عامل‌های انسانی در امنیت اطلاعات/نقش عامل‌های انسانی و سازمانی در امنیت رایانه‌ها و اطلاعات: مسیری به سوی تهدید

عنوان انگلیسی : Human and Organization factors in Computer and Information Security: pathway to vulnerabilities

عنوان فارسی :نقش عامل های انسانی و سازمانی در امنیت رایانه ها و اطلاعات: مسیری به سوی تهدید

شناخت و توصیف این موضوع که چگونه انسان و عوامل انسانی ممکن است وابسته به اطلاعات فنی کامپیوتری باشند و در مقابل استفاده از آن دچار آسیب شوند در سال‌های اخیر اهمیت زیادی پیداکرده‌است. تحقیقی کیفی از CIS توسط دو تا پنچ کارشناس خبره به جهت بررسی ارتباط علی معلولی بین انسان، عامل‌های سازمانی و میزان آسیب پذیری CIS منجر به ارائه پیشنهاداتی گردید که اهمیت انسان، عامل‌های سازمانی و نقش مهم آنها درتوسعه آسیب پذیری CIS را نشان می‌دهد و تاکید برارتباطی بین پیچیدگی انسان و عامل‌های سازمانی مشهود است. در این تحقیق به نه فاکتور تاثیرگذار ذیل اشاره شده‌است:

۱. تاثیر یا نفوذ محیط خارجی ۲. اشتباهات انسانی ۳. مدیریت ۴. سازمان ۵. اجرا ۶. منابع مدیریت ۷. خط مشی‌های سازمانی ۸. تکنولوژی ۹. آموزش.

در این تحقیق به مشکلات تکنولوژیکی و یا اشتباهات برنامه نویسی که امنیت افراد شاغل و مدیریت را با آسیب زدن به تحت تاثیر قرار می‌دهد اشاره شده‌است.

درسال ۲۰۰۸ بنیاد امنیت کامپیوتر در دفتر فدرال طی یک بررسی میدانی که از ۵۲۲ نفر از استفاده کنندگان از کامپیوتر از جمله یک مدیر ارشد از آمریکا، نماینده‌های دولت، موسسه‌های مالی، موسسه‌های پزشکی و ... انجام داده اعلام نموده که میانگین خسارت هر پاسخ دهنده در قبال حادثه‌های امنیت کامپیوتری ایجاد شده حدوداً ۶۱۸/۲۸۸ دلار زیان دیده‌است. این حمله‌ها در یک دوره ۱۲ ماهه اتفاق افتاده وبه نظر شرکت کنندگان در این طرح شامل موارد ذیل بوده‌است:

1. پنجاه و نه درصد از شرکت کنندگان به حمله یک ویروس کامپیوتری و درگیر شدن سیستم اطلاعاتی با آن اشاره داشته‌اند.
2. بیست و نه درصد از شرکت کنندگان به استفاده بی اجازه از سیستم‌های کامپیوتری اشاره داشته‌اند.
3. چهل وچهار درصد از شرکت کنندگان به استفاده نادرست کارمندهای داخلی که یکی از بزرگترین مشکلات در امنیت سیستم‌های اطلاعاتی به حساب می‌آید اشاره داشته‌اند.

به هر حال تاکید سازمان به رویکرد تکنولوژیکی و حفاظت از دارایی یا موجودی سازمان امری بدیهی است. این مقاله اساساً بر روی انسان و عامل‌های انسانی در داخل سیستم CIS تمرکز می‌کند اما به نقش عامل‌های تکنولوژیکی (فنی) به صورت به هم پیوسته در داخل سیستم اشاره شده‌است. صرف نظر از دوام عامل‌های کنترلی، اگر انسان وعامل‌های انسانی تغییر کند اجرا و استفاده از مفهوم CIS بسیار سخت می‌باشد. مثل پسورد ضعیف وعدم قابلیت استفاده از آن دربرخی سیستم‌ها که ممکن است امنیت اطلاعات را به مرحله آسیب پذیری برساند. آسیب‌ها ممکن است نتیجه خط مشی (سیاست گذاری) نادرست و یا اشتباه فردی که عمیقاً در افراد ریشه داشته و یا یک تصمیم مدیریتی باشد.

