Is human the weakest link in information security? : systematic literature review

Abstract

Tämä pro gradu -tutkielma tutkii ihmisen roolia tietoturvassa sekä esittää tunnetuimpia tietoturvaheikkouksia. Tutkielma on toteutettu systemaattisen kirjallisuuskatsauksen keinoin ja siinä etsitään vastausta tutkimuskysymykseen ”onko ihminen tietoturvan heikoin lenkki”. Tutkielma koostuu 31 pääartikkelin, sekä niiden lähteiden analyysistä, joiden pohjalta on tutkittu väitettä tai oletusta, jonka mukaan ”ihminen on tietoturvan heikoin lenkki”. Tutkimuksen johtopäätöksissä todetaan, että kyseistä väitettä, sekä sen eri versioita on käytetty hyvin laajamittaisesti tietoturvakirjallisuudessa, vaikka tieteellistä näyttöä ihmisen roolista heikoimpana lenkkinä ei tutkimuksessa löydetty tai edes pyritty löytämään. Tämän tiedon avulla organisaatiot pystyvät yhä paremmin näkemään, missä organisaatioiden ”heikoin lenkki” mahdollisesti sijaitsee, sekä myös suhtautumaan tietoturvakirjallisuuden yleistyksiin pienellä varauksella. Tässä tutkielmassa esitellään myös esimerkki tietomurtoja, sekä analysoidaan niiden kompleksisuutta.

This master’s thesis examines the role of human in the information security and presents the most known information security threats. Based on a systematic literature review, this thesis tries to find an answer to the research question: ”is human the weakest link in information security”. The thesis consists of an analysis of 31 main articles and their sources on the basis of which the claim or assumption “human is the weakest link in information security” has been studied. The study concludes that this phrase, as well as its various versions, has been used extensively in security literature, although scientific evidence on the role of human as the weakest link was not found in the research. With this information, organizations are increasingly more capable to see where the organizations' weakest link might actually be located, and also to take a general view of the generalization of information security literature. This thesis also introduces an example of data breaches, and analyzes their complexity.