يک سيستم کامپيوترى از چهار عنصر : سخت افزار ، سيستم عامل ، برنامه هاى کاربردى و کاربران ، تشکيل مى گردد. سخت افزار شامل حافظه ، دستگاههاى ورودى ، خروجى و پردازشگر بوده که بعنوان منابع اصلى پردازش اطلاعات ، استفاده مى گردند. برنامه هاى کاربردى شامل کمپايلرها ، سيستم هاى بانک اطلاعاتى ، برنامه هاى تجارى و بازرگانى ، بازى هاى کامپيوترى و موارد متنوع ديگرى بوده که روش بخدمت گرفتن سخت افزار جهت نيل به اهداف از قبل تعريف شده را مشخص مى نمايند. کاربران ، شا مل انسان ، ماشين و ديگر کامپيوترها مى باشد .
هر يک از کاربران سعى در حل مشکلات تعريف شده خود از طريق بکارگيرى نرم افزارهاى کاربردى در محيط سخت افزار مى نمايند. سيستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با برنامه هاى کاربردى متفاوتى که توسط کاربران گوناگون نوشته و اجراء مى گردند ، کنترل و هدايت مى نمايد. بمنظور بررسى امنيت در يک سيستم کامپيوترى ، مى بايست به تشريح و تبين جايگاه هر يک از عناصر موجود در يک سيستم کامپيوترى پرداخته گردد.
در اين راستا ، قصد داريم به بررسى نقش عوامل انسانى دررابطه با امنيت اطلاعات پرداخته و جايگاه هر يک از مولفه هاى موجود را تبين و تشريح نما ئيم . اگر ما بهترين سيستم سخت افزارى و يا سيستم عامل را بخدمت بگيريم ولى کاربران و يا عوامل انسانى درگير در يک سيستم کامپوترى، پارامترهاى امنيتى را رعايت ننمايند ، کارى را از پيش نخواهيم برد. وضعيت فوق مشابه اين است که شما بهترين اتومبيل با درجه بالاى امنيت را طراحى و يا تهيه نمائيد ولى آن را در اختيار افرادى قرار دهيد که نسبت به اصول اوليه رانندگى توجيه نباشند ( عدم رعايت اصول ايمنى ) .
ما مى بايست به مقوله امنيت اطلاعات در عصر اطلاعات نه بصورت يک کالا و يا محصول بلکه بصورت يک فرآيند نگاه کرده و امنيت را در حد يک محصول خواه نرم افزارى و يا سخت افزارى تنزل ندهيم .هر يک از موارد فوق ، جايگاه خاص خود را با وزن مشخص شده اى دارند و نبايد به بهانه پرداختن به امنيت اطلاعات وزن يک پارامتر را بيش از آنچيزى که هست در نظر گرفت و پارامتر ديگرى را ناديده گرفته و يا وزن غير قابل قبولى براى آن مشخص نمائيم . بهرحال ظهور و عرضه شگفت انگيز تکنولوژى هاى نو در عصر حاضر ، تهديدات خاص خود را نيز بدنبال خواهد داشت . ما چه کار مى بايست بکنيم که از تکنولوژى ها استفاده مفيدى را داشته و در عين حال از تهديدات مستقيم و يا غير مستقيم آنان نيز مصون بمانيم ؟ قطعا" نقش عوامل انسانى که استقاده کنندگان مستقيم اين نوع تکنولوژى ها مى باشند ، بسيار محسوس و مهم است .
با گسترش اينترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جديدى در رابطه با امنيت اطلاعات و تهاجم به شبکه هاى کامپيوترى مواجه مى باشند. صرفنظر از موفقيت و يا عدم موفقيت مهاجمان و عليرغم آخرين اصلاحات انجام شده در رابطه با تکنولوژى هاى امنيتى ، عدم وجود دانش و اطلاعات لازم ( سواد عمومى ايمنى ) کاربران شبکه هاى کامپيوترى و استفاده کنندگان اطلاعات حساس در يک سازمان ، همواره بعنوان مهمترين تهديد امنيتى مطرح و عدم پايبندى و رعايت اصول امنيتى تدوين شده ، مى تواند زمينه ايجاد پتانسيل هائى شود که توسط مهاجمين استفاده و باعث بروز مشکل در سازمان گردد. مهاجمان همواره بدنبال چنين فرصت هائى بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخى حالات اشتباه ما زمينه موفقيت ديگران! را فراهم مى نمايد . اگر سعى نمائيم بر اساس يک روش مناسب درصد بروز اشتباهات خود را کاهش دهيم به همان نسبت نيز شانس موفقيت مهاجمان کاهش پيدا خواهد کرد.
