Threat appraisal
Hoofdstuk 4 Data-analyse en resultaten
In dit hoofdstuk wordt de verzamelde data per deelvraag geanalyseerd en gepresenteerd. De resultaten worden in twee groepen weergegeven; 1)TMG en 2) ‘andere mediaorganisaties’ (afgekort tot: AM). Ter vergelijking volgt per deelvraag eveneens een samenvatting van de resultaten.
4.1 Basisgegevens
De online enquête bestaat in totaal uit 49 vragen. De eerste vraag is of respondenten werkzaam zijn in de IT. De overige vragen zijn verdeeld over de vijf onderwerpen uit de ‘protection motivation theory’. In onderstaande tabel is, naast het aantal vragen per onderwerp, de Cronbach alpha score weergegeven. Cronbach alpha omvat de interne betrouwbaarheid van de vragenlijst waarbij gemeten wordt of de diverse vragen per onderwerp hetzelfde meten. Hiermee wordt voorkomen dat onderling zogenaamde ‘appels met peren worden vergeleken’.
Protection motivation theory Onderwerp Aantal vragen Cronbach alpha (TMG) Crombach alpha (AM) Threat appraisal 1. Perceived severity 7 0,71 0,70
2. Perceived vulnerability 9 0,79 0,71
Coping appraisal
3. Response costs 11 0,85 0,77
4. Response efficacy 12 0,84 0,87
5. Self-efficacy 9 0,83 0,87
Tabel 1: Uitkomsten Cronbach alpha berekeningen
Uit bovenstaande tabel blijkt dat de Cronbachs alpha boven de 0,7 ligt. De conclusie die getrokken kan worden uit de bovenstaande tabel is dat de interne betrouwbaarheid (de
Cronbachs alpha) voldoende is. Een waarde tussen de 0,7 – 1,0 is voldoende (Bryman, 2008). De onderwerpen behorend tot de ‘coping appraisal’ (nummers 3, 4, 5) laten een hogere interne correlatie laten zien dan de onderwerpen behorend bij de ‘threat appraisal’ (nummers 1, 2). Kortom voor alle vijf de onderwerpen is de score voldoende en mogen verdere
Aantal respondenten TMG Andere mediaorganisaties Werkzaam in IT Respondenten Ja 26,15% 17 Nee 73,85% 48 Totaal 100% 65
Tabel 2 en 3: Respondenten werkzaam in IT
In totaal bestaat de populatie van beide groepen uit 108 respondenten. Bij TMG zijn in totaal 65 online enquêtes ingevuld, waarvan 17 door mensen die werkzaam zijn binnen de IT. Deze scriptie richt zich op gebruikers zonder IT-achtergrond. Vandaar dat deze 17 respondenten niet zijn meegenomen in de data-analyse.
Bij de groep ‘andere mediaorganisaties’ zijn in totaal 43 online enquêtes ingevuld. Hiervan zijn 10 enquêtes ingevuld door mensen werkzaam in de IT. De bruikbare omvang van de populatie ‘andere mediaorganisaties’ betreft 33 en is daarmee kleiner dan de TMG groep.
4.2 Resultaten per deelvraag
In deze paragraaf worden de enquêteresultaten geanalyseerd met behulp van SPSS. In bijlage drie staan de exacte berekeningen. Om het overzicht van de vele berekeningen en uitkomsten voor de lezer inzichtelijk te maken, is de volgende kleurindeling gebruikt:
Rood = Geen statistisch significante uitkomst voor zowel TMG als de groep ‘andere mediaorganisaties’
Groen = Statistisch significante uitkomst voor zowel TMG als de groep ‘andere mediaorganisaties’
Geel= Statistisch significante uitkomst voor TMG óf de groep ‘andere mediaorganisaties’ Deelvraag 1. In hoeverre draagt de waargenomen kwetsbaarheid van:
- Het opschrijven van wachtwoorden
- Het openen van onbekende links/bijlages in de e-mail - Het onbeheerd laten van ICT-middelen
bij aan de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie?
