Stressilähtöinen näkökulma tietoturvakäyttäytymiseen

Abstract

Viime vuosien aikana tietojenkäsittely-ympäristö on kokenut voimakkaita muutoksia. Näkyvinä esimerkkeinä tapahtuneesta muutoksesta ovat muun muassa pilvipalveluiden käytön arkipäiväistyminen ja verkkoon kytkeytyvien laitteiden määrän valtava kasvu. Myös omien laitteiden käyttö työpaikalla on yhä tavanomaisempaa. Tietojenkäsittely-ympäristön muutokset tuovat mukanaan moninaisempia työskentelytapoja ja tuottavat monia hyötyjä niin henkilöstölle kuin organisaatiolle. Samanaikaisesti tietojenkäsittely-ympäristön muutokset tuovat kuitenkin mukanaan myös uudenlaisia tietoturvauhkia. Suojautuessaan ilmeneviä uhkia vastaan organisaatiot investoivat yhä enemmän uusiin tietoturvateknologioihin ja asettavat alati laajemmalla ulottuvia tietoturvavaatimuksia, joilla pyritään ohjaamaan henkilöstön toimintaa. Henkilöstön merkitystä organisaation tietoturvalle ei tule aliarvioida, sillä aiemmat tutkimukset ovat osoittaneet, että henkilöstön tekemät laiminlyönnit voivat merkittävästi heikentää organisaation tietoturvaa. Aiemmissa tutkimuksissa on lisäksi havaittu, että altistuminen stressille saattaa muuttaa henkilöstön tietoturvakäyttäytymistä tietoturvaa heikentävään suuntaan. Tutkielmassa pyrittiin teoreettiskäsitteellisellä lähestymistavalla muodostamaan aiempaa kokonaisvaltaisempi ymmärrys tutkimusalueesta. Keskeisimpänä tutkimustavoitteena oli muodostaa synteesi tietoturvakäyttäytymiseen vaikuttavista yksilötason stressinhallintakeinoista. Tutkielmassa pyrittiin myös muodostamaan aiemman kirjallisuuden pohjalta kokonaisvaltainen näkemys niistä organisaatiotason tekijöistä, jotka vaikuttavat vahingollisten stressitekijöiden ennaltaehkäisyyn ja tietoturvakäyttäytymiselle haitallisten yksilötason stressinhallintakeinojen lieventämiseen. Tutkielmassa tunnistettiin lisäksi keskeisiä tutkimusalueita, joiden tarkastelu jatkotutkimuksissa on ensiarvoisen tärkeää syvällisemmän ymmärryksen saavuttamiseksi. Tutkielmassa esitetään myös lukuisia johtopäätöksiä käytännön kannalta, jotka voivat edesauttaa organisaatioita välttämään negatiivisia yksilötason ja organisaatiotason seuraamuksia.

In recent years, the computing environment has undergone drastic changes. Visible examples of the change include the increasing usage of cloud services and the huge increase in the number of devices connected to the internet. In addition, BYOD or “bring your own device” is ever more popular phenomenon at workplaces. Changes in the computing environment enable more diverse ways of working and bring benefits to both employees and the organization. However, at the same time these changes may expose organizations to new types of security threats. As organizations protect themselves against emerging threats, they increasingly invest in security technologies and impose everexpanding security requirements. Previous research has shown the importance of employees for organizations information security. In addition, previous studies have found that exposure to stress may have impairing effect on information security behavior. The aim of the thesis was to use a theoretical conceptual approach to develop a more holistic understanding of the research area. The main research goal was to form a synthesis of individual-level stress management measures influencing information security behavior. In addition, the thesis sought to form a holistic view of the organizational level factors that contribute to the prevention of harmful stressors and the mitigation of individual-level stress management measures that are detrimental to information security behavior. Thesis also identified key research areas that need to be addressed in further research to achieve a deeper understanding. In addition, thesis presents numerous conclusions from a practical point of view which can help organizations to avoid negative consequences caused by stressors and individual-level stress management measures.