Ενημερότητα ασφάλειας πληροφοριών: αξιολόγηση επιπέδου και έρευνα προτιμήσεων σε Δημόσιο Οργανισμό στην Ελλάδα

Abstract

Ο ψηφιακός μετασχηματισμός που συντελείται τα τελευταία χρόνια, έχει αναδείξει απειλές οι οποίες θέτουν σε κίνδυνο τη λειτουργία επιχειρήσεων και οργανισμών του ιδιωτικού και δημόσιου τομέα. Οι εν λόγω απειλές σχετίζονται, σε μεγάλο βαθμό, με τον ανθρώπινο παράγοντα, καθιστώντας απαραίτητη την ενημερότητα του προσωπικού σε ζητήματα ασφάλειας. Σημαντική αφετηρία για την αποτελεσματική ενημέρωση του προσωπικού αποτελεί η εξέταση του υφιστάμενου επιπέδου ενημερότητας και των αναγκών/προτιμήσεων των εργαζομένων, ώστε να διαμορφωθούν αντίστοιχα προγράμματα. Σκοπός της παρούσας διπλωματικής εργασίας είναι να διερευνήσει το ευρύτερο πλαίσιο διαμόρφωσης και διεξαγωγής προγραμμάτων ενημερότητας, ώστε να εντοπιστούν οι παράμετροι που πρέπει να αξιολογηθούν κατά τη μέτρηση του επιπέδου ενημερότητας καθώς και βασικά ζητήματα που πρέπει να λάβει υπόψη του κάθε οργανισμός κατά το σχεδιασμό σχετικών προγραμμάτων. Από τη βιβλιογραφική έρευνα, διαπιστώθηκε ότι η ευαισθητοποίηση, η γνώση και η ικανότητα σε ζητήματα ασφάλειας διαμορφώνουν σε μεγάλο βαθμό το επίπεδο ενημερότητας του προσωπικού ενός φορέα. Επιπρόσθετα αναδείχθηκαν χαρακτηριστικά των προγραμμάτων ενημερότητας, τα οποία δύναται να διαφοροποιηθούν ανάλογα με τις ανάγκες/προτιμήσεις του προσωπικού όπως το περιεχόμενο, οι μέθοδοι/τεχνικές, οι εμπλεκόμενοι, το ύφος των μηνυμάτων. Στο πλαίσιο της εργασίας διερευνήθηκε, με τη χρήση ερωτηματολογίου, το επίπεδο ενημερότητας καθώς και οι προτιμήσεις σχετικών προγραμμάτων σε δημόσιο φορέα στην Ελλάδα, στον οποίο δεν έχουν πραγματοποιηθεί συστηματικές δράσεις ενημερότητας. Από την έρευνα διαπιστώθηκε, ότι το προσωπικό αναγνωρίζει ότι η ασφάλεια είναι κρίσιμη και το αφορά. Εξαιτίας αυτού επιθυμεί να ενημερωθεί περαιτέρω για να βελτιώσει τις γνώσεις/ικανότητές του, με προγράμματα προσαρμοσμένα στις ανάγκες/απαιτήσεις του σε θέματα που αφορούν κυρίως στο θεσμικό πλαίσιο ασφάλειας, στη διαχείριση ευαίσθητων πληροφοριών και στην αναγνώριση/αντιμετώπιση κακόβουλου λογισμικού. Τα συμπεράσματα της έρευνας αποτελούν εργαλείο της διοίκησης του φορέα για τη χάραξη στρατηγικής και σχεδιασμό σχετικών δράσεων. Τέλος το ερωτηματολόγιο, οι πληροφορίες και τα συμπεράσματα της μελέτης δύναται να αξιοποιηθούν και από άλλους οργανισμούς οι οποίοι επιθυμούν να σχεδιάσουν ένα αποτελεσματικό πρόγραμμα ενημερότητας.

Recent digital transformation has brought to light threats that jeopardize private and public sector operations. The above threats are largely related to human factor, making personnel security awareness necessary. Evaluating personnel current information security awareness level and researching user preferences of information security awareness delivery methods is an important starting point in order to design corresponding programs. Current diploma thesis aims to explore the broader context of security awareness in order to identify evaluation parameters and characteristics, that must be taken into account when measuring security awareness level or designing relevant programs. Based on the conducted literature research, organization's level of awareness is, mostly, shaped by personnel perception, knowledge and ability in security issues. In addition, security awareness characteristics, that can be differentiated according to personnel needs / preferences such as content, methods/ techniques, people involved, message sense, were highlighted. During the research, personnel current information security awareness level and user preferences of information security awareness delivery methods were examined, using a questionnaire, in a Greek public organization, in which no systemic security awareness program has been conducted before. Research revealed that employees understand why information security is a vital aspect that concerns them. Because of this, users want to be further informed, so as to improve their knowledge/ abilities, participating in programs suitable to their needs / requirements, mainly on security regulation, processing of sensitive data and malware detection/response. Research results help upper management to plan security awareness strategy and design relevant programs. Finally, thesis questionnaire, information and conclusions can be used by any other organization wanting to design an effective security awareness program.