Usability Characteristics of Security and Privacy Tools: The User’s Perspective

Topa, Ioanna; Karyda, Maria

doi:10.1007/978-3-319-99828-2_17

Cited by 4 publications

(28 citation statements)

References 13 publications

Supporting

Mentioning

Contrasting

Order By: Relevance

“…ISO 27005:2011 (in Section 9.2 and Annex F) provides general directions on the criteria which security managers need to consider when selecting the appropriate controls during the risk management process, such as ease of use. Whilst usability plays an important role in motivating users to use technologies (Nielsen, 1994), security tools are still not usable enough (Whitten and Tygar, 1999; Topa and Karyda, 2018; Vemou et al , 2015). This is an on-going challenge for researchers and designers, who need to design and develop usable security tools.…”

Section: Discussion: Issues and Challenges For Security Managementmentioning

confidence: 99%

From theory to practice: guidelines for enhancing information security management

Topa

Karyda

2019

ICS

Self Cite

View full text Add to dashboard Cite

Purpose This study aims to identify the implications of security behaviour determinants for security management to propose respective guidelines which can be integrated with current security management practices, including those following the widely adopted information security standards ISO 27001, 27002, 27003 and 27005. Design/methodology/approach Based on an exhaustive analysis of related literature, the authors identify critical factors influencing employee security behaviour and ISP compliance. The authors use these factors to perform a gap analysis of widely adopted information security standards ISO 27001, 27002, 27003 and 27005 and identify issues not covered or only partially addressed. Drawing on the implications of security behaviour determinants and the identified gaps, the authors provide guidelines which can enhance security management practices. Findings The authors uncover the factors shaping security behaviour barely or partly considered in the ISO information security standards ISO 27001, 27002, 27003 and 27005, including top management participation, accommodating individual characteristics, embracing the cultural context, encouraging employees to comply out of habit and considering the cost of compliance. Furthermore, the authors provide guidelines to security managers on enhancing their security management practices when implementing the above ISO Standards. Practical implications This study offers guidelines on how to create and design security management practices whilst implementing ISO standards (ISO 27001, ISO 27002, ISO 27003, ISO 27005) so as to enhance ISP compliance. Originality/value This study analyses the role and implications of security behaviour determinants, discusses discrepancies and conflicting findings in related literature, provides a gap analysis of commonly used information security standards (ISO 27001, 27002, 27003 and 27005) and proposes guidelines on enhancing security management practices towards improving ISP compliance.

show abstract

Section: Discussion: Issues and Challenges For Security Managementmentioning

confidence: 99%

From theory to practice: guidelines for enhancing information security management

Topa

Karyda

2019

ICS

Self Cite

View full text Add to dashboard Cite

show abstract

“…To address the first research question a thorough review and analysis of related literature in the field of information security behavior was conducted, in order to establish a comprehensive picture of all the documented factors related to security behavior (Topa & Karyda, 2015;Topa & Karyda, 2016); through this analysis areas were identified that are not sufficiently explored, such as the role of usability of security technology. This aspect was further explored through a usability survey (Topa & Karyda, 2018). By combining the findings from both the literature review and the survey a Technological-Organisational-Individual framework is developed.…”

Section: Information Security Policy Compliance and Security Behaviour: Backgroundmentioning

confidence: 99%

“…There are a number of important technological aspects which are relevant to the usability of security tools, which according to literature may impact on security behaviour and consequently on ISP compliance (Topa & Karyda, 2018). It is therefore essential that security managers be made aware of these security behaviour determinants and take the appropriate steps to ensure that any security tools used by the organisation have optimum usability.…”

Section: Technological Aspectsmentioning

confidence: 99%

“…One significant aspect is that of accessibility (Topa & Karyda, 2018), which relates to security tools being accessible to people with disabilities.…”

Section: Technological Aspectsmentioning

confidence: 99%

“…Literature findings suggest that the language used has to be clear and plain, easy to understand, and without too many technical terms. This is particularly important for non-IT employees (Topa & Karyda, 2018).…”

