Bridging the knowing-doing gap: the role of attitude in information security awareness
Nykyaikaisten tietokoneiden ja työntekijöiden välisen konvergenssin yltyessä modernit tietojärjestelmät voidaan nähdä ennemmin sosioteknisinä kuin pelkästään teknisinä. Tämä kehitys ei ole jäänyt huomiotta hyökkääjiltä, jotka ovat alkaneet käyttää hyväkseen tietoturvallisuuden inhimillistä aspektia, sen vertauskuvallista ”heikointa lenkkiä”, kovennettujen teknisten järjestelmien sijaan, aiheuttaen samalla huomattavaa vahinkoa organisaatioille huolimatta mittavista investoinneista kyberturvallisuuteen. Näin ollen monet tämän päivän tietoturvapoikkeamista ovat joko puutteellisen tietoturvatietoisuuden omaavien tai vastoin parempaa tietoaan toimivien työntekijöiden suoraan aiheuttamia taikka välillisesti fasilitoimia. Tämä on synnyttänyt ajatuksen tietämisen ja tekemisen välisestä kuilusta (engl. knowing-doing gap).
Tämä tutkimus tarkasteli tuota kuilua tiedon ja käyttäytymisen välillä, miksi työntekijät tieten tahtoen jättävät tietoturvaohjeita noudattamatta sekä asenteen roolia tuon kuilun ylittämisessä. Tutkimus toteutettiin verkkovälitteisenä kyselytutkimuksena käyttäen The Human Aspects of Information Security Questionnaire -kyselykaavaketta (HAIS-Q). Kyselyyn vastasi 287 henkilöä. Data analysoitiin käyttäen lineaariregressiota, mediaatioanalyysiä ja varianssianalyysiä.
Tutkimuksen päätulokset indikoivat, että asenne on merkittävämpi tekijä käyttäytymisen kannalta kuin tieto. Mediaatioanalyysissä tulokset viittasivat siihen, että valtaosa tiedon vaikutuksesta käyttäytymiseen välittyy asenteen kautta. Siitä huolimatta, että tieto korreloi käyttäytymiseen, kuilua tiedon ja tekemisen välillä ei havaittu. Tästä huolimatta tulokset tarjoavat tietoturva¬-ammattilaisille yllykkeen keskittyä koulutuksessa ennemmin asenteiden vaalimiseen kuin tiedon karttuttamiseen. Tämän lisäksi tutkimusraportissa tarjotaan tieteellisesti perusteltuja selityksiä sille, miksi työntekijät poikkeavat ohjeista sekä suosituksia tietoturvatietoisuuden parantamiseksi, mitkä voivat niin ikään hyödyttää tietoturva-alan ammattilaisia heidän työssään.
...
As the contemporary workers and computers converge, modern information systems tend to become sociotechnical rather than solely technical. This development has caught the eye of attackers who are now exploiting the human aspect, the proverbial “weakest link”, instead of the hardened technical aspects of information systems, causing organizations substantial loss despite investments in cyber security. Thus, many incidents today are either directly caused or indirectly facilitated by insiders who are either lacking in information security awareness or acting contrary to their knowledge. This has provoked the term the knowing-doing gap.
This study examined that gap between knowledge and behaviour, why employees wilfully omit, and the role of attitude in bridging that gap. The study was conducted as a web-administered survey using the Human Aspects of Information Security Questionnaire (HAIS-Q), to which 287 participants responded. The data was analysed using linear regression, Baron-Kenny mediation, and comparison of means.
The primary results indicated that attitude is a stronger determinant for behaviour than knowledge. In the mediation analysis, results suggested that most of the influence between knowledge and behaviour is mediated through attitude. However, although knowledge was weakly correlated with behaviour, the gap effect was inverse and did thus not support the existence of a knowing-doing gap. Nevertheless, the results provide an incentive for information security professionals to focus on fostering attitudes rather than only building knowledge. Furthermore, reasons to why employees omit secure behaviour and scientifically supported recommendations for improving information security awareness are presented, which may benefit professionals in their work.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
The moderating impact of organizational culture on information security compliance
Ejigu, Kibrom; Siponen, Mikko; Muluneh, Tilahun (Addis Ababa University Press, 2023)This research paper investigates the association between organizational culture and employees' compliance with information security policies. Drawing upon rational choice theory (RCT) and the competing values framework ... -
Influence of Organizational Culture on Employees Information Security Policy Compliance in Ethiopian Companies
Ejigu, Kibrom; Siponen, Mikko; Muluneh, Tilahun (Association for Information Systems, 2021)Information security is one of the organizations' top agendas worldwide. Similarly, there is a growing trend in the kinds and rate of security breaches. Information security experts and scholars concentrate on outsiders' ... -
Investigating the Impact of Organizational Culture on Information Security Policy Compliance : The Case of Ethiopia
Ejigu, Kibrom Tadesse; Siponen, Mikko; Arage, Tilahun Muluneh (Association for Information Systems, 2021)Information security is one of the organizations' top agendas worldwide. Similarly, there is a growing trend in the kinds and rate of security breaches. Information security experts and scholars concentrate on outsiders' ... -
Evidence in cloud security compliance : towards a meta-evaluation framework
Hentula, Antti (2019)Recently the trend of outsourcing IT services into cloud environments as opposed to traditional locally administrated services has been on the rise. This transition allows enables great cost savings through service flexibility ... -
Literature review of information security practice survey reports
Yang, Yaping (2018)The author searched reports about enterprises information security prepared by consulting companies in order to understand organizations' security practices. The author then summarized the reports by year, identified topics ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.