مديران شبکه ( سيستم ) ، مديران سازمان و کاربران معمولى جملگى عوامل انسانى در يک سازمان مى باشند که حرکت و يا حرکات اشتباه هر يک مى تواند پيامدهاى منفى در ارتباط با امنيت اطلاعات را بدنبال داشته باشد . در ادامه به بررسى اشتباهات متداولى خواهيم پرداخت که مى تواند توسط سه گروه ياد شده انجام و زمينه بروز يک مشکل امنيتى در رابطه با اطلاعات حساس در يک سازمان را باعث گردد.

اشتباهات متداول مديران سيستم
مديران سيستم ، به افرادى اطلاق مى گردد که مسئوليت نگهدارى و نظارت بر عملکرد صحيح و عملياتى سيستم ها و شبکه موجود در يک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئوليت امنيت دستگاهها ، ايمن سازى شبکه و تشخيص ضعف هاى امنيـتى موجود در رابطه با اطلاعات حساس را نيز برعهده دارند. بديهى است واگذارى مسئوليت هاى متعدد به يک فرد، افزايش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبى در زمان انجام کار مستمر بر روى چندين موضوع متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردى را افزايش خواهد داد. در ادامه با برخى از خطاهاى متداولى که ممکن است توسط مديران سيستم انجام و سازمان مربوطه را با تهديد امنيتى مواجه سازد ، آشنا خواهيم شد.
مورديک : عدم وجود يک سياست امنيتى شخصى اکثر قريب به اتفاق مديران سيستم داراى يک سياست امنيتى شخصى بمنظور انجام فعاليت هاى مهمى نظير امنيت فيزيکى سيستم ها ، روش هاى بهنگام سازى يک نرم افزار و روشى بمنظور بکارگيرى patch هاى جديد در زمان مربوطه نمى باشند .حتى شرکت هاى بزرگ و شناخته شده به اين موضوع اذعان دارند که برخى از سيستم هاى آنان با همان سرعت که يک باگ و يا اشکال تشخيص و شناسائى مى گردد ، توسط patch مربوطه اصلاح نشده است .در برخى حالات ، مديران سيستم حتى نسبت به آخرين نقاط آسيب پذيرتشخييص داده شده نيز آگاهى بهنگام شده اى را نداشته و قطعا" در چنين مواردى انتظار نصب patch مربوطه نيز توقعى بى مورد است . وجود نقاط آسيب پذير در شبکه مى تواند يک سازمان را در معرض تهديدات جدى قرار دهد . امنيت فرآيندى است که مى بايست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمى رسد.در اين راستا لازم است، بصورت مستمرنسبت به آخرين حملات بهمراه تکنولوژى ها ى مربوطه ، آگاهى لازم کسب و دانش خود را بهنگام نمائيم .اکثر مديران سيستم ، کارشناسان حرفه اى و خبره امنيتى نمى باشند ، در اين رابطه لازم است ، بمنظور افزايش حفاظت و ايمن سازى شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء يايد .افراديکه داراى گواهينامه هاى خاصى امنيتى و يا دانش و اطلاعات اضافه در رابطه با امنيت اطلاعات مى باشند ، همواره يک قدم از کسانى مهارت آنان صرفا" محدود به شبکه است ، جلوتر مى باشند . در ادامه ، پيشنهاداتى بمنظور بهبود وضعيت امنيتى سازمان و افزايش و ارتقاء سطح معلومات مديران سيستم ، ارائه مى گردد :

بصورت فيزيکى محل کار و سيستم خود را ايمن سازيد .زمينه استفاده از سيستم توسط افراديکه در محدوده کارى شما فعاليت دارند ، مى بايست کاملا" کنترل شده و تحت نظارت باشد .
هر مرتبه که سيستم خود را ترک مى کنيد ، عمليات logout را فراموش نکنيد .در اين رابطه مى توان يک زمان time out را تنظيم تا در صورت فراموش نمودن عمليات logout ، سيستم قادر به حفاظت خود گردد.
خود را عضو خبرنامه ها ى متفاوت امنيتى کرده تا شما را با آخرين نقاط آسيب پذير آشنا نمايند. درحقيقت آنان چشم شما در اين معرکه خواهند بود( استفاده مفيد از تجارب ديگران ) .