Section: Technological Aspectsmentioning

confidence: 99%

See 2 more Smart Citations

Analysing information security behaviour

Topa¹,

Τόπα²

View full text Add to dashboard Cite

Η ραγδαία ανάπτυξη της τεχνολογίας οδήγησε σε νέες απειλές και αδυναμίες ασφάλειας καθώς και στην επιβολή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων σύμφωνα με τον οποίο οι οργανισμοί θα πρέπει να συμμορφώνονται με τις ρυθμιστικές του διατάξεις και να εφαρμόζουν ασφάλεια και ιδιωτικότητα by design (Karyda & Mitrou, 2016; Mitrou, 2017a), συνεπώς η σωστή και αποτελεσματική συμπεριφορά ασφάλειας των υπάλληλων είναι πιο αναγκαία από ποτέ. Παρά το γεγονός ότι οι οργανισμοί επενδύουν σημαντικά χρηματικά ποσά για την εφαρμογή μέτρων ασφάλειας, συγγραφής και υλοποίησης πολιτικών ασφάλειας για την προστασία των πληροφοριακών αγαθών και πόρων ώστε να διασφαλίσουν τον οργανισμό από οικονομική ζημία ή άλλους είδους καταστροφή, εξακολουθούν να πραγματοποιούνται περιστατικά ασφάλειας, ως απόρροια της αποτυχίας των εργαζομένων να συμμορφωθούν με τις πολιτικές ασφάλειας (Bulgurcu et al., 2010). Επομένως δεν λαμβάνεται υπόψη ο «ανθρώπινος παράγοντας» στον τομέα της ασφάλειας στους οργανισμούς και δεν είναι κατανοητό το πως μπορεί να επιτευχθεί σωστή συμπεριφορά ασφάλειας από την πλευρά των εργαζομένων. Προκειμένου να αντιμετωπιστεί το κενό αυτό, η παρούσα διδακτορική Διατριβή έχει ως στόχο να απαντήσει σε δυο βασικά ερευνητικά ερωτήματα: α) ποιοι παράγοντες επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και β) πώς μπορεί η γνώση αυτή των παραγόντων να χρησιμοποιηθεί ώστε να βοηθήσει τους security managers (υπεύθυνους διαχείρισης ασφάλειας) να βελτιώσουν τις πρακτικές διαχείρισης ασφάλειας και να ενθαρρύνουν τη συμπεριφορά ασφάλειας εργαζομένων να εναρμονιστεί με τις απαιτήσεις και τους στόχους ασφάλειας του οργανισμού. Προκειμένου να απαντηθεί το πρώτο ερευνητικό ερώτημα, πραγματοποιήθηκε ανάλυση και κριτική ανασκόπηση της σχετικής βιβλιογραφίας ώστε να εντοπιστούν όλοι οι παράγοντες που επηρεάζουν τη συμμόρφωση με τις πολιτικές ασφάλειας και τη συμπεριφορά ασφάλειας. Μέσα από την ανάλυση της σχετικής βιβλιογραφίας, εντοπίστηκε μια πληθώρα από διαφορετικούς παράγοντες, οι οποίοι όμως δεν είναι κατανοητοί και χρήσιμοι για τους security managers για πολλούς λόγους: συχνά παρουσιάζονται παράγοντες με αντικρουόμενα αποτελέσματα, όπως συμβαίνει για παράδειγμα με τις κυρώσεις, χρησιμοποιούνται διαφορετικοί όροι για να περιγράψουν παρόμοιες έννοιες δημιουργώντας σύγχυση και δυσκολία στην κατανόηση τους, όπως για παράδειγμα στην περίπτωση των όρων αυστηρότητα τιμωρίας (punishment severity) και αυστηρότητα αποτροπής (deterrent severity), επίσης η χρήση εξειδικευμένης ορολογίας δημιουργεί επιπρόσθετη δυσκολία καθώς η ορολογία αυτή χρησιμοποιείται σε θεωρίες με τις οποίες οι security managers δεν είναι εξοικειωμένοι, όπως αυτό-αποτελεσματικότητα (self-efficacy) και συσχέτιση αξίας (value congruence). Eπιπρόσθετα ένα σημαντικό εύρημα της ανάλυσης της βιβλιογραφίας είναι ότι ενώ ο ρόλος της τεχνολογίας και τα χαρακτηριστικά της επηρεάζουν τη συμπεριφορά ασφάλειας, ωστόσο δεν έχουν μελετηθεί επαρκώς στη σχετική βιβλιογραφία. Προκειμένου να μελετηθούν περαιτέρω οι τεχνολογικοί παράγοντες που επηρεάζουν τους χρήστες να χρησιμοποιήσουν εργαλεία ασφάλειας και ιδιωτικότητας, πραγματοποιήθηκε έρευνα ανάμεσα σε 150 φοιτητές των Πληροφοριακών και Επικοινωνιακών συστημάτων ώστε να μελετηθεί η ευχρηστία των εργαλείων ασφάλειας και ιδιωτικότητας. Ένας συνδυασμός από διαφορετικές