Analysing information security behaviour: technological-organisational-individual framework and practical guidelines to enhance ISP compliance

Abstract

With the advancement of technology leading to new security threats and vulnerabilities and the enforcement of the General Protection Regulation (GDPR) according to which organisations must be compliant with its regulatory requirements and implement security and privacy by design (Karyda & Mitrou, 2016; Mitrou, 2017a), effective employee security behaviour is needed more than ever. Moreover, organisations invest heavily in security countermeasures, designing information security policies (ISPs) to protect their information assets and to safeguard against financial loss or other damage to their organisation, and yet security incidents continue to occur, often as a result of employees’ failure to comply with information security policies (Bulgurcu et al., 2010). In short, there is a clear gap in organisations addressing the “human aspect” of security and understanding of how to achieve the appropriate security behaviour from their employees. In order to address this gap, this Thesis aims to answer two main research questions: a) which factors influence employee security behaviour; and b) how knowledge of these factors can be exploited to help security managers enhance security management practices and thus encourage employee security behaviour to be in line with the organisation’s security objectives. With the first research objective in mind, a critical analysis and review of relevant literature was carried out to identify all factors influencing ISP compliance and security behaviour. After analysing relevant literature, it was identified that there is a plethora of different factors, which, while useful, are not comprehensible or useful to security managers for a variety of reasons: they often present unclear or conflicting results, such as the effect of sanctions ; different terms are used to describe similar concepts adding confusion to the field, as in the case of punishment severity (or deterrent severity) and in the case of resource availability and facilitating conditions; also, specialised terminology used is often confusing as it is drawn from theories that security managers are unlikely to be familiar with, such as self-efficacy, perceived value congruence etc. Furthermore, an important finding of the analysis of related literature was that the role of technology and its characteristics affect security behavior however their role is not adequately studied and addressed in relevant literature. To further explore the technological factors that influence users to use security and privacy tools a survey was conducted among 150 ICT Students to investigate the usability of security and privacy tools. A combination of different research instruments was employed in this survey including scenarios, questionnaires and interviews. Findings show that users value usability security characteristics such as accessibility, language, intuitiveness, efficiency, feedback and errors, error prevention, undo actions, availability of information, design and consistency, characteristics relevant to installation, privacy characteristics and automation. Based on the findings from the literature review and the survey, a framework of factors influencing security behaviour was created. The framework which consists of these factors grouped into three categories along with the analysis of their implications facilitate security management address the multi-faceted issue of security behaviour. This framework presents a comprehensive analysis of all factors that influence security behaviour, classified under three main categories addressing individual, organisational and technological