Securing the human factor : understanding the role of prior experience, mental representations, and coping strategies in behavioral information security

Abstract

Vaikka alun perin terveyspsykologiasta peräisin oleva suojamotivaatioteoria on muodostunut keskeiseksi teoriaksi selittämään tietoturvakäyttäytymistä, teorian alan sovelluksissa on muutamia puutteita. Tämä johtuu siitä, että useita teorian keskeisiä komponentteja on sivuutettu, kuten käyttäjien aiemmat tietoturvakokemukset ja selviytymistyylit. Tämän problematiikan korjaamiseksi tämä väitöskirja koostuu kolmesta tutkimuksesta, jotka tarkastelevat yksittäisten käyttäjien aiempia tietoturvakäyttäytymiseen liittyviä kokemuksia, heidän kognitiivista prosessointiaan pelotteluviestejä saatuaan ja tunnekeskeisiä selviytymisstrategioita vastauksena uhkiin. Tutkimuksessa 1 laajennamme yleisesti yksinkertaistettua käsitystä aikaisemmasta tietoturvakokemuksesta korostaen sekä suorien että välillisten kokemusten vaikutusta. Aiemman selviytymispalautteen tärkeyttä painottaen tutkimus selittää, miten uhka- ja selviytymisarviot välittävät aikaisempien kokemusten vaikutuksia nykyisiin suojautumisaikomuksiin samalla, kun se tuo uutta näkemystä mahdollisiin kognitiivisiin vinoumiin. Tutkimus 2 liittyy pelkoon vetoaviin viesteihin. Konstruktiotason teoriaa käyttäen tarkastellaan yksittäisten käyttäjien mentaalisten representaatioiden keskeistä roolia tällaisten viestien tulkitsemisessa. Kokeelliset tulokset osoittavat tiettyjen mentaalisten representaatioiden vaikuttavan merkittävästi käyttäjävasteisiin ja tuovat esiin uusia keinoja parantaa kyberturvallisuuden viestintästrategioita. Lopuksi tutkimus 3 käsittelee yksityiskohtaisesti emotionaalisiin strategioihin keskittyvää selviytymistä kyberturvallisuudessa. Lisänä yleisesti tutkittuun ongelmalähtöiseen selviytymiseen tämä tutkimus erittelee aktiivisia ja passiivisia sisäisiä selviytymisstrategioita paljastaen niiden luontaisen monimutkaisuuden ja vaikutuksen koettuun uhkahaavoittuvuuteen. Tämä väitöskirja laajentaa suojamotivaatioteorian soveltamista tietoturvan alalla. Nämä tutkimukset tarjoavat tutkijoille kehittyneemmän ja kattavamman lähestymistavan käyttäjien käyttäytymisen tulkintaan tietoturvakontekstissa.

Although Protection Motivation Theory (PMT), originally from health psychology, has become a foundational theory for explaining information security (ISec) related behaviors, it has not been fully applied to ISec. This is because several core components of PMT are completely ignored, such as users’ ISec-related prior experiences and coping styles. To rectify this, this dissertation consists of three studies exploring individual users' prior ISec experiences, their cognitive processing of fear appeal messages, and emotion-focused coping (EFC) strategies in coping with ISec threats. In Study 1, we expand on the commonly simplified notion of Prior Experience (PE) in ISec, accentuating the influence of both direct and vicarious experiences. Emphasizing the importance of prior coping feedback, the research unpacks how threat and coping appraisals mediate the effects of prior experiences on present protective intentions related to cybersecurity, while also shedding light on potential cognitive biases. In turn, Study 2 delves into the realm of fear appeal messages, using Construal Level Theory (CLT) to highlight the pivotal role of individual users' mental representations in decoding these messages. Experimental outcomes confirm the significant impact of specific mental representations on user responses, suggesting novel pathways to refine ISec communication strategies. Lastly, a subtle exploration of emotion-focused coping (EFC) within ISec is undertaken in Study 3. Going beyond the commonly studied problem-focused coping, this segment discerns active and passive inward EFC strategies, revealing their inherent complexities and implications on perceived threat vulnerability. This dissertation enhances the application of PMT in the field of information security. By conducting an in-depth exploration of the previously overlooked components of PMT, this dissertation offers an enriched perspective for understanding individual user ISec behaviors, which provides researchers with a more sophisticated and comprehensive approach to interpreting user behavior in ISec contexts. The investigations in three studies furnish crucial insights for the enhancement of both ISec research methodologies and practical cybersecurity measures.