عامل‌های انسانی در امنیت اطلاعات/عامل‌های انسانی و امنیت اطلاعات

امنیت از جمله امنیت سیستم‌های اطلاعاتی فقط یک مشکل فن آوری نیست بلکه یک مشکل اجتماعی است. مردم برای پذیرش سیستم‌های امنیتی نیاز به آموزش و مطالعه دارند و باید فرهنگ امنیت در جامعه ایجاد شود. در این مقاله یک مدل برای امنیت سازمانی پیشنهاد شده که در آن رفتار امنیتی کاربر یک المان کلیدی محسوب می‌شود. در مرحله بعد مدلی از رفتار امنیتی کاربر پیشنهاد شده و درباره این که این فرهنگ امنیتی چگونه ایجاد می‌شود بحث شده‌است و در نهایت راهکارهایی برای تحقیقات در آینده ارائه شده‌است.

در سیستم‌های خانگی بررسی شده‌است که ۹۵٪ سرقتها به علت قفل نکردن درها و پنجره‌ها هنگام بیرون رفتن از منزل صورت گرفته‌است و تنها ۵٪ عوامل دیگر بوده‌است؛ بنابراین آگاهی نسبت به اقدامات امنیتی و استفاده از آن در ایجاد امنیت بسیار مهم است. در سازمانها نیز آگاهی تمام کاربران و نه تنها کاربران نهایی از سیستمهای امنیتی باید مورد اهمیت قرار گیرد. از سوابق ادارات برمی آید که کاربران مبتدی و غیر فنی شناخت ضعیفی از سیستم امنیت اطلاعات دارند، بنابراین لزوم مطالعه در نقش عوامل انسانی مشخص می‌شود. به نظر می‌رسد که تنها تکنولوژی مشکل امنیت را حل می‌کند و در صورت حذف عوامل انسانی از این معادله می‌توان این سیستم را خودکار کرد؛ و این نظر این عقیده را که امنیت از سه بخش فناوری، پردازش و انسان تشکیل شده‌است را نادیده می‌گیرد. در این مقاله از سه زمینه مجزا استفاده شده‌است: HCL و امنیت سیستم‌های اطلاعاتی، ابداع تئوری نشر و تئوری ارتباطات.

تا امروز بحث‌های کمی دربارهٔ اهمیت نقش کاربر نهایی صورت گرفته‌است و بیشتر این بحث‌ها پیرامون چگونگی استفاده کاربران غیرفنی در پسوردگذاری خوب است. شخصی به نام خانم Sasse دربارهٔ استفاده کاربران از پسوردها مطالعه کرد و فهمید که عوامل روانی از جمله ترس از لو رفتن اطلاعات یک مکانیسم مهم برای وادارکردن مردم به استفاده از پسوردها است.

ابداع تئوری نشر (به طور خلاصه تئوری نشر) بر اساس انتشار تکنولوژی در میان یک فرهنگ یا گروه استوار است. بر این اساس ابداع باعث ایجاد ارتباط در میان اعضای یک سیستم اجتماعی می‌شود که در ۵ مرحله صورت می‌گیرد: دانش ایجاد نوآوری، ایجاد یک روش دلخواه، تصمیم، اجرا و تقویت آن بر پایه نتایج مثبت.

مدل ارتباطی Roger برای نشر نوآوری مدل ارتباط (S_M_C_R_E) است و در این مدل منبع یا فرستنده یک پیغام از طریق یک کانال به گیرنده با هدف ایجاد تغییری در دانش، روش و رفتار آن گیرنده (اثر) می‌فرستد.

تئوری نشر برای افزایش نظم درونی اطلاعات به کار گرفته می‌شود و تا کنون در زمینه کامپیوتر و امنیت شبکه استفاده نشده‌است. در صورتی که ما عقیده داریم که تحقیق در زمینه نشر دانش امنیتی باعث گسترش تئوری نشر می‌شود.