این رویکرد نشان می‌دهد که هم انسان و هم عامل‌های انسانی در یک سیستم اجتماعی اقتصادی به فرهنگ و ساختار آن سازمان رجوع می‌کند و این طرح شامل مرزهای اداری، سیستم‌های پاداش، نظارت و سرپرستی و سیستم‌های کنترل، اصول طراحی شغل، اجرای انتظارات، فرصت درگیر کردن کارمندان، قرارداد کارمند و مدیر و قرارداد اجتماعی بین سازمان واعضاء می‌باشد.

هدف از این مقاله توصیف انسان و عامل‌های سازمانی است که در آسیب پذیری CIS (سیستم های اطلاعاتی کامپیوتری در سازمان) دخالت داشته و ارتباط بین این فاکتورها است.

1. کدامیک از انسان و عامل‌های سازمانی ممکن است در آسیب پذیری CIS شرکت داشته باشد؟
2. ارتباط بین این عامل‌ها چگونه ممکن است در آسیب پذیری CIS مشارکت داشته باشد؟

پشتیبانی مدیریت با نحوه توسعه سیاست‌های امنیتی نیز مرتبط است. برای مثال پشتیبانی مدیریتی ضعیف باعث تبیین ضعیف سیاست‌های CIS می‌شود، بودجه موجود بر استخدام نیروی انسانی تاثیر می‌گذارد و مشکلات برنامه ریزی که برای کارکنان CIS پیش می‌آید، با تشدید سیاست‌های CIS و ارتباط آن باپیچیدگی‌های سیستم‌های گوناگون کمتر می‌شوند. پیچیدگی به ظرافت‌های سیستم‌های ادغامی اطلاق می‌شود و تحت تاثیر کاربردی بودن فن آوری‌های CIS قرار می‌گیرد. مدیریت ضعیف نیروی انسانی و عدم برخورداری کارکنان از دانش CIS می‌تواند با سوگیری‌هایی به نفع برخی خدمات، محصولات یا فن آوری هایIT یا CIS مرتبط باشد. این خدمات، محصولات و فن آوری‌ها ممکن است نسبت به دیگر محصولات وخدمات از لحاظ قابلیت‌ها و یا ویژگی‌های دیگر فن آوری‌های CIS نامطمئن باشند و به اندازه کافی از پشتیبانی فروشندگان از جمله رفع نکردن مشکلات نرم افزاری و فراهم نکردن اسناد کافی برای ویژگی‌های تکنولوژیکی برخوردار نباشند. عدم برخورداری مدیر CIS و کارکنان از مهارت‌ها و دانش کافی بر کیفیت سیستم تاثیر مستقیم دارد که ضعف یا کیفیت پایین آن به آسیب پذیری طرح می‌انجامد.

تیم های قرمز به عنوان منابع اطلاعاتی جهت بررسی ابعاد و میزان نقش عامل های انسانی و تهدیدات آن ها برای امنیت در سیستم های اطلاعاتی سازمان شناخته می شوند. این نوع فعالیت ها می تواند جزوی از دارایی های یک سازمان بشمار رود که ابعاد وسیعی از ضعف ها و نقاط تهدید را در سطح فعالیت آن سازمان مانند هک مشخص می کند. استفاده از تیم های قرمز باعث می شود تا نقاط تهدید و ضعف شناسایی شده و باعث تقویت امنیت در سازمان گردد.

این تحقیق با همکاری تیم قرمز سازمان Information Design Assurance (IDART) در مکزیک صورت گرفته است. آنها توسط بررسی های متعدد و مستمر تهدیدات امنیتی روی سازمان ها و شرکت های مختلف به نتایج مختلفی دست پیدا کردند که بعد از جمع بندی در این مقاله می توان به 9 مورد زیر به عنوان نقش عامل های انسانی و سازمانی در بحث امنیت سیستم های اطلاعاتی اشاره نمود. این 9 مورد حاصل جمع بندی و دسته بندی نکاتی است که تیم های قرمز در سازمان های مختلف بصورت های متفاوت بیان کرده اند :

1. اثرات خارجی: مانند قوانین جدید.

