رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی عنوان مکرر: قصد نقض امنیت اطلاعات

نوع مقاله : مقاله پژوهشی

نویسندگان

1 استادیار، گروه مدیریت، دانشگاه آزاد اسلامی، واحد اصفهان (خوراسگان)، اصفهان، ایران

2 دانشجوی رشته مدیریت دولتی، دانشگاه آزاد اسلامی، واحداصفهان(خوراسگان)، اصفهان، ایران

چکیده

هدف پژوهش حاضر، بررسی رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی بین کارمندان بانک کشاورزی شهر اصفهان است. این پژوهش ازنظر هدف، کاربردی و ازنظر چگونگی اجرا توصیفی - همبستگی است. جامعۀ آماری آن شامل 350 نفر از کارکنان شعب بانک کشاورزی شهر اصفهان است که نمونۀ بررسی‌شده براساس جدول مورگان و فرمول حجم نمونۀ جامعۀ محدود، 184 نفر برآورد و به روش نمونه‌گیری در دسترس متناسب با حجم انتخاب شد. ابزار جمع‌آوری اطلاعات، پرسش‌نامۀ بومی‌سازی‌ شده بود. این پرسش‌نامه‌‌ها در طیف پنج‌درجه‌ای لیکرت تنظیم شده‌‍‌اند. روایی پرسش‌نامه‌ها با استفاده از روایی صوری (تعدادی از پاسخ‌دهندگان)، روایی محتوا (استاد راهنما و متخصصان رشتۀ مدیریت) و روایی سازه (تحلیل عاملی) و پایایی آن ازطریق شاخص آلفای کرونباخ معادل 83/0 به دست آمد. اطلاعات جمع‌آوری ‌شده با نرم‌افزار SPSS و PLS Smart ازطریق آزمون‌‌های آماری در دو سطح توصیفی و استنباطی تجزیه و تحلیل شد. آگاهی از امنیت اطلاعات با هنجارهای فردی (67/0=β)، خودکنترلی (71/0=β) و قصد نقض امنیت اطلاعات (53/0-=β) رابطۀ معنادار دارد. همچنین نتایج نشان دادند هنجارهای فردی (54/0-=β) و خودکنترلی (48/0-=β) با قصد نقض امنیت اطلاعات رابطۀ معنادار دارند.

کلیدواژه‌ها


عنوان مقاله [English]

The Relationship between Information Security Awareness and the Intention to Violate Information Security with the Mediating Role of Individual Norms and Self-control

نویسندگان [English]

  • Hamid Reza Peikari 1
  • Babak Banazdeh 2
1 Islamic Azad University of Isfahan (Khorasgan), Isfahan, Iran
2 Department of Public Administration, Isfahan (Khorasgan) Branch, Islamic Azad University, Isfahan, Iran
چکیده [English]

Introduction: while the role of information in today’s world cannot be denied, and since most activities and processes depend on information, the violation of information security is a critical concern. There are numerous motivations to threaten the security of an organization’s information, ranging from economic motivations to revenge, although some threats are not intentional and the source of such threats does not really intend to do so. There are two sources of security threats, internal and external. The internal threats consist of the employees who intentionally or unintentionally violate the security rules of organizational information. While there are a variety of studies, dealing with this issue from different angles, researchers found no prior reports on the relationship between information security awareness and intention to violate information security with the mediating role of individual norms and self-control. Hence, this research aims to employ several theories, including general deterrence theory, general crime theory, control theory and social learning theory and suggests 5 minor hypotheses and 2 major hypotheses to examine the mentioned relationship among the employees of Keshavarzi Bank in Isfahan city. The results will lead to the development of a new theoretical model, which expands our knowledge in this field and also can be employed by researchers as the theoretical underpinning in their future research. The results can also offer new practical suggestions and solutions to reduce the incidents of information security breach in organizations by the employees.
Material & Methods: The present study is an applied research in terms of the purpose, and it is a descriptive-survey with correlation approach in terms of the method. The population of the present study consisted of 350 employees of Keshavarzi Bank in Isfahan. The studied sample was estimated 184 individuals based on the Morgan table and was selected by stratified random sampling fitted to size. The scale was adopted and adapted from published sources, and, except the demographics, was formatted on the five-point Likert scale. The demographics consisted of 5 questions, referring to the respondents’ age, gender, education level, marital status, and organizational position.  The main scale for the variable ‘information security awareness’ consisted of 3 dimensions, namely, ‘information security general awareness’, ‘information security rules awareness’, and ‘information security violation sanctions’, each consisted of three-question items. The questionnaires for ‘individual norms’ and ‘intention to violate information security’ each consisted of 4 items, and the questionnaire for ‘self-control’ consisted of 3 items. The validity of the questionnaires was obtained using face validity (by a number of respondents), content validity (by faculty members and management specialists) and construct validity (confirmatory factor analysis), using average variance extraction (AVE), composite reliability (CR), factor loading and Fornel and Larcker criterion. To examine the scale reliability, Cronbach’s alpha was used and the overall reliability was 0.83. The collected data were analyzed by SPSS and SmartPLS software at two levels of descriptive and inferential statistics. Based on the results, all the research hypotheses were approved.
Discussion of Results & Conclusions: The relationships between awareness of information security with individual norms (β=0.67), self-control (β=0.71), and intention to violate information security (β=- 0.53) were significant. The results also indicated that individual norms (β= -0.54) and self-control (β= 0.48) were significantly related to intention to violate information security. The results are consistent with some past similar studies, which have been discussed. Overall, it can be suggested that employees’ awareness regarding the security rules of the organization, and the consequences of violation of information security should be improved by conducting different classes. Moreover, building an efficient security culture to encourage employees to follow the security rules of the organization can be an effective step toward this goal. Another step would be implementing sanctions in public against those who violate the security rules of the organization.

کلیدواژه‌ها [English]

  • Information Security Awareness
  • Intention to Violate Information Security
  • Individual Norms
  • Self-control

مقدمه و بیان مسئله

جهان امروز از جوامع اطلاعات‌محور تشکیل شده است که اصلی‌ترین ویژگی آن اهمیت و استفاده از اطلاعات و ارتباطات در امور جاری است (Krishnan, 2003). نقش بی‌بدیل اطلاعات در تصمیم‌گیری‌‌ها و همچنین پیشرفت سریع فناوری اطلاعات موجب تبدیل جوامع امروزی به جوامع اطلاعاتی شده است. امروزه نقش پراهمیت‌ اطلاعات در جوامع و حساسیت فرایندهای جمع‌آوری، ثبت و انتشار اطلاعات، دگرگونی بنیادینی را در ساختار مناسبات و ارتباطات جوامع ایجاد کرده و همین امر، موجب ایجاد مخاطرات، تهدیدها و نگرانی‌های جدیدی مبتنی بر اطلاعات شده است که مقولۀ رفتارهای پرخطر دربارۀ اطلاعات از آن جمله است (پورنقدی، 1397). رفتارهای پرخطر، رفتارهای بالقوۀ مخربی‌اند که افراد یک جامعه، به‌طور ارادی یا حتی بدون اطلاع از پیامدها و عواقب نامطلوب احتمالی، آنها را انجام می‌دهند (بوستانی، 1391: 2) که از آن جمله، نقض امنیت اطلاعات است (پورنقدی، 1397). این رفتارهای ضداجتماعی مهم‌ترین چالش‌های بهداشتی و روانی - اجتماعی در یک جامعه‌اند (عباس‌زاده و همکاران، 1396: 2). بررسی اسناد و مدارک نشان می‌دهد امنیت مترادف مفهوم «سلامتی» به کار رفته و وجود آن ضامن سلامتی جامعه پنداشته شده است (حیدری‌ساربان، 1396: 46)؛ بنابراین، این امر، برنامه‌ریزی دقیق برای شناسایی عوامل مؤثر در مدیریت و کنترل آن را برای ارتقای سلامت روانی جامعه می‌طلبد. اهمیت این مسئله به این دلیل است که امروزه نیازها، کسب و کار، تجارت، امور مالی و بانکی ازطریق تبادل اطلاعات برطرف می‌‌شوند؛ بنابراین، اهمیت امنیت اطلاعات دوچندان می‌‌شود (Krishnan, 2003). به همین دلیل، در صورت نقض امنیت اطلاعات، سازمان‌ها و افراد دچار تشویش خاطر و احساس ناامنی می‌شوند؛ درنتیجه، به‌دلیل نقش حفاظت از امنیت اطلاعات حساس افراد در سلامت و بهداشت روانی جامعه، شناسایی عواملی که در نقض امنیت اطلاعات نقش دارند و موجبات به خطر افتادن سلامت روانی جامعه را فراهم می‌کنند، اهمیت بسزایی دارد. در همین راستا، یکی از مهم‌ترین عناصر در مدیریت امنیت اطلاعات، کارمندان سازمان‌ها هستند (کریمی ‌و پیکری، 1397).

