عامل‌های انسانی در امنیت اطلاعات/عامل‌های درونی

در این مقاله به بررسی برخی از مسائل کلیدی مربوط به تهدید‌های درونی امنیت اطلاعات و ماهیت وفاداری و خیانت در چارچوب سازمانی، عوامل فرهنگی و عوامل اقتصادی و اجتماعی می‌پردازیم. رکود اقتصادی عاملی قابل توجه در رفتار بدون قطعیت فردی (وسازمانی) می‌باشد و ممکن است در طولانی مدت منجر به بروز رفتار غیر عادی از مدیران و کارکنان شود. چگونه سازمانها می‌دانند که چه کسی قابل اعتماد است و چگونه می‌توانند اعتماد را حفظ کنند؟

۱. تهدیدات درونی
تهدیدات درونی همیشه خود را نشان می‌دهند و به شیوه‌های گوناگون خود را آشکار می‌سازند. این مقاله به برجسته سازی مخاطرات درونی در زمینه‌های فنی فناوری، اجتماعی، کسب و کار و عوامل فرهنگی می‌پردازد.
افراد درون سازمان می‌توانند باعث آسیب بزرگی شوند، امنیت درحال بهبود است اما فناوری به تنهایی کافی نیست.
خودیها اغلب دسترسی مشروع و اغلب ممتازی به امکانات و اطلاعات، دانش سازمان، فرایندهای آن و آگاهی از محل دارایی‌های مهم و با ارزش دارند و می‌دانند چگونه و چه وقت و کجا حمله کنند و چگونه حمله خود را پوشش دهند.

۲. تهدید داخلی واقعی است و باقی می‌ماند
از جمله برخی از موارد قابل توجه در تهدید درونی می‌توان به موارد زیر اشاره نمود:

۵۲٪ از سازمانها ارزیابی رسمی (فرمال) در خصوص خطرات امنیتی را انجام نمی‌دهند.
۶۷٪ از سازمانها کنترلی جهت جلوگیری از خروج اطلاعات محرمانه از طریق USB و… را انجام نمی‌دهند.
۸۴٪ از شرکتها به بررسی خروج اطلاعات محرمانه از طریق ایمیل‌های خروجی نمی‌پردازند.

۳. عاملهای فناوری و اجتماعی اثرگذار برتهدید درونی
فناوری، نگرش اجتماعی را با داده‌ها و ارتباطات در دسترس، بطور فزاینده‌ای افزایش داده‌است. این قابلیت به بهره برداری از فرصت‌های جدید با تاثیر گذاری عمده بر تعاملات اجتماعی و ساختارهای اجتماعی در خانه و محل کار دست یافته‌است.

۴. عاملهای کسب و کار و اقتصادی موثر بر تهدید درونی
دنیای کسب و کار تغییر یافته‌است. همهٔ شرکتها و سازمانها، به خصوص کسب و کارهای تجاری، با بروز استراتژی‌های جدید برای بقا در بازارهای ملی و بین المللی پویا مواجه شده‌اند. رکود اقتصاد جهانی کنونی باعث از بین رفتن کسب و کارهای سنتی از طریق افزایش هزینه‌ها، کاهش درآمدها و کمبود منابع سرمایه گذاری گشته است.

۵. عوامل فرهنگی اثرگذار بر تهدید درونی
حداقل باید دو دیدگاه فرهنگی در هنگام بررسی تهدید درونی مورد تحلیل قرار بگیرد: فرهنگ سازمانی و فرهنگ ملی/مذهبی. هرکدام از این عوامل می‌تواند بر روی رفتار و تاثیر میزان حفاظت اطلاعات موثر باشد.

۶. چرا و چه زمانی خودی به سمت «راه نادرست» می‌رود
ارتباط بین تهدیدات بالفعل، بالقوه و فعالیتهای مخرب باید مورد کاوش قرار بگیرد حملات درونی از درجات مختلفی از انگیزه، فرصت و ظرفیت ساخته شده‌اند. در حالیکه فرصت و توانایی به فرد درون سازمانی یا از طرف سازمان و آشکارا داده خواهد شد و یا ممکن است حمله کنندگان یک بار بصورت مخفیانه وارد شوند.

۷. اهمیت تعدیل‌های غیر فنی در تهدید درونی
کمترین کنترل‌های تکنیکی در مقابل حمله‌های داخلی باید شامل موارد ذیل باشد:

رمزنگاری
کنترل دسترسی
حداقل امتیازات
نظات، حسابرسی و گزارش

این امر مستلزم تمرکز بر عوامل انسانی، ادراکات، و انتظارات می‌باشد و نه بمانند علامت زدن خانه‌های خالی تست!

۸. آموزش امنیت حیاتی و آگاهی
حفاظت از اطلاعات یک سازمان مسئولیت همه کارکنان است. آموزش، آموزش و آگاهی برای عاملهای انسانی و اجتماعی شاید بزرگترین عامل غیرفنی در دسترس و عمومی باشند. بسیاری از مشکلات بوجود آمده از فرد درون سازمان بیشتر از جهل او ناشی می‌شود تا انگیزه‌های مخرب. شکست‌های اتفاقی می‌تواند احتمال اثرات بزرگ و به هم پیوسته را در مقیاس گسترده افزایش دهد.

۹. نتیجه گیری
این مقاله به بررسی عوامل انسانی بسیاری که می‌تواند درارزیابی و مدیدیریت تهدید‌های درونی مورد استفاده قرار بگیرد پرداخت.

وجود یک تهدید بدین شکل را نمی‌توان انکار کرد و به شکست منجر خواهد شد
بالارفتن افزایش تهدیدات درونی و اثرات آن درسطح بالای سازمان
نباید منتظر و بدون تدبیر ماند تا زمانی که حمله‌ای به اطلاعات صورت بپذیرد
رمزنگاری تمام اطلاعات و ارتباطات حساس
اعمال سیاستهای خود بطور مداوم(از جمله نحوه استفادهٔ اطلاعات بطور قابل قبول)
بکاربردن و حفاظت از حداقل حقوق همیشگی
انتظار می‌رود نقض اطلاعات تصادفی، احتمال وقوع بیشتری نسبت به حملات مخرب دارد
بپذیرید آنهایی که در موقعیت اعتمادی بالاتری هستند، ممکن است باعث بزرگترین آسیب‌ها شوند
نظارت بر رفتار و شناسایی فرصت‌ها جهت تقویت امنیت
اعمال کنترل سختگیرانهٔ رفت و آمد کارکنان
برقراری تعادل (دراندیشیدن تدبیر) بین تهدید‌های داخلی و خارجی

درنهایت: باید پذیرفت که تهدید امنیت اطلاعات از سوی افراد درون سازمانی(درون سازمان) را نمی‌توان حذف کرد اما می‌توان آن را ارزیابی و مدیریت کرد. عوامل انسانی و رفتار درونی از منظر اجزاء IT و مزایای امنیتی ممکن است در دراز مدت و به مراتب بسیار کمتر قابل درک باشد. این مسئله را باید در مقابل ارتباطات تجاری اولویت داد. ایجاد توازن صرف از منظر مسائل تهدید درونی ممکن است در طول یک رکود اقتصادی به توجیه قابل توجهی در سازمان احتیاج داشته باشد اما این یک چالش است که باید پذیرفته شود.

Carl Colwilli. BT Security, UK.. in format i o n s e c u r i t y t e c h n i c a l r e p o r t xxx (2010) 1 e11

“Human factors in information security: The insider Threats

منبع: ویکی نسک