عاملهای انسانی در امنیت اطلاعات/مدیریت موثر و سیاست در امنیت تجارت الکترونیک
مقدمه
[ویرایش]استفاده از اینترنت در سازمانها و شرکتها برای انجام فعالیتهای مختلف و کسب و کار در حال تبدیل شدن به یک جزء عمده از کسب و کار الکترونیکی میباشد.
سوء استفاده سهوی و عمدی از اینترنت توسط کارکنان داخلی و احزاب خارجی، همراه با اینترنت فزاینده و آسیبپذیر جهانی و کمبود مقررات اینترنت در زیرساختها، منجر به رویداد مشکل امنیت اینترنت برای سازمانها میشود.
در این مقاله به گزارش یافتههای عمدهای از مطالعات سالها که شامل اکتشافات قابل توجهی از امنیت تجارت الکترونیکی از طریق شش روش مطالعه در مورد پنج سازمان متوسط تا بزرگ میپردازیم که توسط تمرکز گروهی از رهبران صنعت صورت گرفته است. نتایج تحقیقات شامل یک چارچوب کلی سیاست امنیتی برای تجارت الکترونیکی است.
این تحقیق همچنین بر اهمیت مسائل و نیاز انسان به تغییرات در شیوههای جاری مدیریت و سیاست امنیت تجارت الکترونیکی تاکید دارد.
مدیریت مسائل امنیتی
[ویرایش]استفاده گسترده از کسب و کار الکترونیکی نگرانیهای امنیتی سازمانی جدی و جدیدی را با خود به همراه آورده است. سیاست ها، ساختارها، استانداردها و دستورالعملهای مدیریتی دیگر هستند که به عنوان منتقد در مدیریت مسائل امنیتی داخلی کسب و کار الکترونیکی از قبیل سوء استفاده کارکنان و سوء استفاده از اینترنت، که در کنترل عاملهای انسانی تعیین کننده هستند، به کار گرفته میشوند.
پس از اتمام این پروژه، ما سیاستهای امنیت اینترنت را که از آن در این پروژه به عنوان یک درمان یاد شده به رسمیت شناخته و در واقع، به نام سیاستهای امنیت کسب و کار الکترونیکی می شناسیم، که در اکثر سازمانها و شرکت ها امری ضروری و جزو قواعد اولیه است.
نگرشی کلی در خصوص ساختار خط مشی امنیت کسب و کار الکترونیکی از نیازهای اساسی این مبحث می باشد. در این تحقیق سعی شده است با برجسته سازی اهمیت پیامد های انسانی و اعمال تغییرات مورد نیاز در مدیریت امنیت اطلاعات و سیاست گذاری های پذیرش کسب و کار الکترونیکی ( که معمولا توسط بسیاری از سازمان ها پذیرفته شده است) نگرانی های جدید را که در سازمان ها به وجود آمده است ، رفع نماید. بطور کلی در این تحقیق نشان داده شده است که نمی توان بطور قاطع عامل های انسانی را در استفاده از اینترنت کنترل نمود و سعی شده تا سیاست ها و روندهایی که برای کنترل مخاطرات بیشتر موثر هستند را تنظیم کرد. در نهایت سازمان ها سیاستی را به عنوان (internet acceptable usage policy ) IAUP یا سیاست پذیرش استفاده از اینترنت را تنظیم می نمایند تا یک چهارچوب برای راهنماهای استفاده و روند کنترل و مدیریت در کسب و کار الکترونیک تدوین نمایند. عواملی که در تدوین سیاست های امنیتی موثر هستند و در حقیقت نگارنده سیاست های امنیتی شامل عوامل زیر می باشد:
- مدیر شبکه Network administrator
- مدیر امنیت Security manager
- کاربران پیشرفته Technical experts
- کارفرما Employer
- و یا شرکای تجاری Participants
همچنین چهارچوب اصلی در سیاست گذاری های امنیتی در نهایت به تدوین سه مجموعه ذیل ختم می گردد:
- مجموعه ای از عواملی که در هنگام توسعه سیاست در نظر گرفته می شوند.
- روش توسعه سیاست گذاری
- چهار چوب برای محتوای سیاست ها
مجموعهای از انواع خطرات اینترنت
[ویرایش]ارتباط ریسک (ارتباط مخاطره) یک زمینه رشد یافتهاست که تحقیقات زیادی به ویژه در مورد سلامتی و بلایای طبیعی در خصوص آن انجام گرفتهاست. ارتباط ریسک فرآیندی است که در آن چگونگی تغییر اطلاعات در مورد یک ریسک بررسی میشود. این فرآیند و هدف آن میتواند در ۳ زمینه تقسیم شود:
- استفاده از اینترنت برای مقاصدی غیر از کسب و کار
- کدهای مخرب
- اشتباهات نرمافزاری
- محرومیت از خدمات و یا فعالیتهایی که سرویسدهی سازمان را در بخش مورد نظر خود سلب می نماید.
