عوامل انسانی مرتبط در امنیت سیستم های اطلاعاتی
امنیت اطلاعات یک مسأله حیاتی است و امروزه سازمان ها در سراسر دنیا با آن روبه رو هستند. امنیت سیستم های اطلاعاتی 1 هم فناوری و هم افراد (عوامل انسانی) را در بر می گیرد. در بیشتر تحقیقاتی که در زمینه امنیت سیستم های اطلاعاتی صورت گرفته؛ یک نوع دید و رویکرد فنی وجود داشته است. پژوهش حاضر در راستای الگوی جدیدی است که آن را "مسأله انسانی" و"مسأله سازمانی" می نامند. این الگو بر "امنیت اطلاعات رفتاری" تمرکز دارد و در آن بر این نکته که کاربران و در کل عوامل انسانی، ضعیف ترین و سست ترین عنصر آسیب پذیر در مدل های امنیت سیستم های اطلاعاتی مطرحند تأکید می شود. در این پژوهش با در نظر گرفتن اهمیت امنیت، برای سازمان های امروزی، یک مدل مدیریتی برای بررسی نقش عوامل انسانی در امنیت سیستم های اطلاعاتی ارائه می شود. هدف این پژوهش، به طور خاص شناسایی عوامل مدیریتی حیاتی و اساسی مؤثر بر اثربخشی امنیت سیستم های اطلاعاتی است. در این راستا، سازه های "حمایت مدیریت عالی، آموزش امنیتی، فرهنگِ امنیتی، مهارت امنیتی، تقویت خط مشی امنیتی، تجربیات و خودباوری افراد" به عنوان فاکتور های مؤثر بر اثربخشی امنیت سیستم های اطلاعاتی معرفی می شوند.
مقدمه
در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می کند و حفاظت از اطلاعات و سیستم های اطلاعاتی سازمان، یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد، باعث ایجاد رقابت در سطح جهانی شده است و بسیاری از شرکت ها برای ادامه حضور خود در عرصه جهانی، ناگزیر به همکاری با سایر شرکت ها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان (چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم است.
با توجه به اقتصاد های ملی مدرن که کاملاً برای بقا به فناوری اطلاعات 1 وابسته شده اند، امروزه نیاز به امنیت اطلاعات وسیستم های اطلاعاتی اجتناب ناپذیر است. طبق این شرایط نیاز به حمایت از اطلاعات و کاهش ریسک نسبت به قبل بسیار مهم تر و برجسته تر شده است. بررسی های ملی متعدد، تعداد زیادی از حملات به منابع اطلاعاتی سازمان را تطبیق داده اند. بین سال های 1998 و 2003 ، تعداد حوادث گزارش شده به " تیم پاسخ به شرایط اضطراری کامپیوتری آمریکا، تقریباً هر سال دو برابر شده است، که باید به آن تعداد 529137 حادثه ای را که تنها در سال 2003 گزارش شده نیز اضافه کرد. بر طبق تحلیل ارنست و یانگ، حوادث امنیتی برای هر رخداد می تواند هزینه ای بین 17 و 28 میلیون دلار برای شرکت ها داشته باشد. از آن جا که حوادث، مکرر و هزینه بر هستند، مدیریت باید امنیت را به صورت جدی مورد توجه قرار دهد تا بتواند اطلاعات و سیستم های اطلاعاتی سازمانی را حفظ و حمایت کند.
در سال 1980 ، مجله ام ای اس نتایج یک بررسی مسایل کلیدی را که به تعدادی از اعضای جامعه مدیریت اطلاعات 2 و یک گروه از مدیران اجرایی فناوری اطلاعات داده شده بود، منتشر کرد. طی دهه 1980 امنیت به عنوان یک مسأله رده پایین رتبه بندی شد و هرگز رتبه ای بیشتر از 12 کسب نکرد. در بررسی 1994 امنیت کاملاً از لیست 20 مسأله بالا جدا شد. با وجود این در بررسی ای که در سال 2003 انجام شد، امنیت و حریم خصوصی نوسان زیادی پیدا کرد تا جایی که در میان شرکت کنندگان در این بررسی به عنوان سومین مسأله با درجه اهمیت زیاد شناسایی شدند.
مدیران اجرایی IT امروزه امنیت را به عنوان یکی از مسائل عموده خود می بینند. امنیت اطلاعات و سیستم های اطلاعاتی یک مسأله حیاتی است که امروزه سازمان ها در سراسر دنیا با آن روبه رو هستند. معمولاً در تعاریف امنیت سیستم های اطلاعات، سه مؤلّفه به عنوان مبانی اصلی اثربخش در امنیت اطلاعات معرّفی می شوند:
- قابلیت اعتماد: اطمینان یافتن از اینکه اطلاعات تنها برای آنهایی که مجاز به دستیابی اند، در دسترس است.
- تمامیت (انسجام): محافظت کردن از درستی و کامل بودن اطلاعات و روش های پردازش.
- در دسترس بودن: اطمینان یافتن این که کاربرانِ مجاز، به هنگام نیاز، به اطلاعات و دارایی ها دست می یابند.
