عاملهای انسانی در امنیت اطلاعات/بررسی قابلیت امنیت اطلاعات در ارتباط با مدیریت کلمات عبور
Information Security Competence Test with Regards to Password Management
بررسی قابلیت امنیت اطلاعات در ارتباط با مدیریت کلمات عبور
مقدمه
[ویرایش]این مقاله پس از مطرح نمودن عامل های انسانی به عنوان ضعیفترین حلقه ارتباط در بحث امنیت اطلاعات، به تلاش مدیران ارشد فناوری اطلاعات در ارتباط با برنامه ریزی جهت آموزش پرسنل جهت فرهنگ سازی برای تامین بهتر امنیت اشاره دارد و سپس در مورد طرح سوالات رفتاری جهت سنجش سطح امنیت در یک فضای نمونه دانشگاهی، می پردازد که در آن ۱۴۰ دانشجو شرکت دارند تا برآوردی از میزان آگاهی و صلاحیت افراد در زمینه مدیریت کلمات عبورشان بدست آید. نتیجه نشان می دهد افراد مورد آزمایش علیرغم اطلاع از دستورالعمل ها در بکار بردن آنها ناکام بودند.به عنوان مثال ۴۸٫۶٪ از افراد تحت بررسی کلمات عبور خود را با دوستانشان به اشتراک گذاشتند و همچنین در این آزمایش افزایش سابقه تحصیلی با توان ایجاد کلمات عبور مستحکم تر رابطه مستقیم دارد.
همانطور که می دانید هر سامانه اطلاعاتی از فناوری، انسان و فرآیند تشکیل شده است و هر جهان بینی امنیت نگری باید این سه جزء را یکپارچه ساخته و هر راه حلی باید بر مبنای این اجزا بنا شده باشد.
پیش زمینه نظری
[ویرایش]اگرچه تاکنون راهکار های امنیتی مانند بروزرسانی نرم افزار های ضد ویروس پیشرفت بسیار خوبی داشته و به سوی خودکار سازی پیشرفته است اما رفتار امنیتی کاربران با بیشترین عقب ماندگی مواجه بوده و فرآیندهای مورد استفاده آنان امکان انجام خودکار و بدون دخالت خود کاربر را ندارد. به همین علت برنامه آگاه سازی کاربران مورد توجه ویژه قرار دارد که ایمن سازی اطلاعات را جزئی لاینفک از فرآیند های درون سازمانی می سازد.
مشاهده تجربی: برگزاری آزمون احراز صلاحیت
[ویرایش]برای این بررسی سوالاتی میان دانشجویان تازه وارد و همچنین دانشجویان نزدیک به فارغ التحصیلی توزیع شده که یکی از اهداف آن یافتن افرد واجد شرایط مورد نظر می باشد. گزینه های پیشنهادی این سوالات در مورد کلمات عبور از این قرار بود: اشتراک رمز با دوستان، نحوه به یاد داشتن کلمه عبور، فاصله زمانی تغییر دادن کلمه عبور، استفاده از یک کلمه عبور برای چند حساب کاربری، انتخاب گزینه به یاد داشتن کلمه عبور در سایت هایی که این امکان را دارند و همچنین استفاده از کلمه عبور پیش فرض.
در پاسخ یه سوال نحوه بخاطرسپاری کلمه عبور ۶۰٪ آن را حفظ کردن، ۱۵٪ یادداشت روی کاغذ، ۱۳٫۸٪ یادداشت در قسمت Hint و ۱۱٪ هم یادداشت و در جایی امن نگهداری می کردند. همچنین بنا بر دریافت و تحلیل اطلاعات مشخص شد که:
۳۸٪ از سال اولی ها و ۵۹٪ از سال سومی ها در حالی کلمات عبور خود را در اختیار دوستانشان قرار می دادند که ۱۹٪ از سال اولی ها و ۲۲٪ از سال سومی ها از اشتباه بودن این کار اطلاع داشتند. این بررسی بسیار نگران کننده بود ونگرانی زمان تشدید شد که در آزمایش دیگری مشخص گردید که حداقل ۶۰٪ از کارمندان یک شرکت کلمه عبور خود را با دیگران یه اشتراک گذاشته اند.
یافته های بعدی نشان می داد که دانشجویان سال اول کلمات عبور ضعیف تری نسبت به دانشجویان سال سوم دارند و بیش از دو سوم سال اولی ها رمز عبور پیش فرضی که در اختیارشان قرار می گیرد را تغییر نمی دهند ولی با سپری کردن زمان در دانشگاه علاوه بر تشویق شدن به تغییر کلمات عبور پیش فرض جهت در اختیار قراردادن کلمات عور خود نیز تشویق می شوند. ضمنا این پژوهش نشان داد که دانشجویان رشته های مرتبط با فناوری اطلاعات کلمات عبور مستحکم تری دارند و همچنین نشان داد که کار با رایانه در دوران دبیرستان تاثیری در رفتارشان در مورد کلمات عبور ندارد. این تحقیق آشکار ساخت که ۷۱٫۴٪ از دانشجویان صلاحیت نگهداری کلمات عبور خود را دارند. مشکل سازتری بخش مسئله این بود که دانشجویان صرف نظر از سال تحصیلی و رشته، به ندرت کلمات عبور خود را تغییر می دهند.
نتایج کلی آزمایش در مورد مدیریت کلمات عبور در دانشجویان سال اول و سوم به این شرح است:
- بیش از ۶۶٪ از سال اولی ها پیشنهاد ذخیره کلمه عبورشان در سایت ها را پذیرفتند و این گزینه را فعال کردند. ۳۳٪ از این افراد کلمات عبور مستحکم ساختند و ۳۳٪ دیگرشان از کلمه عبور پیش فرض بدون تغییر استفاده کردند.
- سال سومی ها حدود دو برابر سال اولی ها کلمه عبورشان را در سایت مورد نظر ذخیره می کردند و کمتر از آنها کلمه عبورشان را تغییر می دادند و همچنین بیشتر از سال اولی ها از یک کلمه عبور برای چند حساب کاربری استفاده کردند.
نتیجه
[ویرایش]از آنجایی که کلمات عبور تنها یک بخش از مدیریت فناوری اطلاعات می باشد باید زمینه مهندسی اجتماعی و دیگر زمینه هایی که به ربودن اطلاعات کاربران معطوفند را در نظر گرفت و توجه مان علاوه بر پاسخ کاربران باید به به جمع آوری اطلاعات در زمینه های متنوع تری معطوف کنیم.تمامی اینها در کنار هم ابزاری سودمند در اختیارمان قرار می دهند تا علاوه بر اطلاع از شرایط موجود بتوانیم روند های مفید و بهینه جهت بهبود وضعیت، ایجاد و اجرا کنیم. همچنین برنامه آگاه سازی امنیتی کاربران فرآیندی است که تمرکزش بر تقویت رفتارهای مفید امنیتی افراد معطوف می باشد و باعث تاثیر مثبت عملکرد افراد در حوزه امنیت می گردد.
بررسی مداوم نتایج چنین ارزیابی هایی نشانگر این نکته مهم می باشد که ایجاد و اجرای فرآیندهایی که رفتار های امنیتی مفید کاربران را تقویت می کند، تا چه میزان با اهمیت می باشد.[۱]
منبع
[ویرایش]نویسنده
[ویرایش]نوشته شده توسط: ۸۷۲۳۱۶۶۴