مفهوم «زمینه‌های مشترک» یک مفهوم مهم در زمینه اطلاعات است و تأثیر زیادی بر روی حوزه‌های مختلف از جمله حوزه‌های مرتبط با IT دارد. در هر فعالیت مشترک مخصوصاً آنهایی که شامل انتشار و پذیرش ایده‌های جدید هستند رسیدن به سطح کافی از درک متقابل اهمیت بسیاری دارد. برای رسیدن به آن افراد باید درک، دانش، اعتقادات، فرضیات و پیشفرض‌های متقابل را به اشتراک بگذارند. فرایند تعاملی ای که در این میان ایجاد می‌شود را زمینه سازی(grounding) می‌گویند. هر لایه از دانش و فعالیت نیاز به زمینه‌سازی زیادی دارد.

مفهوم زمینه‌های مشترک با مدل S_M_C_R در تضاد نیست بلکه مکمل آن است. زمینه‌های مشترک اهمیت ارتباط بین منبع و گیرنده و اثرات متعاقب آن را توضیح می‌دهد. برای یک عامل خارجی (غیرخودی) معرفی نوآوری در جامعه مشکل یا غیرممکن است. نظریه پردازان، عوامل تغییر و یاری کنندگان به این تغییر اگر نظام‌مند نباشند نمی‌توانند بین عوامل تغییر و اجتماع ارتباط برقرار کنند. آنهایی که اشتراک چندانی با جامعه ندارند را خارجی می‌نامیم و اعتماد نسبت به آنها وجود ندارد.

حرکت به سمت یک مدل از فاکتورهای انسانی و امنیت اطلاعات:

ایجاد مدلها بخش مهمی از IT است. تا کنون هیچ مدل امنیت سازمانی و مدلی برای امنیت سیستم‌های اطلاعات به وجود نیامده‌است.

مفهوم امنیت سیستمهای اطلاعات از مدل انتخاب منطقی برگرفته شده‌است. بر اساس این مدل افراد به میزان یکسانی بین احتمال موفقیت رفتار و انتخاب هدایت نمی‌شوند و چون انسانها کامل نیستند و اجتماع نیز گسترده و دینامیک است و از عناصر منطقی تشکیل نشده‌است باید در مدلهای بر اساس تعاملات انسانی، این مسئله مورد توجه قرار گیرد.

شکل زیر مدل پیشنهادی ما را برای امنیت سازمانی نشان می‌دهد. بعضی المانها پررنگتر هستند. حمایت مدیریتی یک امر ناگزیر در تلاش برای کسب و کار موفق است؛ بنابراین هم IT و هم رفتار امنیتی کاربر را تحت تأثیر قرار می‌دهد. از سوی دیگر فاکتورهای تجارت خارحی مثل رقابت کاری و توسعه محصول به سختی قابل پیش بینی هستند.

در مدل امنیت سازمانی حمایت از مدیریت امری مهم برای هر کسب و کار موفق است بنابراین عوامل کسب و کار خارجی رفتار کاربر و امنیت او را تحت تأثیر قرار می‌دهد. مدل رفتار امنیتی کاربر هم کاربر و هم فناوری را مورد مطالعه قرار می‌دهد و کاربران در اینجا به عنوان کاربران نهایی هستند. در این مدل هم کاربران و هم فناوری از عوامل مهم هستند و باید حس کاری مشترک داشته باشند.

ولی ما باید بر روی تأثیر آنها بر روی امنیت سازمانی حساس باشیم. امنیت روانی بر روی امنیت سیستم‌های اطلاعاتی اثر می‌گذارد که خود به صورت تئوری مورد بررسی قرار گرفته‌است. همچنین عوامل جهانی مثل تروریسم سایبری کاملاً بر روی امنیت سیستم‌های امنیتی سازمان‌ها تأثیرگذار است.

شکل زیر مشخصه‌هایی را که نیاز به مطالعه در هر دو عرصه IT و کاربر نهایی دارد به تصویر می‌کشد. فاکتورهای فنی به IT مربوط می‌شود و بسیار مهم است و اگر ارزش، دانش و تعهد افراد در سازمان مورد توجه قرار نگیرد مشکل ایجاد خواهد شد. ارزشهای شخصیتی در هر دو مورد کاربر نهایی و پرسنل IT مهم هستند و هر دو باید روحیه مشترک تیمی را دارا باشند و در صورت داشتن ارزشهای شخصیتی و اجتماعی مختلف باید نقاط مشترک بین خود راپیدا کنند.

