أمن المعلومات القابل للتطبيق والإستخدام (Usable-Security)

النقاش الأسبوعي الرابع 15/8/2015 مقدمه: د. ياسر هوساوي – أستاذ مساعد في قطاع تقنية المعلومات بمعهد الادارة العامة بعنوان: أمن المعلومات القابل للتطبيق والإستخدام (Usable-Security) 1- الموضوع: 8/15/15, 20:49:54 د. ياسر هوساوي: بسم الله الرحمن الرحيم السادة الزملاء والزميلات الاكارم، السلام عليكم ورحمة الله وبركاته،،،، الرابط أدناه عبارة عن ملف PDF يحتوي على تفاصيل نقاشنا لهذا الأسبوع عن Usable-Security: https://www.dropbox.com/s/1idpiwtaz3s8pzm/Usable-Security.pdf?dl=0 المحاور: ١- تعريف Usable-Security . ٢- التكامل والتوازن ما بين تأمين المعلومات وقابلية التعامل مع استراتيجيات وتطبيقات التأمين (Security & Usability Integration) . ٣- تشخيص مشكلة التكامل والتوازن بين استراتيجيات وتطبيقات التأمين وقابلية التعامل معها. ٤- تحقيق التكامل والتوازن بين Security وUsability . ٥- حلول واستراتيجيات Usable-Security المطروحة حالياً من خلال المسح البحثي في هذا المجال. ٦- نبذه مختصرة عن مشاركاتي البحثية في مسار Usable-Security تحت إطار عمل بعنوان “Towards a Usable-Security Engineering Framework for Enhancing Software Development”   2- المناقشة: ١- سمعت ان لعلماء النفس تداخل مع هذا المجال … صف لنا ابعاد تداخلهم .. !؟ (متعب الضبيطي) نعم هناك علاقة بين مسار Usable-Security وعلم النفس. وهذه العلاقة تتمثل في الحلول المعتمدة على Human-centered design في غالب الامر، وهي تهتم بتخفيف ال cognitive load بما يتناسب مع الطبيعة البشرية. ٢- ماهي الافرع الاخرى الفرع الهجين حسبما ذكرتك في مقدمتك المتميزه ؟! ( متعب الضبيطي) اي بحث الذي يجمع بين فرعين مختلفين ومستقىلين يعتبر بحث هجين، مثل ما هو مطروح في نقاش هذا الأسبوع (usability & security ) هناك الكثير من الأبحاث الهجينة يجري العمل عليها حالياً، فمثلاً تجد ان هناك أبحاث تجرى لمعرفة مدى التأثير المتبادل بين security و universal access، او العلاقة بين performance و security. ٣- بخصوص موضوع usability VS security ذكرت الاقسام البحثيه الثلاثه .. ويبدو انك اعتمد القسم الثالث في هذه الورقه وهو خلق التساوي والتوازن في الاهمية ،، بالنسبه للقسمين الاخرين هل يوجد لديك توضيح بخصوصها ؟ (نايف باحارث) انا اعتمدت المنطلق البحثي الثاني “التساوي والتوازي – equality “.بالنسبة للمنطلق البحثي “trade-offs”: فهذا المسار البحثي يعتمد على المبدأ القاضي بان العلاقة بين security و usability هي علاقة عكسية. وعليه فان الاهتمام بتطبيق احدهما يجب ان يلغي الاهتمام بالآخر نظراً لتضارب المصالح. اما المنطلق البحثي prioritizing ، فإنه يقتضي الاهتمام بأحدهما أولاً وبناء النظام بناءا على ذلك. وبعد ذلك يتم الاهتمام بالسمة الاخرى. ٤- هل من الممكن التوضيح بين الاستراجية الاولىHumen_centered والثانيهuser_ centered المتبعه لتصميم الانظمة خاصة انها تشترك بتأثير الطبيعة البشريه؟ ( نوف الجفان) الاستراتيجية الاولى تعتمد على تخفيف ال cognitive load على المستخدم بناءاً على السمات الطبيعية للبشر. فتجد ان الباحث يهتم بفهم الطرق القياسية لعمل العقل البشري بشكل عام بدون تحديد فئة محدده، ومن ثم يتم تطوير او تبني نظام يتناسب ويتناغم مع طريقة عمل ذلك العقل البشري. اما الاستراتيجية الثانية تعتمد على معرفة الشريحة المستهدفة (المستخدمين) من اجل تصميم واجهة المستخدم بناءاً على ذلك وبشكل مرضي. فمثلاً عندما نقوم بتصميم نظام أمني يستهدف كبار السن، سيكون الاهتمام ببناء واجهات تكون مرضية بالنسبة لهم. 5- في مثلث امن المعلوماتالذي يتكون من ثلاث أركان الأمان – التكاملية او البعض يعبر عنها بالخدمية – التوافرية نجد ان الموضوع اهتم في زاويتين من هذا المثلث ، فهل أغفل الركن الثالث ام ان هناك مناقشات ضمنية واعتبارات له ؟ (عصام قطان) بالنسبة security triad، اهم ركنين في هذا المسار هما confidentiality و integrityولكن الحصول على availability يتطلب تحقيق الركنين المذكورين أعلاه. وعليه، لكي يتم تحقيق هذين الركنين، لابد من ان تكون الإجراءات التي تحققهما قابلة للتطبيق والاستخدام بدرجة معقولة. لانه اذا لم تكن تلك الإجراءات قابلة للتطبيق والاستخدام من قبل المستخدمين المخولين فقط، فإن النظام الأمني سيكون معرض لجميع أنواع الهجوم المحتملة (منها على سبيل المثال DoS )، وتكون نقطة الانطلاق للتخطيط لتلك الهجمات هي كون المستخدم المخول غير قادر على التعامل مع النظام الأمني بطريقة سليمة نظرا لعدم قابليته للتطبيق والاستخدام. 6- اعتقد موضوع usable security يختلف او على الأقل يتشكل بمواصفات مختلفة حسب بيئة العمل، فعلى سبيل المثال ) قطاع المال والبنوك – قطاع التعليم – قطاع الجهات الأمنية وغيرها ( فهل توافقني الرأي ؟ اذا توافقني ، فاعتقد استخدام الطريقة البحثية المناسبة من احدى الثلاثة التي ذكرتها تعتمد على عوامل عدة ومن ضمنها بيئة العمل (عصام قطان) اتفق معك تماماً. فعلى سبيل المثال، المنظمات الحساسة تتبنى مسار prioritizing. وتكون الاولوية ل security بينما المرافق الغير حساسة مثل Disney world ، فتجد الاولوية تكون ل safety و usability على حساب ال security. 7- هل ممكن ان نعبر إجمالا عن usable security بصيغة اخرى بانه best practices ؟ (عصام قطان) في تصوري ان bast practices مصطلح عام يطلق على كل نشاط او اجراء اثبت انه يساعد للوصول الى هدف معين. هناك security best practices، وهناك ايضا usability best practices ، وكذلك هناك usable-security best practices. 8- حسب علمي ان احد الصعوبات الفعلية التي تواجه هذا المجال هو صعوبة قياس سهولة الاستخدام أو أمن المعلومات باستخدام معايير محدده تُمكن من إعطاء تقييم على سبيل المثال رقمي أو نقاط وعلى أثرها نستطيع نقارن بين نظام وآخر !!!…. فما تعليقك على هذه النقطة و هل تضمن بحثك الخروج بمعايير للتقييم ممكن تعميمها والاستفادة منها؟ (حسين الصيعري) نعم هذه المعلومة صحيحة. فأحد اهم وأصعب الأمور في هذا المجال هو قياس قابلية الاستخدام وأمن المعلومات، وذلك لان كلا السمتين تعتبران subjective وليستا objective. وبالتالي فإن: Subjective * subjective = subjective. ومن خلال البحث وجدنا انه بدون عملية القياس والعمل على المعايير لا يمكن التقييم. فلذلك قدمنا مقترحا للقياس يبدأ من مرحلة المتطلبات. وكذلك قدمنا مقترحا للتقييم يعمل بعد تطوير النظام. 9- ماهي نقاط القوة و الضعف لكل استراتيجية، و ما هي الاستراتيجية التي تعتقد انه سيكون لها التقدم في قابل الايام؟!(حسين الجحدلي) بالطبع، كل استراتيجية لها وعليها، وهنا ساذكر بعض المعوقات . فمثلاً الحلول المبنية على human-centered يؤخذ عليها انها تحتاج الى الدخول في مجال علم النفس والإلمام ببعض تفاصيله، وكذلك تحتاج الى وقت طويل من البحث من اجل الخروج بنتائج جيدة. الحلول المبنية على User-centered interface يؤخذ عليها انها تهتم بواجهات تطبيقات أمن المعلومات مع عدم الدخول لعمق مراحل عملية تطوير المنتج البرمجي الأمني. وهذه فقط بعض النقاط السلبية او نقاط الضعف. توقعي هو ان الاستراتيجية التي سيكون لها التقدم مستقبلا هي تلك التي تجمع بين الحلول المطروحة حالياً. 10- هل ممكن مشاركة الرسالة؟ هل ممكن إكمال رسالة دكتوراه في في نفس الموضوع ؟ اذا نعم ايش المواضيع المقترحة؟ بالتأكيد، وسأضع رابط الرسالة في المجموعة باْذن الله في وقت قريب. بالطبع ممكن إكمال رسالة الدكتوراة في نفس الموضوع بإضافة ابعاد اخرى. على سبيل المثال: ١- دراسة مدى تأثير الخصوصية على usable-security. ٢- العمل على إيجاد معايير تساعد على القياس والتقييم بدقة أفضل من الموجودة حالياً. ٣- العمل على إيجاد التوازن القياسي بين security و usability ان وجد هذه فقط بعض المجالات المفتوحة للبحث في هذا المجال. ويمكنك الرجوع الى رسائل الدكتوراه واوراق البحث والدوريات في هذا المجال لمعرفة الكثير من المجالات والأسئلة المفتوحة.