دستیابی به این فاکتور ها را اثربخشی امنیت سیستم های اطلاعاتی می نامند. به مسأله امنیت اطلاعات نیز از جنبه ها و زاویه های گوناگونی نگاه می شود. امنیت سیستم های اطلاعاتی را می توان از دو جهت بررسی کرد که عبارتند از: فناوری و افراد. تاکنون بیشترین تحقیقاتی که در زمینه امنیت سیستم های اطلاعاتی (ISS) انجام شده، در زمینه مسائل فنی و تاکتیکی بوده است و در نتیجه نگرش و دیدن ISS به عنوان یک مساله فنی بر تحقیقات و تمرین های تحقیقاتی ISS تسلط داشته است.
عوامل انسانی و امنیت سیستم های اطلاعاتی
گونزالز عامل انسانی را به عنوان پاشنه آشیل امنیت اطلاعات معرفی کرده است. IBM بیان کرده است که سال 2006 ضمن این که حملاتِ کوچک تر، متمرکز تر و پنهان کارانه تری به سیستم های اطلاعاتی سازمان ها صورت خواهد گرفت، کانون توجه نفوذ گران، "سهل انگاری و ساده اندیشی کاربران" خواهد بود. به گفته دیوید ماکی، رئیس بخش آگاهی شرکت کامپیوتری آرمونک، "کاربر" همچنان به عنوان سست ترین عنصر آسیب پذیر در مدل های امنیتی، مورد سوء استفاده قرار خواهد گرفت. در سال 2004 دو محقق، مقاله ای با عنوان "ده خطای مهلک مدیریت امنیت سیستم های اطلاعاتی" را منتشر کردند. در این مقاله ده خطای زیر به عنوان خطا های مهلک ISS ذکر شدند و بیان شد که حتی اگر یکی از این جنبه ها نادیده گرفته شود و یا به درستی مورد توجه قرار نگیرد، مشکلاتی جدی در حفظ یک برنامه ISS وجود خواهد داشت. قسمت عمده ای از این خطا ها مبتنی بر عوامل انسانی و مسائل مربوط به آنها می باشد.
همچنین در سال در 2006 مقاله ای با عنوان "امنیت اطلاعات، موج چهارم" به بررسی چهار موج امنیت اطلاعات تا کنون پرداخته شده است. موج اول موج فنی بود که به راه حل های فنی ارائه شده برای مسائل امنیتی مربوط می شد. دومین موج بیان می کرد که امنیت اطلاعات بعد مدیریتی قوی ای دارد. آن ابعاد مانند خط مشی و در گیری مدیریت بسیار مهم اند. موج سوم از یک نیاز برای داشتن فرمی از استاندارد کردن امنیت اطلاعات در شرکت و جنبه هایی مانند بهترین تمرین های مدیریتی، تأیید یک فرهنگ مناسب امنیت اطلاعات و اندازه گیری و نظارت امنیت اطلاعات تشکیل شده است. موج چهارم نیز درباره توسعه نقش قطعی چگونگی اداره امنیت اطلاعات است.
همه موارد یاد شده باید با هم کار کنند تا این اطمینان حاصل شود که قابلیت اعتماد، تمامیت و در دسترس بودن دارایی های اطلاعاتی شرکت، در همه زمان ها، حفظ شده است.
همانطور که ملاحظه می شود، در اینجا نیز، از موج اول به بعد، مباحث مدیریتی در امنیت اطلاعات نمایان تر شده است و بر اساس جدید ترین موج امنیت اطلاعات که به تازگی متتشر شده است، نقش مدیریت عالی، آموزش و آگاهی کاربر و خط مشی امنیتی به عنوان مبانی اصلی آن ذکر شده است.
به تازگی یک الگوی جدید در زمینه امنیت اطلاعات به وجود آمده است که به آن در مقام یک "مسأله انسانی" و یک "مسأله سازمانی" توجه می شود. امروزه به نظر می رسد، موفقیت امنیت اطلاعات تا حد زیادی به رفتار اثربخش کاربران وابسته است. رفتار های درست و سازنده توسط کاربران، مدیران سیستم و افراد دیگر می تواند اثر بخشی امنیت اطلاعات را تا حد زیادی بالا ببرد؛ در حالی که رفتار های نادرست و مخرب، در حقیقت می تواند مانع اثربخشی آن شود.
سازه های اساسی که در این رویکرد مورد بررسی قرار می گیرند عبارتند از:
- حمایت مدیریت عالی؛
- آموزش عوامل انسانی؛
- مهارت عوامل انسانی
- تجربه عوامل انسانی؛
- فرهنگ امنیتی؛
- تقویت خط مشی
- اثربخشی امنیتی؛
- خودباوری افراد.
هیچ سازمان یا سیستم اطلاعاتی ای وجود ندارد که بتواند امنیت را به صورت کامل برقرار کند یا ادعای داشتن آن را بکند. با وجود این، تمرین های خاصی وجود دارد که مدیران می توانند با استفاده از آن، حمایت و اثربخشی امنیتی شان را هر چه بیشتر تأمین کنند.