مانند دیگر سطوح جامعه، سازمان‌های امروزی به جمع‌آوری، ثبت و انتشار اطلاعات نیاز دارند؛ بنابراین، درک آنچه موجب می‌‌شود کارمندان، اقدامات امنیتی مربوط به اطلاعات را بپذیرند یا در مقابل آن مقاومت کنند، حیاتی است (اسفندیارپور، 1389). امروزه بسیاری از بانک‌‌ها دریافته‌‌اند که برای موفقیت، علاوه بر استفاده از روش‌‌ها و فناوری‌های امنیتی، به سرمایه‌‌گذاری و برنامه‌ریزی برای ایجاد یک برنامۀ جامع امنیت نیازمندند تا بدان طریق از افشای اطلاعات حساس خود که از یک سو موجب خسارت‌دیدن فعالیت‌های بانکداری‌‌ و ازسوی دیگر، موجب نگرانی مشتریان خود و از دست دادن اعتماد آنها می‌شود، جلوگیری کنند. برنامۀ جامع امنیت ‌‌بانکداری‌‌ الکترونیک شامل فناوری‌ها و برنامه‌های حفاظتی - فناوری‌های موجود (نرم‌افزار و سخت‌افزار)، افراد و برنامه‌های مدیریتی مرتبط با حفاظت از منابع و عملیات بانکداری‌‌ - است. با وجود این، موفقیت چنین برنامه‌هایی به مدیریت نیروی انسانی سازمان و برنامه‌ریزی برای تغییر رفتار امنیتی آنها بستگی دارد (کریمی ‌و پیکری، 1397). به عبارت دیگر، علاوه بر اهمیت استفاده از فناوری‌های به‌روز و پیشرفته برای حفاظت از امنیت اطلاعات، نگرش و رفتار کارمندان نیز در حفاظت از امنیت اطلاعات سازمان نقش اساس دارد (D’arcy & Herath, 2011). پژوهشگران در مطالعه‌ای گزارش کردند که بیشتر دلایل نقض امنیت اطلاعات به فاکتورهای مرتبط به افراد برمی‌‌گردد (کریمی ‌و پیکری، 1397)؛ به‌طوری که حتی راه ‌‌حل فنی بالاتر از حد نیاز را برای سازمان مضر دانستند. طبق یافته‌های آنها، در صورت ایجاد همۀ تمهیدات فنی و سیاست‌‌های امنیتی، آگاهی‌نداشتن و بی‌‌توجهی کارمندان می‌‌تواند همۀ حفاظت‌های فنی را بی‌نتیجه کند؛ در صورتی که کارمندان آگاه در محیط کاری تا اندازۀ زیادی موجب کاهش این خطرات امنیتی می‌‌شوند (Kruger & Kearney, 2006)؛ بنابراین، ارتقای چگونگی رفتار کارکنان بستر مناسبی برای ارتقای اثربخشی امنیت اطلاعات در درون بانک فراهم می‌‌کند و مدیریت بانک باید با تدوین برنامه‌ها و سیاست‌های مناسب و اثرگذار در این حوزه، سعی در مدیریت امنیت اطلاعات در بانک داشته باشد.

