پرش به محتوا

عامل‌های انسانی در امنیت اطلاعات/نقش عامل‌های انسانی در امنیت اطلاعات: چارچوبی برای عوامل انسانی در امنیت اطلاعات

ویکی‎کتاب، کتابخانهٔ آزاد

مقدمه

[ویرایش]

هر سیستم امنیتی بدون توجه به چگونگی طراحی و اجرا مجبور خواهد بود به افراد تکیه کند این مساله واقعی که عوامل انسانی نقش حیاتی را در اکثر حوادث بازی می کنند بسیار نگران کننده می باشد. مساله این است که عوامل انسانی چگونه این دانش فنی را بدست می آورند. راه حل های بسیاری برای امنیت سیستم ها تاکنون بررسی شده است ولی هنوز نقش عامل های انسانی به درستی بررسی نشده است هدف از این مقاله درک بهتر از نقش عامل های انسانی در امنیت اطلاعات می باشد.

امنیت اطلاعات شامل افراد و تکنولوژی می باشد در واقع عوامل انسانی نقطه ضعف امنیت اطلاعات می باشند. Schneier در سال 1994 کتابی با عنوان «کاربرد رمزگذاری»ارائه کرد که در آن استدلال‌های بسیار قوی را در بحث امنیت ارائه کرده بود اما ۶ سال بعد در کتاب «امنیت اطلاعات در شبکه جهانی»ادعا های قبلی خود را به کل لغو کرده و می گوید:«اگر شما فکر می کنید بوسیله تکنولوژی مشکلات امنیتی خود را حل کرده اید پس شما درکی از این مشکلات و تکنولوژی نداشته اید زیرا انسان و تکنولوژی هیچکدام نمی توانند مشکل عوامل انسانی را در امنیت حل کنند.»

با توجه به اینکه در 80-90% اتفاقات در سازمان ها تقصیر با عوامل انسانی می باشد لذا باید دید که چرا این حوادث اتفاق می افتد. درواقع همانطور که برای رسیدن به تکنولوژی از رفتار انسانها الگو برداری شده است برای بحث امنیت نیز باید عملکرد و بازخور رفتار انسان بررسی گشته و الگو های رفتاری از آنها تهیه گردد. مطالعات تجربی نشان می دهد شرایط محیط کار و رفتار انسانی در امنیت سیستم های کامپیوتری نقش به سزائی را ایفا می‌کنند .

متدولوژی

[ویرایش]

برای بررسی رفتار عوامل انسانی باید سیستم های مبتنی بر بازخورد طراحی شود که بتواند تغییرات سریع ، تاخیر های زمانی ،فاکتورهای نرم افزاری و سایر جنبه های غیر متعارف را در نظر گرفته و مدیریت کند به چنین سیستم هایی سیستم های داینامیکی گفته می شود .اصل اساسی در یک سیستم داینامیکی این است که یک انسان نباید دراین سیستم مدل شود زیرا مشکلات سیستم بر اساس الگو های رفتاری شخص سنجیده می شود .

انطباق رفتار انسان با سیستم داینامیکی

[ویرایش]

عملکرد رفتار های انسانی باید در سیستم منطبق گردد و نباید به صورت مدل درآورده شود. عوامل بسیاری بر این انطباق موثر می باشد به عنوان مثال فاکتورهای مانند هزینه،منفعت ،پیش بینی مطالبات شخصی و ضررها ، تعارض بین اهداف شخصی و دولتی و...بر این انطباق تاثیر می گذارند.

وقوع خطرات نباید به اقدامات ضد خطر موکول شود

[ویرایش]

خطر ها همواره طبق روتین اتفاق نمی افتند بنابراین باید آمادگی پذیرش خطردر هر زمان را دارا بود .

شناسائی علت رفتارهای عامل های انسانی

[ویرایش]

انسانها معمولا اقدامات امنیتی را تا زمانی که آسیب جدی برایشان پیش نیاید به انحام نمی رسانند حال این سوال پیش می آید که چرا باید امنیت در دست افراد با حالات روحی متغییر و غیر قابل پیش بینی باشد مضاف بر اینکه این افراد برای محافظت از سیستم ها با توجه به سطح دانش خود اقدامات امنیتی را انجام می دهند .لذا برای مقابله با این مشکلات نیاز به یک مدل مرجع برای سیستم های امنینی داریم.

نتیجه گیری

[ویرایش]

چون سیستم های امنیتی نیاز به مدیریت منطبق با ماهیت انسانی دارند لذا نمی توان به آنها به خوبی تکیه کرد و در آینده باید راه‌حل‌های تکنولوژی برای ایجاد امنیت به طور خودکار البته منطبق با رفتارهای انسانی طراحی گردد که در آنها کلیه عوامل شامل افراد، تکنولوژی و محیط کار نقش داشته باشند.

منابع

[ویرایش]