Evaluating The Human Factor In Information Security Risk Management In Business Organizations

摘要

近几年来商业组织在其运作方面越来越依赖于信息技术(IT)的使用，因为IT技术的出现，许多的企业组织经历了巨大的转变，信息技术的使用帮助组织增加了利润，带来了很多成功。信息安全已经成为了商业组织的一个关键问题，组织继续面临着各种各样的安全隐患，对大多数企业来说，除了赚取利润，保护信息和IT系统的安全也是一个目标。正在寻求技术解决方案以控制风险，专家们也是提供他们的专业知识，第三方公司也是被外包，以利用他们技能高超和经验丰富的员工来避免这个威胁。企业组织的安全风险控制的一个主要因素是人为因素。人为错误已经占了安全问题的大多数，员工犯的错误，有些是微不足道的，但有些是很重大而深远的，对业务会造成重大的影响。无知和遗漏造成了人为的错误，成为了组织安全漏洞的根源。毫无疑问，人为因素是信息安全风险管理的关键因素，在风险管理中，风险控制被用来减少那些影响了组织数据和信息系统的风险。
　　 值得公司重视的做生意的一个基本组成部分是风险管理。风险是做生意的一部分，要有一个过程去处理它们，这能对它们产生很大的影响。企业管理者把安全风险管理纳入其决策过程，这一点我觉得有利于弥合决策者和安全管理人员之间的差距和隔阂，业务经理通常在安全管理方面有一点点的困难，他们通常并不了解安全系统的技术，安全风险管理关系到高层管理人员的战略决策，风险管理工具的使用也启发了安全人员要联系具体业务目标，而不仅仅只是注重用来保障系统安全的技术。
　　 本研究的目的是评估人为因素在企业组织实施风险控制措施时的影响，在企业组织实施。在公司已经实施的风险管理技术中，主要的焦点通常是技术解决方案的应用。但是人为因素在风险控制措施的实施中也起着主要作用。在本研究中，通过调查，收集企业组织员工有关在他们的工作环境中的安全行为的一些信息。这也需要看员工在组织中风险解决方案中的反应和互动。通过评估这些信息，可以得到一些建议，组织也可以利用这些建议去处理人类行为以及安全风险管理。
　　 本研究考虑了人为因素对企业组织中信息安全风险管理的影响，通过对现有的一些文献的搜索，查看了一些以往的研究，按照信息安全风险管理的研究趋势。在互联网和图书馆上对相关文章，论文和期刊以及其它形式的文献进行了深度的搜索，其中google学术是主要的搜索相关文献的搜索引擎，目前，在信息安全中的人为因素分析还很缺乏，大多数研究的重点是集中在可行性研究和任务分析方面。
　　 这项研究主要是基于一项在三个企业组织中对相应员工的网上调查，调查了人为因素之间的内在联系以及他们与企业风险控制措施之间的关系。
　　 在对人为因素的研究和对其他一些文献，期刊和其它相关资料的学习后，确定了一些属性，这些是一些用户属性，这些属性影响了人类对组织中的风险管理和控制措施的响应。考虑用户属性已经非常必要，通过与属性有关的问题来获得，这个调查检测了以下的一些用户属性:
　　 人口；
　　 安全教育，培训和意识；
　　 安全策略；
　　 风险沟通。
　　 将参与到调查研究的环境是三个企业组织，他们分别是GhMotors有限公司，GhaTel有限公司和GhEngjneering有限公司，在研究中使用的公司名称是虚构的，但是它们还是反映了组织的原始类型，这样做是由于保密的原因，公司是不愿意让自己的身份被公开的，因为研究员不是他们公司的职员，在这种特殊的情况下，研究的时候目前没有在加纳。
　　 这项研究的数据是通过调查的形式获得的，准备了一些在多个选项中只选一个答案的问题，而且要回答所有的问题，网页会提示出一些没有回答的问题，这样做主要是因为所有的数据对于分析都是很重要的，留下一些没有回答的问题可能会在以后的数据分析过程中造成一些的复杂问题,问卷被提交到网上，链接是通过公司提供的邮箱地址而不是私有邮箱地址发送到参与的公司，各公司的信息技术管理部门负责发送电子邮件给员工，调查也不是对所有的员工都开放的，只是针对那些在他们的工作中被授权对信息技术系统进行访问的员工，通过限制一些能够完成调查的员工，可以获得用户和其与信息安全风险管理的实际回复，这些问题主要是基于四个用户属性，包括了风险管理的各个方面。
　　 数据的收集处理是在Google Docs的帮助下完成的，Google Docs是Google公司的一个基于网页的应用，其可用于创建文档，电子数据表，图像，演示文稿和表单。这项调查主要是用表格来建立的，其中有很多的选项，可以允许创建一些问题并且指定答案的类型，受访者就在问题中选择答案，可以使多项选择，复选框，纯文本和下拉列表，能够接收插入的数据并将其保存为电子表格格式。
　　 总共在这三个公司收集了271份答复，这些数据中没有缺失的数据值，所有问题都被回答了，其中有87份来自GhMotors公司，91份来自GhaTel公司，32份来自GhEngineenng公司，使用了Stata/SE12.0软件来统计分析调查的数据，电子表格的数据被导出到了Stata中，所有的分析，汇总表和图标都是在Stata中完成的，Stata有一个GUI(图形用户界面)，通常用菜单来作分析和执行操作，还有一个命令窗格，允许直接输入命令来执行操作，使用的命令被保存在一个Do-file里面。
　　 提出的假设是:
　　 1.接收到信息安全通告的员工，以此为自己定位的通常更有安全意识。这种假设是基于一种前提的，就是经历了一些形式的信息安全培训作为自己的定位计划，这是由初始级别但有更大可能更加注重安全措施和控制的公司组织的。
　　 2.参与策略建立不会被视为是一种对策略的教育或培训。这个假设是基于可能参加到组织策略建立过程的员工不会把这种经验看成是一种策略教育的前提下的。
　　 3.在员工或管理者级别与用户的风险认知之间存在着一种正向关系。这种假设是基于高级别的员工更有可能把风险看成是企业组织的一个重要的部分这种前提下的。
　　 4.对惩罚的恐惧能够防止事故报道发生。这种假设是基于一种前提的，这种前提是存在对职责的失败和违纪的惩罚，被报道的事故的可能性变小。
　　 5.员工根据培训需求可以提高培训的质量。这一假设基于员工只是在对他们完成它们操作范围的目标是才注重培训计划的。
　　 分析了调查的数据，对提出的五个假设也进行了评估，分析调查中收集的数据，被用来对这个研究的假设的验证和评估，数据决定于是否这个提出的假设被验证或驳倒。这个研究结果是根据个人回复分析出来的，由于调查涉及三个企业组织，这个结果也是通过与其他参与组织来比较分析的。对调查的原始回复被收集在一个电子表格格式中，大多数的问题是“是”或“否”的格式，这些回复被编码为二进制的格式，用1表示“是”，用0表示“否”，还有一些问题是附加选项“不确定”，用来指示不能肯定的时候，这是对一些用户是这样的，因为他们可能不确定一些自己的事情或者不知道公司发生的一些事情。但是，对信息安全的不确定可以被看成是系统风险的可能性，回复中不确定的答案也是和肯定的答案是一样的表示，比如，问题14:您知道任何可能的风险都可能影响您的企业组织吗？，有三个选项:“是”，“否”，“不确定”，选“是”得1分，选“否”得0分，选“不确定”也是得0分，这是因为不确定组织风险的用户会暴露出用户对任何风险的一无所知。
　　 使用了Stata做Logistic回归分析来评估假设。Logistic回归分析对于要预测失误发生或不发生的情况是完美的，他们是二进制的结果，这在预测变量不是有序变化的情况特别有用，或者是付出判别分析的假设前提，Logistic回归分析非常的稳健，独立的变量不需要是正态分布的，也不需要每一组有相同的方差，它并不假定独立变量和因变量的线性关系，在因变量是二进制或序数时被使用，logit命令被用来作Logistic线性回归分析，在Logistic线性回归分析中，对假设作Z-值测试，每一个系数不同于1，为避免这样，Z-值必须要高于1.96(有95％的信心)，如果是这样的话，可以说这个变量对因变量的影响是非常大的，Z-值越高，变量的相关性越高，对假设作双尾p-值测试，每个系数不同于0，为了避免这种情况，p-值必须要小于0.05(95％的信心，也可以选择0.10)，如果是这种情况，可以说变量对因变量有很大的影响。直方图命令被用来做直方图，直方图被用来比较对三个不同公司的关于假设的衡量方面的频率，绘制轴直方图的目的是找到数据的分布趋势，加强对数据的解释。
　　 调查的主要目的是来评估提出的假设。但是在这些调查数据上显著的提出了一些意见，这些一般性意见是独立提出来的，也要与参与的组织进行比较。
　　 第一个假说检查是否员工接受了信息安全培训后，以此作为自己的定向的一部分，有更强的安全意识。用于评估假设的方面是信息安全定向和安全风险意识，这个假说被确定了。
　　 第二个假说检查了是否参与策略建立被视为一种策略教育或培训。这个方面使用了参与策略制定和策略培训的评估，这个假说被证实了。
　　 第三个假说检查了员工或管理员的级别和用户的风险认知之间是否是正向关系，这一方面主要是对假设的员工级别和安全风险意识的评估，这个假设不支持组织中的三个级别的员工。
　　 第四个假说检查了对处罚的恐惧是否能够防止事故的报告发生。这一方面主要对强制惩罚和报告故障或违规的评估，在这两个测试中，对惩罚的恐惧通常不能避免事故报告，但是当报告涉及到用户自己的错误时，在一定程度上惩罚恐惧可以避免它。
　　 第五个假说检查了是否员工根据他们的培训需求可以提高他们的培训质量。这一方面主要是对用户培训需求和培训计划有效性的评估，这个假说被证实了。
　　 根据这个结果，得出了一些结论。组织应该把信息安全培训作为定向计划的一部分，这给了用户一个安全意识观念，这项研究表明，用户风险认知淡化，了员工级别，同样的努力也要用在对员工的安全风险意识培训教育和培训上，用户应该对组织策略有一些教育，即使他们参与策略的建立过程，策略应该正确的传达给用户，用户应该签署同意他们阅读了的策略，组织应该采取适当的措施来惩罚员工，因为这样可以使员工发现他们的错误，特别是他们自己出错的时候，培训计划应该针对用户的培训需求，在组织培训计划之前用户的意见可以被采纳，在培训后评估这种培训效果，这有利于提高培训计划的质量。

目录

声明

ABSTRACT

Table of Contents

List of Figures

List of Tables

CHAPTER 1-INTRODUCTION

1．1 Background and Motivation

1．2 Aim of Research

1．3 Main Work of Thesis

1．4 Organization of Thesis

CHAPTER 2-LITERATURE REVIEW

2．1 Risk Management

2．2 Business Organization Risks

2．3 The Human Element In Risk

2．4 Risk Communication

2．5 Education and Training

2．6 Behavioral Change

CHAPTER 3-HUMAN FACTOR IN RISK MANAGEMENT RESEARCH APPROACH

3．1 Research Method Types

3．1．1 Quantitative

3．1．2 Qualitative

3．2 The Research Process

3．2．1 Problem Statement

3．2．2 Targeted Installations

3．2．3 User Properties

3．2．4 Formulating the Hypotheses

3．3 Human Factors Risk Management Survey

3．3．1 Survey Questions

CHAPTER 4-SURVEY RESULTS AND HYPOTHESES EVALUATION

4．1 Data Collection

4．2 Data Analysis

4．3 Data Coding

4．4 Data Interpretation

4．5 General Observations

4．6 First Hypothesis

4．7 Second Hypothesis

4．8 Third Hypothesis

4．9 Fourth Hypothesis

4．10 Fifth Hypothesis

CONCLUSIONS

References

ACKNOWLEDGEMENTS

APPENDIX

详细中文摘要