در این زمینه و براساس نظریۀ بازدارندگی عمومی، یکی از جنبه‌‌ها و راه‌‌های مهم برای حفاظت و مدیریت امنیت اطلاعات، ارتقای آگاهی کاربران از امنیت اطلاعات است (D’arcy & Herath, 2011; D’arcy et al., 2009). در این صورت، افراد آگاهی‌‌های لازم و مربوط به نقش و مسؤلیت خویش در حفظ امنیت اطلاعات در کار مربوط به خود را کسب می‌‌کنند. بنابراین آموزش کارکنان و افزایش آگاهی آنها دربارۀ امنیت اطلاعات، می‌‌توانند تأثیر جالب‎‌توجهی در حفاظت از اطلاعات سازمان داشته باشند (ولی، 1391؛ کریمی ‌و پیکری، 1397).

رابطۀ بین آگاهی از امنیت اطلاعات در سازمان با ارزش‌های شخصی (خودکنترلی و هنجارهای شخصی) و قصد نقض اطلاعات را می‌توان با استناد به نظریۀ یادگیری اجتماعی، نظریۀ عمومی جرم و نظریۀ کنترل توضیح داد (Skinner & Fream, 1997; Park et al., 2017). براساس نظر اودونگو و رابین (2001)، آگاهی بر رفتار خودکنترلی افراد تأثیر دارد. در خودکنترلی، عامل کنترل‌‎کننده از محیط به انسان منتقل می‌شود؛ به‌طوری که شخص با اختیار و آگاهی عملکرد خود را در قالب استانداردهای مشخص و درجهت اهداف مطلوب ارزیابی و اصلاح می‌کند (سجادی، 1385). پژوهش‌های انجام‌شده نشان می‌دهند هنجارهای شخصی به‌صورت مستقیم بر رفتارهای انحرافی تأثیر می‌گذارند (Song et al., 2016). کارمندانی که آگاهی از امنیت ‌‌اطلاعات در سطح بالا دارند، ممکن است هنجارهای فردی سطح بالا هم داشته باشند که این هنجارها با به‌کارگیری روش‌های آموزشی در بانک‌ها شکل گرفته‌اند. در مطالعات گذشته گزارش شده است که آگاهی با هنجار فردی رابطه دارد. چنانکه ایفندو[1] (2014) گزارش کرده است، در صورتی که آگاهی دانش‌آموزان در زمینۀ رفتارهای ضداجتماعی افزایش یابد، این امر بر ارزش‌ها و هنجارهای آنها تأثیر خواهد داشت. از آنجا که طبق نظریۀ عمل منطقی، ارزش‌‎های فردی در تعیین رفتار فرد مؤثر است، می‌توان نتیجه گرفت دربارۀ سیاست‌های امنیتی اگر فردی خودکنترلی بالایی داشته باشد، تمایل کمتری به افشای اطلاعات دارد (سجادی، 1385)؛ بنابراین، کارکنانی که هنجارهای شخصی بالایی دارند، خود را با سیاست‌‌های استفاده از اینترنت بیشتر تطبیق می‌دهند و نگرش آنها با سیاست‌‌های امنیتی سازگاری دارد و تمایل کمتری به افشای اطلاعات سازمان دارند (Park et al., 2017)؛ بنابراین، انتظار می‌رود هنجارهای فردی و خودکنترلی در ارتباط بین آگاهی افراد در زمینۀ امنیت اطلاعات و رفتار آنها دربارۀ امنیت اطلاعات نقش میانجی داشته باشد.

در همین راستا، هدف این پژوهش تعیین رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی است. انجام این مطالعه، علاوه بر ارائه و آزمودن یک الگوی نظری جدید در حوزۀ امنیت اطلاعات از منظر انسانی - که می‌تواند به پژوهشگران و جامعۀ علمی‌ در زمینۀ درک بهتر چگونگی مدیریت و حفاظت از امنیت اطلاعات از منظر نیروی انسانی سازمان کمک کند - می‌تواند مبنای نظری جدیدی را برای مطالعات بعدی و گسترش الگوی ارائه‌شده به‌وسیلۀ پژوهشگران دیگر فراهم کند. یافته‌ها همچنین می‌توانند شامل پیشنهادها و راهکارهای کاربردی جدیدی برای سیاست‌گذاری در حوزۀ مدیریت امنیت اطلاعات باشند.

