ارائه چهارچوبی مفهومی جهت ایمن‌سازی سیستم‌های اطلاعاتی در سازمان‌های مبتنی بر رویکرد فراترکیب

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانشجوی دکترای مدیریت سیستم‌ها، پردیس فارابی دانشگاه تهران

2 دانشیار و عضو هیئت‏علمی دانشکده مدیریت و حسابداری پردیس فارابی دانشگاه تهران

3 استادیار و عضو هیئت ‏علمی پژوهشگاه ارتباطات و فناوری اطلاعات (نویسنده مسئول)

4 دانشیار و عضو هیئت ‏علمی دانشکده مدیریت و حسابداری پردیس فارابی دانشگاه تهران

چکیده

امنیت سیستم‌های اطلاعاتی معرف یک مسئله حیاتی است که امروزه بسیاری از سازمان‌ها با آن روبه‎رو هستند. این مقوله دربرگیرنده سه بعد انسانی، فنی و فرآیندی است. البته در اکثر تحقیقات صورت‎گرفته در این زمینه نوعی نگرش و رویکرد فنی وجود دارد. هدف پژوهش حاضر ارائه الگوی جدیدی است که الزامات امنیتی مناسب جهت مواجهه با تهدیدها و رفع آسیب‌پذیری‌های سیستم‌های اطلاعاتی را در هر سه بعد مذکور آدرس‌دهی می‌نماید. ازاین‌رو با استفاده از رویکرد فراترکیب 255 مقاله بررسی گردید که پس از ارزیابی، 76 مقاله جهت بررسی نهایی و استخراج کُدها تأیید گردیدند. از این مقالات تعداد 47 تهدید (در هشت طبقه)؛ 31 آسیب‌پذیری (در هشت طبقه)؛ 15 الزام انسانی؛ 34 الزام فنی (در هفت طبقه کلی) و 17 الزام فرآیندی استخراج شده است. در پایان نیز الزامات امنیتی مناسب جهت مواجهه با هر تهدید و رفع آسیب‌پذیری‌های مربوطه - بر اساس استناد به بهترین تجربه‌های منتشرشده- انتخاب و در قالب یک چهارچوب جامع (سه‌بعدی) ارائه شده است. بیشترین فراوانی در بین تهدیدات مربوط به فعالیت‌های مجرمانه/ سوء‌استفاده و کمترین فراوانی مربوط به چالش‌های انسانی است. در بین آسیب‌پذیری‌ها نیز بیشترین فراوانی مربوط به بروز فعالیت مجرمانه/ سوء‌استفاده و کمترین فراوانی مربوط به ضعف در کنترل شکست/ خرابی است. بیشترین الزام انسانی مربوط به تدوین و اجرای برنامه‌های آموزشی در زمینه امنیت اطلاعات است و بیشترین الزام فنی مربوط به سازوکارهای امنیت اطلاعات و سامانه‌ها می‌باشد. این در حالی است که بیشترین الزام فرآیندی مربوط به تدوین قوانین، خط‌مشی‌ها، دستورالعمل‌ها و الزامات امنیت سیستم‌های اطلاعاتی در سازمان است.

کلیدواژه‌ها


عنوان مقاله [English]

A Conceptual Framework for Securing Information Systems in Organizations Based on Methasynthesis Approach

نویسندگان [English]

  • Sima Sedighi Gariz 1
  • Hamid Zare 2
  • Aboozar Arabsorkhi 3
  • Seyyed Mohammad Mahmoudi 4
1 PhD student in Systems Management, Farabi Campus, University of Tehran
2 Associate Professor and Faculty Member, Faculty of Management and Accounting, Farabi Campus, University of Tehran
3 Assistant Professor and Faculty Member of the Institute of Communication and Information Technology (Corresponding Author)
4 Associate Professor and Faculty Member, Faculty of Management and Accounting, Farabi Campus, University of Tehran
چکیده [English]