سعى گردد بصورت مستمر از سايت هاى مرتبط با مسائل امنيتى ديدن تا درزمان مناسب با پيام هاى هشداردهنده امنيتى در رابطه با نرم افزارهاى خارج از رده و يا نرم افزارهاى غير اصلاح شده ( unpatched ) آشنا گرديد.
مطالعه آخرين مقالات مرتبط با مسائل امنيتى يکى از مراحل ضرورى و مهم در فرآيند خود آموزشى ( فراگيرى ) مديران شبکه است . بدين ترتيب اين اطمينان بوجود خواهد آمد که مدير مربوطه نسبت به آخرين اطلاعات و مسائل مربوطه امنيتى در کميته هاى موجود ، توجيه است .
استفاده از ياداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظير رمزهاى عبور وI هر چيزى که ممکن است زمينه ساز ايجاد يک پتانسيل آسيب پذير و دستيابى به سيستم مطرح گردد را محدود نمائيد. در صورتيکه از اين نوع اطلاعات استفاده مى شود، قبل ازترک محل کار ، آنها را از بين ببريد. افراديکه داراى سوء نيت بوده در محدوده کارى شما مى باشند ، مى توانند ازمزاياى ضعف هاى شناخته شده استفاده نمايند، بنابراين ضرورى است استفاده از چنين ياداشت هائى محدود و يا بصورت کامل حذف گردد .

مورد دو : اتصال سيستم هاى فاقد پيکربندى مناسب به اينترنت
همزمان با گسترش نيازهاى سازمان، سيستم ها و سرويس دهندگان جديدى بر اساس يک روال معمول به اينترنت متصل مى گردند. قطعا" توسعه سيستم با هدف افزايش بهره ورى در يک سازمان دنبال خواهد شد.اکثر اينچنين سيستمهائى بدون تنظيمات امنيتى خاص به اينترنت متصل شده و مى تواند زمينه بروز آسيب و حملات اطلاعاتى توسط مهاجمان را باعث گردد ( در بازه زمانى که سيستم از لحاظ امنيتى بدرستى مميزى نشده باشد ، اين امر امکان پذير خواهد بود).
مديران سيستم ممکن است به اين موضوع استناد نمايند که سيستم جديد بوده و هنوز کسى آن را نمى شناسد و آدرس IP آن شناخته شده نيست ، بنابراين امکان شناسائى و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، يک تهديد براى هر سازمان بشمار مى رود . افراد و يا اسکريپت هاى پويش اتوماتيک در اينترنت ، بسرعت عمليات يافتن و تخريب اين نوع سيستم هاى آسيب پذير را دنبال مى نمايند. در اين راستا ، شرکت هائى خاصى وجود دارد که موضوع فعاليت آنان شبکه بوده و براى تست سيستم هاى توليدى خود بدنبال سيستم هاى ضعيف و آسيب پذير مى گردند.( سيستم آسيب پذير ما ابزار تست ديگران خواهد شد). بهرحال همواره ممکن است افرادى بصورت مخفيانه شبکه سازمان شما را پويش تا در صورت وجود يک نقطه آسيب پذير، از آن براى اهداف خود استفاده نمايند. لازم است در اين راستا تهديدات و خطرات را جدى گرفته و پيگرى لازم در اين خصوص انجام شود. در اين رابطه موارد زير پيشنهاد مى گردد :
قبل از اتصال فيزيکى يک کامپيوتر به شبکه ، مجوز امنيتى لازم با توجه به سياست هاى تدوين شده امنيتى براى آن صادر گردد ( بررسى سيستم و صدور مجوز اتصال )
کامپيوتر مورد نظر مى بايست شامل آخرين نرم افزارهاى امنيتى لازم بوده و از پيکربندى صحيح آنان مى بايست مطمئن گرديد.
در صورتيکه لازم است بر روى سيستم مورد نظر تست هاى شبکه اى خاصى صورت پذيرد ، سعى گردد امکان دستيابى به سيستم فوق از طريق اينترنت در زمان تست ، بلاک گردد.
سيستمى را که قصد اتصال آن به اينترنت وجود دارد ، نمى بايست شامل اطلاعات حساس سازمان باشد.
سيستم مورد نظر را تحت برنامه هاى موسوم به Intrusion Detection System قرار داده تا نرم افزارهاى فوق بسرعت نقاط آسيب پذير و ضعف هاى امنيتى را شناسائى نمايند.
