Axborot tizimlari fanlari bo'limi Magistrlik dissertatsiyasi, davomiy kurslar

Download 2,35 Mb.

Pdf ko'rish

bet	14/57
Sana	09.07.2022
Hajmi	2,35 Mb.
	#764856

1 ... 10 11 12 13 14 15 16 17 ... 57

Bog'liq
Axborot xavfsizligiga ichki tahdid

2.3.2. Motivatsiya, sabab Hodisa
tahlili shuni ko'rsatadiki, insayderlarning aksariyati qonuniy foydalanuvchi buyruqlaridan foydalangan, ammo
faqat 23% texnik lavozimlarda ishlagan (Yachin, 2006). CERT tadqiqoti (Kowalsky va boshq, 2008) shuni
ko'rsatdiki, insayderlarning 90% voqea sodir bo'lgan paytda ruxsatga ega bo'lgan hozirgi xodimlardir. Shunisi
e'tiborga loyiqki, insayderlarning deyarli yarmi voqeadan oldin nomaqbul xatti-harakatlarni ko'rsatgan, ammo
tashkilot siyosatining buzilishi qayd etilmagan (Kowalsky va boshqalar, 2008). Cappelli va boshqalar (2009b),
shuningdek, ichki IT-sabotajlarning 30 foizi ilgari hibsga olinganlar tomonidan amalga oshirilganligini ta'kidlaydilar.
Texnologiya elementlariga operatsion tizim, noadekvat apparat va dasturiy ta'minot, shifrlash qoidalari,
diagnostika vositalaridan foydalanish, xavfsizlik dasturiy ta'minotidan foydalanish va inson va kompyuterning
zaif o'zaro ta'siri kiradi.
Vazifa darajasining elementlari ish tuzilishi, xodimlarning ish vazifalari va ish yukidan iborat.
Oldingi mualliflar faqat yomon niyatli ichki hodisalarni ko'rib chiqsalar ham, beparvolik, ehtiyotsizlik tufayli
yuzaga kelgan boshqa hodisalar ham qo'llaniladi, shuning uchun beixtiyor sodir bo'lgan hodisalarning
sabablarini ko'rib chiqish kerak. Kraemer va Carayon (2007) ta'kidlashicha, tasodifiy xavfsizlik hodisasining
ahamiyati etarlicha baholanmagan, chunki ataylab qilingan hujumlar ko'pincha faqat xodimlarning ichki xatosi
tufayli muvaffaqiyatli bo'ladi.
Ish joyidagi muhit elementlariga ruhiy kirish, boshqa ishchilar va jihozlardan shovqin, hamkasblar tomonidan
uzilishlar va jihozlarning uzilishi kiradi.
Individual elementlar - bu shaxsga xos bo'lgan va vaqt o'tishi bilan olingan xavfsizlik tajribasi darajasini, guruh
ichidagi muayyan vazifalarni individual belgilashni, treningga asoslangan xavfsizlik bilimlarining individual
darajasini, xavfsizlik holatini individual baholashni va oxirgi foydalanuvchini idrok etishni o'z ichiga olgan
elementlar.
Kowalski va boshqalar (2008) ma'lumotlariga ko'ra, moliyaviy daromad ichki tahdid uchun eng muhim motivator
(54%). Tadqiqot shuni ko'rsatdiki, ichki hodisalarning 24 foizi qasos olish uchun qilingan va 14 foizi o'ziga xos
norozilikni his qilgan. Yachin (2006) shunga o'xshash nisbatni beradi - o'rganilgan ko'pchilik insayderlar uchun
sabab moliyaviy daromad olish istiqbollari (81%); undan keyin qasos (23%); kompaniyaning boshqaruv
madaniyati yoki siyosatidan norozilik, (15%); va hurmat istagi (15%). Kowalski va boshqalar (2008) tomonidan
olib borilgan tadqiqotda, shuningdek, ichki tahdidga ta'sir qiluvchi omillar ta'kidlangan va noqonuniy faoliyatning
aksariyati (56%) muayyan hodisalar - tugatish, o'tkazish yoki boshqa intizomiy jazo choralari (40%), shaxsiy
muammolar tufayli yuzaga kelganligi aniq. tashkilot bilan bog'liq bo'lmagan (15%), boshqaruv, tashkilot yoki
uning siyosati bilan nizo yoki norozilik (10%).
Ba'zi mualliflar (Kraemer & Carayon, 2007) sabablarni tahlil qilishga chuqurroq kirishadilar va xato va xato
darajalarini inson xatosi va axborot xavfsizligi buzilishi uchun sharoit yaratishi mumkin bo'lgan o'zaro bog'liq
elementlarga kengaytiradilar: alohida elementlar, vazifa elementlari, ish joyidagi muhit elementlari, texnologiya
elementlari, tashkiliy elementlar. . Kraemer & Carayon, (2007) tarmoq ma'murlari va xavfsizlik mutaxassislari
tomonidan aniqlangan xatolar va sabablarga e'tibor qaratgan bo'lsa-da, ularning xato modeli oxirgi foydalanuvchi
xatolari va xatolari uchun sozlanishi mumkin.
Ammo g'arazli niyat bilan sodir bo'lgan o'sha insayder hodisalarning sabablari nima edi?
Machine Translated by Google