علاوه بر صلاحیت فنی کارکنان بخش IT آموزش هم مهم است. آگاهی افراد نسبت به مکانیسم‌های امنیتی باعث گسترش راهکارهای امنیتی خواهد شد. Doughty می‌گوید: فرهنگ سازمانی اغلب نه تنها بر روی شیوه مدیریتی مثل سیاست، مدیریت، روشها و دستورات اثر می‌گذارد بلکه بر روی کارمندان نیز تأثیرگذار است مخصوصاً اگر کارکنان درگیر توسعه سیستم، مدیریت پروژه و عملیات طولانی مدت شده باشند. البته واحد IT سازمان به طور کلی چندان درگیر با فرهنگ سازمانی نیست و باید این مسئله به عنوان عامل خارجی مورد بررسی قرار گیرد.

اعتبار بخش IT در یک سازمان از اهمیت بالایی برخوردار است که به نظر می‌رسد درون سازمانها اعتبار بالایی ندارد. موارد بسیاری حکایت از فقدان احترام عمومی به بخشIT درون سازمانها می‌کند؛ بنابراین در صورتی که این احترام و جایگاه وجود نداشته باشد مسلماً اظهارات و توصیه‌های اطلاعاتی صادر شده آنها نیز مورد پذیرش قرار نمی‌گیرد.

اگر فرهنگ با ارزشهای سازمانی ضعیف باشد کاربران از دستورات سازمانی تبعیت نمی‌کنند. به عبارت دیگر اگر اعضای بخش IT خود را نشناسند و خود را به سازمان نشناسانند مورد اعتماد قرار نخواهند گرفت و تاثیرگذاریشان کاهش خواهد یافت. امنیت کاری بر روی امنیت در منزل نیز تأثیر خواهد گذاشت. برای نمونه ممکن است یک سرور سازمان از طریق VPN به کامپیوتر خانه متصل باشد؛ بنابراین اگر کاربر خانگی از سیستمهای امنیتی غافل باشد سیستم خانه و در نتیجه سرور سازمان هم مورد خطر قرار می‌گیرد. ما این موضوع را مستقیماً در مدل ارائه شده بررسی نکردیم چون کاربر نهایی را انسان فرض کرده‌ایم.

جالب است که بیشترین نقاط تأثیر ارائه شده در این مدل گره‌ها نیستند بلکه لبه‌های متصل به گره هاست. این گره‌ها چگونگی فاکتورهای تعاملی را نشان می‌دهد.

در لبه‌ها تأثیر زبان را می‌توان یافت همچنین مدیریت چهره نیز در تعاملات از اهمیت ویژه‌ای برخوردار است. ارزشهای به کار گرفته شده توسط کاربران IT و سازمان باید مشترک باشند. ایجاد این زمینه مشترک به مفهوم نشر نوآوری برمی گردد که این که تنها افراد خودی می‌توانند ارائه دهنده نظرات، فاکتورهای تغییر و دستیاران آنها باشند.

در صورت صحیح بودن مدل ارائه شده نشان می‌دهد که تنها راه حل‌های تکنولوژیکی برای ایجاد امنیت کافی نیست و فاکتورهای جامعه، سازمان و افراد باید مورد توجه قرار گیرد. همچنین نقش افراد و الگوهای ارتباطی نیز بسیار مهم است.

در پایان ما باور داریم که تهدید کردن کاربردی ندارد و فقط در محیط کاری باعث ایجاد خشم می‌شود. پرواضح است که اگر کامپیوتر خانگی، تلفن همراه امن نیست چون اینترنت و زیرساختهای اطلاعاتی جهانی از امنیت بالایی برخوردار نیستند.

به علاوه اگر کارکنان فنی نتوانند یک فرهنگ اجتماعی در کاربران غیرفنی ایجاد کنند، نمی‌توانند اعتماد و تمایل به همکاری ای را که نیاز است در فرهنگ امنیت ایجاد شود به وجود آورند.

دریافت منبع اصلی

منبع: http://www.infosecwriters.com/text_resources/pdf/human_factors.pdf