عامل‌های انسانی در امنیت اطلاعات/فرد، فرهنگ و محیط امنیتی

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو
Gnome-go-last.svg Gnome-go-first.svg

عامل‌های انسانی در امنیت اطلاعات/فرهنگ فردی و محيط امنيت[ویرایش]

عامل‌های انسانی نقش مهمی در امنيت کامپيوتر ايفا می‌کنند. عامل‌هايي همچون تفاوتهای فردی، توانايي‌های شناختی و ويژگي‌های شخصيتی بر روی رفتار تاثير شديدی دارد. رفتارهای امنيت اطلاعات بسيار تحت تاثير درک ريسک فردی می‌باشد. همه اين عامل‌ها از فرهنگ سازماندهی و محيط امنيت که در آن رخ مي‌دهند، تاثير می‌گيرند. اين عامل‌ها با هم در تعامل می‌باشند و می‌توانند نتيجه‌بخش رفتاری باشند که اغلب برای امنيت اطلاعات زيان‌آور است. اين گزارش پيشنهاد می‌کند چگونه عامل‌های انسانی و فرهنگی باید از هم تاثیر بپذیرند تا رفتارهای مثبت را فراهم می‌کند و بسوي محيط اطلاعاتی امن‌تری راهبری نماید.

تاثير عامل‌های انسانی بر روی رفتار، موضوع حائز اهميتی می‌باشد. اين عامل‌ها مشتمل بر روش‌هايی که افراد تصميم‌گيری می‌کنند و گرايشات و ابتکاراتی که بر روی ادراک ريسک تاثير می‌گذارند، همچنين تاثيری که دانش و کنترل بر فرآيند تصميم‌گيری دارند، می‌باشد؛ اگر سطح دانش افراد محدود باشد، ممکن است که حجم عظيم ريسک امنيتی را درک نکنند. سطح کنترل افراد نيز دارای اهميت مي‌باشد؛ اگر افراد در انجام کارهايشان احساس کنند که کنترل می‌شوند، طوري رفتار می‌کنند که ريسک‌های بيشتری را متحمل شوند و توانايي‌هايشان را برای کنترل يک تهديد، تخمين بزنند. البته، نمی‌توان از تاثير تفاوت‌های فردی و عامل‌های اجتماعی چشم‌پوشی نمود. عامل‌های فردی و سبک‌های شناختی در تفاوت‌های ادراک ريسک شرکت مي‌کنند. معيارهای گروهی در تنظيمات اجتماعی گوناگون به اندازه زیادی بر اينکه چگونه افراد فقط ريسکی را درک مي‌کنند و نيز اينکه چگونه به آن واکنش نشان خواهند داد، تاثير می‌گذارد. مرتبط با اين موضوع تاثيرِ فضا و فرهنگ سازماندهی شده نيز يکي از عوامل می‌باشد.

فرهنگ سازماندهی به طور قابل توجهی متفاوت است. فرآيند اجتماعی کردن يا مجتمع سازی توسط کارمندان تجربه شده است که بازتابی از فرهنگ سازماندهی می‌باشد. فرهنگ همچنين می‌تواند با بکارگيری عامل‌های گوناگونی همچون رضايت شغلي، انگيزه، رهبري و تعهد تحت تاثير قرار گيرد. زيرفرهنگ‌ها همچنين غالبا بدون فرهنگ سازماندهی شده‌ای توسعه می‌يابند. همه اين عامل‌ها درهم پيچيده شده و بر روی گرايش‌ها، رفتارها و ارزش‌ها تاثير می‌گذارند. فرهنگ امنيت، جزئي از فرهنگ جمعی است. فضای سازماندهی شده مشابه فرهنگ سازماندهی شده می‌باشد و تحقيقات نشان داده است که ارتباط مثبت ميان فضای امن و رفتار کارمندی منجر به بهبود امنيت اطلاعات می‌شود.

