مدلی پویا جهت ارزیابی امنیت سیستمهای اطلاعاتی با استفاده از رویکرد پویاییشناسی سیستمها
محورهای موضوعی : زيرساختهاي توسعه فناوري و نهادهاي پشتيبان توسعه فناوريمحسن شفیعی نیک آبادی 1 , امیر حکاکی 2 , سارا غلامشاهی 3
1 - دانشگاه سمنان
2 - دانشگاه سمنان
3 - دانشگاه سمنان
کلید واژه: امنیت سیستمهای اطلاعاتی پویاییهای سیستم مدلسازی شبیهسازی ونسیم,
چکیده مقاله :
در دهههای اخیر امنیت اطلاعات از اهمیت بالایی برخوردار است. این درحالی است که بسیاری از پروژههای ارتقاء امنیت اطلاعات در سازمانها به دلیل عدم اطلاع دقیق از ریسکها و عوامل مؤثر با شکست مواجه میشوند. پژوهش حاضر جهت شناسایی شاخصهای تأثیرگذار بر امنیت سیستمهای اطلاعاتی دادههای لازم پس از مطالعات کتابخانهای و مطالعات میدانی به صورت مصاحبه باز با 12 نفر از خبرگان که با روش نمونهگیری قضاوتی و هدفمند انتخاب شدهاند جمعآوری شده است. نمودار روابط علی پژوهش پس از شناسایی ابعاد و شاخصهای ریسک با استفاده از نظرات خبرگان ترسیم شده و در نهایت مطابق با مدلسازی پویاییهای سیستم، مدل پویای پژوهش با استفاده از نرمافزار ونسیم (Vensim) طراحی شده است. مدلسازی پویاییهای سیستم درک بهتری از رفتار سیستم ایجاد مینماید و بوسیله آن میتوان ساختارها و سیاستهای جدیدی را تدوین نمود. برای اعتبارسنجی مدل از آزمون شرایط حدی استفاده شده و نتایج نشان از تأیید اعتبار مدل ارائه شده دارد. برای انجام شبیهسازی دادههای لازم با استفاده از دادههای شرکت مهندسین مشاور افق گردآوری شده است. نتایج شبیهسازی در مدت 12 ماه نشان میدهد در بین ریسکهای شناساییشده بیشترین اهمیت مربوط به ریسک فنی میباشد؛ ریسک داده، انسان و فیزیکی در رتبههای بعدی قرار میگیرند؛ کم اهمیتترین ریسک مربوط به محیط میباشد. در نهایت، چهار سناریو استفاده از نرمافزارهای امنیتی، تعیین سطوح دسترسی کاربران، استفاده از برق اضطراری، استفاده از نظارت تصویری و آموزش کارکنان جهت بهبود رفتار سیستم معرفی شده است.
In recent decades, information security has been a great importance for all organizations. However, to enhance information security in an organization, many projects have been failed due to lack of knowledge of risks and effective factors on information security. This paper aims to study effective factors on security of information systems. Data is collected through extensive literature review and open interview by 12 experts, which is chosen as the judgment of researchers purposefully. Causal model of studied risks was designed based on experts’ opinions, after identifying dimensions and risk factors. Subsequently, Dynamic model was plotted by VENSIM software using system dynamics approach. System dynamics modelling creates a better understanding of the system behavior and allows for the development of new structures and policies. In order to test the validation of research dynamic model, boundary condition was used. results indicate that presented model is validated. Moreover, to simulate by studied model, the data is collected from OFOGH consulting engineering company and run for a period of 12 months. As a result, among identified risks, the most important one relates to technical risk. Data risk, human risk and physical risk are in the next ranks respectively. In addition, environmental risk has the lowest importance. At the end, using security software, determining staff access levels, using uninterrupted Power Supply systems, Closed Camera Television (CCTV), and staff training courses are identified as four solutions to improve information systems security behavior.