Security of information systems is a critical issue that many organizations facing today, and includes three dimensions of human, technical and process. There are also some technical attitudes and approaches in most studies in this area. The purpose of this study is to provide a new model that addresses the security requirements for dealing with threats and fixing vulnerabilities in all three dimensions. Therefore, 255 articles were reviewed using the above-mentioned approach. After evaluation, 76 articles were approved for final examination and extraction of codes. Of these articles, 47 threats in 8 categories; 31 vulnerabilities in 8 floors; 15 human requirements; 34 technical requirements in 7 general categories and 17 process requirements. Finally, security requirements for dealing with each threat and fixing the vulnerabilities were selected and presented as a comprehensive framework. The greatest number of threats related to criminal activities / abuses and the lowest frequency is for human challenges. Among vulnerabilities, the highest frequency is related to the occurrence of criminal activity / abuse and the lowest frequency is related to weakness in failure / failure control. The most important human requirement is the development and implementation of training programs in the field of information security, the most technical requirements related to Information security mechanisms and systems, and the most important requirement is for the process of drafting laws, guidelines, instructions and Security requirements of information systems in the organization.

  • فهرست منابع ومآخذ

    الف. منابع فارسی

    • اسماعیل­پور، حمیدرضا، (1388)، شناسایی و رتبه­بندی عوامل و شاخص­های کلیدی مؤثر بر بهبود سیستم مدیریت امنیت اطلاعات،‌ پایان­نامه کارشناسی ارشد رشته مدیریت فناوری اطلاعات،‌ دانشگاه شهید بهشتی.
    • تقوا، محمدرضا و ایزدی، ماندانا، (1392)، بررسی امنیت در سیستم­های اطلاعاتی توسعه­یافته با روش معماری سرویس­گرا (SOA)، مدیریت فناوری اطلاعات،‌ دوره 5، شماره 3، 42-25.
    • جعفری­نژاد، نوید؛ مقبل باعرض، عباس و آذر، عادل، (1393)، شناسایی و استخراج مؤلفه‌های اصلی مدیریت ریسک سازمان با استفاده از روش فراترکیب، چشم­انداز مدیریت صنعتی، شماره 15، 85-107.
    • حسن­زاده،‌ محمد؛ کریم­زادگان­مقدم، ‌داوود و جهانگیری، ‌نرگس، (1391)، ارائه یک چهارچوب مفهومی برای ارزیابی پرمایگی و آموزش آگاهی از امنیت اطلاعات کاربران، فصلنامه نظام­ها و خدمات اطلاعاتی، سال اول، شماره 2، 16-1.
    • خاک­بیز، مسلم، (1395)، شناسایی و اولویت­بندی عوامل مؤثر بر امنیت سیستم­های اطلاعاتی سازمان با استفاده از مدل­های تصمیم­گیری چندشاخصه، پایان­نامه کارشناسی ارشد- دانشگاه یزد.
    • خضری­پور، فاطمه، (1392)، ارائه یک مدل برای بهبود مدیریت امنیت دارایی­های اطلاعاتی سازمان در سیستم مدیریت امنیت اطلاعات ادارات دولتی شهر کرمان، پایان­نامه کارشناسی ارشد رشته مدیریت فناوری اطلاعات،‌ دانشگاه پیام نور تهران.
    • خنیفر، حسین؛ میرزایی، نقی؛ پریشانی، علی و پوربهروزان،‌ علی، (1397)، آسیب‌شناسی پژوهش‌های داخلی در زمینه مسئولیت‌پذیری اجتماعی با رویکرد فراترکیب، فصلنامه علمی- پژوهشی مدیریت سازمان‌های دولتی، دوره 6، شماره 3، 83-98.
    • سلکایند، نیل جی، (1385)،‌ کاربرد آمار و spss در پژوهش­های علوم انسانی، ترجمه خلیل میرزایی و علی بقایی سرابی. تهران، انتشارات حفیظ.
    • سیف، یاسر؛ نادری بنی، ناهید، (1396)، شناسایی مؤلفه‌های مؤثر بر مدیریت امنیت اطلاعات در فناوری اطلاعات شرکت نفت قاره ایران، مدیریت فناوری اطلاعات،‌ دانشکده مدیریت دانشگاه تهران،‌ دوره 9،‌ شماره 4،‌870-851.
    • علی­محمد ملایری، عصمت؛ باجلان،‌ سعید و علی­محمد ملایری، نیره،‌ (1391)،  ارائه روشی مبتنی بر معیار به‌طور کمّی و  هفت­بعدی جهت ارزیابی ریسک امنیتی در بستر سیستم­های اطلاعاتی، اولین همایش ملی فناوری اطلاعات و شبکه­های کامپیوتری دانشگاه پیام نور.
    • مهرآیین، اسماعیل؛ آیت­اللهی، هاله و احمدی،‌ مریم، (1392)،‌ وضعیت امنیت اطلاعات در سیستم‌های اطلاعات بیمارستانی، مدیریت اطلاعات سلامت، دوره 10، شماره 6، 779-788.