مورد سه : اعتماد بيش از اندازه به ابزارها برنامه هاى پويش و بررسى نقاط آسيب پذير،اغلب بمنظور اخذ اطلاعات در رابطه وضعيت جارى امنيتى شبکه استفاده مى گردد . پويشگرهاى تشخيص نقاط آسيب پذير ، اطلاعات مفيدى را در ارتباط با امنيت سيستم نظير : مجوزهاى فايل ، سياستهاى رمز عبور و ساير مسائل موجود، ارائه مى نمايند . بعبارت ديگر پويشگران نقاط آسيب پذير شبکه ، امکان نگرش از ديد يک مهاجم را به مديريت شبکه خواهند داد. پويشگرها ى فوق ، عموما" نيمى از مسائل امنيتى مرتبط را به سيستم واگذار نموده و نمى توان به تمامى نتايج بدست آمده توسط آنان بسنده و محور عمليات خود را بر اساس يافته هاى آنان قرار دهيم . در اين رابطه لازم است متناسب با نوع سيستم عامل نصب شده بر روى سيستم ها از پويشگران متعدد و مختص سيستم عامل مربوطه استفاده گردد( اخذ نتايج مطلوبتر) . بهرحال استفاده از اين نوع نرم افزارها قطعا" باعث شناسائى سريع نقاط آسيب پذير و صرفه جوئى زمان مى گردد ولى نمى بايست اين تصور وجود داشته باشد که استفاده از آنان بمنزله يک راه حل جامع امنيتى است . تاکيد صرف بر نتايج بدست آمده توسط آنان ، مى تواند نتايج نامطلوب امنيتى را بدنبال داشته باشد . در برخى موارد ممکن است لازم باشد ، بمنظور تشخيص نقاط آسيب پذير يک سيستم ،عمليات دستى انجام و يا حتى تاسکريپت هاى خاصى در اين رابطه نوشته گردد .
مورد چهار : عدم مشاهده لاگ ها ( Logs ) مشاهده لاگ هاى سيستم، يکى از مراحل ضرورى در تشخيص مستمر و يا قريب الوقوع تهديدات است . لاگ ها، امکان شناسائى نقاط آسيب پذير متداول و حملات مربوطه را فراهم مى نمايند. بنابراين مى توان تمامى سيستم را بررسى و آن را در مقابل حملات مشخص شده ، مجهز و ايمن نمود. در صورت بروز يک تهاجم ، با استفاده از لاگ هاى سيستم ، تسهيلات لازم بمنظور رديابى مهاجمان فراهم مى گردد.( البته بشرطى که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادوارى بررسى و آنها را در يک مکان ايمن ذخيره نمائيد.
مورد پنج : اجراى سرويس ها و يا اسکريپت هاى اضافه و غير ضرورى استفاده از منابع و شبکه سازمان ، بعنوان يک زمين بازى شخصى براى تست اسکريپت ها و سرويس هاى متفاوت ، يکى ديگر از اشتباهات متداولى است که توسط اکثريت قريب به اتفاق مديران سيستم انجام مى شود . داشتن اينچنين اسکريپت ها و سرويس هاى اضافه اى که بر روى سيستم اجراء مى گردند ، باعث ايجاد مجموعه اى از پتانسيل ها و نفاط ورود جديد براى يک مهاجم مى گردد ( در صورتيکه سرويس هاى اضافه و يا اسکريپت ها بر روى سرويس دهنده اصلى نصب و تست گردند ، مشکلات مى تواند مضاعف گردد ). در صورت نياز به تست اسکريپت ها و يا اجراى سرويس هاى اضافه ، مى بايست عمليات مورد نظر خود را از طريق يک کامپيوتر ايزوله شده انجام داد (هرگز از کامپيوترى که به شبکه متصل است در اين راستا استفاده نگردد ) .