1- یوسفیزنوز، رضا، سجادی خسرقی، فاطمه. ارزیابی ریسک در پیادهسازی سیستم اطلاعات بیمارستانی: مطالعه موردی،. مدیریت سلامت، دوره بیستم، شماره 67، 23-7. (1396)
2- استرمن، جان. پویایی شناسی سیستم. ترجمه: شهرام میرزایی، احمد اصلی زاده، کیوان شاهقلیان ، علیرضا سلوک دار، علیرضا زنده باف، نشر ترمه. تهران. (1387).
3- سادوسکای، جورج، اکس دمپزی، جیمز، گرین برگ، آلن، جی مک، باربارا، شوارتز، آلن. راهنمای امنیت فناوری اطلاعات. ترجمه: مهدی میردامادی، زهرا شجاعی و محمدجواد صمدی: شورای عالی اطلاع رسانی. تهران. (1384).
4- لاودن، کنت سی، لاودن، جین پی. سیستمهای اطلاعات مدیریت. ترجمه: حبیب رودساز، سینا محمد نبی، امیرحسین بهروز. دانشگاه علامه طباطبائی. تهران. (1391).
5- استالینگز، ویلیام. مبانی امنیت شبکه. ترجمه: عینالله جعفرنژاد قمی ، علوم رایانه. تهران، ایران. چاپ اول. (1393).
6- حاجی حیدری، نسترن، رحمتی، فاطمه. تحلیل ریسک پروژههای فناوری اطلاعات با استفاده از پویاییهای سیستم. مدیریت تولید و عملیات، دوره نهم، شماره 1، 137-119. (1397)
7- مرادی پور،سهامه، رستمپور، احمد. نقش آموزشی نیروی انسانی در افزایش ضریب امنیت و کارایی سیستمهای رایانهای. کنفرانس ملی امنیت اطلاعات و ارتباطات، خوزستان: مجتمع آموزشی عالی جهاد دانشگاهی. (1389).
8- قبادی، شهلا. سیستم داینامیک کاربردی از تفکر سیستمی: انتشارات سازمان مدیریت صنعتی. تهران. (1393).
9- رستمی مازویی، نعمت، رهنمای رودپشتی، فریدون. واکاوی و تبیین اثرات کنشگران فنی و انسانی بر کارکردهای سیستم اطلاعاتی حسابداری مدیریت با استفاده از نظریه کنشگران. حسابداری مدیریت، دوره دوازدهم، شماره 41، 110-91. (1398).
10- جعفری، محمدباقر، حمیدیزاده، علی، نجفآبادی، راضیه. بررسی عوامل مؤثر بر پیروی کارکنان از سیاستهای امنیت سیستمهای اطلاعاتی در سازمان. دوره دوم، شماره 3، 131-102. (1395)
11- رمضانیان، محمدرحیم، اسماعیل پور، رضا، حدیدی ماسوله، مرجان. ارائه مدل پشتیبانی اجرای پروژههای برنامهریزی منابع سازمان با رویکرد پویاییشناسی سیستم. نشریه مدیریت فناوری اطلاعات، تابستان، (2)7: 301-324. (1394).
12- آذر، عادل، خدیور، آمنه. کاربرد رویکرد سیستم داینامیک در فرایند رهنگاری و سیاستگذاری. سیاست علم و فناوری، (4)2: 22-1. (1389).
13- مداح، مرتضی. بررسي تأثير پويايي مديريت دانش بر عملكرد سازماني با رويكرد كارت امتيازي متوازن و پويايي سيستم. پاياننامه كارشناسيارشد، دانشگاه يزد. (1390).
14- Boranbayev, A., Boranbayev, S., & Nurbekov, A. Evaluating and Applying Risk Remission Strategy Approaches to Prevent Prospective Failures in Information Systems. In 17th International Conference on Information Technology–New Generations (647-651). Springer, Cham. (2020).
15- Yuan, T. & Chen, P. Data Mining Applications in E-Government Information Security, Procardia Engineering, 29: 235–240. (2012).
16- Richardson, R., & Director, C. S. I. CSI computer crime and security survey. Computer Security Institute, 1, 1-30. (2008).