 

مرور ادبیات پژوهش

قصد نقض امنیت اطلاعات: امنیت اطلاعات به معنای حفاظت اطلاعات و سیستم‌های اطلاعاتی از فعالیت‌های غیرمجاز است. این فعالیت‌ها عبارت‌اند از: دسترسی، استفاده، افشا، خواندن، نسخه‌‌برداری یا ضبط، خراب‌کردن، تغییر و دستکاری (سادوسکای و همکاران، 1384). قصد نقض امنیت اطلاعات یعنی رعایت‌نکردن محدودیت‌ها و قوانین مرتبط با امنیت اطلاعات و نقض اطلاعات که ممکن است تبعاتی برای کسب و کار داشته باشد و جبران آن ماه‌‌ها و سال‌‌ها طول بکشد که ناآگاهی یا اطلاع ناقص از مقررات و قوانین یا اشتباهات، فرصت‌های زیادی برای افشای اطلاعات سازمان در اختیار رقبا قرار می‌دهد (ولی، 1391).

آگاهی از امنیت اطلاعات: آگاهی‌‌های لازم و مربوط به نقش و مسئولیت افراد در حفظ امنیت اطلاعات در کار مربوط به خود را گویند. آگاهی از امنیت اطلاعات در افراد سبب تغییر رفتار آنها و تقویت فعالیت‌های خوب امنیتی می‌شود و به افراد اجازه می‌دهد نسبت به امنیت فناوری اطلاعات نگران و پاسخگو باشند (حسن‌زاده و همکاران، 1391). آگاهی از امنیت اطلاعات طبق نظر پارک و همکاران شامل سه بعد زیر است: الف) آگاهی عمومی ‌از امنیت اطلاعات به معنای آگاهی‌رسانی عمومی ‌در زمینۀ ابعاد امنیت، ازجمله اهداف یک سیستم مدیریت امنیت اطلاعات است که با هدف افزایش آگاهی عمومی ‌کاربران و جامعۀ مخاطبان سیستم‌های مدیریت امنیت اطلاعات، صورت می‌‌گیرد (Park et al., 2017). ب) آگاهی از قوانین امنیت اطلاعات که یک مفهوم ساختاری جدید است که به آگاهی، درک و رعایت کارکنان از سیاست‌ها، قوانین و اطلاعات امنیتی سازمان مرتبط اشاره و بیان می‌کند که آگاهی کارکنان از سیاست امنیت اطلاعات سازمان تأثیر مثبتی بر نگرش کارکنان برای موافقت با سیاست‌های امنیتی شرکت دارد (Bulgurcu et al., 2010). ج) آگاهی از شدت مجازات نقض امنیت اطلاعات به دانش و درک درست کارکنان از انواع مجازات و شدت مجازات‌های مرتبط با نقض امنیت اطلاعات سازمان اطلاق می‌شود (Park et al., 2017). بلگورسو و همکاران[2] (2010) نشان دادند آگاهی عمومی ‌از اطلاعات امنیتی زیرمجموعۀ آگاهی امنیت اطلاعات است که تأثیر مثبتی در نگرش به‌سوی موافقت با سیاست امنیتی اطلاعاتی سازمان دارد. کارمندان بانک به درک مفهوم کلی از امنیت اطلاعات و مسائل برای محافظت مناسب از اطلاعات سلامتی بیماران نیاز دارند.