    ب. منابع انگلیسی

    • Abraham, Sherly & Chengalur-Smith, InduShobha. (2010). An Overview of Social Egineering Malware: Trends, Tactics and Implications. Sciencedirect, Technology in Society 32, 183-196.
    • Abomhara, Mohamed & Koien, Geric M. (2015). Cyber Security and The Internet of Things (IoT): Vulnerabilities, Threats, Intruders and Attacks. Journal of Cyber Security, Vol.4, 65-88.
    • Alavi, Reza & Islam, Shareeful. (2016). An Information Security Risk-Driven Investment Model for Analysing Human Factors. Emeraldinsight, Information and Computer Security, 24(2), 205-227.
    • Albrechtsen, Eirik. (2014). Major Accident Prevention and Management of Information Systems Security in Technology-Based Work Processes, Journal of Loss Preventation in The Process Industries.
    • Alghazzawi, Daniyal M., Hasan, Syed Hamid, Trigui, Mohamed Salim. (2014). Information Systems Threats and Vulnerabilities. International Journal of Computer Applications, 89(3), 25-29.
    • Alotaibi, Youseef & Liu, Fei. (2012). How to Model a Aeure Information System: A Case Study, Internationa Journal of Information and Education Technology, Vol.2, No.2, 94-102.
    • Awodele, Oludele, Enyinnaya Onuiri, Ernest & Okolie, Samuel O. (2012). Vulnerabilities in Network Infrastructures and Prevention/ Containment Measures.Proceedings of Information Science & IT Education Conference (InSITE).
    • Blanco, Carlos, Rosado, David G., Enrique Sanchez, Luis & Jurjens, Jan. (2014). Security in Information System: Advances and New Challenges. Journal of Computer Standards & Interfaces, 36(4), 687-688.    
    • Boiko, Andrii & Shendryk, Vira. (2017). System Integration and Security of Information Systems. Sciencedirect, Procedia Computer Science 104, 35-42.
    • Carneiro Cavalcante, Rodolfo, Bittencourt, Ig Ibert, Silva, Alan Pedro da, Silva, Marlos, Costa, Evandro & Santos, Roberio. (2012). A Survey of Security in Multi-Agent Systems. Sciencedirect, Expert Systems with Applications 39, 4835-4846.
    • Crossler, Robert E., Belanger, France & Ormond, Dustin. (2017). The Quest for Complete Security: An Emprical Analysis of Users' Multi-Layered Protection From Security Threats. Springer, InfSyst Front.
    • Chaudhry, Peggy E., Chaudhry, Sohail S., Clark, Kevin D. & Jones, Darryl S.  (2013). Enterprise Information Systems Security: A Case Study in The Banking Sector. International Federation for Information Processing, LNBIP 139, 206-214.
    • Cheng, Lijiao, Li, Ying, Li, Wenli, Holm, Eric & Zhai, Qingguo. (2013). Understanding the Violation of IS Security Policy in Organizations: An Integrated Model Based on Social Control and Deterrence Theory. Sciencedirect, Computers & Security 39, 447-459.
    • Chou, Te-Shun. (2013). Security Threats on Cloud Computing Vulnerabilities. International Journal of Computer Science & Information Technology (IJCSIT).
    • Chuessler, Josef H.  (2009). General Deterrence Theory: Assessing Information Systems Security Effectiveness in Large Versus Small Business University of North Texas, Theses.
    • Cowan, Christian & Gaskins, Chris. (2011). Monitoring Physical Threats in The Data Center, Schneider Electric's Data Center Science Center.
    • Dang, Khanh & Dang, Tri. (2013). A Survey on Security Visualization Techniques for Web Information Systems. Emeraldinsight, International Journal of Web Information Systems,  9(1), 6-31.