يک نوع تهديد امنيتی در حال افزايش حمله‌‌های مهندسی اجتماعی می‌باشد. همه سازمان‌ها در حمله‌های مهندسی اجتماعی آسيب‌پذير هستند و از جمله آنها فيشينگ می‌باشد. حملات فيشينگ از طريق ايميل هماهنگ شده و اغلب با هدف اصلی مشاهده جزئيات کارت اعتباري و حساب بانکی و رمزهای عبور انجام می‌شود. برخي افراد بيشتر از ديگران مستعد اين حملات می‌باشند؛ تفاوت‌های فردی از قبيل خصيصه‌های شخصی از دلايل آنست. حملات فيشينگ ايميل و وب‌گاه‌هاي جعلی برای فريب در حال افزايش می‌باشند. آنها حقه‌های بصری را بکار می‌گيرند و بر اشتباه شاخص امنيتی جاری برای موفقيت تکيه می‌کنند. دفاع‌های متعددی در مقابل مهندسی اجتماعی می‌تواند برای کاهش تهديد استفاده شود که شامل اعمالی همچون استفاده از دستگاه‌های خردکننده کاغذ(shredder) در از بين بردن اطلاعات حساس، بکارگيری امنيت فيزيکی مناسب و اندازه‌گيري‌های امنيتی کامپيوتر و از همه مهمتر آموزش و پرورش و آگاهی کارکنان می‌باشد. از زمانيکه انسان‌ها هدف حملات مهندسی اجتماعی می‌باشند، آموزش يکی از بهترين دفاع‌ها می‌باشد. آموزش و پرورش بايستی مناسب شخص باشد، به طور مستمر تقويت و به طور کارا پياده‌سازی و به طور اختصاصی تاثير داشته باشد.

عامل‌های انسانی در امنيت اطلاعات مطمئنا نتايج پويا و پيچيده بسياری ارائه می‌نمايند. متغيرهای بسياری وجود دارند که نياز است که بایستی در نظر گرفته شوند، و اينکه نه تنها تفاوتهای فردی و تهديدات فردی وجود دارند بلکه تعاملات و تاثيرات فرهنگ و فضای سازماندهی شده نيز وجود دارند. انسان در امنيت اطلاعات مرجعی از يک لينک ضعيف امنيتی می‌باشد. رخنه کردن در امنيت اطلاعات به تعدادی روش متفاوت طبقه‌بندی می‌شود. خطای اشتباهات فردی از ديدگاه دو دانشمند سوآين و گاتمن، به پنج نوع متفاوت تقسيم می‌شوند که می‌تواند برای توصيف رخنه‌های امنيتی استفاده شود. نخست، انجام غفلت که افراد ضرورت انجام کاری ضروری را فراموش می‌کنند(مثلا تغيير دادن رمز عبور را فراموش کنند). دوم، خطاها نتيجه انجام فرمان‌هايی می‌باشد که افراد رويه و يا عمل نادرستی را اجرا می‌کنند (رمز عبور را در جايی می‌نويسند). سوم، تعدادی خطا نتيجه اعمال خارجی می‌باشند که کارهايی غير ضروری را در بر می‌گيرند. چهارم، خطاها، نتيجه اعمال ترتيبی می‌باشند که بعضی افراد آن‌ها را با ترتيب نادرست انجام می‌دهند و در نهايت، خطاهای زمانی که افراد نمی‌توانند وظيفه‌ای را در زمان موردنياز انجام دهند.

رفتار امنيتي همچنين می‌تواند با استفاده از دو عامل رده‌بندی شوند. همانند شکل زیر، شش رده امنيتی ايجاد می‌شود که دوتای آن رفتارها (تضمين آگاهی و حفظ صحت ابتدايی) مثبت هستند و برای افزايش امنيت طراحی شده اند و چهارتای ديگر رفتارها ممکن است در نتيجه شکاف امنيتی باشند.

تخريب عمدی اعمال به کارمند داخلی بدانديش مربوط می‌شود که آگاهی تخصصی تکنيکی و عمدی برای انجام زيان را داراست در حاليکه سوءاستفاده زيان‌آور کارمندانی که زيان عمدی با فقدان تخصص تکنيکی را انجام می‌دهند را هم در بر مي‌گيرد. تعميرکردن خطرناک رفتارهايی که تخصصهای تکنيکي نياز دارد را پوشش می‌دهد ولی هيچ عمدی در انجام زيان وجود ندارد که در نتيجه اشتباهات افراد بی‌تجربه می‌باشد.

در حقيقت، اشتباهات عامل‌های انسانی بصورت تصادفی تشريح می‌شوند. بنابراين، استفاده از تکنولوژي‌های امنيت اطلاعات، هميشه برای بهبود امنيت نمی‌باشد.

منابع[ویرایش]

پیوند به مقاله: دریافت منبع

--Soleimani89 ‏۳۰ اکتبر ۲۰۱۱، ساعت ۱۰:۵۰ (UTC)