خودکنترلی: هرگاه عامل کنترل‌کننده از خارج به داخل انسان منتقل شود، به‌طوری که شخص با اختیار و آگاهی، عملکرد خود را در قالب استانداردهای مشخص و در جهت اهداف مطلوب ارزیابی و اصلاح کند، خودکنترلی تحقق‌‌ یافته است (سجادی، 1385). نظریۀ کنترل به دیدگاهی بازمی‌گـردد کـه دربـارۀ کنتـرل انسـان بحـث می‎کند. نظریه‌های کنترل اجتماعی، بزهکاری را به متغیرهای عادی جامعه نسبت می‌دهنـد. نظریه‌پردازان کنترل اجتماعی در این باور مشترک‌اند که آنچه باید تشریح شود این است که چرا مردم از قانون پیروی می‌کننـد. جـزء مهـم تمام نظریه‌های کنترل اجتماعی، تلاش برای تشریح عوامل بازدارندۀ مـردم از ارتکـاب جـرم است (ویلیامز و مک‌شین، 1391). نظریۀ عمومی‌ جرم از دیگر نظریه‌هایی است که در این زمینـه از آن بهـره بـرده شـده است. این نظریه، مفاهیم نظریۀ کنترل را با دیـدگاه‌هـای زیسـت اجتمـاعی، روان‌شـناختی، فعالیـت روزمـره و نظریـه‌های انتخـاب عقلانـی ترکیـب مـی‌کنـد (Siegel, 2001). نظریۀ عمومی‌ جرم، مدعی است افراد با هدف کسب لذت و احتـراز از رنـج، مرتکـب جرم می‌شوند؛ بنابراین، جرم امری منطقـی، عقلانـی و پـیش‌بینـی‌پـذیر اسـت. افـراد زمـانی مرتکب جرم می‌شوند که این امـر پـاداش‌دهنـده و عامل خودکنترلی غایب باشد. خودکنترلی، ایجاد حالتی درون فرد است که او را به انجام وظایفش متمایل می‌کند، بدون آنکه عامل خارجی بر او کنترل داشتــــه باشد.

هنجاری‌‌های فردی: هنجارهایی‌اند که اثر بازدارندگی قوی بر رفتارهای انحرافی افراد دارند و دانش کافی دربارۀ اخلاق، اینکه چه چیزی درست و چه چیزی نادرست است و اینکه کدامین رفتار مناسب است، ارائه می‌‌دهند (Li et al., 2010: 638). در اصطلاح جامعه‌شناسی هنجارها را الگوهای استانداردشدۀ رفتار می‌گویند. این الگوها نشان‌دهندۀ رفتار ایده‌آل یا مطلوب جامعه‌اند. هنجارها در جامعه‌شناسی به‌منزلۀ یک قاعدۀ رفتاری عمل می‌کنند که هم افراد برای انجام کارها از آن پیروی می‌کنند و هم رفتار انسان‌ها با آن سنجیده می‌شود؛ بنابراین، هنجارهای اجتماعی‌اند که تعیین می‌کنند انسان چه باید بگوید و از گفتن چه چیزهایی باید اجتناب ورزد. باید چگونه بیندیشد و چگونه رفتار کند (بیرو، 1375). هنجارها از این بابت بر ارزش‌ها و نگرش‌های اجتماعی اثر می‌گذارند که تجویزکننده و در عین حال نهی‌کنندۀ رفتارها هستند. هنجارهای اجتماعی را تجلی بیرونی ارزش‌های اجتماعی می‌دانند. هنجارها به این دلیل باقی می‌مانند که با نظام ارزشی جامعه توافق‌ دارند و به نیازهای اجتماعی پاسخ می‌دهند (سلیمی ‌و داوری، 1380). پژوهش‌های پیشین به این نتیجه رسیده‌اند که هنجارهای ذهنی نسبت به نگرش‌ها، در پیش‌بینی مقاصد رفتاری افراد نقش مهم‎تری دارند (نخعی و خیری، 1391).

 

مروری بر پژوهش‌‌های پیشین

کریمی و پیکری ‌(1397) در پژوهشی توصیفی - میدانی با نام «تأثیر ادراک پرستاران از آموزش امنیت اطلاعات و آگاهی از سیاست‌های امنیت اطلاعات بر ادراک از شدت و قطعیت مجازات نقض امنیت اطلاعات»، تأثیر ادراک کارکنان از قطعیت و شدت مجازات‌های افشای اطلاعات را بر قصد آنها برای سوءاستفاده از اطلاعات بررسی کردند. نمونۀ بررسی‌شده در این پژوهش 124 نفر از کارکنان بیمارستان چمران شهر اصفهان بود. فرضیه‌ها با نرم‌افزار Smart PLS تجزیه و تحلیل شدند. نتایج پژوهش نشان دادند ادراک کارکنان از شدت و قطعیت مجازات‌‌ها تأثیر منفی بر افشای اطلاعات دارد. آگاهی کارکنان از سیاست‌های امنیتی سیستم‌های اطلاعاتی تأثیر مثبت معنادار بر ادراک آنها نسبت به شدت و قطعیت مجازات افشای اطلاعات و آگاهی‌شان از برنامه‌های آموزشی آگاهی و امنیتی، تأثیر مثبت معنادار بر ادراک آنها نسبت به شدت و قطعیت مجازات افشای اطلاعات دارد. همچنین آگاهی کارکنان از شیوه‌های نظارت بر کامپیوتر، تأثیر مثبت معنادار بر ادراک آنها نسبت به شدت و قطعیت مجازات افشای اطلاعات دارد.

