دیدگاه تجاری
یکی از بزرگترین موانع مقابل امنیت الکترونیک، عوامل انسانی و سازمانی میباشند که باعث به وجود آمدن آسیب پذیریهای اجتماعی و فنی در کامپیوترها و سیستمهای اطلاعاتی یک سازمان میگردند. هدف از این بحث بررسی حساس ترین عوامل انسانی و سازمانی در مقابله با امنیت الکترونیک به منظور شناسایی روشهای مورد استفاده برای توصیف این عوامل و همچنین بررسی تلاشهای انجام شده برای از بین بردن و یا حل این مشکلات میباشد.
در اینجا مدلی از ریسک برای دسته بندی داراییهای مورد نیاز برای حفاظت در امنیت الکترونیکی ارایه می شود. این مدل به منظور اولویت بندی قسمتهای حساس و بحرانی یک سازمان که نیاز به حفاظت بیشتری در برابر حملات بیرونی دارند ارایه می شود.
عاملهای انسانی و سازمانی برای هر کدام از آسیب پذیریها وجود دارد. مهمترین عاملهای شناسایی شده عبارتند از : سیاستها ، آموزش ، تعهد مدیریت ، ارتباطات و بازخورد و فرهنگ. آسیب پذیریها بر اساس سطوح حساسیت به سه دسته تقسیم می شوند. گروه اول شامل کنترل دسترسی ، مدیریت وصله ها Patch Management و محافظت در برابر ویروسها می باشد. گروه دوم شامل پشتیبان گیری ، طراحی نرم افزارها ، طبقه بندی داراییها و مدیریت رمزها است. گروه سوم شامل برنامه ریزی احتمالات ، مدیریت محتوا ، کنترل داده ، معماری سازمانی و تحلیل لاگ تراکنش ها می باشد.
در خصوص عاملهای انسانی و سازمانهای ، مسائل و سئوالهای بسیار مطرح می گردد که برای نمونه می توان به موارد زیر اشاره کرد :
۱) پیاده سازی یک زبان مشترک امنیتی
۲) پذیرش فرهنگ امنیت در بین پرسنل بخصوص در لایه های پایین
۳) تعریف رفتارهای امن و نا امن پرسنل
۴) اشتباهات امنیتی که توسط پرسنل رخ می دهد
۵) عدم درگیری کافی مدیریت برای پیاده سازی موفق سیاستهای امنیتی
۶) بازگشت سرمایه در امنیت اطلاعات چیست ؟
۷) عدم وجود مهارت مناسب فناوری اطلاعات در مدیران و در نتیجه عدم آگاهی کافی
با توجه به موارد بالا نیاز است که به سئوالات زیر بتوانیم پاسخ دهیم
۱) چگونه می توانیم یک ارزیابی امنیتی در مورد عوامل انسانی در امنیت الکترونیکی داشته باشیم؟ بازگشت سرمایه در امنیت اطلاعات چیست ؟
۲) مسائل عمومی عاملهای انسانی در امنیت الکترونیک چیست ؟
۳) تجربه های موفق و دستورالعمل ها در خصوص عوامل انسانی در امنیت اطلاعات چیست ؟
۴) اجزاء فرهنگ امنیتی چیست ؟
بازگشت سرمایه در امنیت اطلاعات شامل یک رویکرد ۵ مرحله ای به شرح زیر است :
۱- تعریف سیستم ها و موجودی آنها : مشخص کردن داراییهایی (مثلا اجزاء شبکه ، سرورها ، داده ها و …) که در فرآیندهای تجاری حساس دخالت دارند. بعد از شناسایی این موارد باید ارزش و حساسیت آنها مشخص گردد.
۲- ارزیابی تهدیدها و آسیب پذیری ها : آزمایش سیستم در مقابل نقاط ضعف و دسته بندی و اولویت بندی آنها
۳- ارزیابی کنترل ها
۴- تصمیم گیری : در این مرحله هزینه انجام کنترلها در مقابل فرایندها ، سیستمها و اطلاعات مورد نیاز برای حفاظت ارزیابی می گردد.اثربخشی کنترلهای فنی و سازمانی نیز بررسی می گردد.
۵- ارتباطات و پایش : آگاه سازی کاربران و مدیریت در مرحله پیاده سازی
با بررسی داراییهای اطلاعاتی می توان زنجیره ارزشی مانند زیر برای آن متصور شد
عوامل انسانی مرتبط با کنترل دسترسی را می توان به شرح زیر بیان کرد :
۱) آموزش : تفهیم و توجیه مسئولیتهای پرسنل
۲) طراحی : درجه سختی کنترل سیستم
۳) فشارها : انواع فشارهای وارده از جاهای مختلف مثل مدیریت
۴) عدم وجود برنامه ریزی اتفاقات
عوامل انسانی مرتبط با کنترل داده ها به شرح ذیل است :
۱) کنترلهای ضعیف ورود به سیستم
۲) فرهنگ ایمنی
۳) آگاهی پرسنل
۴) رمزهای عبور
۵) طراحی ضعیف برنامه ها
۶) مدیریت وصله ها Patch Management
۷) آسیب پذیریهای پشتیبان گیری
۸) محافظت با آنتی ویروسها
۹) تشخیص نفوذ
۱۰) تحلیل لاگ تراکنش ها
می توان به وضوح دریافت که در طول آسیب پذیریهای زنجیره ارزش عاملهای انسانی و سازمانی تاثیرات بسیار زیادی دارند.
اولین و مهمترین نکته که در حوزه فرهنگ می توان بیان کرد ، وجود یک دیدگاه قوی امنیتی در طول زنجیره ارزش است. دوم اینکه هر فرآیند تجاری می¬بایست یک مسئول داشته باشد و فرآیندهای فناوری اطلاعات نیز از این قاعده مستثنی نیستند. مسئول هر فرآیند برای اندازه گیری اثربخشی فرآیند و تشخیص نقاط ضعف نیاز به پارامترهای تعریف شده دارند. هر المانی از زنجیره ارزش نیازمند یک سیاست تایید شده توسط مدیریت است که قدرت اجرا داشته باشد.
فرهنگ امنیتی ابعاد مختلفی دارد که می توان به صورت زیر آن را بیان کرد :
۱) مشارکت پرسنل : اگر در سطح پرسنل مقاومت وجود داشته باشد به سختی می توان سیاستهای امنیتی را اجرا نمود. آگاهی پرسنل می تواند کمک شایانی به پیشبرد اهداف امنیتی سازمان نماید.
۲) دستورالعملهای استخدامی : مواردی مانند کنترل سوابق استخدامی شخص ، آموزش سیاست امنیتی به پرسنل جدید
۳) نظام انگیزشی : مکانیزمی برای پیشبرد فرهنگ امنیتی می تواند باشد.
۴) تعهد مدیریت : الزام و تعهد مدیریت به رعایت سیاست امنیتی در سازمان
۵) ارتباطات و بازخورد : می تواند به تکمیل و غنی شدن فرهنگ امنیتی کمک کند
۶) تحلیل مشکلات امنیتی
۷) امنیت فیزیکی : به پیاده سازی امنیت مجازی و اطلاعاتی کمک شایانی می کند
Human Factors in E-Security – The Business Viewpoint
منبع: ویکی نسک