2. خطاهای انسانی: اشتباهات و خطاهای مختص بشر

3. مدیریت: مانند ضعف پشتیبانی مدیریت، عدم تمکین به نگهداری از سیستم ها

4. سازماندهی کامپیوترها و سیستم های اطلاعاتی: مانند کیفیت پایین تیم تست کامپیوترها و سیستم های اطلاعاتی.

5. مدیریت بهره وری: مانند ضعف در دسته بندی و اولیت بندی داده ها مهم و غیر مهم، پیچیدگی سیستم های کامپیوتری و اطلاعاتی.

6. سیاست: مانند نداشتن سیاست کاری، بروز نکردن سیاست های کاری، عدم جامعیت قوانین و دستورات.

7. مدیریت منابع: مانند اختصاص غیر صحیح منابع، ضعف در جذب نیرو.

8. فناوری: مانند ورود تکنولوژی های جدید، قدیمی شدن فناوری های بکار رفته در سازمان ها.

9. آموزش: ضعف در دانش و آموزش کارمندان

آسیب پذیری ممکن است در اثر آزمایش نکردن عملکرد‌های سیستم و فرآیندهای CIS بوجود بیاید. آسیب پذیری در بکارگیری و تنظیمات می‌تواند از عدم آزمایش یا آزمایش ضعیف ناشی شود. درطرح مذکور در مجموع ۴۵ عامل انسانی و سازمانی و ۱۱۸ رابطه (تعداد کل روابط بین هر دو عامل) شناسایی شدند.

اهمیت ذخایر یا حساسیت ذخایر حفاظت شده و منابع موجود (از جمله بودجه و نیروی انسانی) در ایجاد یک سیستم تجاری قوی برای امنیت CIS تاثیرگذار است. بدون یک سیستم تجاری قوی امنیتی، CIS نسبت به دیگر جنبه‌های بازرگانی در اولویت‌های پایین تر قرار می‌گیرد و مدیریت ازCIS پشتیبانی نمی‌کند. عدم پشتیبانی کافی توسط مدیریت، توانایی سازمان‌ها برای استخدام و حفظ پرسنل خبره و حرفه‌ای را محدود می‌کند. فقدان پرسنل مناسب به کمبود وقت در انجام پروژه‌های CIS منجر می‌شود. هنگامی که در سیستم CIS تغییراتی ایجاد می‌شود (برای مثال اضافه کردن یک سیستم CIS جدید یا ارتقاء سیستم)، این تغییرات در کل محیط سیستم CIS انجام نمی‌پذیرد. این امر به آسیب پذیری طرح سیستم CIS منجر می‌شود.

برای مثال اگر مجری یک سیستم یا مکانیسم CIS فراموش کند که یکی از سرویس‌ها را اجرا کند و این اشتباه به آسیب پذیری اجرا منجر شد، این اشتباه ممکن است در اثر کار کردن مجری تحت فشار ناشی از محدودیت زمانی، پشتیبانی تک مکانیسمی و یا فقدان فرآیند مدیریتی برای پشتیبانی خدمات بوجود آورد.

از خلاصه نتایج به نه دسته بندی مفهومی دست یافتیم: عوامل خارجی، خطای انسانی، مدیریت، سازماندهی CIS، مدیریت عملکرد، سیاست‌های سازمانی، مدیریت منابع، فن آوری و آموزش اشتباهات و خطاهای انسانی به آسیب پذیری CIS منجر می‌شود. پژوهش‌های دیگری که در مورد عوامل انسانی و شیوه‌های CIS انجام شده‌اند به نقش کاربرد و رفتارهای امنیتی (بدون خطا) صحیح اشاره دارند. آدامز و دیگران (۱۹۹۷) با استفاده از یک پرسشنامه وب- محور رفتار مرتبط با رمز عبور را در ۱۳۹ نفر مورد بررسی قرار دادند. رمز عبورهایی که کمتر مورد استفاده قرار می‌گرفتند، برای افراد مشکلات حافظه‌ای ایجاد می‌کردند. در نتایج هم چنین همبستگی چشمگیری بین «تمایل به کاهش ضریت امنیتی» و «مشکلات حافظه‌ای مکرر» مشاهده شد که به نیاز به بررسی عوامل انسانی و کاربردی بودن شیوه‌های امنیتی برای پشتیبانی امنیتی کاربر اشاره دارد. کریمرو کارایون (۲۰۰۷) نیز به مطالعه دیدگاه‌های مدیر شبکه و مدیران امنیتی در مورد خطاهای انسانی و عوامل سازمانی و انسانی پرداختند و دریافتند که خطاهای انسانی می‌تواند با عوامل سازمانی از جمله برقراری ارتباط، فرهنگ امنیتی و سیاست‌های سازمانی مرتبط باشد. مطالعه دیگری که در مورد بکارگیری توپولوژی مدلسازی جنریک برای تحلیل خطاهای انسانی بعنوان علت مشکلات امنیتی انجام شد نشان داد که اشتباهاتی که در مرحله پردازش اطلاعات صورت می‌گیرد مهمترین علت مشکلات امنیتی می‌باشد (لیجین لال و دیگران، 2009).

در زمینه مدیریت منابع، فقدان دانش CIS در هر دو گروه مشاهده شد. فقدان دانش و مهارت پرسنل باعث تضعیف عملکرد سیستم CIS می‌شود. برخی پژوهش‌ها این گفته را تایید کرده‌اند. یک تحلیل کمی از مصاحبه‌های نیمه ساختاری (مصاحبه‌هایی که ساختار و سوالات آن تقریباً از قبل مشخص شده‌است) با ۳۰ کاربر در دو شرکت انجام شد که به چندین عامل انسانی و سازمانی تاثیرگذار بر رفتارهای مرتبط با رمز عبور اشاره داشت (آدامز و سس، ۱۹۹۹). از جمله این عوامل می‌توان به اهمیت سازگاری بین فرآیند‌های کار و کلمه عبور اشاره کرد. برای مثال در یک شرکت کارمندان باور داشتند رمز عبورهای شخصی با کار گروهی سازگار نیست. این پژوهش هم چنین به فقدان دانش و اطلاعات امنیتی در کاربران اشاره داشت. کاربران مخالف اقدامات امنیتی نبودند، اما قادر نبودند عواقب امنیتی فعالیت‌های خود را درک کنند.

در حیطه تدابیر سازمانی یک سری عوامل وجود داشتند که به ناکارآمدی تدابیر CIS منجر می‌شدند، ازجمله عدم ریزبینی، فقدان توانایی لازم برای اتخاذ تدابیر صحیح و عدم وجود یک مکانیسم درست برای اجرای سیاست‌های سازمانی. در مطالعه‌ای بر روی سازمان‌های بریتانیا به بررسی ادراک، انتشار محتوا و تاثیر سیاست‌های CIS پرداخت و در مورد کارایی این سیاست‌ها به نتایج مشابهی دست یافت (فول فورد و دوهرتی، ۲۰۰۳). در این پژوهش از یک پرسشنامه اکتشافی استفاده شد. جامعه آماری متشکل از ۲۰۸ مدیر اجرایی ارشد CISS بود (میزان پاسخگویی %۷٫۳). نتایج تحلیل نشان داد که ۴ فاکتور از اهمیت ویژه برخوردار بودند: (۱) تعهد مدیریت،(۲) درک درست خطرات امنیتی، (۳) آگاهی دادن در مورد سیاست‌های CIS و (۴) درک صحیح ملزومات امنیتی. این نتایج نشان می‌دهد که درک کاربران از ملزومات و خطرات CIS مهم است و نیز عوامل دیگری بر کارایی سیاست‌های CIS تاثیر گذار است، از جمله پشتیبانی مدیریتی و دانش CIS.