اشتباهات متداول مديران سازمان ها
مديران سازمان، به افرادى اطلاق مى گردد که مسئوليت مديريت ، هدايت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظير بودجه ، سروکار دارند. امروزه استفاده از اينترنت توسط سازمان ها و موسسات ، مزاياى متعددى را بدنبال دارد. واژه " تجارت الکترونيکى" بسيار متداول و استراتژى تجارت الکترونيکى ، از جمله مواردى است که در هر برنامه ريزى تجارى به آن توجه خاص مى گردد. در صورتيکه سازمان ها و موسسات داراى يک استراتژى امنيتى مشخص شده اى نباشند ، اتصال به شبکه جهانى تهديدى در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخى از اشتباهات متداول که از ناحيه مديران سازمان بروز و تاثير منفى در ارتباط با امنيت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره مى گردد :
مورد يک : استخدام کارشناسان آموزش نديده و غيرخبره
بدون ترديد ، کارشناسان آموزش ديده و خبره ، يکى از منابع ارزشمند درهر سازمان محسوب مى گردند. همواره مى بايست از کارشناسان ورزيده در ارتباط با امنيت در يک سازمان استفاده گردد. فرصت سعى و خطاء نيست و ممکن است در اين محدوده زمانى چيزى را که يک سازمان از دست مى دهد بمراتب بيشتر از چيزى است که مى خواهد بدست آورد. امنيت اطلاعات از جمله مقولاتى است که براى يک سازمان داراى جايگاهى است و همواره مى بايست بهترين تصميم دررابطه با استفاده از منابع انسانى ماهر ، اتخاذ گردد. استفاده از يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان ، خود تهديدى امنيتى است که بر ساير تهديدات موجود اضافه خواهد شد . ( ما نمى توانيم مسئوليت پياده سازى استراتژى امنيتى در سازمان را به افرادى واگذار نمائيم که در اين رابطه اطلاعات و دانش لازم را ندارند ) .
مورد دوم : فقدان آگاهى لازم در رابطه با تاثير يک ضعف امنيتى بر عملکرد سازمان
بسيارى از مديران سازمان بر اين باور مى باشند که " اين مسئله براى ما اتفاق نخواهد افتاد " و بر همين اساس و طرز فکر به مقوله امنيت نگاه مى نمايند . بديهى است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهديدات احتمالى وجود نخواهد داشت . اين مسئله مى تواند بدليل عدم آشنائى با ابعاد و اثرات يک ضعف امنيتى در سازمان باشد . در اين رابطه لازم است به اين نکته اشاره گردد که همواره مشکل براى ديگران بوجود نمى آيد و ما نيز در معرض مشکلات فراوانى قرار خواهيم داشت .بنابراين لازم است همواره و بصورت مستمر مديران سازمان نسبت به اثرات احتمالى يک ضعف امنيتى توجيه و دانش لازم در اختيار آنان قرار گيرد . در صورت بروز يک مشکل امنيتى در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و مى تواند اثرات منفى متعددى در ارتباط با ادامه فعاليت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنياى شديد رقابت ، کافى است سازمانى لحظاتى آنچيزى باشد که نمى بايست باشد ، همين امر کافى است که تلاش چندين ساله يک سازمان هرز و در برخى حالات فرصت جبران آن نيز وجود نخواهد داشت .

تاثير منفى بر ساير فعاليت هاى تجارى online سازمان
عاملى براى توزيع اطلاعات غير مفيد و غير قابل استفاده در يک چرخه تجارى
عرضه اطلاعات حساس مشتريان به يک مهاجم و بمخاطره افتادن اطلاعات خصوصى مشتريان آسيب جدى وجهه سازمان و بدنبال آن از دست دادن مشتريان و همکاران تجارى مورد سوم : عدم تخصيص بودجه مناسب براى پرداختن به امنيت اطلاعات مجاب نمودن يک مدير سازمان مبنى بر اختصاص بودجه مناسب براى پرداختن به مقوله امنيت اطلاعات در سازمان از حمله مواردى است که چالش هاى خاص خود را خواهد داشت .مديران، تمايل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان يا اطلاعات محدودى در رابطه با تاثير وجود ضعف هاى امنيتى در عملکرد سازمان را دارند و يا در برخى حالات بودجه ، آنان را براى اتخاذ تصميم مناسب محدود مى نمايد.اينترنت يک شبکه جهانى است که فرصت هاى جذاب و نامحدود تجارى را براى هر بنگاه تجارى فراهم مى نمايد، با رعايت امنيت اطلاعات و حفا ظت مناسب از داده هاى حساس ،امکان استفاده از فرصت هاى تجارى بيشترى براى يک سازمان فراهم خواهد شد. با اختصاص يک بودجه مناسب براى پرداختن و بهاء دادن به مقوله امنيت اطلاعات در يک سازمان ، پيشگيرى هاى لازم انجام ودر صورت بروز مسائل بحرانى ، امکان تشخيص سريع آنان و انجام واکنش هاى مناسب فراهم مى گردد .