- تراکنشهایی که به اشتباه درون سیستم توسط کاربران ثبت می شوند.
- تقلب توسط کاربران
- تبلیغات نادرست (به عنوان مثال email شخصی یک کاربر که به اشتباه دیدگاه رسمی شرکت تلقی می شود)
- ایمیل نامناسب (برای مثال، اذیت و آزار از طریق ایمیل)
- دادههای با کیفیت پایین (برای مثال، شرکت و در حقیقت بخش روابط عمومی آن از اطلاعات ناکافی و کم برای اهداف کسب و کار خود درون سایت شرکت استفاده می نمایند)
- رسانه های سرقت شده
- سرقت اطلاعات (به عنوان مثال، از طریق رهگیری)
- افشای تصادفی (به عنوان مثال، نشت اطلاعات محرمانه کسب و کار از طریق پست الکترونیک شرکت).
این خطرات با سایر عوامل موثر در سیاستهای امنیت کسب و کار الکترونیکی مرتبط هستند. از این رو در ساختار امنیت کسب و کار الکترونیکی خود را در یک مسیر با مدل پیشنهادی سیاست مربوطه قرار میدهند.
مسائل انسانی
[ویرایش]مسایل انسانی که بر روی خط مشیها تأثیر میگذارد به طور کل شامل موارد ذیل میباشند:
- آزادی استفاده از اینترنت: که تحقیقات نشان میدهد ۸۰٪ کاربران تمایل دارند در محل کار خود از اینترنت استفاده نمایند.
- حریم خصوصی: انتظارات کاربران برای حفظ حریم خصوصی خود (مشخصا برای email) عملاً امکان دخالت و یا مانیتورینگ را در این بخش دشوار ساخته و هنوز مکانیزم مشخصی برای کنترل ریسک کسب و کار از طریق خطرات ایمیل نمیتوان یافت.
- اعتماد: تحقیقات نشان میدهد کاربران انتظار دارند تا شرکتهای آنها در دسترسی آنها و رفتار ایشان اعتماد داشته و سیاستهای کمتری را در این خصوص اعمال نماید.
سایر عوامل انسانی مؤثر در این بخش شامل: مانیتورینگ مدیر شبکه و امنیت و نظارت و کنترل دسترسی و سیستم ثبت وقایع میباشد. این سیستمها به مدیر سیستم کمک میکند تا پاسخگویی کاربران را در برابر اعمالشان بالا برده و از طریق احراز هویت و انکارناپذیری مسئولیت رفتار ایشان را در این خصوص برایشان اثبات نماید. کلیه مسایل فوق سبب میشوند تا تدوین خط مشی امنیتی در سیاستهای یک سیستم مبتنی بر نیازهای یک سازمان و با در نظر گرفتن کلیه عوامل تاثیرگذار در سیستم باشد.
راهکارها
[ویرایش]ریسک نتایج ارزیابی با در نظر گرفتن عوامل دیگر در سیاست امنیتی اینترنت در رابطه هستند، نمای کلی محتوا برای سیاست های امنیت کسب و کار الکترونیکی، و سیاست های مختلف سازمانی مانند کد شرکت به منظور تعیین سیاست امنیتی کسب و کار الکترونیکی در نظر گرفته می شود. از این رو، در حال حاضر یک رویکرد چند وجهی مورد نیاز است، که شامل:
- توسعه سیستم های بسیار امن.
- توجه به مسائل مهم بشر در ارتباط با نحوه استفاده و امنیت اینترنت.
- کارکنان پاسخگو برای اقدامات خود از طریق سیاست های مناسب، فعالیتهای آگاهانه ، نظارت و تحریم.
- به حداقل رساندن تکیه بر اقدامات و رفتار کارکنان از طریق به کارگیری قدرتمند نرمافزارهای امنیتی مدیریت اینترنت.
پیشنهاد
[ویرایش]ما چارچوب را برای سیاستهای امنیت کسب و کار الکترونیکی ارائه دادهایم، این برنامهها شامل یک مدل از عوامل در امنیت کسب و کار الکترونیکی و یک ساختار برای سیاستهای امنیت کسب و کار الکترونیکی است.
نتیجه گیری
[ویرایش]نیاز به منابع مناسب، زیرساخت های امنیتی رسمی سازمانی کسب و کار الکترونیکی، برنامه جامع امنیت تجارت الکترونیک مدیریت حاوی طیف وسیعی از عناصر هماهنگ از جمله: سیاست های امنیت کسب و کار الکترونیکی (سیاست های قابل قبول استفاده از اینترنت)؛ سیاست های در حال انجام آموزش و پرورش و سطوح آگاهی؛ نظارت؛ رعایت و همکاری فرایندهای رسمی که در مواردی برگرفته از عدم همکاری است.
منابع
[ویرایش]عنوان انگلیسی:
effective management and policy in E-business security
عنوان فارسی: مدیریت موثر و سیاست در امنیت تجارت الکترونیک