Tietoturvaohjeiden ja työympäristön ristiriita
Authors
Date
2016Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library reserved for the use of archival materials.
Tässä tutkimuksessa luodaan ensin katsaus alan aihepiiriin, eli tietoturvaohjeistuksiin ja standardeihin. Tämän jälkeen tarkastellaan tutkimuksen tärkeintä osiota, joka on tietoturvaohjeiden ja työympäristön välillä tunnistettu potentiaalinen ristiriita. Potentiaalinen ristiriita on merkittävä ilmiö, koska toteutuessaan se aiheuttaa merkittäviä työajallisia ja taloudellisia menetyksiä, pahimmllaan jopa estäen yksittäisten työtehtävien suorittamisen. Tämän jälkeen siirrytään tutkimuksen varsinaiseen empiiriseen osuuteen valitussa terveydenhuollon kohdeorganisaatiossa. Tutkimuksessa tutkitaan kohdeorganisaation tietoturvapolitiikan soveltuvuus kyseisen organisaation ruohonjuuritason työtilanteisiin, sekä tietoturvapolitiikan mahdollisesti kohdeorganisaation työntekijöille aiheuttamiin ristiriitatilanteisiin työympäristössä. Tutkimuksen aineisto kerättiin tutustumalla kohdeorganisaation tietoturvaohjeistuksiin, keskustelemalla organisaation tietoturvasta vastaavien henkilöiden kanssa, sekä teemahaastattelemalla organisaation työntekijöitä. Tutkimusten tulosten perusteella esiin nousi ristiriita kohdeorganisaation tietoturvaohjeiden ja työympäristön välillä. Tämä ristiriita aiheuttaa merkittäviä hidasteita ja haittoja eri työtehtävien päivittäisessä hoitamisessa. Tutkimuksessa ilmenneet pääongelmakohdat olivat käyttäjien huono tietoturvaohjeiden tuntemus, kohdeorganisaation työasemien hidas avautuminen ja sulkeutuminen, sekä ongelmat potilastietojen käsittelyssä ja siirrossa. Tutkimusmenetelmänä oli grounded theory ja tutkimuksen tuloksena syntyi käsitejärjestelmä, joka kuvaa tietoturvaohjeiden ja työympäristön potentiaalista ristiriitaa. Tutkimuksen tuloksia voidaan hyödyntää tulevaisuudessa laadittaessa tietoturvaohjeistuksia ja -koulutuksia optimaalisiksi kuhunkin työyhteisöön. Lisäksi se antaa pohjaa aiheen jatkotutkimukselle.
...
The purpose of this study is first to review the topics of this field which are information security policies and information security standards. Next, the study proceeds to the most important part which recognizes potential conflict between information security policies and the work environment. This potential conflict is a significant phenomenon when considering it causes considerable losses involving work hours and an economical situation of the organization. In the worst case it can even hinder an employee to complete his/her work assignment. The next phase of this study is the empirical part which will take place at chosen healthcare organization. The main aim of this field study is to find out if the information security policy of the healthcare organization is suit-able for all the daily working tasks of the organization. The study attempts to find out any potential conflict situations between the information security policy and the work environment. All the data of the study is collected by studying the information security instructions of the organization, discussing with people who are responsible for information security of the organization and theme-interviewing the employees of the organization. The results of this study emerged a conflict between the information security policy and work environment of the target organization. This conflict causes significant delays and harm to many employees while they are performing their daily work tasks. The first main concern was the lack of information security knowledge of the employees. Second major concern was the slowness of the workstations within the organization. It took a long time to open and close them with employees’ own user name. The third main concern was the handling and transferring of the patient records. The research method that was used was grounded theory, and as a result of this study a concept system was created. The system describes the potential conflict between the information security policy and the work environment. The outcome of this research can be utilized in the future when planning information security policies and information security trainings; and can be optimized into organizations. This study has important implications for both research and practice.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29561]
Related items
Showing items with similar title or keywords.
-
Revisiting neutralization theory and its underlying assumptions to inspire future information security research
Soliman, Wael; Mohammadnazar, Hojat (Association for Information Systems, 2022)Over two decades ago, neutralization theory was introduced to information systems research from the field of criminology and is currently emerging as an influential foundation to both explain and solve the information ... -
Analysis of the Next Evolution of Security Audit Criteria
Nykänen, Riku; Kelo, Tomi; Kärkkäinen, Tommi (ArmisteadTEC, 2023)Security assessments are performed for multiple reasons, including compliance with the information security regulation. Amongst other objectives, regulatory requirements are created to increase the ... -
ISO 27000 -tietoturvastandardisarja osana nykypäivän yritysten tietoturvallisuuden hallintaa
Mäki-Maukola, Eeva (2023)Tämän tutkimuksen tavoitteena oli selvittää, miten ISO 27000 - tietoturvastandardisarja on osana nykypäivän yritysten tietoturvallisuuden hallintaa. Tutkimuksessa keskitytään standardeihin ISO 27000, ISO 27001 sekä ISO ... -
Common Misunderstandings of Deterrence Theory in Information Systems Research and Future Research Directions
Siponen, Mikko; Soliman, Wael; Vance, Anthony (ACM, 2022)In the 1980s, information systems (IS) borrowed deterrence theory (DT) from the field of criminology to explain information security behaviors (or intention). Today, DT is among the most commonly used theories in IS security ... -
Toward a stage theory of the development of employees' information security behavior
Karjalainen, Mari; Siponen, Mikko; Sarker, Suprateek (Elsevier, 2020)Existing behavioral information security research proposes continuum or non-stage models that focus on finding static determinants for information security behavior (ISB) that remains unchanged. Such models cannot explain ...