    • Djemaiel, Yacine & Boudriga, Noureddine. (2014). Modeling and Assessing The Impact of Security Attacks on Enterprise Information Systems, Springer International Publishing Switzerland, LNBIP 183, 281-292.
    • Djemaiel, Yacine & Boudriga, Noureddine. (2014). Modeling and Assessing The Impact of Security Attacks on Enterprise Information Systems, Springer International Publishing Switzerland, LNBIP 183, 281-292.
    • Elahi, Golnaz, Yu, Eric & Zannone, Nicola. (2010). A Vulnerability-Centric Requirements Engineering Framework: Analyzing Security Attacks, Countermeasures and Requirements Based on Vulnerabilities. Springer, Requirements Eng (15), 41-62.
    • ENISA Threat Taxonomy: A Tool for Structuring Threat Information, 2016.
    • Fernandes, Diogo A.B., Soares, Liliana F.B., Gomes, Joao V., Freiro, Mario M. & Inacio, Pedro R.M. (2014). Security Issues in Cloud Environments: A Survey, International Journal Information Security 13: 113-170.
    • Gamagedara Arachchilage, Nalin Asanak & Love, Steve. (2014). Security Awareness of Computer Users: A Phishing Threat Avoidance Perspective. Sciencedirect, Computers in Human Behavior 38, 304-312.
    • Gebremedhin Kassa, Shemles, CISA & MSCS. (2016). Inforrmation Systems Security Audit: An Ontological Framework, ISACA Journal 5.
    • Geric, Sandro & Hutinski, Zeljko. (2007). Information System Security Threats Classifications. Journal of Information and Organizational Sciences, 13(1).
    • Guo, Ken H. (2013). Security-Related Behavior in Using Information Systems in The Workplace: A Review and Synthesis, Sciencedirect, Computers & Security32, 242-251.
    • Hall, Jacqueline H., Sarkani, Shahram & Mazzuchi, Thomas A.  (2011). Impacts of Organizational Capabilities in Information Security. Emeraldinsight, Information Management and Computer Security, 19 (3), 155-176.
    • Hassanzadeh, Mohammad, Jahangiri, Narges & Brewster, Ben. (2014). A Conceptual Framework for Information Security Awareness, Assessment and Training. Elsevier, Emerging Trends in ICT Security, Chapter 6, 99-110.
    • Hayale, Talal H. & Abu Khadra, Husam A. (2016). Investigating Perceived Security Threats of Computerized Accounting Information Systems: An Emprical Research. Emeraldinsight, Journal of Economic and Administrative Sciences 24(1), 41-67.
    • Hu, Qing, Hart, Paul & Cooke, Donna. (2007). The Role of External and Internal Influences on Information Systems Security- A Neo-Institutional Perspective. Sciencedirect, Journal of Strategic Information Systems 16, 153-172
    • Hutter, David. (2016). Physical Security and Why It Is Important, SANS Institute.
    • Hsu, Carol, Lee, Jae-Nam, Straub, Detmar, W. (2012). Institutional Influences on Information Systems Security Innovations, Information systems Research, 23 (3).
    • Ifiendo, Princley. (2014). Information Systems Security Policy Compliance: An Empirical Study of the Effects of Socialization, Influence and Cognition. Sciencedirect, Information & Management 51, 69-79.
    • Information Security Breaches Survey, PWC & Infosecurity Europe, 2015.
    • Jang-Jaccard, Julian & Nepal, Surya. (2014). A Survey of Emerging Threats in Cybersecurity. Sciencedirect, Journal of Computer and System Sciences 80, 973-993.
    • Jansson, K. & Von Solms, R. (2014). Phishing for Phishing Awareness. Taylor & Francis, Behaviour & Information Technology 32:6, 584-593.
    • Jianrong, Yao & Minxue, Wei (2014). A New Bionic Architecture of Information System Security Based on Data Envelopment Analysis. Internation Conference on Management of E-Commerce and E- Government,IEEE, 93-97.