احمدی‌جزئی (1395) در پژوهش «بررسی فرهنگ سازمانی و تأثیر آن بر مدیریت امنیت اطلاعات» با توجه به سطح آمادگی کارکنان قوۀ قضاییه به این نتیجه دست یافت که فرهنگ سازمانی مشارکتی بر محرمانه‌بودن و دردسترس بودن اطلاعات اثرگذار بوده است؛ ولی بر پیوستگی اطلاعات و پاسخگویی اثرگذار نبوده است. همچنین فرهنگ ثبات بر هر چهار مؤلفۀ امنیت اطلاعات اثرگذار بوده است؛ ولی فرهنگ نوآوری و فرهنگ اثربخشی بر هیچ‌کدام از مؤلفه‌های امنیت اطلاعات تأثیرگذار نبوده است.

خواجویی (1390) در پژوهش «بررسی کنترل‌‌های امنیت اطلاعات»، حوزه‌های مدیریتی و اهداف کنترلی امنیت اطلاعات را براساس استاندارد مدیریت امنیت اطلاعات اولویت‌بندی کرد. او برای بررسی استاندارد مدیریت امنیت اطلاعات از روش تحلیل سلسله‌مراتبی فازی و برای گردآوری داده‌های پژوهش از پرسش‌نامه‌ای مشتمل بر 144 مقایسۀ زوجی استفاده کرد. جامعۀ این پژوهش مناطق چهارگانۀ شرکت ملی پخش فرآورده‌های نفتی ایران در منطقۀ شرق و جنوب‌شرق کشور شامل کرمان، زاهدان، خراسان جنوبی و چابهار بود که به‌دلیل محدودبودن تعداد اعضای کمیته‌های راهبری این چهار منطقه، از روش سرشماری در نمونه‌گیری استفاده شد. بعد از تجزیه و تحلیل داده‌ها ضریب ناسازگاری 05/0 برای پرسش‌نامه‌های پژوهش به دست آمد که این مقدار کمتر از 1/0 و مقداری پذیرفتنی بود. نتایج حاصل از پژوهش نشان می‌دهند حوزه‌‌های مدیریتی کنترل دسترسی و اکتساب، بهبود، حفظ و نگهداری سیستم‌های اطلاعاتی به ترتیب با اوزان محلی 124/0 و 121/0 اولویت‌های اول و دوم و مدیریت دارایی با وزن محلی 036/0 اولویت آخر را میان 11 حوزۀ پژوهش به خود اختصاص دادند. همچنین میان اهداف کنترلی، مدیریت دسترسی کاربر و مدیریت تحویل خدمت شخص سوم به ترتیب با اوزان جهانی 047/0 و 007/0 اولویت‌های اول و آخر را میان 39 هدف کنترلی امنیت به خود اختصاص دادند.