TMG
Uit de SPSS-berekeningen blijkt dat geen van de drie bovengenoemde onderwerpen een Werkzaam in IT Respondenten
Ja 23,26% 10
Nee 76,74% 33
statistisch significante rol spelen bij de algehele waargenomen kwetsbaarheid van het
informatiesysteem van de organisatie. Anders verwoord, de waargenomen kwetsbaarheid van deze onderwerpen heeft geen significante invloed op de algehele waargenomen kwetsbaarheid van TMG medewerkers.
Voor de berekeningen wordt verwezen naar bijlage 3. Andere mediaorganisaties
Bij de groep ‘andere mediaorganisaties’ zijn twee statistisch significante uitkomsten
gevonden. De waargenomen kwetsbaarheid van: 1) het openen van onbekende links/bijlages in de e-mail en 2) het onbeheerd laten van ICT-middelen heeft een significante invloed op de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie. Het opschrijven van wachtwoorden heeft geen significante invloed.
Samenvatting
Door respondenten uit beide groepen wordt het opschrijven van wachtwoorden niet gezien als een activiteit welke invloed heeft op de algehele waargenomen kwetsbaarheid van het
informatiesysteem van de organisatie. Voor de TMG-respondenten geldt dat 1) het openen van onbekende links/bijlages in de e-mail en 2) het onbeheerd laten van ICT-middelen niet gezien worden als activiteiten die invloed hebben op de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie. Dit in tegenstelling tot de groep ‘overige
mediaorganisaties’. De respondenten uit deze groep zien in deze twee activiteiten wel een kwetsbaarheid die bijdraagt aan de algehele waargenomen kwetsbaarheid. Wellicht dat TMG- respondenten meer risico gedreven en minder ‘risk averse’ zijn dan respondenten in de groep ‘andere mediaorganisaties’.
Deelvraag 2. In hoeverre dragen de waargenomen responskosten van:
- Het niet opschrijven van wachtwoorden
- Het niet openen van onbekende links/bijlages in de e-mail - Het niet onbeheerd laten van ICT-middelen
bij aan de algehele waargenomen responskosten voor het implementeren van informatiebeveiligingsmaatregelen?
TMG
Uit de SPSS-berekeningen blijkt dat alle drie de onderwerpen een significante voorspeller zijn voor de algehele waargenomen responskosten voor het implementeren van
informatiebeveiligingsmaatregelen. Anders verwoord, het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages in de e-mail en het niet onbeheerd later van ICT-middelen zijn onderdeel van de algehele waargenomen
responskosten. Ze worden daarmee gezien als responskosten voor het implementeren van informatiebeveiligingsmaatregelen. Onder responsekosten wordt verstaan: (overhead)kosten, tijd en ongemak.
Andere mediaorganisaties
De resultaten bij de groep ‘andere mediaorganisaties’ zijn voor het merendeel niet significant. Een uitzondering hierop is het niet opschrijven van wachtwoorden. Het niet opschrijven van wachtwoorden is een responskost met een significante invloed op de algehele waargenomen responskosten voor het implementeren van informatiebeveiliging.
Samenvatting
De twee groepen met respondenten verschillen aanzienlijk van elkaar. Bij TMG worden alle drie de onderwerpen worden gezien als responskosten voor het implementeren van
informatiebeveiligingsmaatregelen. Bij de groep ‘andere mediaorganisaties’ is dit alleen van toepassing op het niet opschrijven van wachtwoorden. Een mogelijk denkbare reden hiervoor is de regelmatige communicatie binnen TMG over deze drie onderwerpen. Met als gevolg dat deze drie beheersmaatregelen worden gezien als (noodzakelijke) responskosten die bijdragen aan een veilige informatievoorziening binnen de organisatie. Voor de groep ‘andere
mediaorganisaties’ is geen achtergrondinformatie beschikbaar rondom (regelmatige)
communicatie over deze onderwerpen. Hierdoor kan niet met zekerheid gesteld worden of dit een plausibele verklaring is. Een andere mogelijke verklaring is dat respondenten in de groep ‘andere mediaorganisaties’ het niet openen van onbekende links/bijlagen en het niet
onbeheerd laten van ICT-middelen, niet beschouwen als een responskost maar bijvoorbeeld zien als een ‘goede gewoonte’.