    • Jouinin, Mouna, Ben Arfa Rabai, Latifa & Ben Aissa, Anis. (2014). Classification of Security Threats in Information Systems. Sciencedirect, 5th International Conference on Ambient Systems Networks and Technologies, Procedia Computer Science 32, 489-496.
    • Kim, Tai-hoon. (2011). A Study on Security Level Management Model for Information System. Thesis, University of Tasmania. [56] Josef H. Chuessler. (2009). General Deterrence Theory: Assessing Information Systems Security Effectiveness in Large Versus Small Business University of North Texas, Theses.
    • Kraemer, Sara, Carayon, Pascale & Clem, John. (2009). Human and Organizational Factors in Computer and Information Seurity: Pathways to Vulnerabilities. Sciencedirect, Computers & Security 28, 509-520.
    • Kozlovs, Dmitrijs & Kirikova, Marite. (2016). Auditing Security of Information Flows, Springer, LNBIP 261, 204-219.
    • Mirembe, Drake Patrick. (2015). The Threat Nets Approach to Information System Security Risk Analysis, University of Groningen, Theses. [61] Lean-Ping Ong. (2015). Awareness of Information Security Risks: An Investigation of People Aspects (A Study in Malaysia), Southern Cross University, Theses.
    • Meskell, P., Burke, E., Kropmans, T. J., Byrne, E., Setyonugroho, W. & Kennedy, K.M. (2015). Back to the future: An online OSCE Management Information System for nursing OSCEs. Nurse Education Today, 35 (11), 1091-1096.
    • Meskell, P., Burke, E., Kropmans, T. J., Byrne, E., Setyonugroho, W. & Kennedy, K.M. (2015). Back to the future: An online OSCE Management Information System for nursing OSCEs. Nurse Education Today, 35 (11), 1091-1096.
    • Ogutcu, Gizem, Testik, Ozlem Muge & Chouseinoglou, Oumout. (2015). Analysis of Personal Information Security Behavior and Awareness. Journal of Computers and Security.
    • Ong, Lean-Ping. (2015). Awareness of Information Security Risks: An Investigation of People Aspects (A Study in Malaysia), Southern Cross University, Theses.
    • Papp, Dorottya, Ma, Zhendong & Buttyan Levente. (2015). Embedded Systems Security: Threats, Vulnerabilities and Attack Taxonomy. Thirteenth Annual Conference on Privacy, Security and Trust (PST).
    • Parsons, Kathryn Marie, Young, Elise, Butavicius, Marcus Antanas & McCormac, Agata. (2015). The Influence of Organizational Security Culture on Information Security Decision Makin g, Journal of Cognitive Engineering and Decision Making, Vol.9, No. 2, 117-129.
    • Pathari, V., Sonar, R. (2012). Identifying Linkages Between Statements in Information Security Policy, Procedures and Controls. Information Management & Computer Security, 20(4), 264-280.
    • Safianu, Omar, Twum, Frimpong & Hayfron-Acquah, J. B. (2016). Information System Security Threats and Vulnerabilities: Evaluating The Human Factor in Data Protection. International Journal of Computer Applications, Vol.143, No.5, 8-14.
    • Security and Privacy Controls for Federal Information Systems and Organizations, NIST Special Publication 800-53, 2013.
    • Sohrabi Safa, Nader, Solms, Rossouw von & Futcher, Lynn. (2016). Human Aspects of Information Security in Organizations. Journal of Computer Fraud & Security,  15-18.
    • Soltanmohammadi, Saeed, Asadi, Saman & Ithnin, Norafida. (2013). Main Human Factors Affecting Information System Security. Interdisciplinary Journal of Contemporary Research in Business, Vol.5,No.7, 329-354.
