Evaluating employees information security awareness case study

Abstract

Εδώ και πολλά χρόνια τα προγράμματα ασφάλειας πληροφοριών επικεντρώνονται περισσότερο στην τεχνική λύση, δηλαδή στα συστήματα ανίχνευσης εισβολής, στα τείχη προστασίας, στα προγράμματα προστασίας από ακόβουλο λογισμικό παρά στο ανθρώπινο στοιχείο. Ερευνητές και ειδικοί στο πεδίο της ασφάλειας πληροφοριών δηλώνουν ότι ο χρήστης είναι ο πιο αδύναμος κρίκος της αλυσίδας όταν πρόκειται για την ασφάλεια των πληροφοριών. Το ανθρώπινο λάθος εξακολουθεί να είναι η βασική παράμετος που μπορεί να απειλήσει τις πληροφορίες του οργανισμού. Έτσι, η πρόκληση για πολλές εταιρείες, οργανισμούς ή ιδρύματα είναι να αναπτύξουν συστηματικό πρόγραμμα ευαισθητοποίησης χρηστών σε σχέση με την ασφαλεία. Βάσει αναφορών του ENISA, η έννοια της ευαισθητοποίησης των χρηστών σε σχέση με την Ασφάλεια έχει σχέση με την γνώση, τις πεποιθήσεις, τις αντιλήψεις, τις στάσεις, τις παραδοχές, τους κανόνες και τις αξίες των ανθρώπων σχετικά με την ασφάλεια στον κυβερνοχώρο και πώς εκδηλώνονται στη συμπεριφορά των ανθρώπων σε συνδιασμό με τις τεχνολογίες πληροφοριών. Η κυβερνοασφάλεια συμπεριλαμβάνει γνωστές περιοχές εκ των οποίων την κατάρτιση ευαισθητοποίησης σε σχέση με την ασφάλεια πληροφοριών έχοντας ως στόχο να κάνει τα θέματα ασφάλειας πληροφοριών αναπόσπαστο μέρος της εργασίας, των συνηθειών και της συμπεριφοράς ενός υπαλλήλου, ενσωματώνοντάς τα στις καθημερινές τους ενέργειες. Είναι πολύ σημαντικό να προσδιοριστεί το πρόγραμμα ευαισθητοποίησης για την ασφάλεια πληροφοριών που βελτιώνει τις γνώσεις και τη συμπεριφορά του χρήστη έναντι της ασφάλειας των πληροφοριών. Για να εξακριβωθεί η αποτελεσματικότητα ενός προγράμματος ευαισθητοποίησης, είναι απαραίτητη η αξιολόγησή του. Σε αυτή τη διατριβή πραγματοποιείται έρευνα σε «πραγματικό περιβάλλον εργασίας» προκειμένου να εξεταστεί η αποτελεσματικότητα του προγράμματος ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών. Σε αυτό το περιβάλλον εργασίας, το Πρόγραμμα ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών πραγματοποιείται ετησίως - υποχρεωτική παρουσία για όλους τους υπαλλήλους - καθώς αυτή είναι απαίτηση για πιστοποίηση ISO 27001: 2013. Ο σχεδιασμός του Προγράμματος ευαισθητοποίησης για την ασφάλεια περιγράφεται λεπτομερώς. Τα αποτελέσματα από τη στατιστική ανάλυση των δεδομένων της αξιολόγησης έδειξαν ότι το πρόγραμμα ευαισθητοποίησης που χρησιμοποιήθηκε σε αυτήν την περίπτωση ήταν αποτελεσματικό. Συνοψίζοντας τα συνολικά αποτελέσματα, η έρευνα επεσήμανε ότι η αποτελεσματικότητα του προγράμματος ευαισθητοποίησης είναι ικανοποιητική φτάνοντας το 91%, αυξάνοντας την κλίμακα ωριμότητας κατάταξης σε «Υψηλή», που σημαίνει ότι οι εργαζόμενοι γνωρίζουν τις αρχές ασφάλειας, τις απειλές, έχουν εκπαιδευτεί σωστά και συμμορφωθείτε με την ασφάλεια και τις πολιτικές της εταιρείας. Όπως αναμενόταν, αυτό το αποτέλεσμα είναι απόλυτα ικανοποιητικό. Αυτό το συνολικό αποτέλεσμα κατέχει μια ισχυρή «Αξία» λόγω της μαζικής συμμετοχής των εργαζομένων 96% (31 από τους 33 υπαλλήλους συμμετέχουν στο Πρόγραμμα Ευαισθητοποίησης και αξιολόγησης). Η διοίκηση ενθαρρύνει και αναμένει τη μαζική συμμετοχή των υπαλλήλλων, καθώς καμία από τις μεθόδους εκπαίδευσης δεν θα λειτουργούσε χωρίς συμμετέχοντες.

For many years now information security programs are more focused in technical solution i.e. intrusion detection systems, firewalls, anti-virus programs etc, than in human element. Researchers and experts in the information security field state that the user is the weakest link in the chain when it comes to information security. The human error is still the key concept that might threaten information of the organization. Thus, the challenge for many companies, organizations or institutions is to develop a user information Security Awareness Culture. Based on ENISA, the concept of Cybersecurity Culture refers to the knowledge, beliefs, perceptions, attitudes, assumptions, norms and values of people regarding cybersecurity and how they manifest themselves in people’s behaviour with information technologies. CSC (ENISA Cyber Security Culture ) encompasses familiar topics including cybersecurity awareness and information security frameworks but is broader in both scope and application, being concerned with making information security considerations an integral part of an employee’s job, habits and conduct, embedding them in their day-to-day actions [11]. It is high important to identify the Information Security Awareness program that best improves the user’s knowledge and behaviour towards information security. To ascertain the effectiveness of an awareness program, it is essential to assess it. In this thesis a survey is realized in “real working world” in order to examine the effectiveness of the information security awareness program. In this working area, information security awareness Program is realized annually - mandatory presence for all employees - as this is a requirement for ISO 27001:2013 certification. The design of security awareness Program is descripted in detailed in this writing. The results from the statistical analysis of the data form the survey have shown that the Awareness Program used in this case were effective. Summarizing the overall results, the survey pointed out that the Effectiveness of the Awareness Program is satisfactory reaching the 91%, rising the Rating Maturity scale to “High”, meaning that Employees are aware of good security principles and threats, have been properly trained and comply with company’s security and policies. As expected, this result is fully satisfactoriness. This Overall result it holds a strong “Value” due to of the massive participation of employees 96% (31 of 33 employees participate in Awareness Program and Survey). Based on that it is strongly believed that management support enforces the employees into a massive participation, since none of the training method would work without participants.