Журнал "Директор по безопасности" Июль 2020 | Page 13

Сбор данных и методика
исследования
Данные, использованные для анализа,
получали с помощью анкеты.
Участниками опроса были работники
пяти организаций из различных отраслей
(банк, ассоциация, земельное
ведомство и две консультационной
компании с различной направленностью
деятельности). Содействуя ответственности
за информационную
безопасность и защите данных, об
этом эксперименте была поставлена
в известность вся организация или ее
часть. Опрос проводился на добровольных
началах и анонимно. Было
получено 277 анкет, которые были
признаны пригодными для анализа.
Анкета состояла из 25 вопросов, которые
в основном касались взглядов,
поведенческих намерений и указанных
выше факторов влияния. Кроме
того, ставились вопросы об участии
в разъяснительных кампаниях и их
оценке, а также несколько контрольных
вопросов. Разработка анкеты осуществлялась
в три этапа с участием
студентов, обучающихся без отрыва
от производства по университетской
программе, чтобы обеспечить у участников
соответствующие представления
о задаваемых вопросах. Цель этих
этапов – контроль осмысления, правомочности
и понимания сформулированных
вопросов. Соответственно,
вопросы модифицировались, заменялись
и расширялись и, в конце концов
возникала финальная версия.
Большая часть вопросов предполагала
возможность ответа по 4-ступенчатой
шкале суммарных оценок
(шкала Лайкерта). Наряду с этим еще
использовали дихотомические вопросы
– вопросы, имеющие два ответа,
например, об участии в разъяснительной
кампании.
Каждый из многочисленных вопросов
анкеты принимал в расчет показатели,
используемые в исследовании,
за исключением параметров «ответственность»,
«недостаток времени»
и «справедливость». Причина этого
заключается в том, что при наличии
многогранных суждений об отдельных
параметрах можно ставить в основном
простые вопросы с предоставлением
респондентам по возможности
маленького пространства для интерпретаций.
Вследствие этого представляли
интерес различные точки зрения
на параметры, а ответы на вопросы
затем трансформировали в соответствии
с единой шкалой и, в конце концов,
вычисляли среднее значение.
Чтобы обеспечить одинаковую направленность
ответов, каждый из них
перед проведением вычислений подвергали
эксплораторному факторному
анализу с установлением возможности
включения показателя в общий фактор
и получения одномерной структуры.
Таблица содержит показатели и
связанные с ними определенные вопросы
(частично с целью презентации
в модифицированной форме).
С помощью полученных таким образом
показателей проводили корреляционный
и регрессионный анализы
для оценки связей и зависимостей.
Затем интерпретировали результаты,
основываясь на критерии значимости
и проводили исследования на основе
программного обеспечения для
статистики SPSS. При этом на первом
этапе анализировали влияние семи
выявленных факторов (в дальнейшем
обозначенных как «независимые показатели»)
на взгляды и поведенческие
намерения («зависимые показатели»)
с участием всех участников опроса.
На второй стадии анализ повторяли
для группы опрошенных, которые уже
принимали участие в разъяснительных
кампаниях, и групп, у которых не было
такой возможности, чтобы на основе
полученных данных установить различия
в способах действия и эффективности
разъяснительных кампаний.
Показатель
ВЗГЛЯДЫ
Вопросы
Что означает для Вас лично тема
«информационная безопасность» в
профессиональной области?
Насколько важна тема «информационная
безопасность» в Вашей индивидуальной работе?
Намерены ли Вы в будущем соблюдать правила
и директивы по информационной безопасности?
ПОВЕДЕНЧЕСКИЕ
НАМЕРЕНИЯ
Намерены ли в будущем использовать ресурсы
компьютера и мобильных технологий при
рассмотрении всех аспектов безопасности?
Какое решение приняли бы Вы, если
необходимо выбрать между выполнением
работы в срок и соблюдением инструкции об
информационной безопасности?
Как Вы оцениваете свой уровень знаний по теме
«информационная безопасность»?
ЗНАНИЯ
Насколько Вы хорошо знакомы с мерами и
директивами по обеспечению информационной
безопасности и их организации?
Находится ли под угрозой Ваша организация?
УГРОЗЫ
Как Вы оцениваете вероятность того, что сами
являетесь целью нападения?
ОТВЕТСТВЕННОСТЬ
УДОБСТВО
ЭФФЕКТИВНОСТЬ
Как Вы оцениваете свою ответственность
за информационную безопасность в Вашей
организации?
Как Вы воспринимаете влияние мер по
информационной безопасности в Вашей
организации на Вашу собственную деятельность?
Как Вы оцениваете целесообразность правил
и директив в отношении информационной
безопасности в Вашей организации?
