Factors affecting information security behavior of employees : a case study

Abstract

Työntekijöillä voi olla merkittävä vaikutus organisaation tietoturvalle ja monet organisaatiot ovat ottaneet käyttöön tietoturvakäytänteitä tietoturvallisen käyttäytymisen varmistamiseksi. Yhteisistä käytänteistä huolimatta monet työntekijät eivät noudata tietoturvaohjeistuksia ja siten altistavat organisaation monille tietoturvauhkille. Tässä Pro Gradu -tutkielmassa pyritään tunnistaman tekijöitä, joita työntekijät kokevan motivoivan heitä noudattamaan organisaationsa tietoturvakäytäntöjä ja toisaalta tunnistamaan menetelmiä, joilla työntekijät perustelevat tietoturvakäytäntöjen vastaista käyttäytymistä. Tämä tutkielma tarkastelee ilmiötä seuraavilla tutkimuskysymyksillä: ”Mitkä tekijät motivoivat työntekijöitä noudattamaan tietoturvakäytäntöjä?” sekä ”Kuinka työntekijät perustelevat tietoturvakäytäntöjen vastaista käyttäytymistä?”. Tämä tutkielma koostuu kirjallisuuskatsauksesta ja empiirisestä tutkimuksesta. Tutkimuksen aineisto on kerätty toteuttamalla semistrukturoituja haastatteluja yrityksessä, joka toimii B2B-sektorilla. Tutkimuskysymyksiä tarkasteltiin kolmen eri teemaan avulla, joita olivat seuraavat: työntekijöiden käsitys omasta tietoturvakäyttäytymisestään ja sen vertailu todelliseen tietoturvakäyttäytymiseen, työntekijöiden motivaatiotekijät tietoturvakäytäntöjen noudattamiseen sekä strategiat, joilla työntekijät perustelivat käytäntöjen vastaista toimintaa. Tutkimuksen tulokset osoittivat, että merkittävimmät motivaatiotekijät olivat velvollisuudentunto työnantajaa kohtaan, sekä halu suojata niitä yksilöitä, joiden henkilötietoja yritys käsittelee. Toisen tutkimuskysymyksen osalta tutkimuksen tulokset osoittivat, että menetelmät, joita käytettiin eniten perustelemaan käytäntöjen vastaista toimintaa, olivat vastuun ja vahingon kieltäminen, hankaluus, käsitys riskistä ja luottamus kollegoihin. Tutkimuksen tulokset osoittavat tarpeen työntekijöiden kouluttamiseen mahdollisista riskeistä sekä seurauksista, joita käytäntöjen noudattamatta jättäminen voi aiheuttaa. Tutkimuksessa myös tunnistettiin tekijöitä, joita voidaan hyödyntää työntekijöiden motivoimisessa tietoturvalliseen käyttäytymiseen.

Employees can have a significant impact on the information security of organizations and to ensure secure behavior many organizations have applied information security policies. However, despite having policies in place many employees are not complying with them, thus exposing the organization to several security threats. This Master’s Thesis aims in identifying factors which motivate employees to comply with their organization’s information security polices and on the other hand, how they justify their non-compliant security behavior. This thesis observes these phenomena with the following research questions: Which factors motivates employees to comply with information security policies?” and “How employees justify their non-compliant ISP behavior?”. This thesis consists of a literature review and an empirical research study which was conducted as a qualitative case study. The data for this study was gathered by conducting semistructured interviews in an organization operating in B2B. These research questions were observed through three themes which the employees’ perception of their security compliance versus their actual security behavior were, motivation for compliance and justification strategies to justify non-compliant behavior. The results of the study show that the main motivators for compliance were obligation towards employer and the will to protect those individuals whose information the organization handles. For the second research question, the results suggest that the main strategies to justify non-compliant behavior were denying responsibility or injury, inconvenience, perception of risk and trust towards colleagues. The findings of the study indicate the need for educating employees about the possible risks and consequences of non-compliant security behavior, but also identifies the factors which can be used to support employees’ motivation towards compliance.