17- Schneider, B. Secrets & lies: digital security in a networked world. Wiley publishing. (2004).
18- Malekalkalami, M. Evaluating the performance of information security management at the central libraries of public universities in Tehran: according to the international standard-ISO / IEC. Journal of Information Processing and Management, 28(4): 895-916. (2013).
19- Landwehr, C. E. Information assurance technology forecast 2005. IEEE, 4(1): 62-69. (2006).
20- Nazareth, D.L & Choi, J. A system dynamics model for information security management. Information & management, 52(1): 123-134. (2015).
21- Radzicki, M. J. System dynamics and its contribution to economics and economic modeling. System Dynamics: Theory and Applications, 401-415. (2020).
22- Sterman, J. D. Business dynamics: Systems thinking and modeling for a complex world. McGraw Hill. (2000).
23- Wei, L. & Yong, C. Information system security assessment based on system dynamics. Information Journal of security and its applications, 9(2): 73-84. (2015).
24- Gonzalez, J. J., & Sawicka, A. A framework for human factors in information security. In Wseas international conference on information security, (2002).
25- Jouini, M., Ben, L. & Ben, A., Classification of security Threat in information system. Procardia Computer Science, 32(10): 489 – 496. (2014).
26- Yong, L., Qi, L. & Kun, M. A quantitative risk assessment of the safety of the enterprise information system information based on entropy, Computer Science, 37(5): 45-48. (2010).
27- Gerić, S., & Hutinski, Ž. Information system security threats classifications. Journal of Information and Organizational Sciences, 31(1): 51-61. (2007).
28- Chorppath, A., Kumar, A. & Alpcan, T. risk management for it security: When theory meets practice: New Technologies, Mobility and Security (NTMS), 5th International Conference on. IEEE. (2012).
29- Reed, A. H., & Angolia, M. G. Risk management usage and impact on information systems project success. In Start-Ups and SMEs: Concepts, Methodologies, Tools, and Applications (1065-1084). IGI Global. (2020).
30- Safa, N. S., Maple, C., Furnell, S., Azad, M. A., Perera, C., Dabbagh, M., & Sookhak, M. Deterrence and prevention-based model to mitigate information security insider threats in organisations. Future Generation Computer Systems, 97, 587-597. (2019).
31- Sinha, P., kumar Rai, A., & Bhushan, B. Information Security threats and attacks with conceivable counteraction. In 2019 2nd International Conference on Intelligent Computing, Instrumentation and Control Technologies (ICICICT). IEEE. (2019).
32- Gao, W., Hong, B., Swaney, D. P., Howarth, R. W., & Guo, H. A system dynamics model for managing regional N inputs from human activities. Ecological Modelling, 322: 82-91. (2016).
33- Yuan, H. & Wang, J. A system dynamics model for determining the waste disposal charging fee in construction. European Journal of Operational Research, 237(3): 988-996. (2014).
34- Şenaras, A. E., & Sezen, H. K. System Dynamics Modelling for Policy Design: A Case Study in Turkey. In Corporate Governance Models and Applications in Developing Economies (256-274). IGI Global. (2020)
35- Samara, E., Georgiadis, P. & Bakouros, I. The impact of innovation policies on the performance of national innovation systems: A system dynamics analysis. Technovation, 32(11): 624-638. (2012).
36- Nikabadi, M. S., & Hakaki, A. A dynamic model of effective factors on open innovation in manufacturing small and medium sized companies. Int. J. of System Dynamics Applications, 7(1), 1-26. (2018).
37- Shepherd, S. P. A review of system dynamics models applied in transportation. Transportmetrica B: Transport Dynamics, 2(2): 83-105. (2014).
38- Lee, C. F. & Chung, C. P. An inventory model for deteriorating items in a supply chain with system dynamics analysis. Procedia-Social and Behavioral Sciences, 40: 41 – 51. (2012).
39- Forrester J.W. & Senge, P.M. Test for building confidence in system dynamics models. Georgia institute of technology. (1980).