عاملهای انسانی در امنیت اطلاعات/تحلیل رفتارهای امنیتی عاملهای انسانی
|
|
طی دهه های اخیر اغلب سازمانها برای عملیات داخلی مانند ثبت مستندات، تراکنش های خارجی مانند تعاملات و انتقالات مالی و یا برقراری هر گونه ارتباط از قبیل پست الکترونیکی و ... به فن آوری اطلاعات وابسته شده اند. نکته ی جالب توجه این است که اکثر سازمان ها نگران آسیب پذیری از جانب تهدیدهای خارجی هستند، اما تحقیقات نشان می دهد که نسبت قابل توجهی از این مشکلات امنیتی ریشه در داخل سازمان ها دارد. براساس آمار منتشر شده در مجله Security Wire Digest در سال 2000 فقط با احتساب سازمانهای آمریکا، خسارت های حاصل از قانون شکنی های امنیتی به طور تقریبی 20 میلیارد دلار در سال تخمین زده شده است.
یکی از تدابیر سازمانی که می تواند در این زمینه موثر واقع شود، بررسی عادتهای رفتاری عامل های انسانی است که به منابع اطلاعاتی سازمان دسترسی دارند یا اطلاعات را مدیریت و نگهداری می کنند.
نگاهی کلی به امنیت اطلاعات و عادات رفتاری عامل انسانی[ویرایش]
بخش اعظمی از تحقیقات در زمینه امنیت اطلاعات، بر الگوریتمها، روشها و استانداردها تاکید دارد که سه عامل پایه محرمانگی، صحت و دسترسپذیری در امنیت اطلاعات را پشتیبانی می کنند.
علاوه بر این تحقیقات پایه ، بر روی عامل های انسانی نیز پژوهش هایی صورت گرفته است تا واسط کاربری در سیستم امنیتی تا حد امکان ساده و کاربردی باشد. همچنین بسیاری از محققین مفاهیم تئوری در رابطه با چگونگی تاثیر رفتار عامل های انسانی بر امنیت اطلاعات را مطرح کرده اند.
در اين مقاله به موضوع «تهديد درون سازمانی» براي امنيت اطلاعات ، توجه شده است. منظور از تهديد درون سازماني، خرابكاري عمدي، رفتارهاي غير قانوني و يا غير اخلاقي است که توسط افرادي صورت می گیرد که به منابع اطلاعاتي سازمان دسترسي دارند.
در ادامه فعالیت های انجام شده جهت فهرست بندی، توصیف، سازماندهی و تجزیه و تحلیل برخی از رفتارهای عامل انسانی در سازمانها ارائه می شود.
دسته بندی عادات رفتاری عامل های انسانی در امنیت اطلاعات[ویرایش]
عادتهاي رفتاري امنيتي را می توان از دو جنبه قصد (نیت) و دانش فنی به 6 گروه، تقسیم کرد . ازجنبه قصد و نيت، رفتار انجام شده از سه منظر مورد ارزيابي قرار مي گيرد:
۱) رفتارعمدي که با قصد خير صورت گرفته است
۲) رفتار عمدي که با قصد سوء صورت گرفته است
۳) حالتي ما بين اين دو بوده است (يعني انگيزه صريحي براي سود يا زيان رساندن وجود ندارد). در بعد دانش فني، رفتار فرد ازجهت میزان دانش وی در زمینه کامپیوتر و فناوری اطلاعات جهت بروز چنین رفتاری مورد بررسی قرار میگیرد.
جدول 1، 6 گروهي را كه با توجه به اين دو جنبه تنظيم شده است را نشان مي دهد. همانطور كه مي بينيد در دسته بندی گروههاي این جدول، مي توان گفت «اطمينان بخشي آگاهانه» به رفتارهای امنیتی كه از كاربران آموزش ديده سر مي زند اشاره دارد در حاليكه «کاربرد زیان آور» به رفتارهاي نامناسب و از روي عمد افراد غيرمتخصصی اشاره دارد كه از منابع اطلاعاتي به شيوه ای نادرست استفاده مي كنند.