ورلینگر و دیگران (۲۰۰۹) مفهوم تعامل بین عوامل انسانی، سازمانی و تکنولوژیکی در سیستم CIS را بسط دادند و برای درک پیچیدگی‌های این روابط راه‌هایی را شناسایی و ارائه کردند. برای مثال در مورد اینکه چگونه فرهنگ یک سازمان و غیر متمرکز سازی IT می‌تواند مدیریت امنیتی را با مشکل مواجه سازد، راه حل‌هایی پیشنهاد دادند. این مفاهیم نتایج پژوهش‌های ما را در مورد شیوه ‌های انسانی و سازمانی که به آسیب پذیری CIS می‌انجامد، تایید کرده و بسط می‌دهد.

نتایج این پژوهش با تعریف شرایط سازمانی نهفته که با هم ادغام شده و بستر شکست سیستم را فراهم می‌سازند، سازگاری دارد(ریزن،۱۹۹۷). ناکارآمدی سیستم‌ها در CIS در اثر خطاهای انسانی که به آسیب پذیری تکنولوژیکی می‌انجامد، بوجود می‌آید. اکثر رویکردها به اصلاح آسیب پذیری تنها ناکارآمدی‌های اکتیو را مورد بررسی قرارداده و تاثیر کوتاه مدت و مستقیمی بر شیوه‌های دفاعی CIS می‌گذارند. رویکردهای کنونی به سیستم‌های CIS از شیوه‌های تدافعی تکنولوژیکی در زمان تعامل انسان با سیستم‌ها استفاده کرده تا از خطاهایی که به آسیب پذیری می‌انجامد، جلوگیری کنند. اما همانطور که در این پژوهش نشان داده شد، چنین اقداماتی یک رابطه علت و معلولی پدید می‌آورد که در بسیاری از سطوح سازمان و سیستم بسط پیدا می‌کند. شرایط سازمانی نهفته از اقدامات مدیران، طراحان، سیاست گذاران و مدیران شبکه ناشی می‌شود. این شرایط دو نوع تاثیر مخرب بر جای می‌گذارند: ۱-می توانند احتمال بروز خطا را در محل کار افزایش دهند (محدودیت زمانی، کمبود نیروی کار، کمبود تجهیزات، حجم کاری بالا) و به آسیب پذیری سیستم CIS منجر شوند (سیستم‌های به روز شده نامعتبر، فقدان کاربری‌های مرتبط، رمز عبورهای پیش فرض). شرایط نهفته ممکن است با نارکارامدی‌های اکتیو ادغام شوند و CIS را مختل کنند. برخلاف ناکارایی‌های اکتیو که پیش بینی کردن آنها مشکل است، شرایط نهفته را قبل از اینکه مشکلی به وجود بیاید، می‌توان شناسایی و برطرف کرد.

در این پژوهش محدودیت‌هایی وجود داشت. از جمله اینکه جامعه آماری فقط متشکل از یک تیم امنیتی بود. برای درک مشکلات موجود در شرایط باید با تیم‌های بیشتر که تجربیات و رویکرد‌های گوناگون دارند، مصاحبه کرد. علاوه بر این، زمانی که این پژوهش انجام شد، جامعه گروه‌های امنیتی نسبت به گروه‌های دیگر ارزیابی CIS (از جمله حسابرسان امنیتی و کارشناسان آزمایش ضریب نفوذ) کوچک بود. نتایج این مطالعه نباید بعنوان حقایق کلی در نظر گرفته شوند، بلکه باید به عنوان تفسیری از ارزیابی‌های کارشناسان در مورد سیستم‌های CIS تلقی گردند. این نتایج ممکن است به سازمان‌های مشابه قابل تعمیم باشند. از آنجایی که پایه این پژوهش بر بر منطق و نه احتمالات استوار است، می‌توان تئوری‌های کلی این پژوهش کیفی را تعمیم داد (سیل، ۱۹۹۹). بر اساس این منطق ویژگی‌های موجود در یک پژوهش کیفی می‌توانند با یک جامعه آماری بزرگتر مرتبط باشند، نه از این جهت که نمونه آماری نماینده آنهاست بلکه به این دلیل که تحلیل نهایی غیر قابل رد کردن است (میچل، ۱۹۸۳). به این دلیل است که می‌توان کوچکی اندازه یک نمونه آماری متنوع را که متشکل از افرادی با مهارت‌ها، تجربیات، و پیشینه‌های متفاوت است، توجیه کرد.

دلایل متعددی برای تفاوت‌های بین مفاهیم گوناگون شبکه‌های تحلیلی سببی وجود دارد. اول اینکه با فرض تفاوت تجربیات اعضای نمونه آماری، واریانس‌های نتایج می‌تواند از ترکیب متفاوت هر گروه ناشی شود. دوماً، طرح پژوهش بصورت نیمه ساختاری و اکتشافی بود. مصاحبه در چنین شرایطی به ویژه بین گروه‌های مختلف به نتایج مختلفی می‌انجامد. چرا که رویکرد تجویزی و ازپیش تعیین شده نیست (فوناتا و فری، ۲۰۰۰). سوماً اینکه هنگامی که یک گروه امنیتی به تبادل نظر می‌پردازند، تیم ارزیابی مرکزی تمرکز گروه را روی ماموریت سیستم، ماموریت تیم امنیتی و چگونگی عملکرد سیستم قرار می‌دهد. در هر کدام از این جلسات این اطلاعات ارائه نمی‌گردد. فقدان جمع بندی‌های قبل از جلسات نیز می‌تواند توجیهی برای تفاوت بین رویکردها و نتایج دو گروه باشد.

پژوهش‌های آتی را می‌توان بر اساس تحلیل کنونی بنا کرد، به این ترتیب که عوامل انسانی و سازمانی بیشتری برای بررسی روابط بین عوامل و عملکرد سیستم CIS در نظر بگیریم. پژوهشگران می‌توانند عواملی مانند کمبود بودجه CIS یا کمبود دیتا را در مدلهای گسترده تری از کارایی سازمانی و عملکرد CIS در نظر بگیرند.

از این پژوهش استنباط می‌شود که نقش عوامل انسانی و سازمانی درCIS پیچیده‌است و می‌تواند سیستم‌های CISرا طوری آسیب پذیر سازد که راه حل‌های تکنولوژیکی نتوانند آنها را برطرف سازند. از جمله راههایی که می‌توان روابط (و یا عدم وجود روابط) بین عوامل انسانی و سازمانی را شناسایی کرد عبارتند از: تحلیل شبکه‌ای اجتماعی گسترده، تحلییل واریانس، شیوه‌های ارزیابی ماکرو ارگونومیک مانند تحلیل ماکرو ارگونومیک و روش شناسی طرح‌ها (رابرتسون و دیگران، ۲۰۰۲). با استفاده از گروه‌های بیشتر می‌توان به تحلیل بهتری از عوامل و شیوه آن دست یافت. پیشنهاداتی برای کارشناسان امنیتی نیز وجود دارد: از جمله اینکه عوامل انسانی وسازمانی بر عملکرد CIS به شیوه چند لایه‌ای تاثیر می‌گذارد و اینکه آسیب پذیری‌های CIS همیشه نتیجه یک اشتباه نیستند. بلکه عوامل متعددی از جمله پشتیبانی مدیریتی یا تصمیمات طراحان نقش دارند. کارشناسان امنیتی و متخصصان باید به تاثیر عوامل سازمانی بر CIS پی ببرند و به این نکته توجه کنند که یک برنامه مدیریتی سیستماتیک لازم است تا بتوان شرایط سازمانی نهفته را که به آسیب پذیری CIS منجر می‌شوند برطرف کرد.