Työasemien lukitsemiseen vaikuttaminen : pitkittäinen interventiotutkimus
Päivämäärä
2018Tekijänoikeudet
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
Tässä Pro Gradu -tutkielmassa tutkittiin työasemien lukitsemiseen vaikuttamista sähköpostitse lähetettyjen interventioviestien avulla. Työaseman lukitseminen on tärkeä käyttäjän vastuulla oleva tietoturvatoimi ja sen laiminlyöminen voi mahdollistaa ulkopuolisen pääsyn järjestelmiin ja tietoon. Aiempi tietoturvakäyttäytymisen tutkimus on keskittynyt suurelta osin kyselytutkimuksiin, joilla on selvitetty käyttäytymisen aietta. Todellista käyttäytymistä oikeassa organisaatioympäristössä havainnoivia ja siihen vaikuttamaan pyrkiviä tutkimuksia on tehty hyvin vähän. Tässä työssä raportoidussa tutkimuksessa organisaation henkilökunnalle lähetettiin sähköpostitse interventioviesti, jonka tarkoituksena oli lisätä työasemien lukitsemista. Viestin lähetys toistettiin yhteensä kolme kertaa ja viestien vaikutusta todelliseen lukitsemiskäyttäytymiseen havainnoitiin yhteensä noin vuoden ajan.
Viestien sisällön vaikutusta tutkittiin viestejä manipuloimalla. Kirjallisuuskatsauksen perusteella viestien pohjaksi valittiin kaksi eri teoriaa: suojelumotivaatioteoria sekä prospektiteorian mukainen viitekehyksen vaikutus. Suojelumotivaatioteoriaan perustuvia viestejä manipuloimalla pyrittiin vaikuttamaan uhka-arvioon ja selviytymisarvioon. Viitekehyksen huomioivissa viesteissä käytettiin negatiivista ja positiivista kehystämistä. Molempien teoriapohjien osalta manipuloitiin myös uhkan henkilökohtaisen relevanssin painotusta sekä kuvailun tarkkuuden tasoa.
Interventioilla saatiin vaikutettua positiivisesti työasemien lukitsemiseen. Kaksi ensimmäistä interventiota lisäsi työasemien päivittäistä lukitsemista keskimäärin yhteensä lähes 30 % kolmannen intervention vaikutuksen jäädessä vähäisemmäksi. Ei yhtään lukitusta sisältäneiden kirjautumissessioiden päivittäinen osuus kaikista sessioista laski havaintojakson aikana yhteensä noin 40 %.
Ensimmäisen intervention osalta selittävien tekijöiden vaikutusta tutkittiin regressioanalyysin ja marginaalivaikutusten avulla. Tutkimuksessa havaittiin viitekehysvaikutuksen olevan suojelumotivaatioteoriaa tehokkaampi. Suojelumotivaatioteorian uhkan korostaminen tehosi jo ennestään paljon lukitseviin käyttäjiin ja selviytymisarvioon vaikuttaminen puolestaan vähän lukitseviin. Viitekehysvaikutuksen osalta positiivinen kehys oli negatiivista tehokkaampi. Henkilökohtaisen relevanssin korostaminen saattoi hieman lisätä intervention vaikutusta vähän lukitsevilla. Kuvailun tarkkuuden tasoilla ei havaittu tehoeroa.
...
In this Master's Thesis the efficacy of an email intervention in improving the locking of workstations was investigated. Locking the workstation is a crucially important security measure that the user is responsible for. Neglecting this could result in unauthorized access to the information systems by a 3rd party. Previous research on information security behavior has focused mainly on survey studies that have used behavioral intention as the dependent variable. Studies observing actual behavior in a real organizational context have received significantly less attention. In this experiment an email message was sent to the staff of an organization in attempt to increase the locking of workstations. The intervention was repeated three times in total and the actual behavior was observed for a period of one year.
The effect of message content was studied by manipulating the messages according to two different theories. The theories used in this study were Protection Motivation Theory (PMT) and Prospect Theory based message framing effect. Regarding PMT, the aim was to affect the cognitive threat appraisal and coping appraisal processes. With message framing both positive and negative framing was used. In addition, personal relevance of the threat and the amount of details included in the messages were manipulated.
The interventions had a positive effect on the locking of workstations. The first two interventions increased the amount of daily locks by approximately 30 % combined. A small but positive change was observed for the third intervention. The relative daily amount of sessions with no lock events decreased by 40 percent.
Multiple linear regression and average marginal effects were used to study the relationship between the manipulations made to the messages and the observed change in the locking of workstations in the first intervention. Messages that were based on framing effect were found more effective than messages based on PMT. Emphasizing the threat was effective on users who locked workstations more than an average user, whereas affecting the coping appraisal was effective on users who locked workstations less. Positive message framing was more effective than negative message framing. Emphasizing the personal relevance increased the effect of the intervention on those who locked workstations less than an average user. Manipulating the amount of detail did not have a noticeable effect.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29559]
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Kotikäyttäjän tietoturvakäyttäytymiseen vaikuttavat tekijät
Jakosuo, Ada (2022)Teknologian nopea kehitys on johtanut siihen, että informaatioteknologian käyttö on arkipäiväistynyt ihmisten jokapäiväisessä elämässä. Kuitenkaan ihmisten osaaminen ja tietoturvatietoisuus eivät ole pysyneet tässä ... -
Kuluttajien suhtautuminen mobiililaitteiden tietoturvauhkiin
Kannisto, Leo; Mattila, Petri (2017)Tämä on pro gradu -tutkielma aiheesta ”kuluttajien suhtautuminen mobiililaitteiden tietoturvauhkiin”. Tämä tutkimus pyrkii selvittämään kuluttajien suhtautumista mobiililaitteidensa tietoturvakysymyksiin – etenkin siihen, ... -
Turvallisuusstressi ja työntekijöiden tietoturvakäyttäytyminen : aiheuttajat, vaikutukset ja ennaltaehkäiseminen
Mertenheimo, Roni (2021)Tämä kandidaatintutkielma käsittelee turvallisuusstressiä, sen aiheuttajia ja vaikutuksia yrityksen työntekijöiden tietoturvakäyttäytymiseen. Tutkielmassa esitellään lisäksi organisaatiotason keinoja turvallisuusstressin ... -
Neutralisaatiotekniikoiden hyödyntäminen osana organisaatioiden tietoturvatutkimusta
Ylitalo, Waltteri (2021)Informaatioteknologian valtavirtaistumisen seurauksena yhä useammat organisaatiot toimialasta riippumatta hyödyntävät informaatioteknologiaa operatiivisessa ja strategisessa toiminnassaan. Hyötyjen ohella informaatiotekn ... -
Understanding the inward emotion-focused coping strategies of individual users in response to mobile malware threats
Xin, Tong; Siponen, Mikko; Chen, Sihua (Taylor & Francis, 2022)According to coping theory, individuals cope with information system threats by adopting either problem-focused coping (PFC) or emotion-focused coping (EFC). However, little is known about EFC in the information security ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.