Motivations behind employee information security behavior

Abstract

Tämän tutkielman tavoitteena oli selvittää mikä motivoi työntekijöitä noudattamaan tai jättämään noudattamatta hyviä tietoturvakäytänteitä. Tavoitteena oli olemassaolevaan kirjallisuuteen pohjustaen, nostaa esiin teemoja liittyen tietoturvakäyttäytymiseen ja löytää selittäviä tekijöitä sekä hyvälle, että huonolle käyttäytymiselle. Tutkimuksen empiirinen osuus toteutettiin laadullisena tutkimuksena, jossa hyödynnettiin teemahaastatteluja. Haastattellut toteutettiin yksilöhaastatteluina ja tulosten analysointi tapahtui aineistolähtöistä teemoittelua hyödyntäen. Tutkimuksen tulokset korostavat erityisesti oppimisen, tietoturvatietoisuuden ja työpaikan kulttuurin merkitystä tietoturvakäyttäytymiseen. Jotta työntekijät saataisiin paremmin huomioimaan tietoturva jokapäiväisessä työssään, on erityisen tärkeää, että he ymmärtävät mitä riskejä tietoturvan huomioimatta jättämiseen liittyy ja mtien he omalla toiminnallaan voivat edesauttaa yrityksen tietoturvan parantamisessa. Tärkeää on myös istuttaa tietoturvallinen ajattelu osaksi organisaation kulttuuria, jotta tietoturva olisi jatkuvasti läsnä jokapäiväisessä työssä eikä vain puheenaihe joka nostetaan esille, kun jotain menee pieleen.

The objective of this thesis was to find out what motivates employees to comply or fail to comply with good information security practices. Based on earlier liter-ature, the objective was to bring up themes about security behavior, and to find how both good and bad information security can be explained. The empirical part of the research was carried out as a qualitative research utilizing theme in-terviews. Interviews were conducted as individual interviews and the analysis of the results was done by theme based analysis. The results of the study empha-size in particular the importance of learning, awareness and workplace culture. In order to get employees to better consider information security in their day-to-day work, it is especially important that they understand the risks associated with ignoring it and how they themselves can contribute to improving it. It is also important to implement information security way of thinking into the cul-ture of an organization so that it is constantly present in everyday work and not just a topic that is brought up when something goes wrong.