بعبارت ديگر با در نظر گرفتن بودجه مناسب براى ايمن سازى سازمان ، بستر مناسب براى حفاظت سيستم ها و داده هاى حساس در يک سازمان فراهم خواهد شد . قطعا" توليد و عرضه سريع اطلاعات در سازمان هاى مدرن و مبتنى بر اطلاعات ، يکى از مهمترين شاخص هاى رشد در عصر حاضر بوده و هر آنچيزى که مى تواند خللى در فرآيند فوق ايجاد نمايد ، باعث توقف و گاها" برگشت به عقب يک سازمان ، مى گردد.

مورد چهارم : اتکاء کامل به ابزارها و محصولات تجارى
اگر از يک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده ايد ؟ اغلب آنان در پاسخ خواهند گفت :" ما از يک فايروال شناخته شده و يک برنامه ويروس ياب بر روى سرويس دهنده استفاده مى کنيم ، بنابراين ما در مقابل حملات ايمن خواهيم بود " . توجه داشته باشيد که امنيت يک فرآيند است نه يک محصول که با خريدارى آن خيال خود را در ارتباط با امنيت راحت نمائيم .
مديران سازمان لازم است شناخت مناسب و اوليه اى از پتانسل هاى عمومى يک فايروال و يا برنامه هاى ويروس ياب داشته باشند ( قادر به انجام چه کارى مى باشند و چه کارى را نمى توانند انجام دهند. مثلا" اگر ويروس جديدى نوشته و در شبکه توزيع گردد ، برنامه هاى ويروس ياب موجود قادر به تشخيص و برخورد با آن نخواهند بود.اين نوع برنامه ها صرفا" پس از مطرح شدن يک ويروس و آناليز نحوه عملکرد آن مى بايست بهنگام شده تا بتوانند در صورت بروز وضعيتى مشابه با آن برخورد نمايند) . ابزارهائى همچون فايروال و يا برنامه هاى ويروس ياب ، بخشى از فرآيند مربوط به ايمن سازى اطلاعات حساس در يک سازمان بوده و با بکارگيرى آنان نمى توان اين ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .

مورد پنجم : يک مرتبه سرمايه گذارى در ارتباط با امنيت
امنيت مفهمومى فراگير و گسترده بوده که نيازمند هماهنگى و سرمايه گذارى در دو بعد تکنولوژى و آموزش است. هر روز ما شاهد ظهور تکنولوژى هاى جديدى مى باشيم . ما نمى توانيم در مواجهه با يک تکنولوژى جديد بصورت انفعالى برخورد و يا عنوان نمائيم که ضرورتى به استفاده از اين تکنولوژى خاص را نداريم . بکارگيرى تکنولوژى عملا" صرفه جوئى در زمان و سرمايه مادى را بدنبال داشته و اين امر باعث ارائه سرويس هاى مطلوبتر و ارزانتر به مشتريان خواهد شد. موضوع فوق هم از جنبه يک سازمان حائز اهميت است و هم از نظر مشتريان ، چراکه ارائه سرويس مطلوب با قيمت تمام شده مناسب يکى از مهمترين اهداف هر بنگاه تجارى محسوب شده و مشتريان نيز همواره بدنبال استفاده از سرويس ها و خدمات با کيفيت و قيمت مناسب مى باشند. استفاده از تکنولوژى هاى جديد و سرويس هاى مرتبط با آنان،همواره تهديدات خاص خود را بدنبال خواهد داشت . بنابراين لازم است به اين موضوع توجه شود که امنيت يک سرمايه گذارى پيوسته را طلب مى نمايد، چراکه با بخدمت گرفتن تکنولوژى ها ى نو بمنظور افزايش بهره ورى در يک سازمان ، زمينه پرداختن به امنيت مى بايست مجددا" و در ارتباط با تکنولوژى مربوطه بررسى و در صورت لزوم سرمايه گذارى لازم در ارتباط با آن صورت پذيرد . تفکر اينکه، امنيت يک نوع سرمايه گذارى يکبار مصرف است ، مى تواند از يکطرف سازمان را در استفاده از تکنولوژى ها ى نو با ترديد مواجه سازد و از طرف ديگر با توجه به نگرش به مقوله امنيت ( يکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبى براى پياده سازى يک سيستم امنيتى و حفاظتى مناسب را نداشته باشيم .

