Neutralisoimistekniikat organisaation tietoturvakontekstissa
Työntekijöiden tietoturvapolitiikan mukaisten ohjeiden noudattamattomuus muodostaa organisaation toiminnalle merkittävän tietoturvauhkan. Arviolta puolet tietoturvarikkomuksista tai –loukkauksista tapahtuu työntekijöiden toi-mesta joko tahallisesti tai tahattomasti. Tutkimalla, miten työntekijät selittävät tietoturvarikkomuksiaan, voidaan tietoturvaohjeiden noudattamattomuuteen löytää selittäviä tai ennustavia syitä. Aikaisemmissa tutkimuksissa on esitetty, että tietoturvarikkomusten aikomuksia tai tietoturvarikkomuksia voidaan selit-tää neutralisoimisteorian avulla. Neutralisoimisteorian mukaan yksilö puolus-telee tai selittelee normeista poikkeavaa käyttäytymistä erilaisten neutralisoi-mistekniikoiden avulla. Tämä tutkimus käsittelee työntekijöiden kokemuksia ja näkemyksiä tietoturvarikkomusten syistä. Näiden kokemusten ja näkemysten avulla verrattiin sitä, pitävätkö neutralisoimisteorian olettamukset paikkansa tietoturvakontekstissa sekä lisäksi verrattiin sitä, oikeuttavatko työntekijät tie-toturvarikkomuksiaan oikeasti neutralisoimistekniikoiden avulla. Tutkimus to-teutettiin laadullisena tutkimuksena ja tutkimuksen empiirinen aineisto kerät-tiin teemahaastatteluilla. Tutkimuksen merkittävin löydös on se, etteivät neut-ralisoimisteorian keskeiset olettamukset välttämättä pädekään tietoturvallisuu-den alueella. Vaikka sosiaalinen järjestys ikään kuin edellyttää jonkinlaista seli-tystä sille, miksi joku toimii sopimattomasti tai väärin, neutralisoimistekniikat eivät välttämättä selitä tietoturvarikkomuksia. Tutkimuksen tuloksia voidaan hyödyntää tietoturvatoiminnan kehittämisessä ja tietoturvatietoisuuden paran-tamisessa. Lisäksi tutkimus tarjoaa tiedeyhteisölle sekä uutta tietoa että lukuisia jatkotutkimusaiheita.
...
Employees’ non-compliance with information security policies constitutes a significant information security threat to the organization's operations. It is es-timated that half of the information security violations or breaches are caused by employees, either intentionally or unintentionally. By researching how em-ployees explain their security violations, explanatory or predictive reasons of non-compliance with information security policies can be revealed. Previous studies have suggested that intentions of information security violations or in-formation security breaches can be explained by the Neutralization Theory. According to the Neutralization Theory, an individual defends or explains one's behavior that differs from norms or originates from rule-breaking through applying various neutralization techniques. This study discusses employees' experiences and views on the causes of information security violations. With gathered experiences and views of the employees it was made possible to compare if the assumptions of the neutralization theory were correct in the context of the information security and whether the employees justify their information security violations in real life by utilizing neutralization techniques. The study used qualitative research approach. The empirical data of the research was collected through theme interviews. The most notable finding of this study is that the central assumptions of the neutralization theory may not apply to the information security field. Although social order requires some sort of reasoning for why someone is acting improperly or incorrectly, the neutralization techniques may not explain the security violations. The results of this study can be utilized in the development of information security and in enhancing information security awareness. In addition, this study will provide new information to the scientific community and variety of further research topics.
...
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa
Takala, Niko (2019)Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, ... -
Measuring users' level of information security awareness : research and development of sample questions
Mäkitalo, Hermanni (2017)Tämän gradun tarkoituksena on käsiteanalyysin avulla hahmottaa tärkeimpiä omaisuuksia tietoturvatietoisuudesta ja tavoista levittää sitä, tutustua niihin tarkemmin, ja muodostaa näistä perusteltuja ja käyttäjille olennaisia ... -
Tietoturvastrategiat terveydenhuollon organisaatioissa
Turunen, Timo (2018)The role of information systems in today’s organization’s business processes is increasing. At the same time the role of information security as business enabler and protector is increasing. Continually evolving technologies ... -
Tietoturvapolitiikan kehittäminen Pohjois-Pohjanmaan sairaanhoitopiirissä : Siponen & Puhakainen tietoturvapolitiikan kehittämismallin mukaisesti
Siermala, Jenni (2015)Tämän tutkimuksen tarkoituksena on selvittää, kuinka Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallia toteutetaan ja kehitetään käytännössä. Se koostuu neljästä lähtökohdasta. Kirjallisuudesta ei löydy ... -
Tietoturva ja tietoturvajohtaminen COVID-19-pandemian aikana : tietoturva-asiantuntijoiden kokemuksia
Kojola, Jarno (2021)Maailmanlaajuinen COVID-19-pandemia aiheutti organisaatioiden toimintaympäristöissä monia muutoksia vuoden 2020 keväällä ja aikana. Monissa organisaatioissa siirryttiin laajasti etätyöskentelyyn. Pandemian ja tietoturvan ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.