عامل‌های انسانی در امنیت اطلاعات/مسیرهای آسیب‌پذیری (۱)

ویکی‎کتاب، کتابخانهٔ آزاد

عنوان فارسی: عوامل انسانی و سازمانی در کامپیوتر و امنیت اطلاعات: مسیرهای آسیب پذیری

عنوان لاتین: Human and organizational factors in computer and information security: Pathways to vulnerabilities

عوامل انسانی و سازمان ها نقش بسیار مهمی در آسیب پذیری امنیتی سیستم های کامپیوتری و اطلاعانی دارند. هدف از این مطالعه، شناسایی و توصیف عوامل انسانی و سازمانی مرتبط با آسیب پذیری‌های امنیتی کامپیوتری (CIS) است. در این مقاله یک مطالعه کیفی (با توجه به برسی نقش عوامل انسانی و پیچیدگی‌های خاص آن) توسط کارشناسان کشورهای مشترک المنافع انجام شده است. هدف این گروه تجزیه و تحلیل شبکه‌های کامپیوتری و نقش عوامل انسانی و سازمانی در آسیب پذیری‌های سیستم‌های اطلاعات بوده است. تاثیرات خارجی، خطای انسانی، مدیریت، سازمان، عملکرد و مدیریت منابع، سیاست، فن آوری و آموزش ۸ حوزه مورد بررسی بوده است.

شیوع آسیب پذیری‌های امنیتی کامپیوتر و اطلاعات و مسائل مرتبط با آن و هزینه‌های بسیار بالای آن از جمله مواردی است که روز به روز در حال رشد می‌باشد. براساس تحقیقی بر روی ۵۱۲ رایانه از مدیران ارشد شرکت‌ها، سازمان‌های دولتی، موسسات مالی آمریکایی روند آسیب پذیری‌ها به شدت در حال افزایش بوده است. آسیب پذیری در یک دوره ۱۲ ماهه با تجربه مربوط به حمله ویروس توسط ۵۹٪ از مخاطبین، ۲۹٪ استفاده غیرمجاز از سیستم‌های کامپیوتری و ۴۴٪ سوء استفاده شخصی از سیستم‌های رایانه‌ای و اینکه بازسازی موثر آسیب پذیری‌ها و خسارات وارده از مشکلات بسیار بزرگ و بعضا غیرقابل انجام بوده و یا نیاز به صرف هزینه‌های بسیار هنگفتی دارد از نیازهای اصلی این مطالعه بوده است.

در این مقاله عمدتا بر عوامل انسانی و سازمانی در داخل سیستم کشورهای مستقل مشترک المنافع می‌پردازد. همچنین تاکید براین موضوع دارد که عوامل تکنولوژیکی (فناورانه) با این موضوع پیوسته است.

صرف نظر از کنترل‌ها و نظارت‌های فنی اثر عوامل انسانی سازمانی (به عنوان مثال رمزهای ضعیف و یا قابلیت استفاده ضعیف از آن) می‌تواند تاثیرات بسیار شدیدی بر روی امنیت کامپیوترها داشته باشد.

در پژوهش انجام گرفته سوالات اساسی زیر مورد بررسی قرار گرفته است:

۱- عوامل انسانی و سازمانی که ممکن است باعث آسیب پذیری‌های کشورهای مستقل مشترک المنافع شوند چه مواردی هستند؟

۲- روابط در میان این عوامل چه هستند و چگونه باعث آسیب پذیری‌های این کشورها می‌شود؟

عوامل سازمانی در این تحقیق شامل سیاست، فرهنگ و حمایت مدیریت است.

مطالعات مربوط به سیاست به بررسی ابعاد مختلف مانند جذب و انتشار سیاست‌های این کشورها، رفتار کارکنان نسبت به رعایت امنیت و اهمیت مدیریت سیاست‌ها و رویه‌های سازمانی نرم‌افزار و اتخاذ سیاست‌های این کشور هاست.