اشتباهات متداول کاربران معمولى
کاربران ، به افرادى اطلاق مى گردد که طى روز با داده ها ى حساس در يک سازمان سروکار داشته و تصميمات و فعاليت هاى آنان، داده ها ى حساس و مقوله امنيت و حفاظت از اطلاعات را تحت تاثير مستقيم قرار خواهد داد. در ادامه با برخى از اشتباهات متداولى که اين نوع استفاده کنندگان از سيستم و شبکه مرتکب مى شوند ، اشاره مى گردد.
مورد يک : تخطى از سياست امنينى سازمان سياست امنيتى سازمان ، اعلاميه اى است که بصورت جامع ، مسئوليت هر يک از پرسنل سازمان ( افراديکه به اطلاعات و سيستم هاى حساس در سازمان دستيابى دارند ) در ارتباط با امنيت اطلاعات و شبکه را تعريف و مشخص مى نمايد. سند و يا اعلاميه مورد نظر ، بعنوان بخش لاينفک در هر مدل امنيتى بکارگرفته شده در سازمان محسوب مى گردد.هدف عمده اعلاميه فوق ، ارائه روشى آسان بمنظور شناخت و درک ساده نحوه حفاظت سيستم هاى سازمان در زمان استفاده است . کاربران معمولى ، عموما" تمايل به تخطى از سياست هاى تدوين شده امنيتى در يک سازمان را داشته و اين موضوع مى تواند عاملى مهم براى تحت تاثير قراردادن سيستم هاى حساس و اطلاعات مهم سازمان در مواجهه با يک تهديد باشد. پيامد اين نوع عمليات ، بروز اشکال و خرابى در رابطه با اطلاعات ارزشمند در يک سازمان خواهد بود.بهمين دليل است که اکيدا" توصيه مى گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعيت از سياست هاى امنيتى در سازمان به آنان يادآورى و بر آن تاکيد گردد .

مورد دوم : ارسال داده حساس بر روى کامپيوترهاى منزل
يکى از خطرناکترين روش ها در رابطه با داده هاى حساس موجود در يک سازمان ، فعاليتى است که باعث غير فعال شدن تمامى پيشگيرى هاى امنيتى ايجادشده و در گير شدن آنان در يک فرآيند غير امنيتى مى گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روى کامپيوتر منزل خود فوروارد ( ارسال ) نمايند . در حقيقت کاربران تمايل به فوروارد نمودن يک پروژه ناتمام و يا برنامه ريزى تجارى به کامپيوتر منازل خود را داشته تا از اين طريق امکان اتمام کار خود در منزل را پيدا نمايند. کاربران به اين موضوع توجه نکرده اند که تغيير محيط ايمن سازمان با کامپيوتر منزل خود که داراى ايمنى بمراتب کمترى است ، بطور جدى اطلاعات را در معرض آسيب و تهاجم قرار خواهد داد . در صورتيکه ضرورى است که اطلاعات را به کامپيوترهاى منزل فوروارد نمود ، يک سطح مناسب ايمنى مى بايست وجود داشته باشد تا اين اطمينان بوجود آيد که نوت بوک ها و يا کامپيوترهاى منازل در مقابل مهاجمين اطلاعاتى حفاظت شده و ايمن مى باشند.

مورد سوم : ياداشت داده هاى حساس و ذخيره غيرايمن آنان
ايجاد و نگهدارى رمزهاى عبور قدرتمند ، فرآيندى مستمر است که همواره مى بايست مورد توجه قرار گيرد. کاربران همواره از اين موضوع نفرت دارند که رمزعبورهائى را ايجاد نمايند که قادر به بخاطرآوردن آن نمى باشند. سياست امنيتى تدوين شده سازمان مى بايست تعيين نمايد که يک رمز عبور چگونه مى بايست ايجاد و نگهدارى گردد. بخاطر سپردن چنين رمزعبورى همواره مسائل خاص خود را خواهد داشت . بمنظور حل اينچنين مشکلى ، کاربران تمايل دارند که ياداشت هاى مخفى را نوشته و آنها را زير صفحه کليد ، کيف جيبى و يا هر مکان ديگر در محل کار خود نگهدارى نمايند.
