Einhaltung von Informationssicherheitsvorschriften durch MitarbeiterInnen: Faktoren und Maßnahmen

Bibtex

@Select Types{,
  
   
  
   
  title    = "Einhaltung von Informationssicherheitsvorschriften durch MitarbeiterInnen: Faktoren und Maßnahmen", 
  author    = "Barbara Krumay, Stefan Koch, und Marlene Winkler", 
  doi    = "https://doi.org/10.30844/wi_2020_l3-krumay", 
  abstract    = "Informationssicherheitsvorschriften sind für alle Unternehmen ein wichtiges Instrument, um sich vor Sicherheitsvorfällen zu schützen. Allerdings nur dann, wenn MitarbeiterInnen diese auch befolgen. Ob Informationssicherheitsvorschriften eingehalten werden oder nicht, hängt von unterschiedlichen Einflussfaktoren ab. In der Literatur werden bereits verschiedene Faktoren und Maßnahmen, die auf die Befolgung von Informationssicherheitsvorschriften einen Einfluss haben, diskutiert. Dazu gehören unter anderem das Informationssicherheitsbewusstsein oder auch die klare Formulierung der Vorschriften. Im Rahmen dieser Studie wurden Faktoren und Maßnahmen aus der Literatur erhoben und qualitative und quantitative Methoden eingesetzt, um deren Relevanz in der Praxis zu evaluieren. In Interviews wurden zusätzliche Faktoren, wie das Verhalten von Stakeholdern, identifiziert. Auch die Vorbildwirkung von ExpertInnen und Persönlichkeitsmerkmale wie die Strukturiertheit der MitarbeiterInnen sind in der Literatur bisher wenig beachtete Faktoren, für die in der Befragungsstudie ein Zusammenhang mit dem Verhalten aufgezeigt werden konnte. Mit Hilfe eines etablierten Verhaltensmodells können diese Zusammenhänge erklärt werden.

", 
  keywords    = "Informationssicherheit, Sicherheitsvorschriften, Bewusstsein, Vorbildwirkung, Persönlichkeitsmerkmale.", 
}

Abstract

Abstract

Informationssicherheitsvorschriften sind für alle Unternehmen ein wichtiges Instrument, um sich vor Sicherheitsvorfällen zu schützen. Allerdings nur dann, wenn MitarbeiterInnen diese auch befolgen. Ob Informationssicherheitsvorschriften eingehalten werden oder nicht, hängt von unterschiedlichen Einflussfaktoren ab. In der Literatur werden bereits verschiedene Faktoren und Maßnahmen, die auf die Befolgung von Informationssicherheitsvorschriften einen Einfluss haben, diskutiert. Dazu gehören unter anderem das Informationssicherheitsbewusstsein oder auch die klare Formulierung der Vorschriften. Im Rahmen dieser Studie wurden Faktoren und Maßnahmen aus der Literatur erhoben und qualitative und quantitative Methoden eingesetzt, um deren Relevanz in der Praxis zu evaluieren. In Interviews wurden zusätzliche Faktoren, wie das Verhalten von Stakeholdern, identifiziert. Auch die Vorbildwirkung von ExpertInnen und Persönlichkeitsmerkmale wie die Strukturiertheit der MitarbeiterInnen sind in der Literatur bisher wenig beachtete Faktoren, für die in der Befragungsstudie ein Zusammenhang mit dem Verhalten aufgezeigt werden konnte. Mit Hilfe eines etablierten Verhaltensmodells können diese Zusammenhänge erklärt werden.

Keywords

Schlüsselwörter

Informationssicherheit, Sicherheitsvorschriften, Bewusstsein, Vorbildwirkung, Persönlichkeitsmerkmale.