    • Sommestad, Tedor, Ekstedt, Mathias, Holm, Hannes & Afzal, Muhammad. (2011). Security Mistakes in Information System Deployment Projects. Emeraldinsight, Information Management & Computer Security, 19(2), 80-94.
    • Suleiman, Husam, Alqassem, Israa, Diabat, Ali, Arnautovic, Edin & Svetinovic, Davor. (2015). Integrated Smart Grid Systems Security Threat Model. Sciencedirect, Information Systems 53, 147-160.
    • Tan, Hakan. (2011). Information System Security of an Organization and an Application. Degree of Master of Science in Computer Engineering.
    • Threat Landscape and Good Practice Guide for Internet Infrastructure, ENISA, 2015.
    • Tintamusik, Yanarong. (2010). Examining the Relationship Between Organization Systems and Information Security Awareness, Proquest LLC.
    • Trustwave Global Security Report, 2016.
    • Trustwave Global Security Report, 2018.
    • Tsai, Nancy & Xiong, Yan. (2016). An Investigation of the Information System Security Issues in Taiwan. International Journal Business Information Systems, Vol.21,No.3, 309- 320.
    • Wang, Hua, Zhao, GuoHong, Shi, BoShan & Meng, XianJun. (2013). The Security Protection and Technology Analysis of Information System. Applied Mechanics and Materials, vol.263-266, 3130-3134.
    • Wei, Liu, Yong-feng Cui & Ya, Li. (2015). Information Systems Security Assessment Based on System Dynamics. International Journal of Security and Its Applications, Vol.9, No.2, 73- 84.
    • Wu, Xianping.  (2009). Security Architecture For Sensitive Information Systems, Information Technology Monash University, Austrslia, Thesis.
    • Yeh, Quey-Jen & Chang, Authur Jung-Ting. (2007). Threats and Countermeasures for Information System Security: A Cross-Industry Study. Sciencedirect, Information & Management 44, 480-491.
    • Yun, B., Fengming, Z., Wanfang, C., Cong, N, Na, L & Xu, Z. (2012). Lifecycle Management Framework of Information Systems Security Architecture, International Conference on Information Management, Innovation Management and Industrial Engineering,  IEEE, 292-295.
    • Zafar, Humayun. (2013). Human Resource Information Systems: Information Security Concerns for Organizations. Sciencedirect, Human Resource Management Review 23, 105-113.
    • Zainab, A.N., Ismail, R. (2013).  Assessing the State of Library Information Systems Security. Journal of Librarianship and Information Science, 45(3), 232-247.
    • Zimmer, L. (2006). Qualitative meta-synthesis: A question of dialoguing with texts. Journal of Advanced Nursing, 53(3), 311–318.
    • David H Deans. (2018).Global ICT investment will hit $4 trillion in 2018 – with cloud and hybrid IT infrastructure driving it. Retrieved from https://www.cloudcomputing-news.net/news/2018/feb/20/worldwide-ict-investment-will-reach-4-trillion-in-2018/.
    • Gartner Forecasts Worldwide Information Security Spending to Exceed $124 Billion in 2019. (2018). Retrieved from https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019.
    • Janine L. Spears & Henri, Barki. (2010). User Participation In Information Systems Security Risk Management, MIS Quarterly, 34(3).
    • Mayer, Nicolas, Aubert, Jocelyn, Grandry, Eric, Feltus, Christophe, Goettelmann, Elio & Wieringa, Roel. (2019). An integrated conceptual model for information system security risk management supported by enterprise architecture management. Springer, Software & Systems Modelling, 18 (3), 2285-2312.