هایی که در امنیت استفاده می‌شوند پرداخته شده است. بسیاری از مردم در کارهای روزمره‌اشان نه تمایل و نه وقت آن را دارند که دائما نسبت به تهدیدات جدید هوشیار باشند، آنها بر روی انجام کار خود تمرکز می‌نمایند. یکی از نکات جالب در این زمینه مدل هایی است که بر اساس آن افراد این هوشیاری دائمی خود را به آن محول می‌نمایند.

- این مسئولیت را به تکنولوژی محول می‌کنند.

- این مسئولیت را به شخص دیگری محول می‌کنند.

- این مسئولیت را به یک سازمان دیگر محول می‌کنند.

- این مسئولیت را به یک موسسه مانند موسسات مالی و اعتباری محول می‌کنند.

واقعیت این است که افراد از سیستم پست الکترونیک استفاده می نمایند. حتی زمانی که بدانند اطلاعاتی که جابجا می‌شوند می‌بایست مورد محافظت قرار گیرند اما برای محافظت از این اطلاعات کلا دو دسته رویکرد وجود دارد. اول اینکه از یک امضای الکترونیک در پایان فایلهای پیوست شده استفاده می‌شود و دوم اینکه با استفاده از ادبیات کاری موضوع اصلی را که پیوست پست الکترونیک مخفی می‌نمایند(نوعی رمزنگاری) باید توجه داشت که راهبرد دوم به صورت تصادفی انتخاب نشده است و عموما به صورت یک الگو استفاده می‌شود. نکته دیگر این است که شفافیت بالاتر سیستم کاربرد و امنیت باعث افزایش احساس امنیت در افراد می‌شود به عنوان مثال بسیاری از مصاحبه شوندگان ادعا کرده اند که برای مکالماتشان سیستم تلفن را ترجیح می‌دهند و هنگامی‌که موضوعات حساسی مطرح می‌شود تلفن را به استفاده از پست الکترونیک ترجیح می‌دهند. در نهایت و بر اساس مطالعات دیگری که انجام شده است می‌توان به این نتیجه رسید که عموم مردم رسانه‌ای را ترجیح می‌دهند که از طریق آن اسناد مکتوب جابجا نشود و بجای آن از کلمات شفاهی استفاده گردد.

راهبرد دیگر مدیریت امنیت در طراحی فضاهای اداری جا دارد. بهترین مثال برای این راهبرد افرادی هستند که از یک سو می‌بایست اطلاعات محرمانه (بر روی نمایشگر کامپیوتر) را مورد تحلیل قرار دهند و از سوی دیگر به طور همزمان با اشخاص مختلف تماس داشته باشند. همانطور که مشخص است این گونه برنامه‌ریزی ها بر روی جانمایی محیط کاری اثر خواهد گذارد.

نویسندگان این مقاله در طی انجام مصاحبه های خود با چالش امنیتی دیگری مواجه شده اند که به مسئله هویت بر میگردد این چالش هم به تولید و معرفی هویت و هم به تحلیل و تفسیر آن برمیگردد. این مصاحبه ها نشان می‌داد که افراد نسبت به معرفی خود در فضای مجازی حساسیت زیادی به خرج می‌دهند. مورد دوم تفسیری است که از هویت فرد در محیط مجازی انجام می‌گیرد. به عنوان مثال در محیط اینترنت در مواردی افراد مختلفی می‌بایست به یک فضا دسترسی داشته باشند که این تعیین هویت آنها را دچار مشکل خواهد نمود به عنوان مثال BOB@COMPAY.COM به یک شخص اشاره می‌کند اما SOCCER@COMPAY.COM احتمالا به یک گروه اشاره می‌نماید.

امنیت و خصوصی سازی شاید دومین مشکل مهم در شبکه های فراگیر کامپیوتری باشد. در بسیاری از کنفرانس ها و مقالات از امنیت به عنوان بزرگترین مشکل سیستم های کامپیوتری نام برده شده است. سندروم دوم بودن مقاله امنیت دو مفهوم را مشخص می‌نماید. اول اینکه امنیت و خصوصی‌سازی مهمترین چالش سازمان برای پیشبرد اهداف آینده است و از سوی دیگر کمتر درک شده است. در حالی که تکنیک ها و مدل های ریاضی لازم برای ارتقاء سیستم های امنیتی هر روزه ارتقاء پیدا می‌کنند اما پیشرفت ایجاد امنیت در شبکه های فراگیر کامپیوتری متناسب با آن نبوده است.

به نظر می‌رسد بزرگترین مشکل این سیستم های امنیتی عدم کارایی کافی آن‌ها در مواجهه با کاربران می‌باشد. این تحقیق بیشتر به منظور تبیین استراتژی‌هایی در طراحی این سیستم‌ها انجام گرفته و از سوی دیگر این مسئله را مد نظر دارد که مدیریت امنیت یک مفهوم سیال است که در درون سازمان می‌باشد.