Deelvraag 3: In hoeverre draagt de waargenomen effectiviteit van:
- Het niet opschrijven van wachtwoorden
- Het niet onbeheerd laten van ICT-middelen
bij aan de algehele waargenomen effectiviteit van de informatiebeveiligingsmaatregelen? Samenvatting:
De resultaten voor de groep TMG en de groep ‘andere mediaorganisaties’ zijn exact hetzelfde. Uit de SPSS-berekeningen blijkt dat voor de waargenomen effectiviteit de berekeningen verschillen per onderwerp. De waargenomen effectiviteit van het niet
opschrijven van wachtwoorden en het niet openen van onbekende links/bijlages in de e-mail draagt bij aan de algehele waargenomen effectiviteit van informatiebeveiligingsmaatregelen (statistisch significante uitkomst). Anders verwoord, deze twee onderwerpen worden gezien als effectieve informatiebeveiligingsmaatregelen. Het niet onbeheerd laten van ICT-middelen is geen significante voorspeller voor de algehele waargenomen effectiviteit van
informatiebeveiligingsmaatregelen. De mogelijke verklaring hiervoor is dat diefstal veelal plaatsvindt wanneer de eigenaar/bewaarder van de ICT-middelen niet aanwezig is
(bijvoorbeeld inbraak tijdens de vakantie). Diefstal wordt daardoor mogelijk gezien als iets dat niet te voorkomen is.
Deelvraag 4: In hoeverre draagt de waargenomen zelf-effectiviteit van het uitvoeren van:
- Het niet opschrijven van wachtwoorden
- Het niet openen van onbekende links/bijlages in de e-mail - Het niet onbeheerd laten van ICT-middelen
bij aan de algehele waargenomen zelf-effectiviteit voor het uitvoeren van informatiebeveiligingsmaatregelen?
Samenvatting
De resultaten van deze deelvraag zijn het meest opvallend. Niet alleen zijn de uitkomsten in SPSS voor beide groepen respondenten exact hetzelfde, de drie onderwerpen hebben ook allen een significante invloed op de algehele waargenomen zelf-effectiviteit voor het
uitvoeren van informatiebeveiligingsmaatregelen. Anders verwoord, deze drie onderwerpen zijn onderdeel van de persoonlijke zelf-effectiviteit voor het uitvoeren van
informatiebeveiligingsmaatregelen. De implicaties van deze bevinding worden in de conclusie nader toegelicht.
Deelvraag 5: Wat is het verband tussen de waargenomen ernst en de responsekosten? Samenvatting
Uit de berekening van beide groepen blijkt dat er geen significant verband is tussen de waargenomen ernst en de responsekosten. De ‘kosten’ voor het niet opschrijven van
wachtwoorden, het niet openen van onbekende links/bijlages en het niet onbeheerd laten van ICT-middelen hebben geen significante invloed op de waargenomen ernst. Dit is opvallend, aangezien het aannemelijk is dat de waargenomen ernst een uitwerking heeft op de kosten. De kosten zijn in dit onderzoek onderverdeel in: (overhead)kosten, moeilijkheidsgraad en
ongemak om beveiligingsmaatregelen te implementeren. Verwacht werd dat wanneer de waargenomen ernst groot is, respondenten de kosten van beheersmaatregelen mogelijk lager beschouwen (omdat dit opweegt tegen de waargenomen ernst). Anders verwoord, dat zij het ongemak en de moeilijkheid van het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages en het niet onbeheerd laten van ICT-middelen lager zouden
beschouwen. Uit de resultaten van dit onderzoek blijkt echter dat een dergelijk verband niet aanwezig is.
Hoofdstuk 5 Conclusie
In dit hoofdstuk wordt allereerst de hoofdvraag beantwoord. Daarna volgen de verschillen met het onderzoek van Ifinedo (2011). Ook de impact van de scriptie-uitkomsten voor de IT- auditor worden beschreven. Tot slot eindigt dit hoofdstuk met een discussieparagraaf over beperkingen van deze scriptie en mogelijkheden voor vervolgonderzoek.
5.1 Beantwoording hoofdvraag
De hoofdvraag van deze scriptie betreft: Welke psychologische inschattingen spelen een rol bij informatiebeveiliging? Om deze vraag te beantwoorden is gebruik gemaakt van de ‘protection motivation theory’, welke bestaat uit twee onderdelen: ‘threat appraisal’ en
‘coping appraisal’. Beide bestaan uit deelonderwerpen, zoals in figuur 7 weergegeven. Om de hoofdvraag te beantwoorden zijn vijf deelvragen beantwoord in hoofdstuk vier.
Figuur 7: Weergave onderdelen ‘protection motivation theory’.
Gebaseerd op de analyse kan geconcludeerd worden dat voornamelijk gebruik wordt gemaakt van de ‘coping appraisal’ om psychologische inschattingen te maken bij
informatiebeveiliging. Dit geldt in het bijzonder voor zelf-effectiviteit. Voor de groep TMG en de groep ‘andere mediaorganisaties’ is gebleken dat het niet opschrijven van
wachtwoorden, het niet openen van onbekende links/bijlages en het niet onbeheerd laten van ICT-middelen, positief bijdraagt aan de algehele waargenomen zelf-effectiviteit. Daarnaast speelt de reactieve uitwerking (effectiviteit) van informatiebeveiligingsmaatregelen eveneens een rol bij de psychologische inschatting over informatiebeveiliging. In deze scriptie geldt dit voor zowel het niet opschrijven van wachtwoorden als het niet openen van onbekende
links/bijlages uit de e-mail. Daarentegen spelen reactieve kosten een zeer beperkte rol bij de
Threat
appraisal
2. Waargenomen ernst 1. Waargenomen kwetsbaarheidCoping
appraisal
1. Zelf- effectiviteit 2. Reactieve uitwerking 3. Reactieve kostenpsychologische inschattingen over informatiebeveiliging. Voor beide groepen respondenten in deze scriptie blijkt dat reactieve kosten enkel een rol speelt in relatie tot het niet opschrijven van wachtwoorden. In figuur 7 staan de drie deelonderwerpen op volgende van belangrijkheid weergegeven.
In tegenstelling tot de ‘coping appraisal’ is de ‘threat appraisal’ in mindere mate van belang bij de psychologische inschatting over informatiebeveiliging. Zo maakt de
waargenomen ernst geen onderdeel uit van de psychologische inschattingen over informatiebeveiliging. De mate waarin de psychologische inschatting aangaande
kwetsbaarheid een rol heeft bij informatiebeveiliging is ambigue. De groep respondenten ‘andere mediaorganisaties’ beschouwde het openen van onbekende links/bijlages uit de e-mail en het niet onbeheerd laten van ICT-middelen als een kwetsbaarheid. De groep respondenten TMG zag hierin geen kwetsbaarheid.
Samenvattend, de psychologische inschattingen bestaande uit: zelf-effectiviteit, reactieve uitwerking en reactieve kosten spelen een rol bij informatiebeveiliging. De ernst en kwetsbaarheid van een informatiebeveiligingsdreiging spelen nauwelijks een rol bij
psychologische inschattingen over informatiebeveiliging.
5.2 Verschillen met het onderzoek van Ifinedo (2011)
Tijdens de uitvoering van het onderzoek bleek een exacte vergelijking met de resultaten van Ifinedo (2011) niet mogelijk. Informatie hierover is opgenomen in paragraaf 5.4. Het is voor drie hypothesen (H3, H4, H5) mogelijk een beschrijvende vergelijking te maken. Een belangrijke opmerking hierbij is dat Ifinedo (2011) het construct ‘behavioral intention’ om informatiebeveiligingsbeleid na te leven niet heeft gespecificeerd. In deze scriptie is het onderwerp informatiebeveiliging in drie onderdelen uiteengezet: wachtwoorden, onbekende links/bijlages en het beheer van ICT-middelen.
Allereerst is ‘Self-efficacy’ van invloed is op de gedragsintentie in het onderzoek van Ifinedo (2011). Uit deze scriptie blijkt dat de deelvraag aangaande zelf-effectiviteit het enige
onderdeel van de ‘coping appraisal’ is dat voor beide groepen een significante invloed heeft op de algehele waargenomen zelf-effectiviteit. Dit geldt voor zowel het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages uit de e-mail als het niet onbeheerd laten van ICT-middelen. Het is daarom aannemelijk dat de resultaten van Ifinedo en deze scriptie met elkaar overeenkomen.
Het onderwerp ‘Response costs’ betreft een hypothese van Ifinedo (2011) welke niet ondersteund werd door zijn data. In deze scriptie zijn de resultaten verdeeld. Voor de groep respondenten in ‘andere mediaorganisaties’ lijken de resultaten met Ifinedo (2011) overeen te komen. Voor de groep respondenten van TMG komen de resultaten niet overeen met het onderzoek van Ifinedo (2011). Vanwege deze verscheidenheid is het niet mogelijk om een algemene uitspraak te doen over een mogelijke overeenkomsten met zijn onderzoek. Daarmee is dit een interessant onderwerp voor vervolgonderzoek. Wat zijn bijvoorbeeld redenen voor deze gemixte uitkomst? Zijn de uitkomsten wellicht afhankelijk per doelgroep? Of zijn ‘response costs’ een tussenliggende factor die indirect invloed hebben op de gedragsintentie van mensen?
Tot slot de hypothese aangaande ‘Response efficacy’. Voor de onderwerpen: het niet opschrijven van wachtwoorden en het niet openen van onbekende links/bijlages uit de e-mail, lijken de resultaten overeen te komen met Ifinedo (2011). In deze scriptie geldt voor beide onderwerpen dat zij een significante invloed hebben op de algehele waargenomen
effectiviteit. De uitzondering (voor zowel TMG als de groep ‘andere mediaorganisaties’) hierop zijn de wachtwoorden. Deze bevinding is interessant, aangezien de specificatie van het onderwerp ‘informatiebeveiliging’ de reden kan zijn voor de verschillen tussen de resultaten van Ifinedo (2011) en deze scriptie. Hiermee kan dit een onderwerp zijn voor
vervolgonderzoek. Volgend onderzoek kan berekenen wat de invloed van
informatiebeveiligingsmaatregelen is op de gedragsintentie van mensen. Anders verwoord, onderzoek of medewerkers in de praktijk geen wachtwoorden opschrijven, geen onbekende links/bijlages uit de e-mail openen en geen ICT-middelen onbeheerd laten wanneer zij deze activiteiten beschouwen als effectieve persoonlijke beheersmaatregelen. Het enkel
beschouwen van deze drie activiteiten als een informatiebeveiligingsmaatregel zegt immers nog niets over de daadwerkelijke toepassing hiervan.
5.3 Implicaties voor de IT-auditor
Deze scriptie is onderdeel van de postdoctorale opleiding IT auditing (EITAP). Om deze reden wordt aandacht besteed aan de implicaties van de onderzoeksuitkomsten voor de rol van IT-auditor. Onderzoek van IT-auditors in relatie tot informatiebeveiliging maakt veelal gebruik van bestaande raamwerken zoals de ISO 27001 (code voor informatiebeveiliging), Cobit, ITIL of The standard of Good Practice (van het Information Security Forum). Mijns inziens zijn de uitkomsten van deze scriptie voornamelijk van toepassing op audits waarbij de nadruk ligt op het onderwerp ‘awareness’ (ISO 27001 hoofdstuk 7 en in de Standard of Good Practice hoofdstuk 4). In combinatie met het gegeven dat mensen de zwakste schakel zijn binnen de keten van informatiebeveiliging (Chan, Woon & Kankanhali, (2005), Richardson (2011) en Baker et al. (2010)), is aandacht voor awareness geen bijzaak maar hoofdzaak. Neem bijvoorbeeld de Nederlandse bank die ‘awareness’ in het IT-normenkader heeft opgenomen wanneer het financiële instellingen zoals banken en pensioenfondsen toetst. Wanneer auditors de ‘awareness’ toetsen van informatiebeveiliging is het belangrijk dat zij daarbij onderscheid maken tussen diverse onderwerpen van informatiebeveiliging. De resultaten uit deze scriptie wijzen erop dat niet alle drie de onderwerpen hetzelfde worden beschouwd door medewerkers. Het is belangrijk om bij het auditen van ‘awareness’ rekening te houden met de onderwerpen waarover gecommuniceerd wordt en welk effect zij beogen.
De bevindingen van deze scriptie zijn besproken met het auditteam van TMG. Dit heeft geleid tot twee interessante implicaties voor toekomstige (IT) audits bij Nederlandse mediaorganisaties. De eerste implicatie heeft betrekking op een onderdeel van de audit dat veelal het uitgangspunt representeert, de zogenoemde risicoanalyse. Tijdens de risicoanalyse worden potentiële risico’s en gewenste beheersmaatregelen bepaald. Met de resultaten van deze scriptie is inzichtelijk welke informatiebeveiligingsmaatregelen volgens medewerkers wel of geen bijdrage leveren aan de beveiliging van het informatiesysteem. Anders verwoord, de resultaten van deze scriptie representeren mogelijk een gebrek aan beheersmaatregelen, welke voor een mediaorganisatie belangrijk zijn om het risico op beveiligingsincidenten te verkleinen. De discrepantie tussen een potentiële dreiging en afwezige beheersmaatregelen zijn aandachtsgebieden voor de auditor. Een andere implicatie voor auditors werkzaam bij Nederlandse mediaorganisaties is de efficiëntie van informatiebeveiligingsaudits. Uit de resultaten van deze scriptie blijkt welke drie beheersmaatregelen een rol spelen bij informatiebeveiliging. Hierdoor beschikken auditors over kennis van deze
beschouwd als bijdragend aan het verminderen van risico’s. Dit wil echter niet zeggen dat enkel deze drie beheersmaatregelen relevant zijn voor audits gericht op informatiebeveiliging. Niettemin, uit dit onderzoek blijkt specifiek dat drie informatiebeveiligingsmaatregelen bijdragen aan de waargenomen zelf-effectiviteit om informatiebeveiligingsmaatregelen uit te voeren. Dankzij deze kennis hoeven auditors bij mediaorganisaties geen afweging te maken of het relevant is om deze drie beheersmaatregelen in opzet, bestaan en werking te testen. Zij beschikken immers al over deze informatie en houden hiermee meer tijd over voor andere werkzaamheden.
5.4 Discussie
In deze paragraaf worden de belangrijkste beperkingen en suggesties voor vervolgonderzoek beschreven. De belangrijkste betreft mijn initiële wens om de onderzoeksresultaten van Ifinedo (2011) exact te kunnen vergelijken met de resultaten van deze scriptie. Echter, tijdens de analyse werd duidelijk dat het onderzoek van Ifinedo (2011) een afhankelijke variabele heeft uitgevraagd, welke in dit onderzoek ontbreekt. Dit heeft ervoor gezorgd dat mijn hoofdvraag en deelvragen zijn aangepast, zodat deze passend waren voor de verzamelde data. Hoewel deze scriptie interessante inzichten bevat, was het naar mijn mening nog interessanter geweest om een exacte vergelijking te maken. Een suggestie voor vervolgonderzoek is
daarom om deze scriptie te reproduceren en daarbij de afhankelijke variabele
‘gedragsintentie’ uit te vragen. Bij het vervolgonderzoek dient opnieuw een splitsing te worden gemaakt naar de drie onderwerpen van informatiebeveiliging, waarop mensen zelf substantiële invloed hebben. Uit deze scriptie blijkt immers dat de uitkomsten voor de drie onderwerpen verschillen per deelvraag en per groep respondenten. Een andere mogelijkheid voor vervolgonderzoek betreft een splitsing van het onderwerp informatiebeveiliging naar andere deelonderwerpen. Denk hierbij aan: Vishing (telefonische phising), social engineering, privacy en draagbare media (USB, externe harde schijven).
Een andere beperking is het aantal respondenten per mediaorganisatie. Initieel was de wens om per mediaorganisatie de deelvragen te toetsen met de verzamelde data. Echter, vanwege het beperkte aantal respondenten per mediaorganisatie bleek dit niet mogelijk. In tegenstelling tot mijn aanname dat mediaorganisaties bereidwillig zijn om deel te nemen aan het onderzoek, bleek dit niet zo te zijn. Diverse mediaorganisaties twijfelden en besloten om niet deel te nemen. Van enkele mediaorganisaties heeft de directeur of CEO/CFO de
medewerkers te verspreiden. De belangrijkste reden bleek de angst om informatiebeveiliging gerelateerde informatie te delen. Dit heeft ertoe geleid dat veel energie is gestoken in het