عامل‌های انسانی در امنیت اطلاعات/نقش عامل‌های انسانی در مدیریت مخاطره نرم‌افزار

Human Factors in Software Security Risk Management

مقدمه

امروزه بسیاری از انسان‌ها در سراسر جهان به نحوی با نرم‌افزارها سر و کار دارند؛ چه در منزل و چه در محل کار. بنابر نیازها روز به روز این نرم‌افزارها پیچیده تر و می‌گردند و در هم‌زمان با آن سرعت نقل و انتقال داده‌ها نیز با استفاده از شبکه‌های پرسرعت، بیشتر می‌گردد. یکی از مشکلات و مسایل مهمی که همواره در زمینه استفاده از نرم‌افزارها و شبکه‌ها وجود دارد، وجود نقص‌های امنیتی است و یکی از بزرگ‌ترین منابع بروز چنین نقص‌هایی که سرمنشأ بسیاری از مخاطرات می‌باشند، اشخاصی هستند که در مراحل طراحی، توسعه، مدیریت و استفاده از نرم‌افزار دخالت دارند.

متن

برای شناسایی و کنترل و ترمیم نقص‌هایی که موجب وجودآسیب پذیری در سیستمهای مبتنی بر رایانه و اطلاعات شده و متعاقب آن تهدید و مخاطره بروز می‌نمایند، نیاز به مدیریت مخاطره می‌باشد که باید با رویکردی جامع شامل موارد زیر - با توجه به فناوری‌ها و محصولات- صورت پذیرد:
• مخاطرات ناشی از فناوری‌ها و محصولات در اختیار گرفته شده (جهت استفاده)
• مخاطرات ناشی از فرایند توسعه و مدل‌های طول عمر نرم‌افزار
• متدلوژی‌های مدیریت مخاطره نرم‌افزار و
• مخاطرات ناشی از انسان‌ها و سازمان‌های درگیر (در استفاده از نرم‌افزار و فناوری‌های مربوطه)
از دید معیار و بُعد انسانی، افراد به چهار صورت می‌توانند در توسعه نرم‌افزار نقش ایفا نمایند:

شخص،

تیم،

مدیریت و

سهام دار/طرف ذی‌نفع.

می‌توان اثرات این چهار دسته را در دو گروه اصلی جای داد:

گروه اول: شخص و تیم،

گروه دوم: مدیریت و سهام دار.

در گروه اول فاکتورهایی از قبیل مهارت، تجربه، تلاش و وفاداری شاخص هستند و در گروه دوم فاکتورهایی از قبیل دستورالعمل‌های مدیریتی، سیاست‌ها، ارتباطات و تأمین منابع شاخص می‌باشند. از دید معیار و بُعد سازمانی نیز ساختار و ثبات سازمانی، ارتباطات، بلوغ، امکانات و غیره شاخص می‌باشند هکرها، نفوذ گران و نویسندگان بد افزار معمولاً از آسیب پذیری‌هایی استفاده می‌نمایند که منشاء ان عوامل انسانی می‌باشند به عنوان نمونه کارمندی که در محل کار خود از نرم‌افزاری استفاده می‌نماید که دارای حفره‌ها و نقص‌های امنیتی بسیاری می‌باشد و یا کاربری که نرم‌افزار آنتی ویروس خود را به روز نمی‌نماید و یا کاربری که از رمز عبور مناسبی استفاده نمی‌نماید. این مسأله ممکن است ریشه‌ای‌تر باشد یعنی به عنوان نمونه وجود سیاست امنیتی ضعیف در سازمان، مدیریت ضعیف در زمینه پیشگیری از مخاطرات، استفاده از کنترل‌های نامناسب، عدم آگاهی رسانی مناسب در زمینه تهدیدات و موارد دیگر. تمامی مواردی که ذکر شدند با هم ارتباط تنگاتنگی دارند که فرایند مدیریت مخاطره امنیت نرم‌افزار نیز ته تنها بی‌تأثیر از عوامل انسانی نمی‌باشد بلکه بسیار هم تحت تأثیر آن قرار دارد. این فرایند، فرآیندی است که در برگیرنده فعالیت‌ها به صورت مرحله به مرحله، از جمله تعیین دارایی‌ها، تعیین مخاطره، اندازه‌گیری مخاطره، تعیین کمیت و برآورد پیامد مخاطره، گزارش و تخفیف مخاطره از اولین فازهای توسعه نرم‌افزار می‌باشد. محصول نرم‌افزاری که چنین فرآیندی را با موفقیت طی نموده و به مرحله تولید برسد می‌تواند در زمان تعیین شده عرضه شده و از هزینه‌های جانبی و اضافی پیشگیری شود. طبیعی است که نقش عوامل انسانی در سراسر این فرایند بسیار مهم و تعیین کننده می‌باشد.^[۱]

منبع

↑ Shareeful Islam, Wei Dong,” Human Factors in Software Security Risk Management”, ICSE’08 International Conference on Software Engineering, Leipzig, Germany, May 10-18;2008

دانلود اصل مقاله

https://mailserver.di.unipi.it/ricerca/proceedings/ICSE2008/lmsa/p13.pdf

--Hayeri ‏۲۵ اکتبر ۲۰۱۱، ساعت ۱۰:۰۱ (UTC)

[1] Shareeful Islam, Wei Dong,” Human Factors in Software Security Risk Management”, ICSE’08 International Conference on Software Engineering, Leipzig, Germany, May 10-18;2008

[۱]