Η ενημερότητα ασφαλείας στα πλαίσια της διοίκησης ασφαλείας πληροφοριακών συστημάτων

Abstract

The subject of this research is the formulation and incorporation of security awareness strategies in an organization. The purpose of the thesis is the development of a conceptual and methodological framework that will support the analysis and understanding of the activities that take place during the formulation and implementation of information security awareness and their following incorporation into the information security management activities. The thesis includes the critical evaluation of security awareness published research and practice that drives to the recognition of: a) open issues and b) different approaches considering the research models employed (process models variance models hybrid models). The empirical research is based on an in depth case study where an information security awareness initiative is developed and realized. The theoretical framework for the analysis and interpretation of the empirical data consists of actor network theory for the micro level analysis, structuration theory for the macro level analysis and contextualism for the intermediate level. The research presented develops a conceptual and methodological framework for the analysis and understanding of the way information security awareness activities are formulated and incorporated in organizations. Our application of the framework in the empirical data resulted in findings that are beneficial for both researchers and practitioners. The research contribution can be summarized in theoretical, methodological and practical level. In theoretical level the research findings indicate the suitability of actor network theory, for the monitoring of the information security awareness dynamic formulation and the benefit of the combination of actor network theory with structuration theory and with contextualism. In practical level the produced conceptual and methodological framework can be used as a reference by security practitioners that intend to design awareness initiatives in order to identify critical events and points that may destabilize the network and the reasons for that. Moreover, our research marks that artifacts are not neutral regarding their influence in security awareness initiatives and their evolution. Finally, in methodological level information systems and information systems security researchers can benefit from our application of the research models typology for designing their research.

Το αντικείμενο της έρευνας που παρουσιάζει η διατριβή, είναι η διαδικασία διαμόρφωσης και ενσωμάτωσης στρατηγικών ενημερότητας ασφάλειας σε μια οργάνωση. Στόχος της διατριβής είναι η δημιουργία εννοιολογικού και μεθοδολογικού πλαισίου για την ανάλυση και κατανόηση των ενεργειών που λαμβάνουν χωρά κατά τη διαμόρφωση και υλοποίηση δραστηριοτήτων ενημερότητας ασφάλειας Π.Σ. και την εν συνέχεια ενσωμάτωση τους στις λοιπές δραστηριότητες της διοίκησης ασφάλειας Π.Σ. Η διατριβή περιλαμβάνει τη κριτική ανάλυση της δημοσιευμένης έρευνας και πρακτικής σχετικά με: α) τα ανοικτά ζητήματα στο χώρο της ενημερότητας ασφάλειας, και β) τις προσεγγίσεις αναφορικά με τα μοντέλα έρευνας που εφαρμόζονται (θεωρίες μεταβλητότητας θεωρίες διεργασιών υβριδικά μοντέλα). Η εμπειρική έρευνα της διατριβής στηρίζεται σε μια σε βάθος μελέτη περίπτωσης όπου διαμορφώνεται και υλοποιείται μια πρωτοβουλία ενημερότητας ασφάλειας σε πραγματικό οργανωσιακό περιβάλλον. Το θεωρητικό πλαίσιο για την ανάλυση και ερμηνεία των δεδομένων της έρευνας περιλαμβάνει τη θεωρία δικτύων σύμπραξης (actor network theory), για την ανάλυση σε μικρό επίπεδο, τη θεωρία της δομοποίησης (structuration theory) για την ανάλυση σε μακρό επίπεδο και τη θεωρία του συγκειμενισμού (contextualism) για τη σύνδεση της ανάλυσης σε μακρό επίπεδο και μικρό επίπεδο. Στα πλαίσια της διατριβής αναπτύσσεται εννοιολογικό και μεθοδολογικό πλαίσιο για την κατανόηση του τρόπου με τον οποίο διαμορφώνονται και ενσωματώνονται οι δράσεις ενημερότητας ασφάλειας Π.Σ. στις οργανώσεις. Η εφαρμογή του πλαισίου αυτού στην εμπειρική έρευνα οδήγησε σε τεκμηριωμένα συμπεράσματα που απευθύνονται τόσο στους ερευνητές όσο και ειδικούς του χώρου της ασφάλειας των Π.Σ. Η συμβολή της έρευνας έχει θεωρητική, μεθοδολογική και πρακτική διάσταση. Σε θεωρητικό επίπεδο επισημαίνεται η καταλληλότητα της θεωρίας δικτύων σύμπραξης για τη δυναμική παρακολούθηση της διαμόρφωσης της ενημερότητας ασφάλειας Π.Σ. και αναδεικνύονται τα οφέλη του συνδυασμού της θεωρίας δικτύων σύμπραξης με τη θεωρία δομοποίησης και τη θεωρία του συγκειμενισμού. Σε πρακτικό επίπεδο το εννοιολογικό και μεθοδολογικό πλαίσιο μπορεί να αξιοποιηθεί από ειδικούς ασφάλειας Π.Σ. που σχεδιάζουν να αναπτύξουν πρωτοβουλίες ενημερότητας. Ακόμη, επισημαίνεται η μη ουδετερότητα των τεχνουργημάτων αναφορικά με την επιρροή τους σε τέτοιες πρωτοβουλίες. Σε μεθοδολογικό επίπεδο οι ερευνητές του χώρου της ασφάλειας και των Π.Σ. μπορούν να επωφεληθούν από την εφαρμογή της τυπολογίας μοντέλων έρευνας.