مطالعات مربوط به فرهنگ به مشارکت کارکنان، آموزش و آگاهی کارکنان، لزوم تغییر برخی از رفتارها و اصلاح متاسب آنها با مقوله امنیت می‌پردازد. حمایت مدیران نیز به مواردی همچون تخصیص بودجه‌های مناسب، اعمال قوانین متناسب با امنیت، اصلاح برخی از رفتارهای مدیریتی و التزام‌های موردنیاز جهت رعایت موارد امنیتی ورود پیدا می‌کند.

در این بررسی‌ها عواملی مانند مدیریت امنیت، فرهنگ، فقدان مشارکت، عدم دقت و اشتباهات انسانی کارکنان به عنوان موارد ضعف امنیتی توصیف شده‌اند. از جمله موارد دیگر نوع داده‌ها و نحوه حفاظت از آنها، میزان بودجه‌ای که برای امنیت اطلاعات درنظر گرفته می‌شود و در دسترس بودن آن، حمایت مدیران از سیاست‌های امنیتی، نیروی انسانی ناکافی، فقدان تخصص CIS مربوط به کارکنان از جمله مواردی است که باع ضعف در این سیستم‌ها می‌گردد. طراحی و مدیریت سیستم‌های CIS نیاز به یک رویکرد منسجم و چند لایه به منظور بهبود وضعیت امنیتی در این کشورها دارد؛ لذا با توجه به مطالعات انجام گرفته مشخص گردید در تمام زمینه‌های با ریسک که در بند قبل بیان گردید اقدامات موثر صورت گرفته و با آموزش مداوم و مستمر کاربران و نیروهای فنی مرتبط، اصلاح بودجه‌ها، حمایت‌های مدیریتی و سیاست گذاری درست، و فرهنگ سازی در این زمینه و طراحی سیستم‌های امنیتی مناسب (البته بصورت لایه‌ای) نسبت به پوشش ضعف‌های موجود اقدام گردد.

متدولوژی[ویرایش]

خلاصه ای از یافته ها ی این مقاله را می توان به نه دسته موضوعی تقسیم نمود: تاثیرات خارجی، خطای انسانی، مدیریت ، سازمان مدیریت CIS، مدیریت عملکرد ، سیاست، مدیریت منابع، تکنولوژی و آموزش. که هرکدام از این موارد برای گروه 1 و 2 مورد بررسی قرار گرفته است و در جدول 2 نمایش داده شده است.

نتیجه‌گیری[ویرایش]

به صورت خلاصه در این بررسی ، 66 فاکتور از عوامل انسانی و سازمانی می باشند که 21 مورد آنها در گروه 1 و 45 مورد آنها در گروه 2 قرار دارند. همچنین 50 مسیر مورد بررسی قرار گرفته که از این مسیرها 37 مسیر برای گروه 1 و 13 مسیر برای گروه 2 می باشد. شکل شماره 1 شبکه ای به صورت گراف می باشد، به بررسی 21 فاکتور گروه اول و 37 مسیر موجود بین آنها می پردازد. از روی این شبکه می توان مسیر های آسیب پذیر را مشخص نمود و شبکه ای جدید از مسیرهای آسیب پذیر بدست آورد. شبکه های مربوط به گروه های 1 و 2 به صورت فایل پیوست ارائه شده است.

نتیجه گیری (بیشتر)[ویرایش]

با توجه به هزینه‌های سنگینی که بروز مشکلات امنیتی در سیستم‌ها ممکن است به سازمان‌ها تحمیل کند، لازم است کارکنان بخش امنیت (حراست) و مدیران هر سازمان اطلاعات کافی درخصوص نقش عامل‌های انسانی و سازمانی در ایجاد آسیب‌پذیری‌ها داشته باشند. توجه به این نکته مهم است که تنها نتیجه‌ای که از مشکلات تکنولوژی و اشتباهات برنامه‌نویسی به‌وجود می‌آید آسیب‌پذیری در سیستم‌های اطلاعاتی نیست و به‌منظور کارا نمودن سیستم‌های اطلاعاتی لازم است یکپارچگی و استفاده از یک معماری چند لایه در آن لحاظ شود.