مثالی که در زمینه «اطمینان بخشي آگاهانه» می توان بیان کرد، عبارت است از یک برنامه نفوذي که روی دسکتاپ یک کاربر ماهر هنگامی که در حال جستجوی علت فعالیت غیرعادی هارد کامپیوتر خود میباشد، شناسایی می شود. در مورد «کاربرد زیان آور» نیز می توان کارمندی را مثال زد که از آدرس ایمیل شرکت برای اسپم کردن همکاران خود در شغل دومش استفاده میکند.
| مهارت | قصد | عنوان | شرح |
|---|---|---|---|
| زیاد | بدخواهي | تخريب عمدي | رفتاري كه به مهارت بالا همراه با انگيزه منفي براي ضرر زدن به سازمان نياز دارد. مثال: كارمندي كه به فايلهاي محرمانه كارفرما به صورت غیر مجاز دسترسی پیدا کرده تا از اسناد تجاري سوء استفاده کند. |
| کم | بدخواهي | كاربرد زيان آور | رفتاري كه به مهارت كم اما انگيزه منفي (آزاررساني، بي نظمي، قانون شكني) براي ضرر به سازمان نياز دارد. مثال: استفاده از ايميل شركت براي اسپم كردن پيغامهاي شركت هاي تجاري دیگر |
| زیاد | بي طرف | سرك كشيدن زیان بار | رفتاري كه به مهارت بالا نياز دارد ولي انگيزه اي براي ضرر زدن وجود ندارد. مثال: كارمندي كه با كانفيگ كردن يك شبکه بی سیم، به صورت غیر عمدی امكان دسترسي به شبكه شركت را ايجاد مي كند. |
| کم | بي طرف | خطاهاي ساده | رفتاري كه به مهارت كم نياز دارد ولی انگيزه واضحي براي ضرر رساني به سازمان وجود ندارد.مثال: انتخاب پسورد نامناسب |
| زیاد | خيرخواهي | اطمينان بخشي آگاهانه | رفتاري كه به مهارت فني بالا همراه با انگيزه مثبت براي محافظت از اطلاعات سازمان نياز دارد. مثال: كارمندي كه هنگام بررسي دقيق سيستم خود متوجه يک برنامه نفوذي مي شود. |
| کم | خيرخواهي | بهداشت رفتاري | رفتاري كه به هيچگونه تخصص نياز نداشته اما در آن به وضوح انگيزه مثبت براي حفاظت از اطلاعات سازمان وجود دارد. مثال: يك كارمند ماهر و آموزش ديده از گفتن رمز خود حتی به مسئول مربوطه خودداري مي كند. |
بررسی های متخصصین نشان می دهد که بسیاری از عادات رفتاری، شامل «خطاهای ساده» است (مثلا قرار دادن شماره بیمه به عنوان پسورد) که بیشتر نشان دهنده عدم آگاهی از اصول امنیت اطلاعات است تا ضرر زدن از روی عمد.
نظرسنجی از خطاهای امنیتی ساده در سطح ملی[ویرایش]
این نظر سنجی در ابتدا مشخص کرد که میزان تاثیر عادات رفتاری بسته به نوع سازمان و عملکرد بهتر سازمانهایی که رسالت آنها به حفظ امنیت اطلاعات بسیار وابسته است، تغییر می کند. دوم اینکه بر طبق دسته بندی رفتارهای امنیتی کاربران ، مکانیزمهای گوناگونی می تواند در جابجایی عادات رفتاری عامل های انسانی از رده خطاهای ساده به رده بهداشت رفتاری کمک کند.
جمع بندي[ویرایش]
یکی از اهداف این مقاله، تبدیل یک فهرست ابتدایی از عادات رفتاری امنیت محور به یک دسته بندی قابل کنترل و دارای ابعاد شناختی و کاربردی است. در این مرحله مطمئن هستیم که اکثر عادات رفتاری امنیت محور کاربران که در سازمان ها می تواند رخ دهد در دسته بندی 6 گروهی ذکرشده قرار میگیرد. آنچه در این بررسی رفتاری ترسیم کرده ایم، الگویی برای سازماندهی عادات رفتاری است نه برای توصیف شخصیت افراد. بنابراین، اکثر کارکنان و مدیران ممکن است عادات رفتاری متفاوتی در شرایط مختلف از خود نشان دهند.
همچنين معتقديم يك ويژگي مهم در اين طبقه بندي و نظرسنجي اين است كه روش های خاصی را می توان به منظور بهبود وضعيت امنيتي سازمانها، پيشنهاد کرد. به طور كلي هرگونه پاداش يا ایجاد انگيزه كه بتواند به صورت آگاهانه باعث جابه جایی نمودار به سمت محور خيرانديشي شود، وضعيت امنيتي سازمان را بهبود می بخشيد.
به هر حال ، به استثنای كارمنداني كه نسبت به سازمان بدانديشي دارند، فراهم سازي زمينه هاي آموزشي و شيوه هاي افزايش مهارت ها، برای عموم کارمندان مسلما به نفع امنيت اطلاعاتي سازمان خواهد بود.
عنوان انگلیسی مقاله[ویرایش]
Analysis of end user security behaviors
منابع[ویرایش]
پیوند به مقاله : دریافت مقاله اصلی
T90131508 27اکتبر ۲۰۱۱، ساعت 06:40 (UTC)