aspects. The aim of this framework is to act as a roadmap of the different factors that security managers need to consider when designing and implementing ISPs. Subsequently, the practical value of this framework was further investigated by analysing current security management practices provisioned in the ISO/IEC 27000 series, namely ISO 27001, 27002, 27003 and 27005. Through a gap analysis several factors influencing security behaviour were identified, which are not addressed in the ISO Standards, including top management participation, cultural context, cost of compliance, habits, individual characteristics and values. Furthermore, practical guidance is provided on how to integrate current security management with practices that support security behavior. To validate the applicability of the framework a case study was performed in a large organisation. The case study aimed to analyse the current security management practices of the organisation and to identify aspects of the framework that were implemented. Through this case study it was possible to identify the security management practices that are currently applied and gain insights into the practices followed in the day-to-day running of the organisation. An important finding is that this organisation supports teleworking and has recognised the importance of informing users about the threats and risks that might take place during teleworking by designing new ISPs for this purpose. This highlights the need for organisations to be aware of the constant evolution of technology, its impact on the workplace and the resulting need to update their practices accordingly. Furthermore, the case study offers additional insights into how an organisation may motivate employees to adopt the appropriate security behaviour: firstly, through the use of practical methods such as cards or posters; secondly by promoting an organisational information security culture of communication, common values and openness. Finally, the case study reveals how this organisation’s individual stance on sanctions (no sanctions are applied for ISP non-compliance despite ISO recommendations) may be the most appropriate policy for this organisation. Besides providing suggestions for further enhancement of security management practices, the case study also concludes that in terms of employee security behaviour there is a need for more customised security management practices to suit the information security needs of particular organisations rather than a one-size-fits-all approach. Finally, drawing from research findings, the usability study, the ISO Standards gap analysis and the case study, this Thesis meets the second research objective by providing practical guidelines, to enable security managers to better understand security behaviour and enhance their current security management practices. This set of guidelines focuses principally on those areas which findings from the present study have identified as both significant factors influencing employee security behaviour and factors which are insufficiently addressed either in current literature and/or the widely adopted ISO standards. This Thesis contributes to the field of security behaviour and ISP compliance by: a) identifying and analysing conflicting results and confusing terminology in related literature, b) justifying the role of technology for shaping security behaviour and analysing relevant factors that influence the use of security and privacy controls. It also identifies the need for developers to consider the usability characteristics identified in order to design usable security tools. c) providing guidelines to enhance security management and addressing the gaps in current security management approaches following ISO 27001, 27002, 27003 and 27005 Standards with regard to top management participation, the cultural context, cost of compliance, habits, individual characteristics, perceptions about threats and capabilities, values, different types of security awareness and social influence. Overall, this Thesis bridges the gap between theory and practice by providing security management a roadmap, in the form of a three categories framework and a set of applicable, as shown through the case study, guidelines to enhance security behaviour and ISP compliance. Overall, this Thesis provides a roadmap to address the individual, organisational and technological aspects of security behaviour that can lead to improved ISP compliance. Finally, as the field of information security is highly complex and undergoing rapid changes as a result of new technologies and changing work styles, we conclude that there is a standing need for further research into the role of the human aspects of information security and the role of technology for shaping security behaviour.

Η ραγδαία ανάπτυξη της τεχνολογίας οδήγησε σε νέες απειλές και αδυναμίες ασφάλειας καθώς και στην επιβολή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων σύμφωνα με τον οποίο οι οργανισμοί θα πρέπει να συμμορφώνονται με τις ρυθμιστικές του διατάξεις και να εφαρμόζουν ασφάλεια και ιδιωτικότητα by design (Karyda & Mitrou, 2016; Mitrou, 2017a), συνεπώς η σωστή και αποτελεσματική συμπεριφορά ασφάλειας των υπάλληλων είναι πιο αναγκαία από ποτέ. Παρά το γεγονός ότι οι οργανισμοί επενδύουν σημαντικά χρηματικά ποσά για την εφαρμογή μέτρων ασφάλειας, συγγραφής και υλοποίησης πολιτικών ασφάλειας για την προστασία των πληροφοριακών αγαθών και πόρων ώστε να διασφαλίσουν τον οργανισμό από οικονομική ζημία ή άλλους είδους καταστροφή, εξακολουθούν να πραγματοποιούνται περιστατικά ασφάλειας, ως απόρροια της αποτυχίας των εργαζομένων να συμμορφωθούν με τις πολιτικές ασφάλειας (Bulgurcu et al., 2010). Επομένως δεν λαμβάνεται υπόψη ο «ανθρώπινος παράγοντας» στον τομέα της ασφάλειας στους οργανισμούς και δεν είναι κατανοητό το πως μπορεί να επιτευχθεί σωστή συμπεριφορά ασφάλειας από την πλευρά των εργαζομένων. Προκειμένου να αντιμετωπιστεί το κενό αυτό, η παρούσα διδακτορική Διατριβή έχει ως στόχο να απαντήσει σε δυο βασικά ερευνητικά ερωτήματα: α) ποιοι παράγοντες επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και β) πώς μπορεί η γνώση αυτή των παραγόντων να χρησιμοποιηθεί ώστε να βοηθήσει τους security managers (υπεύθυνους διαχείρισης ασφάλειας) να βελτιώσουν τις πρακτικές διαχείρισης ασφάλειας και να ενθαρρύνουν τη συμπεριφορά ασφάλειας εργαζομένων να εναρμονιστεί με τις απαιτήσεις και τους στόχους ασφάλειας του οργανισμού. Προκειμένου να απαντηθεί το πρώτο ερευνητικό ερώτημα, πραγματοποιήθηκε ανάλυση και κριτική ανασκόπηση της σχετικής βιβλιογραφίας ώστε να εντοπιστούν όλοι οι παράγοντες που επηρεάζουν τη συμμόρφωση με τις πολιτικές ασφάλειας και τη συμπεριφορά ασφάλειας. Μέσα από την ανάλυση της σχετικής βιβλιογραφίας, εντοπίστηκε μια πληθώρα από διαφορετικούς παράγοντες, οι οποίοι όμως δεν είναι κατανοητοί και χρήσιμοι για τους security managers για πολλούς λόγους: συχνά παρουσιάζονται παράγοντες με αντικρουόμενα αποτελέσματα, όπως συμβαίνει για παράδειγμα με τις κυρώσεις, χρησιμοποιούνται διαφορετικοί όροι για να περιγράψουν παρόμοιες έννοιες δημιουργώντας σύγχυση και δυσκολία στην κατανόηση τους, όπως για παράδειγμα στην περίπτωση των όρων αυστηρότητα τιμωρίας (punishment severity) και αυστηρότητα αποτροπής (deterrent severity), επίσης η χρήση εξειδικευμένης ορολογίας δημιουργεί επιπρόσθετη δυσκολία καθώς η ορολογία αυτή χρησιμοποιείται σε θεωρίες με τις οποίες οι security managers δεν είναι εξοικειωμένοι, όπως αυτό-αποτελεσματικότητα (self-efficacy) και συσχέτιση αξίας (value congruence). Eπιπρόσθετα ένα σημαντικό εύρημα της ανάλυσης της βιβλιογραφίας είναι ότι ενώ ο ρόλος της τεχνολογίας και τα χαρακτηριστικά της επηρεάζουν τη συμπεριφορά ασφάλειας, ωστόσο δεν έχουν μελετηθεί επαρκώς στη σχετική βιβλιογραφία. Προκειμένου να μελετηθούν περαιτέρω οι τεχνολογικοί παράγοντες που επηρεάζουν τους χρήστες να χρησιμοποιήσουν εργαλεία ασφάλειας και ιδιωτικότητας, πραγματοποιήθηκε έρευνα ανάμεσα σε 150 φοιτητές των Πληροφοριακών και Επικοινωνιακών συστημάτων ώστε να μελετηθεί η ευχρηστία των εργαλείων ασφάλειας και ιδιωτικότητας. Ένας συνδυασμός από διαφορετικές μεθόδους χρησιμοποιήθηκαν περιλαμβάνοντας σενάρια, ερωτηματολόγια και συνεντεύξεις. Τα ευρήματα δείχνουν ότι οι χρήστες θεωρούν σημαντικά χαρακτηριστικά ευχρηστίας όπως προσβασιμότητα (accessibility), χρήση κατανοητής γλώσσας, intuitiveness, απόδοση, ανατροφοδότηση και λάθη, αποτροπή σφαλμάτων, αναίρεση ενεργειών, διαθεσιμότητα πληροφορίας, design και συνέπεια, χαρακτηριστικά σχετικά με την εγκατάσταση, χαρακτηριστικά σχετικά με την ιδιωτικότητα (έλεγχος προσωπικών δεδομένων και διαφάνεια) και αυτοματοποίηση. Με βάση τα ευρήματα της ανασκόπησης της βιβλιογραφίας και της έρευνας, δημιουργήθηκε ένα πλαίσιο παραγόντων που επηρεάζουν τη συμπεριφορά ασφάλειας. Το πλαίσιο που αποτελείται από τους παράγοντες της βιβλιογραφίας ταξινομημένους σε τρεις κατηγορίες μαζί με την ανάλυση της σημασίας και της επίδρασης τους, διευκολύνει τους security managers να αντιμετωπίσουν το πολύπλοκο ζήτημα της συμπεριφοράς ασφάλειας. Το πλαίσιο αυτό παρουσιάζει μια συνολική ανάλυση όλων των παραγόντων που επηρεάζουν τη συμπεριφορά ασφαλείας, ταξινομημένους σε τρεις κύριες κατηγορίες που αφορούν ατομικές, οργανωτικές και τεχνολογικές πτυχές. Ο σκοπός αυτού του πλαισίου είναι να λειτουργήσει ως «οδηγός» για τους security managers παρουσιάζοντας τους παράγοντες που πρέπει να λαμβάνουν υπόψη κατά το σχεδιασμό και την υλοποίηση των πολικών και πρακτικών ασφάλειας. Στη συνέχεια, η πρακτική αξία αυτού του πλαισίου διερευνήθηκε περαιτέρω με την ανάλυση των πρακτικών διαχείρισης ασφάλειας που προβλέπονται στα πρότυπα ISO / IEC 27000, πιο συγκεκριμένα ISO 27001, 27002, 27003 και 27005. Μέσω μιας ανάλυσης εντοπισμού κενών και ελλείψεων, εντοπίστηκαν παράγοντες που επηρεάζουν τη συμπεριφορά ασφαλείας, που όμως δεν περιλαμβάνονται στα πρότυπα ISO, συμπεριλαμβανομένης της συμμετοχής της ανώτατης διοίκησης, της κουλτούρας (culture), του κόστους συμμόρφωσης, των συνηθειών, των ατομικών χαρακτηριστικών και των αξιών. Επιπλέον, παρέχεται πρακτική καθοδήγηση σχετικά με τον τρόπο ενσωμάτωσης της τρέχουσας διαχείρισης της ασφάλειας με πρακτικές που υποστηρίζουν τη συμπεριφορά ασφάλειας. Για να μελετηθεί και να διαπιστωθεί η δυνατότητα εφαρμογής του πλαισίου, πραγματοποιήθηκε μια μελέτη περίπτωσης σε έναν μεγάλο οργανισμό. Η μελέτη περίπτωσης είχε ως στόχο την ανάλυση των τρεχουσών πρακτικών διαχείρισης της ασφάλειας του οργανισμού και τον προσδιορισμό των πτυχών του πλαισίου που εφαρμόζονται στην πράξη. Μέσω αυτής της μελέτης περίπτωσης ήταν δυνατό να προσδιοριστούν οι πρακτικές διαχείρισης της ασφάλειας που εφαρμόζονται και να αποκτηθούν γνώσεις σχετικά με τις πρακτικές που ακολουθούνται από τον οργανισμό. Ένα σημαντικό συμπέρασμα είναι ότι αυτός ο οργανισμός υποστηρίζει την τηλεργασία και έχει αναγνωρίσει τη σημασία της ενημέρωσης των χρηστών σχετικά με τις απειλές και τους κινδύνους που μπορεί να προκύψουν κατά την τηλεργασία, σχεδιάζοντας για το σκοπό αυτό νέες πολιτικές ασφάλειας. Αυτό υπογραμμίζει την ανάγκη που υπάρχει ώστε οι οργανισμοί να είναι ενήμεροι για τη συνεχή εξέλιξη της τεχνολογίας, τον αντίκτυπό της στον εργασιακό χώρο και την επακόλουθη ανάγκη ανανέωσης των πρακτικών ασφάλειας τους. Επιπλέον, η μελέτη περίπτωσης προσφέρει στοιχεία για το πώς ένας οργανισμός μπορεί να παρακινήσει τους εργαζομένους να υιοθετήσουν την κατάλληλη συμπεριφορά ασφαλείας: πρώτον, με τη χρήση πρακτικών μεθόδων όπως κάρτες ή αφίσες. Δεύτερον, προωθώντας μια οργανωτική κουλτούρα ασφάλειας η οποία βασίζεται στην επικοινωνία, στις κοινές αξίες και στην αλληλοβοήθεια. Τέλος, η μελέτη περίπτωσης αποκαλύπτει πως η στάση του συγκεκριμένου οργανισμού σχετικά με τις κυρώσεις (δεν εφαρμόζονται κυρώσεις για τη μη συμμόρφωση των πολιτικών ασφάλειας παρά τις συστάσεις του ISO) μπορεί να είναι η καταλληλότερη πολιτική για τον οργανισμό αυτό. Εκτός από την παροχή προτάσεων για περαιτέρω βελτίωση των πρακτικών διαχείρισης της ασφάλειας, η μελέτη περίπτωσης καταλήγει επίσης στο συμπέρασμα ότι, υπάρχει ανάγκη για εφαρμογή πρακτικών διαχείρισης της ασφάλειας που να είναι προσαρμοσμένες και να ταιριάζουν στις ανάγκες και τις απαιτήσεις της ασφάλειας των πληροφοριών των οργανισμών, λαμβάνοντας υπόψη και εκμεταλλευόμενες τα βασικά δυνατά σημεία τους. Τέλος, με βάση τα ερευνητικά ευρήματα, τη μελέτη για την ευχρηστία, την ανάλυση για τον εντοπισμό κενών των προτύπων ISO και την μελέτη περίπτωσης, η παρούσα διατριβή πληροί τον δεύτερο ερευνητικό στόχο παρέχοντας πρακτικές οδηγίες, ώστε οι security managers να κατανοήσουν καλύτερα τη συμπεριφορά ασφαλείας και να ενισχύσουν τις τρέχουσες πρακτικές διαχείρισης της ασφάλειας. Αυτό το σύνολο των πρακτικών οδηγιών επικεντρώνεται κυρίως στο πως μπορούν οι security managers να υιοθετήσουν στην πράξη τους παράγοντες που επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και έχουν εντοπιστεί στη βιβλιογραφία όπως επίσης και παράγοντες που δεν αντιμετωπίζονται επαρκώς ούτε στην τρέχουσα βιβλιογραφία ούτε/ και στα ευρέως υιοθετημένα πρότυπα ISO. Η μελέτη αυτή συμβάλλει στον τομέα της συμπεριφοράς ασφάλειας και συμμόρφωσης με τις πολιτικές ασφάλειας μέσω: α) του καθορισμού και της ανάλυσης των αντικρουόμενων αποτελεσμάτων και της σύγχυσης της ορολογίας στη σχετική βιβλιογραφία, β) της αιτιολόγησης του ρόλου της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας και την ανάλυση σχετικών παραγόντων που επηρεάζουν τη χρήση των εργαλείων ασφάλειας και ιδιωτικότητας. Επίσης τεκμηριώνεται η ανάγκη για τους προγραμματιστές να εξετάσουν τα χαρακτηριστικά χρηστικότητας που εντοπίστηκαν προκειμένου να σχεδιάσουν εργαλεία ασφάλειας που μπορούν να είναι εύχρηστα. γ) της παροχής οδηγιών για την ενίσχυση της διαχείρισης της ασφάλειας, με στόχο την αντιμετώπιση των κενών στις τρέχουσες προσεγγίσεις διαχείρισης της ασφάλειας σύμφωνα με τα πρότυπα ISO 27001, 27002, 27003 και 27005. Οι παράγοντες που δεν καλύπτονται από τα παραπάνω πρότυπα ασφάλειας σχετίζονται με τη συμμετοχή της ανώτατης διαχείρισης, την κουλτούρα, το κόστος συμμόρφωσης, τις συνήθειες, τα ατομικά χαρακτηριστικά, τις ικανότητες, τις αξίες, τα διάφορα είδη συνειδητοποίησης της ασφάλειας και την κοινωνική επιρροή. Συνολικά, αυτή η διδακτορική διατριβή γεφυρώνει το χάσμα ανάμεσα στη θεωρία και την πράξη, παρέχοντας στους security managers έναν «οδηγό», με τη μορφή πλαισίου τριών κατηγοριών και ενός συνόλου οδηγιών για τη βελτίωση της συμπεριφοράς ασφαλείας και της συμμόρφωσης των εργαζομένων με τις πολιτικές ασφάλειας. Συνολικά, η παρούσα μελέτη αποτελεί έναν «οδηγό» για το πως μπορούν οι security managers να λάβουν υπόψη τις ατομικές, οργανωτικές και τεχνολογικές πτυχές της συμπεριφοράς ασφάλειας κατά την υλοποίηση των πρακτικών διαχείρισης ασφάλειας και να βελτιώσουν τη συμμόρφωση των εργαζομένων με τις πολιτικές ασφάλειας. Τέλος, καθώς ο τομέας της ασφάλειας πληροφορικής είναι σύνθετος και εξελίσσεται ταχύτατα εξαιτίας της ανάπτυξης νέων τεχνολογιών και της αλλαγής του τρόπου εργασίας, είναι επιτακτική η ανάγκη να ερευνηθεί περαιτέρω ο ανθρώπινος παράγοντας όπως επίσης και ο ρόλος της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας.