From theory to practice: guidelines for enhancing information security management

Topa, Ioanna; Karyda, Maria

doi:10.1108/ics-09-2018-0108

Cited by 20 publications

(25 citation statements)

References 39 publications

Supporting

Mentioning

Contrasting

Order By: Relevance

“…The most relevant one is related to the security controls, in particular considering the set of 133 controls described in the (Liao and Chueh, 2012b), entailed too rigid procedures (Crowder, 2013) and were costly to implement due to the possibility of an only partial automation through hardware and software tools (Montesino et al, 2012). As for the new version of the ISO/IEC 27001, Ho et al (2015) note that the standard still does not provide guidance on the mutual interdependence among the different control items; similarly, Stewart (2018) and Topa and Karyda (2019) refer to the lack of indications regarding a cost/benefit assessment in the selection of controls. On this, Bettaieb et al (2019) propose an approach based on machine learning for the identification of the most relevant controls, given the characteristics and the context of the implementing organization.…”

Section: Methodsmentioning

confidence: 99%

“…Another issue underscored in the studies concerns the fact that ISO/IEC 27001 does not provide adequate guidance on cultural and psychological dimensions relevant for ensuring employees' compliance (Van Wessel et al , 2011). As highlighted by Topa and Karyda (2019), there are only limited indications regarding the appraisal of individual habits and values, e.g. privacy concerns and compliance attitude.…”

Section: Thematic Findingsmentioning

confidence: 99%

“…employees are skeptical about the required reconfiguration of processes and reluctant to change (e.g. Heston and Phifer, 2011; Topa and Karyda, 2019) – and opposition whenever the implementation of the standard is externally mandated (Smith et al , 2010).…”

Section: Thematic Findingsmentioning

confidence: 99%

“…Country-specific elements are underscored also in relation to cultural differences in terms of employees' attitudes toward ISMS compliance (Asai and Hakizabera, 2010; Topa and Karyda, 2019). Moreover, the approach to ISO/IEC 27001 implementation seems different between European and Chinese companies (Van Wessel et al , 2011).…”

Section: Thematic Findingsmentioning

confidence: 99%

See 3 more Smart Citations

The ISO/IEC 27001 information security management standard: literature review and theory-based research agenda

Culot

Nassimbeni

Podrecca

et al. 2021

TQM

View full text Add to dashboard Cite

PurposeAfter 15 years of research, this paper aims to present a review of the academic literature on the ISO/IEC 27001, the most renowned standard for information security and the third most widespread ISO certification. Emerging issues are reframed through the lenses of social systems thinking, deriving a theory-based research agenda to inspire interdisciplinary studies in the field.Design/methodology/approachThe study is structured as a systematic literature review.FindingsResearch themes and sub-themes are identified on five broad research foci: relation with other standards, motivations, issues in the implementation, possible outcomes and contextual factors.Originality/valueThe study presents a structured overview of the academic body of knowledge on ISO/IEC 27001, providing solid foundations for future research on the topic. A set of research opportunities is outlined, with the aim to inspire future interdisciplinary studies at the crossroad between information security and quality management. Managers interested in the implementation of the standard and policymakers can find an overview of academic knowledge useful to inform their decisions related to implementation and regulatory activities.

show abstract

Section: Methodsmentioning

confidence: 99%

Section: Thematic Findingsmentioning

confidence: 99%

Section: Thematic Findingsmentioning

confidence: 99%

Section: Thematic Findingsmentioning

confidence: 99%

See 2 more Smart Citations

The ISO/IEC 27001 information security management standard: literature review and theory-based research agenda

Culot

Nassimbeni

Podrecca

et al. 2021

TQM

View full text Add to dashboard Cite

show abstract

“…To address the second research question, a clear picture of the security management practices that are currently implemented in organisations was needed. As most organisations adhere to the widely accepted international standards, including the ISO family of standardsparticularly ISO 27001, 27002, 27003 and 27005-this Thesis conducts a gap analysis of these standards to enable a comparison between literature findings and current practices, and provide directions and guidelines to address the identified gaps (Topa & Karyda, 2019). Moreover, a case study was conducted to investigate the security management practices followed in a large organization and show how the knowledge on factors influencing security behavior can be incorporated into security management practices to improve ISP compliance and the overall security posture of organisations.…”

Section: Information Security Policy Compliance and Security Behaviour: Backgroundmentioning

confidence: 99%

Analysing information security behaviour

Topa¹,

Τόπα²

View full text Add to dashboard Cite

Η ραγδαία ανάπτυξη της τεχνολογίας οδήγησε σε νέες απειλές και αδυναμίες ασφάλειας καθώς και στην επιβολή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων σύμφωνα με τον οποίο οι οργανισμοί θα πρέπει να συμμορφώνονται με τις ρυθμιστικές του διατάξεις και να εφαρμόζουν ασφάλεια και ιδιωτικότητα by design (Karyda & Mitrou, 2016; Mitrou, 2017a), συνεπώς η σωστή και αποτελεσματική συμπεριφορά ασφάλειας των υπάλληλων είναι πιο αναγκαία από ποτέ. Παρά το γεγονός ότι οι οργανισμοί επενδύουν σημαντικά χρηματικά ποσά για την εφαρμογή μέτρων ασφάλειας, συγγραφής και υλοποίησης πολιτικών ασφάλειας για την προστασία των πληροφοριακών αγαθών και πόρων ώστε να διασφαλίσουν τον οργανισμό από οικονομική ζημία ή άλλους είδους καταστροφή, εξακολουθούν να πραγματοποιούνται περιστατικά ασφάλειας, ως απόρροια της αποτυχίας των εργαζομένων να συμμορφωθούν με τις πολιτικές ασφάλειας (Bulgurcu et al., 2010). Επομένως δεν λαμβάνεται υπόψη ο «ανθρώπινος παράγοντας» στον τομέα της ασφάλειας στους οργανισμούς και δεν είναι κατανοητό το πως μπορεί να επιτευχθεί σωστή συμπεριφορά ασφάλειας από την πλευρά των εργαζομένων. Προκειμένου να αντιμετωπιστεί το κενό αυτό, η παρούσα διδακτορική Διατριβή έχει ως στόχο να απαντήσει σε δυο βασικά ερευνητικά ερωτήματα: α) ποιοι παράγοντες επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και β) πώς μπορεί η γνώση αυτή των παραγόντων να χρησιμοποιηθεί ώστε να βοηθήσει τους security managers (υπεύθυνους διαχείρισης ασφάλειας) να βελτιώσουν τις πρακτικές διαχείρισης ασφάλειας και να ενθαρρύνουν τη συμπεριφορά ασφάλειας εργαζομένων να εναρμονιστεί με τις απαιτήσεις και τους στόχους ασφάλειας του οργανισμού. Προκειμένου να απαντηθεί το πρώτο ερευνητικό ερώτημα, πραγματοποιήθηκε ανάλυση και κριτική ανασκόπηση της σχετικής βιβλιογραφίας ώστε να εντοπιστούν όλοι οι παράγοντες που επηρεάζουν τη συμμόρφωση με τις πολιτικές ασφάλειας και τη συμπεριφορά ασφάλειας. Μέσα από την ανάλυση της σχετικής βιβλιογραφίας, εντοπίστηκε μια πληθώρα από διαφορετικούς παράγοντες, οι οποίοι όμως δεν είναι κατανοητοί και χρήσιμοι για τους security managers για πολλούς λόγους: συχνά παρουσιάζονται παράγοντες με αντικρουόμενα αποτελέσματα, όπως συμβαίνει για παράδειγμα με τις κυρώσεις, χρησιμοποιούνται διαφορετικοί όροι για να περιγράψουν παρόμοιες έννοιες δημιουργώντας σύγχυση και δυσκολία στην κατανόηση τους, όπως για παράδειγμα στην περίπτωση των όρων αυστηρότητα τιμωρίας (punishment severity) και αυστηρότητα αποτροπής (deterrent severity), επίσης η χρήση εξειδικευμένης ορολογίας δημιουργεί επιπρόσθετη δυσκολία καθώς η ορολογία αυτή χρησιμοποιείται σε θεωρίες με τις οποίες οι security managers δεν είναι εξοικειωμένοι, όπως αυτό-αποτελεσματικότητα (self-efficacy) και συσχέτιση αξίας (value congruence). Eπιπρόσθετα ένα σημαντικό εύρημα της ανάλυσης της βιβλιογραφίας είναι ότι ενώ ο ρόλος της τεχνολογίας και τα χαρακτηριστικά της επηρεάζουν τη συμπεριφορά ασφάλειας, ωστόσο δεν έχουν μελετηθεί επαρκώς στη σχετική βιβλιογραφία. Προκειμένου να μελετηθούν περαιτέρω οι τεχνολογικοί παράγοντες που επηρεάζουν τους χρήστες να χρησιμοποιήσουν εργαλεία ασφάλειας και ιδιωτικότητας, πραγματοποιήθηκε έρευνα ανάμεσα σε 150 φοιτητές των Πληροφοριακών και Επικοινωνιακών συστημάτων ώστε να μελετηθεί η ευχρηστία των εργαλείων ασφάλειας και ιδιωτικότητας. Ένας συνδυασμός από διαφορετικές μεθόδους χρησιμοποιήθηκαν περιλαμβάνοντας σενάρια, ερωτηματολόγια και συνεντεύξεις. Τα ευρήματα δείχνουν ότι οι χρήστες θεωρούν σημαντικά χαρακτηριστικά ευχρηστίας όπως προσβασιμότητα (accessibility), χρήση κατανοητής γλώσσας, intuitiveness, απόδοση, ανατροφοδότηση και λάθη, αποτροπή σφαλμάτων, αναίρεση ενεργειών, διαθεσιμότητα πληροφορίας, design και συνέπεια, χαρακτηριστικά σχετικά με την εγκατάσταση, χαρακτηριστικά σχετικά με την ιδιωτικότητα (έλεγχος προσωπικών δεδομένων και διαφάνεια) και αυτοματοποίηση. Με βάση τα ευρήματα της ανασκόπησης της βιβλιογραφίας και της έρευνας, δημιουργήθηκε ένα πλαίσιο παραγόντων που επηρεάζουν τη συμπεριφορά ασφάλειας. Το πλαίσιο που αποτελείται από τους παράγοντες της βιβλιογραφίας ταξινομημένους σε τρεις κατηγορίες μαζί με την ανάλυση της σημασίας και της επίδρασης τους, διευκολύνει τους security managers να αντιμετωπίσουν το πολύπλοκο ζήτημα της συμπεριφοράς ασφάλειας. Το πλαίσιο αυτό παρουσιάζει μια συνολική ανάλυση όλων των παραγόντων που επηρεάζουν τη συμπεριφορά ασφαλείας, ταξινομημένους σε τρεις κύριες κατηγορίες που αφορούν ατομικές, οργανωτικές και τεχνολογικές πτυχές. Ο σκοπός αυτού του πλαισίου είναι να λειτουργήσει ως «οδηγός» για τους security managers παρουσιάζοντας τους παράγοντες που πρέπει να λαμβάνουν υπόψη κατά το σχεδιασμό και την υλοποίηση των πολικών και πρακτικών ασφάλειας. Στη συνέχεια, η πρακτική αξία αυτού του πλαισίου διερευνήθηκε περαιτέρω με την ανάλυση των πρακτικών διαχείρισης ασφάλειας που προβλέπονται στα πρότυπα ISO / IEC 27000, πιο συγκεκριμένα ISO 27001, 27002, 27003 και 27005. Μέσω μιας ανάλυσης εντοπισμού κενών και ελλείψεων, εντοπίστηκαν παράγοντες που επηρεάζουν τη συμπεριφορά ασφαλείας, που όμως δεν περιλαμβάνονται στα πρότυπα ISO, συμπεριλαμβανομένης της συμμετοχής της ανώτατης διοίκησης, της κουλτούρας (culture), του κόστους συμμόρφωσης, των συνηθειών, των ατομικών χαρακτηριστικών και των αξιών. Επιπλέον, παρέχεται πρακτική καθοδήγηση σχετικά με τον τρόπο ενσωμάτωσης της τρέχουσας διαχείρισης της ασφάλειας με πρακτικές που υποστηρίζουν τη συμπεριφορά ασφάλειας. Για να μελετηθεί και να διαπιστωθεί η δυνατότητα εφαρμογής του πλαισίου, πραγματοποιήθηκε μια μελέτη περίπτωσης σε έναν μεγάλο οργανισμό. Η μελέτη περίπτωσης είχε ως στόχο την ανάλυση των τρεχουσών πρακτικών διαχείρισης της ασφάλειας του οργανισμού και τον προσδιορισμό των πτυχών του πλαισίου που εφαρμόζονται στην πράξη. Μέσω αυτής της μελέτης περίπτωσης ήταν δυνατό να προσδιοριστούν οι πρακτικές διαχείρισης της ασφάλειας που εφαρμόζονται και να αποκτηθούν γνώσεις σχετικά με τις πρακτικές που ακολουθούνται από τον οργανισμό. Ένα σημαντικό συμπέρασμα είναι ότι αυτός ο οργανισμός υποστηρίζει την τηλεργασία και έχει αναγνωρίσει τη σημασία της ενημέρωσης των χρηστών σχετικά με τις απειλές και τους κινδύνους που μπορεί να προκύψουν κατά την τηλεργασία, σχεδιάζοντας για το σκοπό αυτό νέες πολιτικές ασφάλειας. Αυτό υπογραμμίζει την ανάγκη που υπάρχει ώστε οι οργανισμοί να είναι ενήμεροι για τη συνεχή εξέλιξη της τεχνολογίας, τον αντίκτυπό της στον εργασιακό χώρο και την επακόλουθη ανάγκη ανανέωσης των πρακτικών ασφάλειας τους. Επιπλέον, η μελέτη περίπτωσης προσφέρει στοιχεία για το πώς ένας οργανισμός μπορεί να παρακινήσει τους εργαζομένους να υιοθετήσουν την κατάλληλη συμπεριφορά ασφαλείας: πρώτον, με τη χρήση πρακτικών μεθόδων όπως κάρτες ή αφίσες. Δεύτερον, προωθώντας μια οργανωτική κουλτούρα ασφάλειας η οποία βασίζεται στην επικοινωνία, στις κοινές αξίες και στην αλληλοβοήθεια. Τέλος, η μελέτη περίπτωσης αποκαλύπτει πως η στάση του συγκεκριμένου οργανισμού σχετικά με τις κυρώσεις (δεν εφαρμόζονται κυρώσεις για τη μη συμμόρφωση των πολιτικών ασφάλειας παρά τις συστάσεις του ISO) μπορεί να είναι η καταλληλότερη πολιτική για τον οργανισμό αυτό. Εκτός από την παροχή προτάσεων για περαιτέρω βελτίωση των πρακτικών διαχείρισης της ασφάλειας, η μελέτη περίπτωσης καταλήγει επίσης στο συμπέρασμα ότι, υπάρχει ανάγκη για εφαρμογή πρακτικών διαχείρισης της ασφάλειας που να είναι προσαρμοσμένες και να ταιριάζουν στις ανάγκες και τις απαιτήσεις της ασφάλειας των πληροφοριών των οργανισμών, λαμβάνοντας υπόψη και εκμεταλλευόμενες τα βασικά δυνατά σημεία τους. Τέλος, με βάση τα ερευνητικά ευρήματα, τη μελέτη για την ευχρηστία, την ανάλυση για τον εντοπισμό κενών των προτύπων ISO και την μελέτη περίπτωσης, η παρούσα διατριβή πληροί τον δεύτερο ερευνητικό στόχο παρέχοντας πρακτικές οδηγίες, ώστε οι security managers να κατανοήσουν καλύτερα τη συμπεριφορά ασφαλείας και να ενισχύσουν τις τρέχουσες πρακτικές διαχείρισης της ασφάλειας. Αυτό το σύνολο των πρακτικών οδηγιών επικεντρώνεται κυρίως στο πως μπορούν οι security managers να υιοθετήσουν στην πράξη τους παράγοντες που επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και έχουν εντοπιστεί στη βιβλιογραφία όπως επίσης και παράγοντες που δεν αντιμετωπίζονται επαρκώς ούτε στην τρέχουσα βιβλιογραφία ούτε/ και στα ευρέως υιοθετημένα πρότυπα ISO. Η μελέτη αυτή συμβάλλει στον τομέα της συμπεριφοράς ασφάλειας και συμμόρφωσης με τις πολιτικές ασφάλειας μέσω: α) του καθορισμού και της ανάλυσης των αντικρουόμενων αποτελεσμάτων και της σύγχυσης της ορολογίας στη σχετική βιβλιογραφία, β) της αιτιολόγησης του ρόλου της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας και την ανάλυση σχετικών παραγόντων που επηρεάζουν τη χρήση των εργαλείων ασφάλειας και ιδιωτικότητας. Επίσης τεκμηριώνεται η ανάγκη για τους προγραμματιστές να εξετάσουν τα χαρακτηριστικά χρηστικότητας που εντοπίστηκαν προκειμένου να σχεδιάσουν εργαλεία ασφάλειας που μπορούν να είναι εύχρηστα. γ) της παροχής οδηγιών για την ενίσχυση της διαχείρισης της ασφάλειας, με στόχο την αντιμετώπιση των κενών στις τρέχουσες προσεγγίσεις διαχείρισης της ασφάλειας σύμφωνα με τα πρότυπα ISO 27001, 27002, 27003 και 27005. Οι παράγοντες που δεν καλύπτονται από τα παραπάνω πρότυπα ασφάλειας σχετίζονται με τη συμμετοχή της ανώτατης διαχείρισης, την κουλτούρα, το κόστος συμμόρφωσης, τις συνήθειες, τα ατομικά χαρακτηριστικά, τις ικανότητες, τις αξίες, τα διάφορα είδη συνειδητοποίησης της ασφάλειας και την κοινωνική επιρροή. Συνολικά, αυτή η διδακτορική διατριβή γεφυρώνει το χάσμα ανάμεσα στη θεωρία και την πράξη, παρέχοντας στους security managers έναν «οδηγό», με τη μορφή πλαισίου τριών κατηγοριών και ενός συνόλου οδηγιών για τη βελτίωση της συμπεριφοράς ασφαλείας και της συμμόρφωσης των εργαζομένων με τις πολιτικές ασφάλειας. Συνολικά, η παρούσα μελέτη αποτελεί έναν «οδηγό» για το πως μπορούν οι security managers να λάβουν υπόψη τις ατομικές, οργανωτικές και τεχνολογικές πτυχές της συμπεριφοράς ασφάλειας κατά την υλοποίηση των πρακτικών διαχείρισης ασφάλειας και να βελτιώσουν τη συμμόρφωση των εργαζομένων με τις πολιτικές ασφάλειας. Τέλος, καθώς ο τομέας της ασφάλειας πληροφορικής είναι σύνθετος και εξελίσσεται ταχύτατα εξαιτίας της ανάπτυξης νέων τεχνολογιών και της αλλαγής του τρόπου εργασίας, είναι επιτακτική η ανάγκη να ερευνηθεί περαιτέρω ο ανθρώπινος παράγοντας όπως επίσης και ο ρόλος της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας.

show abstract

Affecting Factors in Information Security Policy Compliance: Combine Organisational Factors and User Habits

Angraini

Alias²,

Okfalisa

2021

Lecture Notes on Data Engineering and Communications Technologies

View full text Add to dashboard Cite

Information security policy compliance is one concern of organisations to improve information security, including universities. Previous research has shown that factors that influence user compliance can come from user behaviour and from within the organisation. This study aims to explore the factors of organisation and user habits that affect user compliance with information security policies. The research model proposed used organisational commitment, organisational culture, reward, and habit variables-this research conducted with a case study of public universities in Indonesia by using an online survey. The results indicated that the factors derived from organisational commitment established a positive influence on the user's respectful behaviour. The insignificant organisational culture and reward affected information security policies. User habits also influenced user behaviour in maintaining information security.

show abstract

From theory to practice: guidelines for enhancing information security management

Cited by 20 publications

References 39 publications

The ISO/IEC 27001 information security management standard: literature review and theory-based research agenda

The ISO/IEC 27001 information security management standard: literature review and theory-based research agenda

Analysing information security behaviour

Affecting Factors in Information Security Policy Compliance: Combine Organisational Factors and User Habits

Contact Info

Product

Resources

About