Evaluating employees information security awareness case study

Abstract

Εδώ και πολλά χρόνια τα προγράμματα ασφάλειας πληροφοριών επικεντρώνονται περισσότερο στην τεχνική λύση, δηλαδή στα συστήματα ανίχνευσης εισβολής, στα τείχη προστασίας, στα προγράμματα προστασίας από ακόβουλο λογισμικό παρά στο ανθρώπινο στοιχείο. Ερευνητές και ειδικοί στο πεδίο της ασφάλειας πληροφοριών δηλώνουν ότι ο χρήστης είναι ο πιο αδύναμος κρίκος της αλυσίδας όταν πρόκειται για την ασφάλεια των πληροφοριών. Το ανθρώπινο λάθος εξακολουθεί να είναι η βασική παράμετος που μπορεί να απειλήσει τις πληροφορίες του οργανισμού. Έτσι, η πρόκληση για πολλές εταιρείες, οργανισμούς ή ιδρύματα είναι να αναπτύξουν συστηματικό πρόγραμμα ευαισθητοποίησης χρηστών σε σχέση με την ασφαλεία. Βάσει αναφορών του ENISA, η έννοια της ευαισθητοποίησης των χρηστών σε σχέση με την Ασφάλεια έχει σχέση με την γνώση, τις πεποιθήσεις, τις αντιλήψεις, τις στάσεις, τις παραδοχές, τους κανόνες και τις αξίες των ανθρώπων σχετικά με την ασφάλεια στον κυβερνοχώρο και πώς εκδηλώνονται στη συμπεριφορά των ανθρώπων σε συνδιασμό με τις τεχνολογίες πληροφοριών. Η κυβερνοασφάλεια συμπεριλαμβάνει γνωστές περιοχές εκ των οποίων την κατάρτιση ευαισθητοποίησης σε σχέση με την ασφάλεια πληροφοριών έχοντας ως στόχο να κάνει τα θέματα ασφάλειας πληροφοριών αναπόσπαστο μέρος της εργασίας, των συνηθειών και της συμπεριφοράς ενός υπαλλήλου, ενσωματώνοντάς τα στις καθημερινές τους ενέργειες. Είναι πολύ σημαντικό να προσδιοριστεί το πρόγραμμα ευαισθητοποίησης για την ασφάλεια πληροφοριών που βελτιώνει τις γνώσεις και τη συμπεριφορά του χρήστη έναντι της ασφάλειας των πληροφοριών. Για να εξακριβωθεί η αποτελεσματικότητα ενός προγράμματος ευαισθητοποίησης, είναι απαραίτητη η αξιολόγησή του. Σε αυτή τη διατριβή πραγματοποιείται έρευνα σε «πραγματικό περιβάλλον εργασίας» προκειμένου να εξεταστεί η αποτελεσματικότητα του προγράμματος ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών. Σε αυτό το περιβάλλον εργασίας, το Πρόγραμμα ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών πραγματοποιείται ετησίως - υποχρεωτική παρουσία για όλους τους υπαλλήλους - καθώς αυτή είναι απαίτηση για πιστοποίηση ISO 27001: 2013. Ο σχεδιασμός του Προγράμματος ευαισθητοποίησης για την ασφάλεια περιγράφεται λεπτομερώς. Τα αποτελέσματα από τη στατιστική ανάλυση των δεδομένων της αξιολόγησης έδειξαν ότι το πρόγραμμα ευαισθητοποίησης που χρησιμοποιήθηκε σε αυτήν την περίπτωση ήταν αποτελεσματικό. Συνοψίζοντας τα συνολικά αποτελέσματα, η έρευνα επεσήμανε ότι η αποτελεσματικότητα του προγράμματος ευαισθητοποίησης είναι ικανοποιητική φτάνοντας το 91%, αυξάνοντας την κλίμακα ωριμότητας κατάταξης σε «Υψηλή», που σημαίνει ότι οι εργαζόμενοι γνωρίζουν τις αρχές ασφάλειας, τις απειλές, έχουν εκπαιδευτεί σωστά και συμμορφωθείτε με την ασφάλεια και τις πολιτικές της εταιρείας. Όπως αναμενόταν, αυτό το αποτέλεσμα είναι απόλυτα ικανοποιητικό. Αυτό το συνολικό αποτέλεσμα κατέχει μια ισχυρή «Αξία» λόγω της μαζικής συμμετοχής των εργαζομένων 96% (31 από τους 33 υπαλλήλους συμμετέχουν στο Πρόγραμμα Ευαισθητοποίησης και αξιολόγησης). Η διοίκηση ενθαρρύνει και αναμένει τη μαζική συμμετοχή των υπαλλήλλων, καθώς καμία από τις μεθόδους εκπαίδευσης δεν θα λειτουργούσε χωρίς συμμετέχοντες.