Как Вы оцениваете адекватность мер по
информационной безопасности в Вашей
организации?
Как Вы оцениваете эффективность мер по
информационной безопасности в Вашей
организации?
НЕХВАТКА
ВРЕМЕНИ
Располагаете ли Вы достаточным временем
для выполнения своей деятельности?
СПРАВЕДЛИВОСТЬ
Считаете ли Вы, что Ваша организация
справедливо обращается со своими
работниками?
Результаты и интерпретации
В результате анализа была установлена
средняя корреляция между взглядами
и поведенческими намерениями.
Таким образом, поведенческие намерения
не являются прямым следствием
взглядов и зависят от других факторов.
Если рассмотреть корреляцию
между взглядами и семи возможными
факторами влияния, то можно установить
существенные связи со знаниями,
ответственностью и эффективностью.
Четкие прочные связи имеются по отношению
к знаниям и ответственности.
Эти факторы оказывают большое
влияние на взгляды.
При определении корреляции между
поведенческими намерениями и
факторами влияниями получается
другая картина. Здесь установлены высоко
достоверные связи со знаниями и
ответственностью, но все-таки они менее
прочные. Дополнительно к этому
важное значение имеют показатели
«удобство», «эффективность» и «недостаток
времени», что, по меньшей
мере, частично объясняет различия
между взглядами и поведенческими
намерениями. Кроме того, еще имеется
слабая, но существенная, связь
взглядов и поведенческих намерений
со справедливостью, в то время
как связи с параметром «ощущаемые
угрозы» ни отличаются от нуля ни по
значению, ни по уровню значимости и,
следовательно, не играют роли.
На основании корреляционного и
регрессивного анализов можно сделать
вывод, что содействие получению
знаний и формирование чувства
ответственности в отношении информационной
безопасности у работников
играют важную роль в формировании
необходимых взглядов. Но это
все-таки автоматически не приводит к
необходимому поведению. Таким образом,
знания и чувство ответственности
являются важными факторами
влияния, но поведенческие намерения
еще дополнительно определяются
удобством, эффективностью и недостатком
времени. Чтобы добиться необходимого
поведения, работникам
дополнительно к взглядам необходимо
убедиться в действенности мер
по информационной безопасности,
причем они должны как можно меньше
препятствовать выполнению их
работы (удобство). Кроме того, они
не должны приводить к цейтноту и у
работников должно быть время для
принятия во внимание и следования
мерам безопасности. За исключением
(ощущаемых) угроз была подтверждена
с помощью корреляционного
анализа значимость выше представленных
гипотез, а на основе регрессионного
анализа были выявлены наиболее
важные факторы влияния. Это
имеет решающее значение при полномасштабном
рассмотрении проблемы
информационной безопасности.
Также представляло интерес изучение
влияния участия или неучастия
в разъяснительных кампаниях
на установленные связи. Результаты
оказались аналогичными, но все-таки
знания и ответственность сильнее
влияют на взгляды и поведенческие
намерения у участников кампаний.
Кроме того, связи параметров «удобство»
и «эффективность» с поведенческими
намерениями были слабее.
Таким образом, преимущественно
возникает представление о том, что
меры информационной безопасности
сопровождаются обычными неудобствами,
лучшим пониманием их
необходимости и, следовательно, их
признанием. Также более обширные
знания позволяют лучше оценивать
эффективность мер по обеспечению
информационной безопасности. В качестве
факторов влияния на поведенческие
намерения здесь оказываются
существенными недостаток времени и
ответственность. Возможно, это происходит
потому, что, несмотря на более
полные знания, склонность не выполнять
инструкции по безопасности тем
больше, чем меньше времени имеется
в распоряжении. В соответствии с корреляционным
анализом здесь также
играет роль справедливость, но регрессионный
анализ это не подтвердил.
Влияние угроз оказалось статистически
незначимым.
Для группы респондентов, которые
не участвовали в разъяснительных кампаниях,
выявлена более пестрая картина.
В отношении взглядов прежде всего
бросается в глаза, что их знания оказывают
меньшее влияние на оценку важности
информационной безопасности,
чем для других опрошенных. Вместо
этого здесь существенную роль играет
прежде всего ответственность.
Почти такое же высокое значение
имеет эффективность. В отличии от
всех ранее сделанных анализов здесь
впервые ощущаемые угрозы и нехватка
времени оказались существенными
факторами влияния с относительно
высоким значением. Это можно объяснить
тем, что участники опроса, испытывающие
недостаток времени на
рабочем месте, тем выше оценивают
значение информационной безопасности,
тем сильнее они ощущают угрозу,
так как не располагают временем
для соответствующей реакции. Кроме
того, еще возникает чувство ответственности.
У поведенческих намерений
имеются существенные связи
с удобством и эффективностью, но
все-таки у них сравнительно высокая
прочность. Также анализ показал, что
удобство остается единственным существенным
фактором. Значение обоих
этих параметров для поведенческих
намерений указывает на то, что отсутствие
соответствующих знаний о специфической
для предприятия архитектуре
информационной безопасности
приводит к корыстному рассмотрению
и их оценке. Если это воспринимается
как препятствие, то инструкции по
безопасности преимущественно не выполняются.
Вследствие отсутствия возможностей
для объективной оценки
они рассматриваются скорее, как неэффективные,
чтобы оправдать свое
поведение. Справедливость здесь также
не играет роли ни для взглядов, ни
для поведенческих намерений.
Обобщая, необходимо отметить,
что дифференцированный анализ позволил
сделать дополнительные выводы.
Так, у участников разъяснительных
кампаний знания оказывают существенно
большее влияние на взгляды
на необходимость и важность информационной
безопасности по сравнению
с другими группами. В отношении
поведенческих намерений различия
между обоими группами еще больше.
В то время индивидуальными факторами
влияния для участников кампаний
являются знания и ответственность,
дополняемые недостатком, у
других групп это удобство и эффективность.
Таким образом, с точки зрения
информационной безопасности целесообразно
способствовать получению
знаний и способностей, чтобы добиться
соответствующего понимания мер
безопасности, причем разъяснительные
кампании являются подходящим
для этого инструментом. В ходе исследования
было выявлено, что все установленные
факторы связаны со взглядами
и поведенческими намерениями
и влияют на них, но в разной степени.
При этом прежде всего знания и
ответственность оказывают влияние
на взгляды, в то время как для поведенческих
намерений играют важную
роль удобство, эффективность и недостаток
времени. Единственное исключение
– угрозы, которые не важны для
взглядов и поведенческих намерений.
Также фактор справедливости играет
второстепенную роль.
Выводы
Исследования показали, что наличие
знаний и чувства ответственности за
информационную безопасность оказывает
индивидуальное влияние на
формирование положительных взглядов
у работников. Но чтобы это нашло
отражение в соответствующих
поведенческих намерениях, необходимо
дополнительно установить соответствующие
рамочные условия для
работников. Например, обеспечение
информационной безопасности должно
быть по возможности удобным
для работников и не препятствовать
основной деятельности. Кроме того,
работники должны быть убеждены
в эффективности мер по обеспечению
информационной безопасности,
чему, с одной стороны, содействует
просвещение, а, с другой стороны, их
формирование. Также необходимо
предоставить время для реализации
мер. В конце концов, справедливое
отношение к себе со стороны работодателя
играет маргинальную роль.
Влияние этих факторов является не
только функцией подразделения предприятия,
занимающегося информационными
технологиями. Прежде всего
на факторы «недостаток времени» и
«справедливость» преимущественно
влияет организация работы на предприятии
и корпоративная культура.
Для некоторых факторов важную роль
играет содействие знаниям, способностям
и пониманию. Исследование показало,
что разъяснительная кампания
может быть подходящим инструментом
для формирования у работников
объективных представлений.
В качестве ограничения для этого
исследования, которое в равной мере
относится к другим работам подобного
рода, необходимо применять
поведенческие намерения. Но для информационной
безопасности все-таки
важно фактическое поведение, которое
не обязательно согласуется с поведенческими
намерениями. Научные
знания, прежде всего на нейробиологическом
уровне, указывают на то, что
осознанное поведение вытесняется
автоматизацией и действиями на основе
метода проб и ошибок, глубоко
укоренившимся в людях (в особенности,
если действия часто повторяются
или имеется недостаток времени). При
этом необходимо делать ставку на активные
действия, которые характерны
для социальной инженерии. Чем
выше степень автоматизации на рабочем
месте, тем больше опасность несоответствия
между поведенческими
намерениями и поведением. Об этом
нельзя узнать с помощью опроса, но
можно установить благодаря наблюдениям.
Кроме того, необходимы лабораторные
эксперименты или сбор
информации за пределами лаборатории,
которые могли бы подтвердить
представленные здесь результаты. Поэтому
имеется потребность в дальнейших
исследованиях.
Наличие знаний и чувства
ответственности за
информационную безопасность
оказывает индивидуальное влияние
на формирование положительных
взглядов у работников. Но чтобы это
нашло отражение в соответствующих
поведенческих намерениях,
необходимо дополнительно
установить соответствующие
рамочные условия
для работников