CC BY
63
МЕТОДОЛОГИЯ И ТЕОРИЯ РАЗВИТИЯ НАУКИ
2016.01.006. ВЛИЯНИЕ ОРГАНИЗАЦИОННОЙ КУЛЬТУРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ПРИНЯТИЯ РЕШЕНИЙ / ПАРСОНС К., ЯНГ Э., БУТАВИЧУС М., МакКОРМАК А., ПАТТИСОН М., ДЖЕРАМ К. The influence of organizational information security culture on information security decision making / Parsons K., Young E., Butavicius M., McCormac A., Pattison M., Jerram C. // Journal of cognitive engineering and decision making. - 2015. - Vol. 9, N 2. - P. 117-129. - D0I:10. 1177/1555343415575152. - Mode of access:http://edm.sagepub.com/ content/9/2/117/
Ключевые слова: принятие решений; информационные системы; культура информационной безопасности; информационное обеспечение принятия решений; организационная культура; когнитивные процессы.
Авторы из Австралии исследуют три аспекта информационного обеспечения принятия решений: 1) осведомленность тех, кто принимает решения, о политике и процедурах информационной безопасности; 2) отношение этих осведомленных людей к политике и процедурам информационной безопасности; 3) репортажи этих людей о том, как они принимают решения. Указанные три аспекта авторами исследуются в сочетании с организационными факторами, способными увеличивать связанные с человеческим фактором риски возникновения угроз информационному обеспечению принятия решений.
При существующих быстрых темпах технологического прогресса современных информационных систем, обеспечивающего конкурентное преимущество пользователя передовых информационных ресурсов, пишут авторы, возрастает необходимость повы-
шать уровень информационной безопасности. Главная угроза информационной безопасности исходит от человеческого фактора, и она двоякая. Одно дело - когда решения, принимаемые работником на основе компьютерной информации, принимаются им неосторожно - без заботы о соблюдении информационной безопасности. И другое дело - когда работник умышленно нарушает требования информационной безопасности. Второй случай обычно называют «злонамеренной инсайдерской угрозой» (malicious insider threat), «и хотя подобные инсайдерские угрозы создают гораздо более серьезные риски, чем аутсайдерские атаки, научная литература дает понять, что большинство сбоев в информационной безопасности вызвано человеческими ошибками, связанными просто с невниманием к качеству информационного обеспечения принимаемых решений» (с. 117).
Противодействуя такого рода человеческому фактору, организации осуществляют политику и процедуры информационной безопасности для формирования соответствующего поведения своих работников, поведения, защищающего организационные ресурсы и активы. Однако само по себе наблюдаемое поведение - необходимая, но недостаточная переменная для адекватного понимания информационного обеспечения принимаемых решений. Действительно, решения принимаются по многим основаниям, включая знание, позицию, ценности, личность и настроение работника, помимо организационных факторов. Кроме того, при всех попытках работников принимать хорошие решения, часто просто невозможно брать в расчет всю уместную информацию, обеспечивающую оптимальный или рациональный выбор решения. Существует теория ограниченной рациональности (theory of bounded rationality) (с. 118), согласно которой люди обычно испытывают недостаток знания, находятся в ситуации неопределенности и неясности, что, конечно же, влияет на формирование позиции и далеко не часто ведет к оптимальному поведению. Поэтому и имеет смысл в соответствии с этой теорией исследовать три ключевых аспекта принятия решений - знание, позицию и поведение. Тем более что научная литература предоставляет подобный исследовательский опыт: например было обнаружено, что уровень информационной безопасности коррелирует не прямо, а опосредованно с уровнями знаний и мотиваций работников. И также известно, что знание работ-
ника влияет на его позицию и поведение и что существует прямая корреляция между позицией и поведением работника. Взаимосвязь этих трех аспектов часто описывается как методологическая модель «знание - позиция - поведение» (knowledge - attitude - behavior model) - модель ЗПП (с. 118). Вместе с тем некоторые исследователи полагают, что модель ЗПП не учитывает весь комплекс факторов, обеспечивающий процесс принятия решений. Так, позиция работника может быть и компонентом, и результатом этого процесса либо сформироваться вследствие неверного информационного обеспечения. Одни исследователи доказывают, что чем больше знаний, тем лучше принимаемые решения, другие - что поведение работника в соответствии с организационной политикой информационной безопасности обязано хорошей осведомленности работника об организационных требованиях информационной безопасности.
В попытке измерить угрозы информационной безопасности, вызванные человеческим фактором, исследователи разработали методологию человеческого фактора в информационной безопасности (human aspects of information security) (ЧФИБ) и соответствующую анкету (questionnaire) (ЧФИБ-А) (с. 118). Есть исследование, продемонстрировавшее, что позиция работника в отношении организационной политики и организационных процедур информационной безопасности объясняет вариантность поведения работников в большей степени, чем их осведомленность об этой политике и этих процедурах. Наряду с переменными знания, позиции и поведения методология ЧФИБ включает измерение индивидуальных, привходящих (interventional) и организационных факторов.
Изучение организационных факторов, которые можно совокупно определить как фактор организационной культуры информационной безопасности (organizational information security culture), очень важно. «В научной литературе по информационной безопасности подчеркивается, что человеческий фактор инцидентов, например невыполнение работником процедур безопасности, может быть менее значим, чем, скажем, такой организационный фактор, как климат безопасности» (с. 118). Необходимо внедрение в сознание работников соответствующих рабочих стереотипов через ежедневную рутину работы в соответствии с требованиями информационной безопасности. Только тогда работники будут выполнять
эти требования - не по своему разумению, но как непреложный закон организации, осознавая, что за выпадение из такого организационного климата может последовать наказание. То есть в организации должен быть установлен климат информационной безопасности.
В научном сообществе нет единства в отношении определения и состава культуры информационной безопасности. Наиболее известна и популярна так называемая трехуровневая модель организационной культуры, определяющая организационную культуру как «систему базовых допущений, созданную или разделяемую сообществом в его усилиях адаптироваться к внешним влияниям и адаптировать их к себе. Эта система базовых допущений устанавливается как законная и благая и, следовательно, определяющая для новых членов сообщества правильный путь действий и интерпретации проблем» (с. 119). Указанная модель называется трехуровневой, поскольку структурирует организационную культуру на три иерархических уровня. Первый из них - уровень внешних, видимых маркеров организационной культуры. Второй уровень -ценностей и убеждений - представляет руководящие принципы, которые и демонстрируют организацию с существенной стороны. Именно этот уровень наполняет содержанием все видимые проявления работы организации и управляет действиями работников. Третий уровень охватывает базовые, опорные для организационной культуры допущения (о целях и функциях организации, ее способности реагировать на внешние влияния), которые для аутсайдеров неявны в видимой организационной работе.
Если разделять понятия организационной культуры и организационного климата, то и в отношении определения второго понятия также отсутствует консенсус научного сообщества. Ряд исследователей рассматривают организационный климат как проявление организационной культуры, включая в организационный климат восприятие работниками организационных практик. Исследования показывают, что такой организационный индикатор, как климат информационной безопасности - специфическая форма организационного климата, - способен предсказывать связанные с информационной безопасностью возможные инциденты в организации. Например, исследователи сделали вывод, что связь между клима-
том безопасности и безопасным поведением опосредована знанием, мотивацией и профессионализмом работника.
Хотя понятия организационной культуры и организационного климата довольно интенсивно разрабатываются, лишь небольшое количество исследований посвящено прямому изучению организационной культуры информационной безопасности. Есть исследование, в котором его авторы попытались использовать для анализа информационной безопасности широкие теоретические рамки из литературы об организационной культуре, но они признали, что культура безопасности - слишком сложный предмет, чтобы уместиться в рамки отдельной теории. В одном из подобных исследований была затронута тема организационной культуры информационной безопасности в контексте изучения различных форм организационного влияния на информационную безопасность. И авторы этого исследования утверждали, что с ростом числа работников, защищающих организационную политику, растет и влияние этой политики (влияние организации) на поведение работников. То есть обнаруживается связь между организационной культурой информационной безопасности и общим уровнем осознания в организации требований информационной безопасности. Иными словами, то, как большинство работников воспринимают политику информационной безопасности, может стать организационной нормой.
Организация влияет на поведение работников, применяя хорошо известную систему поощрений и наказаний. При этом считается, что поощрение (вознаграждение) как инструмент нужного изменения поведения работника более эффективно, чем наказание. Но так бывает не всегда. Например, исследовалось подконтрольное поведение 141 работника, и оказалось, что контролеры, склонные применять к работникам санкции, более успешно управляли поведением работников, чем контролеры, избегавшие использовать санкции. В целом исследование этого предмета показывает противоречивые результаты, и причина противоречивости состоит в психологической сложности самого человека и в разности человеческих психологических типов: от одних людей можно добиться нужного поведения санкциями, от других - поощрениями. Исследователи полагают, что организации нельзя оставлять «неподатливое» поведение работников без последствий, иначе возрастет веро-
ятность превращения в норму поведения, расходящегося с организационными требованиями информационной безопасности, особенно в случаях конфликта между безопасностью и организационным требованием рабочих результатов. В подобных конфликтных ситуациях работник выберет скорее достижение рабочего результата, чем заботу об информационной безопасности, - именно потому, что выполнение требований безопасности определенным образом отвлекает от выполнения рабочей задачи настолько эффективно, насколько это возможно. Работник же получает основное вознаграждение за эффективную работу, а не за осторожность в работе, и потому лучше рабочую осторожность (информационную безопасность) поощрять не «пряником», но «кнутом» - санкциями за невыполнение этого организационного требования.
С целью своего исследования, призванного изучить связь между организационной культурой информационной безопасности и информационным обеспечением принятия решений, когда информационное обеспечение принятия решений исследуется с помощью таких показателей: а) осведомленность работников об организационной политике и организационных процедурах; б) позиция работников в отношении организационной политики и организационных процедур; в) репортажи работников о собственных действиях, -авторы выдвигают следующие пять гипотез.
Гипотезы 1-3: повышение уровня организационной культуры информационной безопасности связано с (1) ростом осведомленности работников об организационной политике и организационных процедурах информационной безопасности, (2) ростом согласия работников с организационной политикой и организационными процедурами информационной безопасности и (3) ростом числа работников, реально действующих в соответствии с организационной политикой и организационными процедурами информационной безопасности.
Гипотеза 4: принятие организационной культуры информационной безопасности работниками происходит под влиянием
(а) организационной политики вознаграждений и наказаний,
(б) соответствующих разъяснений организационных специалистов (аналитиков, менеджеров) и (в) соответствующего поведения некоторого числа работников организации.
Гипотеза 5: три индикатора информационного обеспечения принятия решений - знания, позиции и поведение работников -также (см. гипотезу 4) связаны с (а) организационной политикой вознаграждений и наказаний, (б) соответствующими разъяснениями организационных специалистов (аналитиков, менеджеров) и (в) соответствующим поведением некоторого числа работников организации.
Гипотезы 1-5 проверялись в авторском исследовании, в котором участвовали 1073 взрослых респондента в режиме компьютерного опроса. После первых вопросов было отсеяно 573 участника, которые по разным причинам оказались некомпетентными в отношении политики информационной безопасности своих организаций. Выборка из оставшихся 500 респондентов включала: 51% мужчин и 49% женщин, из них 52% в возрасте 21-40 лет, государственных и негосударственных служащих, менеджеров и без опыта менеджмента, работников организаций разного размера.
Предложенная респондентам анкета (ЧФИБ-А) оценивала связанные с информационной безопасностью инциденты, вызванные работниками организации. ЧФИБ-А - единственная в своем роде шкала, обеспечивающая специализированное и детальное тестирование работников по специфическим компонентам информационной безопасности в сочетании с дополнительным измерением индивидуальных, организационных и привходящих факторов. Для оценки информационного обеспечения принятия решений в ЧФИБ-А содержалось 63 положения, предусматривающих каждое пять градаций (от категорического согласия до категорического несогласия), чтобы выявить у респондентов уровень знания, позицию и характер поведения в отношении организационной политики и организационных процедур информационной безопасности. Респонденты были проинформированы, что цель исследования - выяснение поведения людей, выполняющих свои рабочие задачи с помощью компьютера. Они тестировались по семи компонентам информационной безопасности: обращению с паролем; использованию электронной почты; использованию Интернета; использованию социальных сетей; сообщенным инцидентам; мобильным расчетам и обращению с информацией. ЧФИБ-А оценивает специальные аспекты каждого из этих компонентов. Например, в отношении тако-
го компонента, как сообщенные инциденты, оценивается размещение конфиденциальных материалов и степень их защищенности.
Результаты исследования по тестированию гипотез 1-5, пишут авторы, показали поддержку этих гипотез. В целом была продемонстрирована умеренная положительная связь между организационной культурой информационной безопасности и рядом аспектов информационного обеспечения принятия решений работниками. Это предполагает, что улучшение организационной культуры информационной безопасности должно повышать согласие работников с организационной политикой и организационными процедурами информационной безопасности, что в свою очередь будет работать на снижение рисков человеческих ошибок в информационном обеспечении принятия решений.
«В последнее время, - отмечают авторы в заключение, - в области информационной безопасности все больше признается важность исследования и человеческого фактора, и технико-технологической стороны информационной безопасности. Предлагаемая статья высвечивает некоторые сложные проблемы, которые могут влиять на взаимодействие человека и техники. И требуются дальнейшие исследования для адекватного понимания этого взаимодействия - фундаментальной основы современной жизни общества» (с. 127).
А.А. Али-заде
2016.01.007. НЕМАДИ Л., МЕЙЕР И. ВЛИЯНИЕ МЕТОДА И СВОЙСТВ ИДЕНТИФИКАЦИИ НА ИДЕНТИФИКАЦИОННЫЕ РЕШЕНИЯ И ДЕЙСТВИЯ.
NEHMADI L., MEYER J. Effects of authentication method and system properties on authentication decision and performance // Journal of cognitive engineering and decision making. - 2015. - Vol. 9, N 2. - P. 130148. - D0I:10.1177/1555343415581687. - Mode of access: http://edm. sagepub. com/ content/9/2/130/
Ключевые слова: идентификация; принятие решений; информационная безопасность; мобильная безопасность; модель безопасности.
Отмечая, что старейшая и широко используемая форма идентификации, основанной на знании, тем не менее до сих пор про-