بر اساس بررسی‌های انجام شده در دفتر تحقیق دولت فدرال ایالات متحده از میان فعالان حوزه امنیت اطلاعات و مدیران ارشد شرکت‌ها و سازمان‌ها حدود ۲۹۰۰۰۰ دلار در مباحث امنیتی در سیستم‌های کامپیوتری متضرر شده‌اند. نتایج به‌دست آمده از این مطالعات نشان‌دهنده این است که ۵۹٪ تجربه حمله ویروس و آلودگی، ۲۹٪ استفاده غیرصحیح از سیستم‌های کامپیوتری و در نهایت ۴۴٪ سو استفاده کارمندان مشاهده شده است.

با توجه به مطالبی که بیان شد مهمترین مبحثی که باید مورد توجه قرار گیرد ارائه راهکارهای مفید در راستای حل این مشکلات و جبران خسارت‌های به‌وقوع پیوسته در نتیجه تهدیدهای سیستم‌های کامپیوتری است. برای این منظور روش‌های سیستماتیکی برای مقابله با این آسیب‌پذیری‌ها و تهدیدها وجود دارد و مورد استفاده قرار می‌گیرد ولی آنچه دلیل مطالعات اینچنینی را فراهم می‌آورد این است که روشهای ذکر شده مانعی برای آسیب پذیری‌های عامل‌های انسانی و سازمانی نمی‌باشد.

به‌همین منظور در مطالعاتی که در مکزیک انجام شده است از همکاری تیم‌های قرمز یک سازمان استفاده شده است که در واقع به‌عنوان منابع اطلاعاتی یک سازمان برای تعیین نقش و بررسی ابعاد تاثیرات عامل‌های انسانی در ایجاد تهدیدات امنیتی در سیستم‌های اطلاعاتی شناخته می‌شوند. با کمک تیم‌های قرمز می‌توان نقاط تهدید و ضعف سازمان را شناسایی و از طریق تقویت نقاط قوت و برطرف نمودن نقاط ضعف موجبات تقویت امنیت در سازمان را فراهم نمود.

برنامه برای آینده[ویرایش]

پژوهش های آینده نیز ممکن است بر اساس این تجزیه و تحلیل و با ترکیب ساخت عوامل انسانی و سازمانی در تست و پالایش روابط بین عوامل و عملکرد سیستم باشد. پژوهشگران ممکن است تغییری در این مدل ها به دلیل کمبود بودجه CIS و یا عدم حساسیت داده ها اختصاص بدهند. این مقاله نشان می دهد که نقش عوامل انسانی و سازمانی در CIS بسیار پیچیده است، که این سیستم ها را بسیار آسیب پذیر می کند به طوریکه راه حل های فنی نیز پاسخگو نخواهند بود.

متدهای ممکن برای شناسایی وجود یا عدم وجود فاکتورهای انسانی و سازمانی عوامل شامل تجزیه و تحلیل شبکه های اجتماعی در مقیاس بزرگ، واریانس تجزیه و تحلیل ، و یا روش های ارزیابی ماکرو ارگونومیک، به عنوان تجزیه و تحلیل روش طراحی ارگونومیک را ارائه می دهد.

متخصصین امنیت باید اثر فاکتور های سازمانی بر روی CIS را بررسی کنند. یک برنامه مدیریت CIS برای سازمان ها ضروری می باشد تا بتوانند آسیب پذیری های CIS را درک و از آن پیشگیری کنند.

در نهایت این گروه پیشنهاد طراحی و مدیریت سیستم‌های CIS را با یک رویکرد منسجم (در زمینه‌های فنی و عوامل انسانی) و چند لایه به منظور بهبود عملکرد در کشورهای مشترک المنافع را با مشخص کردن مسیرهای آسیب پذیر در سیستم‌های اطلاعاتی را مطرح می‌کنند.

مترجم[ویرایش]

مسلم مالکی