Measuring users' level of information security awareness : research and development of sample questions

Abstract

Tämän gradun tarkoituksena on käsiteanalyysin avulla hahmottaa tärkeimpiä omaisuuksia tietoturvatietoisuudesta ja tavoista levittää sitä, tutustua niihin tarkemmin, ja muodostaa näistä perusteltuja ja käyttäjille olennaisia kysymyksiä joilla selvittää käyttäjän tietoturvatietoisuutta. Aiheen tarkempi läpikäynti on tärkeää, sillä aiemmissa tutkimuksissa on havaittu, että käyttäjät kertovat noudattavansa tietoturvapolitiikoita, vaikka tarkemmin tutkittaessa eivät tienneet tai ymmärtäneet tietoturvapolitiikoiden sisältöä. Kysymysten muodostamisessa otetaan huomioon myös muita käsiteanalyysi vaiheessa selvinneitä piirteitä, joilla tehdä kysymyksistä parempia. Tuloksena esitetään 20 esimerkkikysymystä, sekä ehdotuksia kysymysten muodostamiseen sekä niiden käyttämiseen.

The purpose of this thesis is to develop questions to measure level of users’ understating of information security awareness. Researching the subject is important, because earlier studies have discovered that users who respond positively to questions about whether they follow information security policies might not actually even know what those policies consist of, which may be result of not understanding them. This is achieved by using concept analysis to identify features of information security awareness, which are then studied further to gain better understanding of whether they are relevant for users or not, and to make well-argued questions. We will also utilize other identified ways to make questions better. Thus, we will present 20 example questions, and suggestions on how to develop them to achieve best results.