خانه > مقالات, امنیت اطلاعات, دنیای اینترنت, دیگر موضوعات > عاملهای انسانی در امنیت الکترونیکی

عاملهای انسانی در امنیت الکترونیکی


n00022585-b

یکی از بزرگترین موانع مقابل امنیت الکترونیک، عوامل انسانی و سازمانی می‌باشند که باعث به وجود آمدن آسیب پذیریهای اجتماعی و فنی در کامپیوترها و سیستمهای اطلاعاتی یک سازمان می‌گردند. هدف از این بحث بررسی حساس ترین عوامل انسانی و سازمانی در مقابله با امنیت الکترونیک به منظور شناسایی روشهای مورد استفاده برای توصیف این عوامل و همچنین بررسی تلاشهای انجام شده برای از بین بردن و یا حل این مشکلات می‌باشد.

در اینجا مدلی از ریسک برای دسته بندی داراییهای مورد نیاز برای حفاظت در امنیت الکترونیکی ارایه می شود. این مدل به منظور اولویت بندی قسمتهای حساس و بحرانی یک سازمان که نیاز به حفاظت بیشتری در برابر حملات بیرونی دارند ارایه می شود.

عاملهای انسانی و سازمانی برای هر کدام از آسیب پذیریها وجود دارد. مهمترین عاملهای شناسایی شده عبارتند از : سیاستها ، آموزش ، تعهد مدیریت ، ارتباطات و بازخورد و فرهنگ. آسیب پذیریها بر اساس سطوح حساسیت به سه دسته تقسیم می شوند. گروه اول شامل کنترل دسترسی ، مدیریت وصله ها Patch Management و محافظت در برابر ویروسها می باشد. گروه دوم شامل پشتیبان گیری ، طراحی نرم افزارها ، طبقه بندی داراییها و مدیریت رمزها است. گروه سوم شامل برنامه ریزی احتمالات ، مدیریت محتوا ، کنترل داده ، معماری سازمانی و تحلیل لاگ تراکنش ها می باشد.

در خصوص عاملهای انسانی و سازمانهای ، مسائل و سئوالهای بسیار مطرح می گردد که برای نمونه می توان به موارد زیر اشاره کرد :

1) پیاده سازی یک زبان مشترک امنیتی

2) پذیرش فرهنگ امنیت در بین پرسنل بخصوص در لایه های پایین

3) تعریف رفتارهای امن و نا امن پرسنل

4) اشتباهات امنیتی که توسط پرسنل رخ می دهد

5) عدم درگیری کافی مدیریت برای پیاده سازی موفق سیاستهای امنیتی

6) بازگشت سرمایه در امنیت اطلاعات چیست ؟

7) عدم وجود مهارت مناسب فناوری اطلاعات در مدیران و در نتیجه عدم آگاهی کافی

با توجه به موارد بالا نیاز است که به سئوالات زیر بتوانیم پاسخ دهیم

1) چگونه می توانیم یک ارزیابی امنیتی در مورد عوامل انسانی در امنیت الکترونیکی داشته باشیم؟ بازگشت سرمایه در امنیت اطلاعات چیست ؟

2) مسائل عمومی عاملهای انسانی در امنیت الکترونیک چیست ؟

3) تجربه های موفق و دستورالعمل ها در خصوص عوامل انسانی در امنیت اطلاعات چیست ؟

4) اجزاء فرهنگ امنیتی چیست ؟

بازگشت سرمایه در امنیت اطلاعات شامل یک رویکرد 5 مرحله ای به شرح زیر است :

1- تعریف سیستم ها و موجودی آنها : مشخص کردن داراییهایی (مثلا اجزاء شبکه ، سرورها ، داده ها و …) که در فرآیندهای تجاری حساس دخالت دارند. بعد از شناسایی این موارد باید ارزش و حساسیت آنها مشخص گردد.

2- ارزیابی تهدیدها و آسیب پذیری ها : آزمایش سیستم در مقابل نقاط ضعف و دسته بندی و اولویت بندی آنها

3- ارزیابی کنترل ها

4- تصمیم گیری : در این مرحله هزینه انجام کنترلها در مقابل فرایندها ، سیستمها و اطلاعات مورد نیاز برای حفاظت ارزیابی می گردد.اثربخشی کنترلهای فنی و سازمانی نیز بررسی می گردد.

5- ارتباطات و پایش : آگاه سازی کاربران و مدیریت در مرحله پیاده سازی
با بررسی داراییهای اطلاعاتی می توان زنجیره ارزشی مانند زیر برای آن متصور شد

Security_Value_Chain
عوامل انسانی مرتبط با کنترل دسترسی را می توان به شرح زیر بیان کرد :

1) آموزش : تفهیم و توجیه مسئولیتهای پرسنل

2) طراحی : درجه سختی کنترل سیستم

3) فشارها : انواع فشارهای وارده از جاهای مختلف مثل مدیریت

4) عدم وجود برنامه ریزی اتفاقات

عوامل انسانی مرتبط با کنترل داده ها به شرح ذیل است :

1) کنترلهای ضعیف ورود به سیستم

2) فرهنگ ایمنی

3) آگاهی پرسنل

4) رمزهای عبور

5) طراحی ضعیف برنامه ها

6) مدیریت وصله ها Patch Management

7) آسیب پذیریهای پشتیبان گیری

8) محافظت با آنتی ویروسها

9) تشخیص نفوذ

10) تحلیل لاگ تراکنش ها

می توان به وضوح دریافت که در طول آسیب پذیریهای زنجیره ارزش عاملهای انسانی و سازمانی تاثیرات بسیار زیادی دارند.

اولین و مهمترین نکته که در حوزه فرهنگ می توان بیان کرد ، وجود یک دیدگاه قوی امنیتی در طول زنجیره ارزش است. دوم اینکه هر فرآیند تجاری می¬بایست یک مسئول داشته باشد و فرآیندهای فناوری اطلاعات نیز از این قاعده مستثنی نیستند. مسئول هر فرآیند برای اندازه گیری اثربخشی فرآیند و تشخیص نقاط ضعف نیاز به پارامترهای تعریف شده دارند. هر المانی از زنجیره ارزش نیازمند یک سیاست تایید شده توسط مدیریت است که قدرت اجرا داشته باشد.
فرهنگ امنیتی ابعاد مختلفی دارد که می توان به صورت زیر آن را بیان کرد :

1) مشارکت پرسنل : اگر در سطح پرسنل مقاومت وجود داشته باشد به سختی می توان سیاستهای امنیتی را اجرا نمود. آگاهی پرسنل می تواند کمک شایانی به پیشبرد اهداف امنیتی سازمان نماید.

2) دستورالعملهای استخدامی : مواردی مانند کنترل سوابق استخدامی شخص ، آموزش سیاست امنیتی به پرسنل جدید

3) نظام انگیزشی : مکانیزمی برای پیشبرد فرهنگ امنیتی می تواند باشد.

4) تعهد مدیریت : الزام و تعهد مدیریت به رعایت سیاست امنیتی در سازمان

5) ارتباطات و بازخورد : می تواند به تکمیل و غنی شدن فرهنگ امنیتی کمک کند

6) تحلیل مشکلات امنیتی

7) امنیت فیزیکی : به پیاده سازی امنیت مجازی و اطلاعاتی کمک شایانی می کند

  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: