Αναλύοντας τη συμπεριφορά ασφάλειας: τεχνολογικό-οργανωσιακό-ατομικό πλαίσιο και οδηγίες για την ενίσχυση της συμμόρφωσης των χρηστών με τις πολιτικές ασφάλειας πληροφοριών

Abstract

Η ραγδαία ανάπτυξη της τεχνολογίας οδήγησε σε νέες απειλές και αδυναμίες ασφάλειας καθώς και στην επιβολή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων σύμφωνα με τον οποίο οι οργανισμοί θα πρέπει να συμμορφώνονται με τις ρυθμιστικές του διατάξεις και να εφαρμόζουν ασφάλεια και ιδιωτικότητα by design (Karyda & Mitrou, 2016; Mitrou, 2017a), συνεπώς η σωστή και αποτελεσματική συμπεριφορά ασφάλειας των υπάλληλων είναι πιο αναγκαία από ποτέ. Παρά το γεγονός ότι οι οργανισμοί επενδύουν σημαντικά χρηματικά ποσά για την εφαρμογή μέτρων ασφάλειας, συγγραφής και υλοποίησης πολιτικών ασφάλειας για την προστασία των πληροφοριακών αγαθών και πόρων ώστε να διασφαλίσουν τον οργανισμό από οικονομική ζημία ή άλλους είδους καταστροφή, εξακολουθούν να πραγματοποιούνται περιστατικά ασφάλειας, ως απόρροια της αποτυχίας των εργαζομένων να συμμορφωθούν με τις πολιτικές ασφάλειας (Bulgurcu et al., 2010). Επομένως δεν λαμβάνεται υπόψη ο «ανθρώπινος παράγοντας» στον τομέα της ασφάλειας στους οργανισμούς και δεν είναι κατανοητό το πως μπορεί να επιτευχθεί σωστή συμπεριφορά ασφάλειας από την πλευρά των εργαζομένων. Προκειμένου να αντιμετωπιστεί το κενό αυτό, η παρούσα διδακτορική Διατριβή έχει ως στόχο να απαντήσει σε δυο βασικά ερευνητικά ερωτήματα: α) ποιοι παράγοντες επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και β) πώς μπορεί η γνώση αυτή των παραγόντων να χρησιμοποιηθεί ώστε να βοηθήσει τους security managers (υπεύθυνους διαχείρισης ασφάλειας) να βελτιώσουν τις πρακτικές διαχείρισης ασφάλειας και να ενθαρρύνουν τη συμπεριφορά ασφάλειας εργαζομένων να εναρμονιστεί με τις απαιτήσεις και τους στόχους ασφάλειας του οργανισμού. Προκειμένου να απαντηθεί το πρώτο ερευνητικό ερώτημα, πραγματοποιήθηκε ανάλυση και κριτική ανασκόπηση της σχετικής βιβλιογραφίας ώστε να εντοπιστούν όλοι οι παράγοντες που επηρεάζουν τη συμμόρφωση με τις πολιτικές ασφάλειας και τη συμπεριφορά ασφάλειας. Μέσα από την ανάλυση της σχετικής βιβλιογραφίας, εντοπίστηκε μια πληθώρα από διαφορετικούς παράγοντες, οι οποίοι όμως δεν είναι κατανοητοί και χρήσιμοι για τους security managers για πολλούς λόγους: συχνά παρουσιάζονται παράγοντες με αντικρουόμενα αποτελέσματα, όπως συμβαίνει για παράδειγμα με τις κυρώσεις, χρησιμοποιούνται διαφορετικοί όροι για να περιγράψουν παρόμοιες έννοιες δημιουργώντας σύγχυση και δυσκολία στην κατανόηση τους, όπως για παράδειγμα στην περίπτωση των όρων αυστηρότητα τιμωρίας (punishment severity) και αυστηρότητα αποτροπής (deterrent severity), επίσης η χρήση εξειδικευμένης ορολογίας δημιουργεί επιπρόσθετη δυσκολία καθώς η ορολογία αυτή χρησιμοποιείται σε θεωρίες με τις οποίες οι security managers δεν είναι εξοικειωμένοι, όπως αυτό-αποτελεσματικότητα (self-efficacy) και συσχέτιση αξίας (value congruence). Eπιπρόσθετα ένα σημαντικό εύρημα της ανάλυσης της βιβλιογραφίας είναι ότι ενώ ο ρόλος της τεχνολογίας και τα χαρακτηριστικά της επηρεάζουν τη συμπεριφορά ασφάλειας, ωστόσο δεν έχουν μελετηθεί επαρκώς στη σχετική βιβλιογραφία. Προκειμένου να μελετηθούν περαιτέρω οι τεχνολογικοί παράγοντες που επηρεάζουν τους χρήστες να χρησιμοποιήσουν εργαλεία ασφάλειας και ιδιωτικότητας, πραγματοποιήθηκε έρευνα ανάμεσα σε 150 φοιτητές των Πληροφοριακών και Επικοινωνιακών συστημάτων ώστε να μελετηθεί η ευχρηστία των εργαλείων ασφάλειας και ιδιωτικότητας. Ένας συνδυασμός από διαφορετικές μεθόδους χρησιμοποιήθηκαν περιλαμβάνοντας σενάρια, ερωτηματολόγια και συνεντεύξεις. Τα ευρήματα δείχνουν ότι οι χρήστες θεωρούν σημαντικά χαρακτηριστικά ευχρηστίας όπως προσβασιμότητα (accessibility), χρήση κατανοητής γλώσσας, intuitiveness, απόδοση, ανατροφοδότηση και λάθη, αποτροπή σφαλμάτων, αναίρεση ενεργειών, διαθεσιμότητα πληροφορίας, design και συνέπεια, χαρακτηριστικά σχετικά με την εγκατάσταση, χαρακτηριστικά σχετικά με την ιδιωτικότητα (έλεγχος προσωπικών δεδομένων και διαφάνεια) και αυτοματοποίηση. Με βάση τα ευρήματα της ανασκόπησης της βιβλιογραφίας και της έρευνας, δημιουργήθηκε ένα πλαίσιο παραγόντων που επηρεάζουν τη συμπεριφορά ασφάλειας. Το πλαίσιο που αποτελείται από τους παράγοντες της βιβλιογραφίας ταξινομημένους σε τρεις κατηγορίες μαζί με την ανάλυση της σημασίας και της επίδρασης τους, διευκολύνει τους security managers να αντιμετωπίσουν το πολύπλοκο ζήτημα της συμπεριφοράς ασφάλειας. Το πλαίσιο αυτό παρουσιάζει μια συνολική ανάλυση όλων των παραγόντων που επηρεάζουν τη συμπεριφορά ασφαλείας, ταξινομημένους σε τρεις κύριες κατηγορίες που αφορούν ατομικές, οργανωτικές και τεχνολογικές πτυχές. Ο σκοπός αυτού του πλαισίου είναι να λειτουργήσει ως «οδηγός» για τους security managers παρουσιάζοντας τους παράγοντες που πρέπει να λαμβάνουν υπόψη κατά το σχεδιασμό και την υλοποίηση των πολικών και πρακτικών ασφάλειας. Στη συνέχεια, η πρακτική αξία αυτού του πλαισίου διερευνήθηκε περαιτέρω με την ανάλυση των πρακτικών διαχείρισης ασφάλειας που προβλέπονται στα πρότυπα ISO / IEC 27000, πιο συγκεκριμένα ISO 27001, 27002, 27003 και 27005. Μέσω μιας ανάλυσης εντοπισμού κενών και ελλείψεων, εντοπίστηκαν παράγοντες που επηρεάζουν τη συμπεριφορά ασφαλείας, που όμως δεν περιλαμβάνονται στα πρότυπα ISO, συμπεριλαμβανομένης της συμμετοχής της ανώτατης διοίκησης, της κουλτούρας (culture), του κόστους συμμόρφωσης, των συνηθειών, των ατομικών χαρακτηριστικών και των αξιών. Επιπλέον, παρέχεται πρακτική καθοδήγηση σχετικά με τον τρόπο ενσωμάτωσης της τρέχουσας διαχείρισης της ασφάλειας με πρακτικές που υποστηρίζουν τη συμπεριφορά ασφάλειας. Για να μελετηθεί και να διαπιστωθεί η δυνατότητα εφαρμογής του πλαισίου, πραγματοποιήθηκε μια μελέτη περίπτωσης σε έναν μεγάλο οργανισμό. Η μελέτη περίπτωσης είχε ως στόχο την ανάλυση των τρεχουσών πρακτικών διαχείρισης της ασφάλειας του οργανισμού και τον προσδιορισμό των πτυχών του πλαισίου που εφαρμόζονται στην πράξη. Μέσω αυτής της μελέτης περίπτωσης ήταν δυνατό να προσδιοριστούν οι πρακτικές διαχείρισης της ασφάλειας που εφαρμόζονται και να αποκτηθούν γνώσεις σχετικά με τις πρακτικές που ακολουθούνται από τον οργανισμό. Ένα σημαντικό συμπέρασμα είναι ότι αυτός ο οργανισμός υποστηρίζει την τηλεργασία και έχει αναγνωρίσει τη σημασία της ενημέρωσης των χρηστών σχετικά με τις απειλές και τους κινδύνους που μπορεί να προκύψουν κατά την τηλεργασία, σχεδιάζοντας για το σκοπό αυτό νέες πολιτικές ασφάλειας. Αυτό υπογραμμίζει την ανάγκη που υπάρχει ώστε οι οργανισμοί να είναι ενήμεροι για τη συνεχή εξέλιξη της τεχνολογίας, τον αντίκτυπό της στον εργασιακό χώρο και την επακόλουθη ανάγκη ανανέωσης των πρακτικών ασφάλειας τους. Επιπλέον, η μελέτη περίπτωσης προσφέρει στοιχεία για το πώς ένας οργανισμός μπορεί να παρακινήσει τους εργαζομένους να υιοθετήσουν την κατάλληλη συμπεριφορά ασφαλείας: πρώτον, με τη χρήση πρακτικών μεθόδων όπως κάρτες ή αφίσες. Δεύτερον, προωθώντας μια οργανωτική κουλτούρα ασφάλειας η οποία βασίζεται στην επικοινωνία, στις κοινές αξίες και στην αλληλοβοήθεια. Τέλος, η μελέτη περίπτωσης αποκαλύπτει πως η στάση του συγκεκριμένου οργανισμού σχετικά με τις κυρώσεις (δεν εφαρμόζονται κυρώσεις για τη μη συμμόρφωση των πολιτικών ασφάλειας παρά τις συστάσεις του ISO) μπορεί να είναι η καταλληλότερη πολιτική για τον οργανισμό αυτό. Εκτός από την παροχή προτάσεων για περαιτέρω βελτίωση των πρακτικών διαχείρισης της ασφάλειας, η μελέτη περίπτωσης καταλήγει επίσης στο συμπέρασμα ότι, υπάρχει ανάγκη για εφαρμογή πρακτικών διαχείρισης της ασφάλειας που να είναι προσαρμοσμένες και να ταιριάζουν στις ανάγκες και τις απαιτήσεις της ασφάλειας των πληροφοριών των οργανισμών, λαμβάνοντας υπόψη και εκμεταλλευόμενες τα βασικά δυνατά σημεία τους. Τέλος, με βάση τα ερευνητικά ευρήματα, τη μελέτη για την ευχρηστία, την ανάλυση για τον εντοπισμό κενών των προτύπων ISO και την μελέτη περίπτωσης, η παρούσα διατριβή πληροί τον δεύτερο ερευνητικό στόχο παρέχοντας πρακτικές οδηγίες, ώστε οι security managers να κατανοήσουν καλύτερα τη συμπεριφορά ασφαλείας και να ενισχύσουν τις τρέχουσες πρακτικές διαχείρισης της ασφάλειας. Αυτό το σύνολο των πρακτικών οδηγιών επικεντρώνεται κυρίως στο πως μπορούν οι security managers να υιοθετήσουν στην πράξη τους παράγοντες που επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και έχουν εντοπιστεί στη βιβλιογραφία όπως επίσης και παράγοντες που δεν αντιμετωπίζονται επαρκώς ούτε στην τρέχουσα βιβλιογραφία ούτε/ και στα ευρέως υιοθετημένα πρότυπα ISO. Η μελέτη αυτή συμβάλλει στον τομέα της συμπεριφοράς ασφάλειας και συμμόρφωσης με τις πολιτικές ασφάλειας μέσω: α) του καθορισμού και της ανάλυσης των αντικρουόμενων αποτελεσμάτων και της σύγχυσης της ορολογίας στη σχετική βιβλιογραφία, β) της αιτιολόγησης του ρόλου της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας και την ανάλυση σχετικών παραγόντων που επηρεάζουν τη χρήση των εργαλείων ασφάλειας και ιδιωτικότητας. Επίσης τεκμηριώνεται η ανάγκη για τους προγραμματιστές να εξετάσουν τα χαρακτηριστικά χρηστικότητας που εντοπίστηκαν προκειμένου να σχεδιάσουν εργαλεία ασφάλειας που μπορούν να είναι εύχρηστα. γ) της παροχής οδηγιών για την ενίσχυση της διαχείρισης της ασφάλειας, με στόχο την αντιμετώπιση των κενών στις τρέχουσες προσεγγίσεις διαχείρισης της ασφάλειας σύμφωνα με τα πρότυπα ISO 27001, 27002, 27003 και 27005. Οι παράγοντες που δεν καλύπτονται από τα παραπάνω πρότυπα ασφάλειας σχετίζονται με τη συμμετοχή της ανώτατης διαχείρισης, την κουλτούρα, το κόστος συμμόρφωσης, τις συνήθειες, τα ατομικά χαρακτηριστικά, τις ικανότητες, τις αξίες, τα διάφορα είδη συνειδητοποίησης της ασφάλειας και την κοινωνική επιρροή. Συνολικά, αυτή η διδακτορική διατριβή γεφυρώνει το χάσμα ανάμεσα στη θεωρία και την πράξη, παρέχοντας στους security managers έναν «οδηγό», με τη μορφή πλαισίου τριών κατηγοριών και ενός συνόλου οδηγιών για τη βελτίωση της συμπεριφοράς ασφαλείας και της συμμόρφωσης των εργαζομένων με τις πολιτικές ασφάλειας. Συνολικά, η παρούσα μελέτη αποτελεί έναν «οδηγό» για το πως μπορούν οι security managers να λάβουν υπόψη τις ατομικές, οργανωτικές και τεχνολογικές πτυχές της συμπεριφοράς ασφάλειας κατά την υλοποίηση των πρακτικών διαχείρισης ασφάλειας και να βελτιώσουν τη συμμόρφωση των εργαζομένων με τις πολιτικές ασφάλειας. Τέλος, καθώς ο τομέας της ασφάλειας πληροφορικής είναι σύνθετος και εξελίσσεται ταχύτατα εξαιτίας της ανάπτυξης νέων τεχνολογιών και της αλλαγής του τρόπου εργασίας, είναι επιτακτική η ανάγκη να ερευνηθεί περαιτέρω ο ανθρώπινος παράγοντας όπως επίσης και ο ρόλος της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας.