عاملهای انسانی در امنیت اطلاعات/مسيرهای آسیبپذیری (۲)
 | پیشنهاد شده است که این مقاله یا بخش با نقش عامل های انسانی و سازمان درامنیت اطلاعات و کامپیوتر ادغام گردد.
(بحث). |
| پیشنهاد شده است که این مقاله یا بخش با عاملهای انسانی در امنیت اطلاعات/مسیرهای آسیبپذیری (۱) ادغام گردد.
(بحث). |
|
|
مقدمه:
اين مقاله قصد دارد تا نقش عاملهای انسانی و سازماني را در آسيبپذيري امنيتي سيستمهای اطلاعاتی از لحاظ فنی بررسی نمايد. از آنجا که عاملهای انسانی ارتباطات پيچيدهای را با سيستمهای اطلاعاتی دارند، نقش مهمی را در توسعه آسيبپذيري سيستمهای اطلاعاتی بازی میکنند. اين عوامل در 9 گروه دستهبندی میشوند: تاثيرات خارجي، خطای انساني، مديريت، سازمان، کارايي و مديريت منابع، خطمشی، تکنولوژي و آموزش. از جمله بزرگترين مشکلات در سيستمهای اطلاعاتی بهبود و رفع موثر آسيبهای ناشی از حملات میباشد. از آنجا که سازمانها بر محافظت داراييهايشان بوسيله راه حلهای تکنولوژيکي تاکيد دارند، سيستمهای اطلاعاتی هم به دنبال همين رويکرد میباشند. در نتيجه با وجود اينکه عوامل انسانی در اثربخشي سيستمهای بحرانی نقش مهمی را دارند ولی عوامل تکنولوژيکی نيز اين مفاهيم را به هم پيوند میدهد. آسيب پذيريها ريشه در شکافهای رويههای سازمانی، مفروضات اوليه طراحی و تصميمات مديريتی دارند. اين تحقيق براساس رويکرد مهندسی انسانی انجام گرفته و سيستمهای اطلاعاتی را يک سيستم فنی- اجتماعی در نظر میگيرد که عوامل فرهنگی و ساختاری سازمانها در آن تاثير زيادی ايجاد میکنند. اين تحقيق به دنبال پاسخ به دو پرسش زير میباشد:
1. چه عوامل انساني و سازمانیای هستند که در آسيب پذيری سيستمهای اطلاعاتی شرکت میکنند؟
2. چه ارتباطاتی بين اين عوامل و چگونگی همکاری آنها در انواع آسيبها وجود دارد؟
فاکتورهای سازمانی در تحقيقات سيستمهای اطلاعاتی شامل خط مشیها، فرهنگ و حمايت مديريت میباشد. اين تحقيق تعريف عوامل انسانی و سازمانی، مکانيسم و ارتباطات آنها و تاثير آنها در کارايي سيستمهای اطاعاتی را بررسي میکند.
متدولوژي:
در اين تحقيق از روش طراحی کيفي استفاده میشود که در جمعآوری و شرح جزييات و پيچيدگیها مفيد خواهد بود. همچنين از دو گروه، تيم قرمز استفاده شده تا زمينه تاثير عوامل انسانی را بر آسيب پذيری ايجاد و توسعه دهند که اين روش، روشی است برای شناسايي آسيبهای سيستم و افزايش امنيت آن. برای مستند کردن مسيرهای ارتباطی ممکن بين عوامل انسانی و آسيبها از روش دياگرام ارتباطی و تحليل شبکههای سببی استفاده میشود.
نتايج:
براساس نتايج کار دو گروه، 66 مورد از عوامل انسانی و سازمانی موثر بر آسيب پذيری شناسايي شد که 21 مورد مربوط به گروه 1 و 45 مورد مربوط به گروه 2 میباشد. همچنين 50 مسير آسيب پذيري هم شناسايي شد که 37 مسير مربوط به گروه 1 و 13 مسير به گروه 2 میباشد. . هر دو گروه آسيب پذيري عملياتی را به طبقه بندی انواع آسيب پذيري اضافه کردند.
مباحثه:
با استفاده از تکنيک تحليل شبکه سببی برای ثبت عوامل انسانی و مسيرهای ممکن آن، 4 نوع آسيب پذيري طراحی، پياده سازی، پيکره بندی و عملياتی تعيين گرديد. در گروه 1، 9 مسير آسيب پذيري طراحی، 10 مسير آسيب پذيري پياده سازی، 10 مسير آسيب پذيري پيکربندی و 8 مسير آسيب پذيري عملياتی شناسايي شد. همچنين در گروه 2، 2 مسير آسيب پذيري طراحی، 3 مسير آسيب پذيري پياده سازی، 2 مسير آسيب پذيري پيکربندی و 2 مسير آسيب پذيري عملياتی شناسايي شد. همچنين طبق نتايج مشخص شد که خطای انسانی و اشتباهات نقش مهمی در آسيب پذيري سيستمهای اطلاعاتی و روشهای آن دارد و از طرفی به عوامل سازمانی همچون ارتباطات، فرهنگ امنيتي و خط مشیها وابسته است.
براساس نتايج حاصل از تحقيق موارد زير به عنوان عوامل انسانی شناسايي شده معرفی گرديد که در 9 گروه نام برده شده در بالا قرار ميگيرد.
| گروهها | عوامل |
|---|---|
| تاثيرات خارجی | ندارد |
| خطای انسانی | اشتباهات |
| مديريت | کمبود حمايت مديران، کمبود الزام به نگهداری |
| سازمانهای سيستمهای اطلاعاتی | کيفيت تيمهای تست سيستمهای اطلاعاتی |
| مديريت کارايي | فرايندها و مقياسهای تعريف نشده کارايي، کمبود حمايت کاربران |
| خط مشي | عدم وجود خط مشی، خط مشیهای متعدد و پراکنده |
| مديريت منابع | کمبود دانش سيستمهای اطلاعاتي، رده بندیهای پايين کارمندان |
| تکنولوژی | کيفيت پايين تعريف نيازمنديها، انواع نرم افزارها و سخت افزارها |
| آموزش | عدم آموزش کاربران |