μεθόδους χρησιμοποιήθηκαν περιλαμβάνοντας σενάρια, ερωτηματολόγια και συνεντεύξεις. Τα ευρήματα δείχνουν ότι οι χρήστες θεωρούν σημαντικά χαρακτηριστικά ευχρηστίας όπως προσβασιμότητα (accessibility), χρήση κατανοητής γλώσσας, intuitiveness, απόδοση, ανατροφοδότηση και λάθη, αποτροπή σφαλμάτων, αναίρεση ενεργειών, διαθεσιμότητα πληροφορίας, design και συνέπεια, χαρακτηριστικά σχετικά με την εγκατάσταση, χαρακτηριστικά σχετικά με την ιδιωτικότητα (έλεγχος προσωπικών δεδομένων και διαφάνεια) και αυτοματοποίηση. Με βάση τα ευρήματα της ανασκόπησης της βιβλιογραφίας και της έρευνας, δημιουργήθηκε ένα πλαίσιο παραγόντων που επηρεάζουν τη συμπεριφορά ασφάλειας. Το πλαίσιο που αποτελείται από τους παράγοντες της βιβλιογραφίας ταξινομημένους σε τρεις κατηγορίες μαζί με την ανάλυση της σημασίας και της επίδρασης τους, διευκολύνει τους security managers να αντιμετωπίσουν το πολύπλοκο ζήτημα της συμπεριφοράς ασφάλειας. Το πλαίσιο αυτό παρουσιάζει μια συνολική ανάλυση όλων των παραγόντων που επηρεάζουν τη συμπεριφορά ασφαλείας, ταξινομημένους σε τρεις κύριες κατηγορίες που αφορούν ατομικές, οργανωτικές και τεχνολογικές πτυχές. Ο σκοπός αυτού του πλαισίου είναι να λειτουργήσει ως «οδηγός» για τους security managers παρουσιάζοντας τους παράγοντες που πρέπει να λαμβάνουν υπόψη κατά το σχεδιασμό και την υλοποίηση των πολικών και πρακτικών ασφάλειας. Στη συνέχεια, η πρακτική αξία αυτού του πλαισίου διερευνήθηκε περαιτέρω με την ανάλυση των πρακτικών διαχείρισης ασφάλειας που προβλέπονται στα πρότυπα ISO / IEC 27000, πιο συγκεκριμένα ISO 27001, 27002, 27003 και 27005. Μέσω μιας ανάλυσης εντοπισμού κενών και ελλείψεων, εντοπίστηκαν παράγοντες που επηρεάζουν τη συμπεριφορά ασφαλείας, που όμως δεν περιλαμβάνονται στα πρότυπα ISO, συμπεριλαμβανομένης της συμμετοχής της ανώτατης διοίκησης, της κουλτούρας (culture), του κόστους συμμόρφωσης, των συνηθειών, των ατομικών χαρακτηριστικών και των αξιών. Επιπλέον, παρέχεται πρακτική καθοδήγηση σχετικά με τον τρόπο ενσωμάτωσης της τρέχουσας διαχείρισης της ασφάλειας με πρακτικές που υποστηρίζουν τη συμπεριφορά ασφάλειας. Για να μελετηθεί και να διαπιστωθεί η δυνατότητα εφαρμογής του πλαισίου, πραγματοποιήθηκε μια μελέτη περίπτωσης σε έναν μεγάλο οργανισμό. Η μελέτη περίπτωσης είχε ως στόχο την ανάλυση των τρεχουσών πρακτικών διαχείρισης της ασφάλειας του οργανισμού και τον προσδιορισμό των πτυχών του πλαισίου που εφαρμόζονται στην πράξη. Μέσω αυτής της μελέτης περίπτωσης ήταν δυνατό να προσδιοριστούν οι πρακτικές διαχείρισης της ασφάλειας που εφαρμόζονται και να αποκτηθούν γνώσεις σχετικά με τις πρακτικές που ακολουθούνται από τον οργανισμό. Ένα σημαντικό συμπέρασμα είναι ότι αυτός ο οργανισμός υποστηρίζει την τηλεργασία και έχει αναγνωρίσει τη σημασία της ενημέρωσης των χρηστών σχετικά με τις απειλές και τους κινδύνους που μπορεί να προκύψουν κατά την τηλεργασία, σχεδιάζοντας για το σκοπό αυτό νέες πολιτικές ασφάλειας. Αυτό υπογραμμίζει την ανάγκη που υπάρχει ώστε οι οργανισμοί να είναι ενήμεροι για τη συνεχή εξέλιξη της τεχνολογίας, τον αντίκτυπό της στον εργασιακό χώρο και την επακόλουθη ανάγκη ανανέωσης των πρακτικών ασφάλειας τους. Επιπλέον, η μελέτη περίπτωσης προσφέρει στοιχεία για το πώς ένας οργανισμός μπορεί να παρακινήσει τους εργαζομένους να υιοθετήσουν την κατάλληλη συμπεριφορά ασφαλείας: πρώτον, με τη χρήση πρακτικών μεθόδων όπως κάρτες ή αφίσες. Δεύτερον, προωθώντας μια οργανωτική κουλτούρα ασφάλειας η οποία βασίζεται στην επικοινωνία, στις κοινές αξίες και στην αλληλοβοήθεια. Τέλος, η μελέτη περίπτωσης αποκαλύπτει πως η στάση του συγκεκριμένου οργανισμού σχετικά με τις κυρώσεις (δεν εφαρμόζονται κυρώσεις για τη μη συμμόρφωση των πολιτικών ασφάλειας παρά τις συστάσεις του ISO) μπορεί να είναι η καταλληλότερη πολιτική για τον οργανισμό αυτό. Εκτός από την παροχή προτάσεων για περαιτέρω βελτίωση των πρακτικών διαχείρισης της ασφάλειας, η μελέτη περίπτωσης καταλήγει επίσης στο συμπέρασμα ότι, υπάρχει ανάγκη για εφαρμογή πρακτικών διαχείρισης της ασφάλειας που να είναι προσαρμοσμένες και να ταιριάζουν στις ανάγκες και τις απαιτήσεις της ασφάλειας των πληροφοριών των οργανισμών, λαμβάνοντας υπόψη και εκμεταλλευόμενες τα βασικά δυνατά σημεία τους. Τέλος, με βάση τα ερευνητικά ευρήματα, τη μελέτη για την ευχρηστία, την ανάλυση για τον εντοπισμό κενών των προτύπων ISO και την μελέτη περίπτωσης, η παρούσα διατριβή πληροί τον δεύτερο ερευνητικό στόχο παρέχοντας πρακτικές οδηγίες, ώστε οι security managers να κατανοήσουν καλύτερα τη συμπεριφορά ασφαλείας και να ενισχύσουν τις τρέχουσες πρακτικές διαχείρισης της ασφάλειας. Αυτό το σύνολο των πρακτικών οδηγιών επικεντρώνεται κυρίως στο πως μπορούν οι security managers να υιοθετήσουν στην πράξη τους παράγοντες που επηρεάζουν τη συμπεριφορά ασφάλειας των εργαζομένων και έχουν εντοπιστεί στη βιβλιογραφία όπως επίσης και παράγοντες που δεν αντιμετωπίζονται επαρκώς ούτε στην τρέχουσα βιβλιογραφία ούτε/ και στα ευρέως υιοθετημένα πρότυπα ISO. Η μελέτη αυτή συμβάλλει στον τομέα της συμπεριφοράς ασφάλειας και συμμόρφωσης με τις πολιτικές ασφάλειας μέσω: α) του καθορισμού και της ανάλυσης των αντικρουόμενων αποτελεσμάτων και της σύγχυσης της ορολογίας στη σχετική βιβλιογραφία, β) της αιτιολόγησης του ρόλου της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας και την ανάλυση σχετικών παραγόντων που επηρεάζουν τη χρήση των εργαλείων ασφάλειας και ιδιωτικότητας. Επίσης τεκμηριώνεται η ανάγκη για τους προγραμματιστές να εξετάσουν τα χαρακτηριστικά χρηστικότητας που εντοπίστηκαν προκειμένου να σχεδιάσουν εργαλεία ασφάλειας που μπορούν να είναι εύχρηστα. γ) της παροχής οδηγιών για την ενίσχυση της διαχείρισης της ασφάλειας, με στόχο την αντιμετώπιση των κενών στις τρέχουσες προσεγγίσεις διαχείρισης της ασφάλειας σύμφωνα με τα πρότυπα ISO 27001, 27002, 27003 και 27005. Οι παράγοντες που δεν καλύπτονται από τα παραπάνω πρότυπα ασφάλειας σχετίζονται με τη συμμετοχή της ανώτατης διαχείρισης, την κουλτούρα, το κόστος συμμόρφωσης, τις συνήθειες, τα ατομικά χαρακτηριστικά, τις ικανότητες, τις αξίες, τα διάφορα είδη συνειδητοποίησης της ασφάλειας και την κοινωνική επιρροή. Συνολικά, αυτή η διδακτορική διατριβή γεφυρώνει το χάσμα ανάμεσα στη θεωρία και την πράξη, παρέχοντας στους security managers έναν «οδηγό», με τη μορφή πλαισίου τριών κατηγοριών και ενός συνόλου οδηγιών για τη βελτίωση της συμπεριφοράς ασφαλείας και της συμμόρφωσης των εργαζομένων με τις πολιτικές ασφάλειας. Συνολικά, η παρούσα μελέτη αποτελεί έναν «οδηγό» για το πως μπορούν οι security managers να λάβουν υπόψη τις ατομικές, οργανωτικές και τεχνολογικές πτυχές της συμπεριφοράς ασφάλειας κατά την υλοποίηση των πρακτικών διαχείρισης ασφάλειας και να βελτιώσουν τη συμμόρφωση των εργαζομένων με τις πολιτικές ασφάλειας. Τέλος, καθώς ο τομέας της ασφάλειας πληροφορικής είναι σύνθετος και εξελίσσεται ταχύτατα εξαιτίας της ανάπτυξης νέων τεχνολογιών και της αλλαγής του τρόπου εργασίας, είναι επιτακτική η ανάγκη να ερευνηθεί περαιτέρω ο ανθρώπινος παράγοντας όπως επίσης και ο ρόλος της τεχνολογίας για τη διαμόρφωση της συμπεριφοράς ασφαλείας.

show abstract

A Survey of User Perspectives on Security and Privacy in a Home Networking Environment

Nandita

Nurse

2023

ACM Comput. Surv.

View full text Add to dashboard Cite

The security and privacy of smart home systems, particularly from a home user’s perspective, have been a very active research area in recent years. However, via a meta-review of 52 review papers covering related topics (published between 2000 and 2021), this paper shows a lack of a more recent literature review on user perspectives of smart home security and privacy since the 2010s. This identified gap motivated us to conduct a systematic literature review (SLR) covering 126 relevant research papers published from 2010 to 2021. Our SLR led to the discovery of a number of important areas where further research is needed; these include holistic methods that consider a more diverse and heterogeneous range of home devices, interactions between multiple home users, complicated data flow between multiple home devices and home users, some less-studied demographic factors, and advanced conceptual frameworks. Based on these findings, we recommended key future research directions, e.g., research for a better understanding of security and privacy aspects in different multi-device and multi-user contexts, and a more comprehensive ontology on the security and privacy of the smart home covering varying types of home devices and behaviors of different types of home users.

show abstract

Usability Characteristics of Security and Privacy Tools: The User’s Perspective

Cited by 4 publications

References 13 publications

From theory to practice: guidelines for enhancing information security management

From theory to practice: guidelines for enhancing information security management

Analysing information security behaviour

A Survey of User Perspectives on Security and Privacy in a Home Networking Environment

Contact Info

Product

Resources

About