Factors affecting information security behavior of employees a case study

Työntekijöillä voi olla merkittävä vaikutus organisaation tietoturvalle ja monet organisaatiot ovat ottaneet käyttöön tietoturvakäytänteitä tietoturvallisen käyttäytymisen varmistamiseksi. Yhteisistä käytänteistä huolimatta monet työntekijät eivät noudata tietoturvaohjeistuksia ja siten altistavat...

Full description

Bibliographic Details
Main Author:	Eskelinen, Eeva
Other Authors:	Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Format:	Master's thesis
Language:	eng
Published:	2019
Subjects:	ISP compliance security behavior security compliance insider threat tietoturvakäytäntöjen noudattaminen tietoturvakäyttäytyminen sisäinen uhka Tietojärjestelmätiede Information Systems Science 601 tietoturva työntekijät data security employees
Online Access:	https://jyx.jyu.fi/handle/123456789/66135

_version_	1826225753173262336
author	Eskelinen, Eeva
author2	Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_facet	Eskelinen, Eeva Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä Eskelinen, Eeva Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_sort	Eskelinen, Eeva
datasource_str_mv	jyx
description	Työntekijöillä voi olla merkittävä vaikutus organisaation tietoturvalle ja monet organisaatiot ovat ottaneet käyttöön tietoturvakäytänteitä tietoturvallisen käyttäytymisen varmistamiseksi. Yhteisistä käytänteistä huolimatta monet työntekijät eivät noudata tietoturvaohjeistuksia ja siten altistavat organisaation monille tietoturvauhkille. Tässä Pro Gradu -tutkielmassa pyritään tunnistaman tekijöitä, joita työntekijät kokevan motivoivan heitä noudattamaan organisaationsa tietoturvakäytäntöjä ja toisaalta tunnistamaan menetelmiä, joilla työntekijät perustelevat tietoturvakäytäntöjen vastaista käyttäytymistä. Tämä tutkielma tarkastelee ilmiötä seuraavilla tutkimuskysymyksillä: ”Mitkä tekijät motivoivat työntekijöitä noudattamaan tietoturvakäytäntöjä?” sekä ”Kuinka työntekijät perustelevat tietoturvakäytäntöjen vastaista käyttäytymistä?”. Tämä tutkielma koostuu kirjallisuuskatsauksesta ja empiirisestä tutkimuksesta. Tutkimuksen aineisto on kerätty toteuttamalla semistrukturoituja haastatteluja yrityksessä, joka toimii B2B-sektorilla. Tutkimuskysymyksiä tarkasteltiin kolmen eri teemaan avulla, joita olivat seuraavat: työntekijöiden käsitys omasta tietoturvakäyttäytymisestään ja sen vertailu todelliseen tietoturvakäyttäytymiseen, työntekijöiden motivaatiotekijät tietoturvakäytäntöjen noudattamiseen sekä strategiat, joilla työntekijät perustelivat käytäntöjen vastaista toimintaa. Tutkimuksen tulokset osoittivat, että merkittävimmät motivaatiotekijät olivat velvollisuudentunto työnantajaa kohtaan, sekä halu suojata niitä yksilöitä, joiden henkilötietoja yritys käsittelee. Toisen tutkimuskysymyksen osalta tutkimuksen tulokset osoittivat, että menetelmät, joita käytettiin eniten perustelemaan käytäntöjen vastaista toimintaa, olivat vastuun ja vahingon kieltäminen, hankaluus, käsitys riskistä ja luottamus kollegoihin. Tutkimuksen tulokset osoittavat tarpeen työntekijöiden kouluttamiseen mahdollisista riskeistä sekä seurauksista, joita käytäntöjen noudattamatta jättäminen voi aiheuttaa. Tutkimuksessa myös tunnistettiin tekijöitä, joita voidaan hyödyntää työntekijöiden motivoimisessa tietoturvalliseen käyttäytymiseen. Employees can have a significant impact on the information security of organizations and to ensure secure behavior many organizations have applied information security policies. However, despite having policies in place many employees are not complying with them, thus exposing the organization to several security threats. This Master’s Thesis aims in identifying factors which motivate employees to comply with their organization’s information security polices and on the other hand, how they justify their non-compliant security behavior. This thesis observes these phenomena with the following research questions: Which factors motivates employees to comply with information security policies?” and “How employees justify their non-compliant ISP behavior?”. This thesis consists of a literature review and an empirical research study which was conducted as a qualitative case study. The data for this study was gathered by conducting semistructured interviews in an organization operating in B2B. These research questions were observed through three themes which the employees’ perception of their security compliance versus their actual security behavior were, motivation for compliance and justification strategies to justify non-compliant behavior. The results of the study show that the main motivators for compliance were obligation towards employer and the will to protect those individuals whose information the organization handles. For the second research question, the results suggest that the main strategies to justify non-compliant behavior were denying responsibility or injury, inconvenience, perception of risk and trust towards colleagues. The findings of the study indicate the need for educating employees about the possible risks and consequences of non-compliant security behavior, but also identifies the factors which can be used to support employees’ motivation towards compliance.
first_indexed	2019-11-04T21:01:08Z
format	Pro gradu
free_online_boolean	1
fullrecord	[{"key": "dc.contributor.advisor", "value": "Soliman, Wael", "language": "", "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Eskelinen, Eeva", "language": "", "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2019-11-04T08:30:44Z", "language": "", "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2019-11-04T08:30:44Z", "language": "", "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2019", "language": "", "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/66135", "language": "", "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Ty\u00f6ntekij\u00f6ill\u00e4 voi olla merkitt\u00e4v\u00e4 vaikutus organisaation tietoturvalle ja monet\r\norganisaatiot ovat ottaneet k\u00e4ytt\u00f6\u00f6n tietoturvak\u00e4yt\u00e4nteit\u00e4 tietoturvallisen k\u00e4ytt\u00e4ytymisen varmistamiseksi. Yhteisist\u00e4 k\u00e4yt\u00e4nteist\u00e4 huolimatta monet ty\u00f6ntekij\u00e4t eiv\u00e4t noudata tietoturvaohjeistuksia ja siten altistavat organisaation monille tietoturvauhkille. T\u00e4ss\u00e4 Pro Gradu -tutkielmassa pyrit\u00e4\u00e4n tunnistaman tekij\u00f6it\u00e4, joita ty\u00f6ntekij\u00e4t kokevan motivoivan heit\u00e4 noudattamaan organisaationsa tietoturvak\u00e4yt\u00e4nt\u00f6j\u00e4 ja toisaalta tunnistamaan menetelmi\u00e4, joilla ty\u00f6ntekij\u00e4t perustelevat tietoturvak\u00e4yt\u00e4nt\u00f6jen vastaista k\u00e4ytt\u00e4ytymist\u00e4. T\u00e4m\u00e4 tutkielma tarkastelee ilmi\u00f6t\u00e4 seuraavilla tutkimuskysymyksill\u00e4: \u201dMitk\u00e4 tekij\u00e4t motivoivat ty\u00f6ntekij\u00f6it\u00e4 noudattamaan tietoturvak\u00e4yt\u00e4nt\u00f6j\u00e4?\u201d sek\u00e4 \u201dKuinka ty\u00f6ntekij\u00e4t perustelevat tietoturvak\u00e4yt\u00e4nt\u00f6jen vastaista k\u00e4ytt\u00e4ytymist\u00e4?\u201d. T\u00e4m\u00e4 tutkielma koostuu kirjallisuuskatsauksesta ja empiirisest\u00e4 tutkimuksesta. Tutkimuksen aineisto on ker\u00e4tty toteuttamalla semistrukturoituja haastatteluja yrityksess\u00e4, joka toimii B2B-sektorilla. Tutkimuskysymyksi\u00e4 tarkasteltiin kolmen eri teemaan avulla, joita olivat seuraavat: ty\u00f6ntekij\u00f6iden k\u00e4sitys omasta tietoturvak\u00e4ytt\u00e4ytymisest\u00e4\u00e4n ja sen vertailu todelliseen tietoturvak\u00e4ytt\u00e4ytymiseen, ty\u00f6ntekij\u00f6iden motivaatiotekij\u00e4t tietoturvak\u00e4yt\u00e4nt\u00f6jen noudattamiseen sek\u00e4 strategiat, joilla ty\u00f6ntekij\u00e4t perustelivat k\u00e4yt\u00e4nt\u00f6jen vastaista toimintaa. Tutkimuksen tulokset osoittivat, ett\u00e4 merkitt\u00e4vimm\u00e4t motivaatiotekij\u00e4t olivat velvollisuudentunto ty\u00f6nantajaa kohtaan, sek\u00e4 halu suojata niit\u00e4 yksil\u00f6it\u00e4, joiden henkil\u00f6tietoja yritys k\u00e4sittelee. Toisen tutkimuskysymyksen osalta tutkimuksen tulokset osoittivat, ett\u00e4 menetelm\u00e4t, joita k\u00e4ytettiin eniten perustelemaan k\u00e4yt\u00e4nt\u00f6jen vastaista toimintaa,\r\nolivat vastuun ja vahingon kielt\u00e4minen, hankaluus, k\u00e4sitys riskist\u00e4 ja luottamus\r\nkollegoihin. Tutkimuksen tulokset osoittavat tarpeen ty\u00f6ntekij\u00f6iden kouluttamiseen\r\nmahdollisista riskeist\u00e4 sek\u00e4 seurauksista, joita k\u00e4yt\u00e4nt\u00f6jen noudattamatta\r\nj\u00e4tt\u00e4minen voi aiheuttaa. Tutkimuksessa my\u00f6s tunnistettiin tekij\u00f6it\u00e4, joita\r\nvoidaan hy\u00f6dynt\u00e4\u00e4 ty\u00f6ntekij\u00f6iden motivoimisessa tietoturvalliseen k\u00e4ytt\u00e4ytymiseen.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Employees can have a significant impact on the information security of organizations and to ensure secure behavior many organizations have applied information security policies. However, despite having policies in place many employees are not complying with them, thus exposing the organization to several\r\nsecurity threats. This Master\u2019s Thesis aims in identifying factors which motivate\r\nemployees to comply with their organization\u2019s information security polices and\r\non the other hand, how they justify their non-compliant security behavior. This\r\nthesis observes these phenomena with the following research questions: Which\r\nfactors motivates employees to comply with information security policies?\u201d and \u201cHow employees justify their non-compliant ISP behavior?\u201d. This thesis consists of a literature review and an empirical research study which was conducted as a qualitative case study. The data for this study was gathered by conducting semistructured interviews in an organization operating in B2B. These research questions were observed through three themes which the employees\u2019 perception of their security compliance versus their actual security behavior were, motivation\r\nfor compliance and justification strategies to justify non-compliant behavior.\r\nThe results of the study show that the main motivators for compliance were obligation towards employer and the will to protect those individuals whose\r\ninformation the organization handles. For the second research question, the results\r\nsuggest that the main strategies to justify non-compliant behavior were\r\ndenying responsibility or injury, inconvenience, perception of risk and trust\r\ntowards colleagues. The findings of the study indicate the need for educating\r\nemployees about the possible risks and consequences of non-compliant security\r\nbehavior, but also identifies the factors which can be used to support employees\u2019\r\nmotivation towards compliance.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by Miia Hakanen (mihakane@jyu.fi) on 2019-11-04T08:30:44Z\r\nNo. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2019-11-04T08:30:44Z (GMT). No. of bitstreams: 0\r\n Previous issue date: 2019", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "85", "language": "", "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "eng", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "In Copyright", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.subject.other", "value": "ISP compliance", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "security behavior", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "security compliance", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "insider threat", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "tietoturvak\u00e4yt\u00e4nt\u00f6jen noudattaminen", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "tietoturvak\u00e4ytt\u00e4ytyminen", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "sis\u00e4inen uhka", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.title", "value": "Factors affecting information security behavior of employees : a case study", "language": "", "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-201911044702", "language": "", "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Pro gradu -tutkielma", "language": "fi", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Master\u2019s thesis", "language": "en", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Informaatioteknologia", "language": "fi", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Information Technology", "language": "en", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Tietoj\u00e4rjestelm\u00e4tiede", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Information Systems Science", "language": "en", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "yvv.contractresearch.funding", "value": "0", "language": "", "element": "contractresearch", "qualifier": "funding", "schema": "yvv"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "openAccess", "language": null, "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.subject.oppiainekoodi", "value": "601", "language": "", "element": "subject", "qualifier": "oppiainekoodi", "schema": "dc"}, {"key": "dc.subject.yso", "value": "tietoturva", "language": "", "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "ty\u00f6ntekij\u00e4t", "language": "", "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "data security", "language": "", "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "employees", "language": "", "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://rightsstatements.org/page/InC/1.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}, {"key": "dc.type.okm", "value": "G2", "language": null, "element": "type", "qualifier": "okm", "schema": "dc"}]
id	jyx.123456789_66135
language	eng
last_indexed	2025-02-18T10:54:06Z
main_date	2019-01-01T00:00:00Z
main_date_str	2019
online_boolean	1
online_urls_str_mv	{"url":"https:\/\/jyx.jyu.fi\/bitstreams\/eb826d3a-215e-40e8-bbc3-e8a2bce6cce8\/download","text":"URN:NBN:fi:jyu-201911044702.pdf","source":"jyx","mediaType":"application\/pdf"}
publishDate	2019
record_format	qdc
source_str_mv	jyx
spellingShingle	Eskelinen, Eeva Factors affecting information security behavior of employees : a case study ISP compliance security behavior security compliance insider threat tietoturvakäytäntöjen noudattaminen tietoturvakäyttäytyminen sisäinen uhka Tietojärjestelmätiede Information Systems Science 601 tietoturva työntekijät data security employees
title	Factors affecting information security behavior of employees : a case study
title_full	Factors affecting information security behavior of employees : a case study
title_fullStr	Factors affecting information security behavior of employees : a case study Factors affecting information security behavior of employees : a case study
title_full_unstemmed	Factors affecting information security behavior of employees : a case study Factors affecting information security behavior of employees : a case study
title_short	Factors affecting information security behavior of employees
title_sort	factors affecting information security behavior of employees a case study
title_sub	a case study
title_txtP	Factors affecting information security behavior of employees : a case study
topic	ISP compliance security behavior security compliance insider threat tietoturvakäytäntöjen noudattaminen tietoturvakäyttäytyminen sisäinen uhka Tietojärjestelmätiede Information Systems Science 601 tietoturva työntekijät data security employees
topic_facet	601 ISP compliance Information Systems Science Tietojärjestelmätiede data security employees insider threat security behavior security compliance sisäinen uhka tietoturva tietoturvakäyttäytyminen tietoturvakäytäntöjen noudattaminen työntekijät
url	https://jyx.jyu.fi/handle/123456789/66135 http://www.urn.fi/URN:NBN:fi:jyu-201911044702
work_keys_str_mv	AT eskelineneeva factorsaffectinginformationsecuritybehaviorofemployeesacasestudy

Factors affecting information security behavior of employees a case study

Similar Items