ياداشت ها ى فوق ، شامل اطلاعات حساس در ارتباط با داده هاى مربوط به رمزعبور و ساير موارد مرتبط است .استفاده از روشهاى فوق براى نگهدارى اطلاعات ، يک تخطى امنيتى است .دراين راستا لازم است ،کاربران توجيه و به آنان آگاهى لازم داده شود که با عدم رعايت موارد مشخص شده امنيتى ،پتانسيل هاى لازم بمنظور بروز مشکل در سيستم افزايش خواهد يافت . لازم است به کاربران ، روش ها و تکنيک هاى متفاوت بخاطر سپردن رمز عبور آموزش داده شود تا زمينه استفاده کاربران از ياداشت براى ثبت اينگونه اطلاعات حساس کاهش يابد . سناريوى هاى متفاوت براى آنان تشريح و گفته شود که يک مهاجم با استفاده از چه روش هائى ممکن است به اطلاعات ثبت شده در ياداشت ها ، دست پيدا نموده و زمينه بروز مشکل را فراهم نمايد.

مورد چهارم : دريافت فايل از سايت هاى غير مطمئن
يکى از سرويس هاى اينترنت امکان دريافت فايل توسط کاربران است . کاربران بمنظور دريافت فايل از اينترنت ، اغلب از امتيازات خود تعدى و حتى سياست ها ى موجود در سازمان را در معرض مخاطره و آسيب قرار مى دهند . دريافت فايل از وب سايت هاى گمنام و يا غير مطمئن باعث کمک در توزيع برنامه هاى مهاجم در اينترنت مى گردد. بدين ترتيب ما بعنوان ابزارى براى توزيع يک برنامه مخرب در اينترنت تبديل خواهيم شد. فايل ها و برنامه هاى دريافتى پس از آلودگى به نوع خاصى از برنامه مخرب ( ويروس ، کرم ، اسب تراوا ) ، مى تواند تاثيرات منفى فراوانى را در ارتباط با عملکرد يک سازمان بدنبال داشته باشد .کاربران مى بايست بندرت فايل هائى را از اينترنت دريافت در موارديکه ضرورت اين کار حس و به برنامه اى خاص نياز باشد ، اکيدا" توصيه مى گردد که موضوع با دپارتمان IT ( يا ساير بخش هاى مسئول در سازمان ) درميان گذاشته شود تا آنان بر اساس تجربه و دانش خود ، اقدام به تهيه برنامه مورد نظر از منابع مطمئن نمايند .

مورد پنجم : عدم رعايت امنيت فيزيکى
ميزان آگاهى و دانش کاربران در رابطه با رعايت مسائل ايمنى خصوصا" امنيت فيزيکى ، بطرز کاملا" محسوسى افزايش امنيت و حفاظت داده ها ى حساس در يک سازمان را بدنبال خواهد داشت . عموما" ، رفتار کاربران در زمان استفاده از ايستگاه هاى کارى سازمان سهل انگارانه و فاقد سوادعمومى ايمنى است . کاربران ، اغلب ايستگاههاى کارى خود را بدون در نظر گرفتن امنيت فيزيکى رها و screensaver آنان ، بندرت داراى رمز عبور بوده و مى تواند باعث بروزمسائل متعددى گردد. به کاربران مى بايست آموزش هاى لازم در رابطه با استراتژى هاى متفاوت بمنظور استفاده از سيستم هاى سازمان داده شود : مطمئن شويد آنها قادرند بدرستى با اطلاعات حساس در سازمان برخورد نمايند و همواره پيامدهاى عدم رعايت امنيت فيزيکى به آنان يادآورى گردد.

خلاصه
در اين مقاله به بررسى اهم اشتباهات متداول که ممکن است از جانب عوامل انسانى در يک سيستم کامپيوترى بروز نمايد ، اشاره و گفتته شد که عدم رعايت مسائل مربوطه مى تواند زمينه بروز مشکلات متعدد ايمنى در سازمان را بدنبال داشته باشد . موارداعلام شده را جدى گرفته و در صورت ضرورت مدل امنيتى جارى را بازسازى نمائيد . به کاربران ، مديران شبکه و حتى مديران سازمان آموزش هاى لازم داده شود تا سطح آگاهى و اطلاعات آنان دررابطه با امنيت افزايش يابد( جملگى مى بايست داراى يک سطح مناسب از سوادعمومى در ارتباط با امنيت اطلاعات باشيم ). تداوم عمليات يک سازمان در عصر حاضر ارتباط مستقيم به رعايت مسائل ايمنى توسط عوامل انسانى آن سازمان دارد.