References

Referenzen

1. Kersten, H., Reuter, J., Schröder, K.-W.: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: der Weg zur Zertifizierung. Springer Vieweg, Wiesbaden (2013).
2. ISO/IEC 27001:2013 Requirements. International Organization for Standardization (2013).
3. Aurigemma, S., Panko, R.: A composite framework for behavioral compliance with information security policies. In: 2012 45th Hawaii International Conference on System Sciences. pp. 3248–3257. IEEE (2012).
4. Bélanger, F., Collignon, S., Enget, K., Negangard, E.: Determinants of early conformance with information security policies. Information & Management. 54, 887–901 (2017).
5. Dang-Pham, D., Pittayachawan, S., Bruno, V.: Why employees share information security advice? Exploring the contributing factors and structural patterns of security advice sharing in the workplace. Computers in Human Behavior. 67, 196–206 (2017).
6. Kaur, J., Mustafa, N.: Examining the effects of knowledge, attitude and behaviour on information security awareness: A case on SME. In: 2013 International Conference on Research and Innovation in Information Systems (ICRIIS). pp. 286–290. IEEE (2013).
7. Kirlappos, I., Beautement, A., Sasse, M.A.: “Comply or Die” Is Dead: Long Live Security-Aware Principal Agents. In: Adams, A.A., Brenner, M., and Smith, M. (eds.) Financial Cryptography and Data Security. pp. 70–82. Springer Berlin Heidelberg (2013).
8. Kolkowska, E., Karlsson, F., Hedström, K.: Towards analysing the rationale of information security non-compliance: Devising a Value-Based Compliance analysis method. The Journal of Strategic Information Systems. 26, 39–57 (2017).
9. Mahfuth, A., Yussof, S., Baker, A.A., Ali, N.: A systematic literature review: Information security culture. In: 2017 International Conference on Research and Innovation in Information Systems (ICRIIS). pp. 1–6. IEEE (2017).
10. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., Zwaans, T.: The human aspects of information security questionnaire (HAIS-Q): two further validation studies. Computers & Security. 66, 40–51 (2017).
11. Safa, N.S., Von Solms, R., Furnell, S.: Information security policy compliance model in organizations. Computers & Security. 56, 70–82 (2016).
12. Maqousi, A., Balikhina, T., Mackay, M.: An effective method for information security awareness raising initiatives. International Journal of Computer Science & Information Technology. 5, 63 (2013).
13. Öğütçü, G., Testik, Ö.M., Chouseinoglou, O.: Analysis of personal information security behavior and awareness. Computers & Security. 56, 83–93 (2016).
14. Li, L., He, W., Xu, L., Ivan, A., Anwar, M., Yuan, X.: Does explicit information security policy affect employees’ cyber security behavior? A pilot study. In: 2014 Enterprise Systems Conference. pp. 169–173. IEEE (2014).
15. Tsohou, A., Karyda, M., Kokolakis, S., Kiountouzis, E.: Managing the introduction of information security awareness programmes in organisations. European Journal of Information Systems. 24, 38–58 (2015). https://doi.org/10.1057/ejis.2013.27.
16. Ifinedo, P.: Information systems security policy compliance: An empirical study of the effects of socialisation, influence, and cognition. Information & Management. 51, 69–79 (2014). https://doi.org/10.1016/j.im.2013.10.001.
17. Bulgurcu, B., Cavusoglu, H., Benbasat, I.: Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly. 34, 523 (2010). https://doi.org/10.2307/25750690.
18. Fagade, T., Tryfonas, T.: Security by compliance? A study of insider threat implications for Nigerian banks. In: International Conference on Human Aspects of Information Security, Privacy, and Trust. pp. 128–139. Springer (2016).
19. Siponen, M.T.: A conceptual foundation for organizational information security awareness. Information Management & Computer Security. 8, 31–41 (2000).
20. Bauer, S., Bernroider, E.W.N., Chudzikowski, K.: Prevention is better than cure! Designing information security awareness programs to overcome users’ non-compliance with information security policies in banks. Computers & Security. 68, 145–159 (2017). https://doi.org/10.1016/j.cose.2017.04.009.
21. Topa, I., Karyda, M.: Identifying factors that influence employees’ security behavior for enhancing ISP compliance. In: International Conference on Trust and Privacy in Digital Business. pp. 169–179. Springer (2015).
22. Alotaibi, M., Furnell, S., Clarke, N.: Information security policies: A review of challenges and influencing factors. In: 11th International Conference for Internet Technology and Secured Transactions (2016).
23. Harkins, M.: Managing risk and information security: protect to enable. Springer (2013).
24. Lee, C.H., Geng, X., Raghunathan, S.: Mandatory Standards and Organizational Information Security. Information Systems Research. 27, 70–86 (2016). https://doi.org/10.1287/isre.2015.0607.
25. Kolkowska, E., Dhillon, G.: Organizational power and information security rule compliance. Computers & Security. 33, 3–11 (2013).
26. Chaudhry, P.E., Chaudhry, S.S., Reese, R., Jones, D.S.: Enterprise information systems security: a conceptual framework. In: Re-Conceptualizing Enterprise Information Systems. pp. 118–128. Springer (2012).
27. Furnell, S.M., Gennatou, M., Dowland, P.S.: A prototype tool for information security awareness and training. Logistics Information Management. 15, 352–357 (2002).
28. Lee, J., Lee, Y.: A holistic model of computer abuse within organizations. Information management & computer security. 10, 57–63 (2002).
29. Dang-Pham, D., Pittayachawan, S., Bruno, V.: Exploring behavioral information security networks in an organizational context: An empirical case study. Journal of Information Security and Applications. 34, 46–62 (2017). https://doi.org/10.1016/j.jisa.2016.06.002.
30. Hirschi, T.: Causes of delinquency. Routledge (2017).
31. Rogers, R.W.: A Protection Motivation Theory of Fear Appeals and Attitude Change1. The Journal of Psychology. 91, 93–114 (1975). https://doi.org/10.1080/00223980.1975.9915803.
32. Calder, B.J., Staw, B.M.: Self-perception of intrinsic and extrinsic motivation. Journal of Personality and Social Psychology. 31, 599–605 (1975). https://doi.org/10.1037/h0077100.
33. Han, J., Kim, Y.J., Kim, H.: An integrative model of information security policy compliance with psychological contract: Examining a bilateral perspective. Computers & Security. 66, 52–65 (2017).
34. Bandura, A.: Self-efficacy mechanism in human agency. American Psychologist. 37, 122– 147 (1982). https://doi.org/10.1037/0003-066X.37.2.122.
35. Compeau, D.R., Higgins, C.A.: Application of Social Cognitive Theory to Training for Computer Skills. Information Systems Research. 6, 118–143 (1995).
36. Scott, J.: Understanding Contemporary Society. Theories of the Present. In: Rational Choice Theory. pp. 126–132 (2000).
37. Beatty, S.E., Homer, P., Kahle, L.A.: The Involvement-Commitment Model: Theory and Implications. Journal of Business Research. 16, 149–167 (1988).
38. Lee, S.M., Lee, S.-G., Yoo, S.: An integrative model of computer abuse based on social control and general deterrence theories. Information & Management. 41, 707–718 (2004).
39. Ajzen, I.: The theory of planned behavior. Organizational Behavior and Human Decision Processes. 50, 179–211 (1991). https://doi.org/10.1016/0749-5978(91)90020-T.
40. Sommestad, T., Hallberg, J.: A review of the theory of planned behaviour in the context of information security policy compliance. In: IFIP International Information Security Conference. pp. 257–271. Springer (2013).
41. Straub, D.W., Welke, R.J.: Coping with Systems Risk: Security Planning Models for Management Decision Making. MIS Quarterly. 22, 441 (1998). https://doi.org/10.2307/249551.
42. Yazdanmehr, A., Wang, J.: Employees’ information security policy compliance: A norm activation perspective. Decision Support Systems. 92, 36–46 (2016).
43. Elster, J.: Social Norms and Economic Theory. Journal of Economic Perspectives. 3, 99– 117 (1989). https://doi.org/10.1257/jep.3.4.99.
44. Mayring, P.: Qualitative Inhaltsanalyse. In: Mey, G. and Mruck, K. (eds.) Handbuch Qualitative Forschung in der Psychologie. pp. 601–613. VS Verlag für Sozialwissenschaften, Wiesbaden (2010). https://doi.org/10.1007/978-3-531-92052-8_42.
45. Neuendorf, K.A.: The Content Analysis Guidebook. Sage (2016).
46. Hu, Q., Dinev, T., Hart, P., Cooke, D.: Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture*: Managing Employee Compliance with Information Security Policies. Decision Sciences. 43, 615–660 (2012). https://doi.org/10.1111/j.1540-5915.2012.00361.x.

Most viewed articles

Meist angesehene Beiträge

GITO events | library.gito