Xavfsizlik buzilishini kamaytirishga e'tibor qaratish o'rniga, muvaffaqiyatni yaxshilashga e'tibor qaratish
lozim (Kabay, 2002). Biroq, ba'zi mualliflar motivatsiya nazariyasi xodimlar bilan bog'liq xavfsizlik
xavflarini kamaytirish uchun foydali bo'lishi mumkinligiga rozi emaslar, chunki xavfsizlik o'lchanishi
mumkin bo'lgan aniq natijalarga ega emas, shuning uchun uni mukofotlash va jazolash qiyin (Frank va
boshqalar, 1991).
Ammo xodimlarning bilimlari va xodimlarning xatti-harakatlari o'rtasida tafovut mavjud (Workman va
boshqalar, 2008). Sasse (nd) xavfsizlik xulq-atvoriga nafaqat xavfsizlik bilimlari, balki motivatsiya,
ishontirish va ijtimoiy me'yorlar ham ta'sir qilishini ta'kidlaydi. Shaxsiy manfaatlar va haqiqiy, ishonchli
tahdidlar odamlarning idroki va munosabatini o'zgartiradi va shu bilan ularning xavfsizlik xatti-harakatlarini
o'zgartiradi (Sasse, nd). Psixologlarning fikricha, mukofot va jazo odamlarning harakatlarini
boshqaradigan omillardir (Tavris va Aronson, 2007). Axborot xavfsizligi uchun mas'ul shaxslarni
o'rgatish bo'yicha adabiyotlar odatda xodimlarni uchtasi tomonidan to'xtatilishi kerak degan fikrga ega:
Tashkiliy elementlarga aloqa, axborot xavfsizligi madaniyati, siyosat, amalga oshirish, tashkiliy tuzilma,
resurslar va strategik masalalar kiradi. Kraemer va Carayon (2007) tadqiqot natijalari shuni ko'rsatdiki,
tashkiliy elementlar xatolarga eng ko'p yordam beradigan omillardir.
Shuningdek, Leach (2003) xavfsizlikning yaxshi xulq-atvori uchun mukofot xodimlarning xatti-harakatlarini
yaxshilashning ajoyib usuli deb hisoblaydi. Ammo u juda tez-tez ishlatilmaydi. Asosan axborotni himoya
qilishni ta'minlash orqali tashkilotlar butunlay qoidalarni buzganlarni jazolashga qaratilgan (Kabay, 2002).
l jazo qo'llanilishi ehtimoli.
Axborot xavfsizligi xulq-atvorini yaxshilashning eng samarali usullaridan biri bu xodimlarni xabardor
qilish va o'qitish dasturidir. Frank va boshqalarga (1991) ko'ra, foydalanuvchilarning xatti-harakatlari va
tashkilot ichidagi axborot xavfsizligi bilan bog'liq munosabatini o'zgartiradigan eng muhim o'zgaruvchilar
foydalanuvchi bilimi va norasmiy me'yorlardir. Tadqiqotlar shuni ko'rsatadiki, deyarli barcha
foydalanuvchilar axborot xavfsizligi muhimligi to'g'risida rozi bo'lishadi va ta'lim va xabardorlik dasturi
axborot xavfsizligini yaxshilash uchun eng muhim qadam deb o'ylashadi (Albrechtsen & Hovden, 2009).
Ichki tahdidni aniqlash va kamaytirish uchun risklarni boshqarish axborot xavfsizligi uchun mas'ul
bo'lgan ma'lum bir shaxs tomonidan amalga oshirilishi kerak. Whitman & Mattord (2008) ma'lumotlariga
ko'ra, risklarni boshqarish dasturi ikkita rasmiy jarayonga ega - xavfni aniqlash va baholash va xavflarni
nazorat qilish.
Nafaqat jazo, balki mukofot ham xatti-harakat uchun jiddiy turtkidir (Kabay, 2002).
l qo'lga tushish ehtimoli
Tanlangan risklarni nazorat qilish strategiyasi natijasida turli xil insayderlar uchun xavf tug'dirdi, hatto u

Download 2,35 Mb.

Do'stlaringiz bilan baham:

1 ... 10 11 12 13 14 15 16 17 ... 57