اسفندیارپور (1389) در پژوهش پیمایشیِ «عوامل مؤثر بر پذیرش سیاست‌های امنیت اطلاعات توسط کارمندان در سازمان»، عوامل مؤثر بر پذیرش سیاست‌‌های امنیت اطلاعات در سازمان را با نظرخواهی از 85 نفر در سازمان وزارت کشور بررسی کرد. نتایج پژوهش نشان دادند تعهد سازمانی و تأثیرات اجتماعی، تأثیر فزاینده‌ای در پذیرش سیاست‌های امنیت اطلاعات دارند و در دسترس بودن منابع فاکتوری اثرگذار در ارتقای خودباوری و عاملی پیش‌بینی‌کننده در پذیرش سیاست‌های امنیت اطلاعات خواهد بود. اگرچه سازمان‌ها از فناوری‌ها و فعالیت‌های امنیتی استفاده می‌کنند، این اثبات شده است که امنیت اطلاعات تنها با ابزارهای فناورانه به دست نمی‌آید؛ درنتیجه، سازمان‎ها به سیاست‌های امنیت اطلاعات توجه می‌کنند. بیشتر سازمان‌ها زمان و منابع برای تهیه، ایجاد و نگهداری سیاست‌‌های امنیت صرف می‌‌کنند؛ در حالی که اگر کاربران سیستم‌های اطلاعاتی سازمان تمایلی برای پیروی از سیاست‌ها نداشته باشند این کوشش‌ها شکست خواهند خورد. همچنین نتایج نشان دادند: 1) تأثیرات اجتماعی تأثیر فزاینده‌ای بر نیت قبول (قصد پذیرش سیاست امنیت اطلاعات) دارند؛ 2) در دسترس بودن منابع تأثیر فزاینده‌ای بر ارتقای خودباوری و به همان اندازه نیات قبول سیاست دارد؛ 3) تعهد سازمانی نقشی مضاعف ازطریق تأثیر مستقیم بر نیات و به همان اندازه طرز تفکر دربارۀ سیاست دارد.

پارک و همکاران[3] (2017) نقش آموزش امنیت اطلاعات و عوامل فردی در افشای اطلاعات سلامت (پزشکی) بیماران را بر گسترش امنیت اطلاعات بررسی کردند. با توجه به بیشترشدن اهمیت اجابت مقررات و سیاست‌‌های امنیت اطلاعات به‌وسیلۀ کارکنانی که در صنعت مراقبت‌‌های بهداشتی کار می‌‌کنند، بحث امنیت اطلاعات در مراکز درمانی از اهمیت بیشتری برخوردار شده است. همچنین یافته‌‌های این پژوهش نشان دادند امنیت اطلاعات و ارزش‌‌های شخصی در آموزش پرستاری و تلاش صنعت مراقبت‌‌های بهداشتی برای حفاظت از اطلاعات سلامت بیماران نقش جالب‌توجهی دارند.

وایگا و مارتینز[4] (2017) در پژوهش «بهبود فرهنگ امنیتی اطلاعات ازطریق اقدامات نظارت و پیاده‎‌سازی» که بین 512 نفر از کارکنان در آفریقای جنوبی انجام دادند، به این نتیجه دست یافتند که ابزار ارزیابی فرهنگ امنیت اطلاعات می‌تواند در سازمان‌ها به‌طور موفقیت‌آمیزی بر فرهنگ امنیت اطلاعات تأثیر بگذارد. همچنین آموزش امنیت اطلاعات و آگاهی، عاملی مهم در تأثیرگذاری مثبت بر فرهنگ امنیتی اطلاعات هنگام استفاده از ارزیابی فرهنگ امنیت اطلاعات است. آنها نشان دادند فرهنگ و خرده‌‎فرهنگ‌های امنیتی اطلاعات غالب در طول زمان پس از اجرای مداخلات هدفمند به یک فرهنگ امنیتی اطلاعاتی مثبت‌تر بهبود یافته است.

بلگورسو و همکاران (2010) در پژوهش «انطباق سیاست امنیتی اطلاعات: اعتقادات مبتنی بر عقلانیت و آگاهی از امنیت اطلاعات»، انواع مجازات و شدت مجازات‌های مرتبط با نقض امنیت اطلاعات سلامت را بررسی کردند. نتایج پژوهش آنها نشان دادند رابطه‌ای مثبت و معنادار بین شدت تنبیه و قصد موافقت با سیاست امنیت اطلاعات در سازمان وجود دارد. همچنین نتایج پژوهش آنها نشان دادند تأثیر نقض امنیت اطلاعات محافظت‌شده، می‌‎تواند بسیار جدی‌تر از نقض سیاست امنیتی در یک سازمان باشد؛ ازاین‌رو، به اعمال مجازات‌های شدیدتر نیاز است.

دارسی و همکاران[5] (2009) در پژوهش «آگاهی کاربر از اقدامات مخالف امنیت و تأثیر آن در سیستم‌‌های اطلاعاتی با رویکرد بازدارنده»، تأثیر آگاهی کاربر از اقدامات مخالف امنیت بر سیستم‌‌های اطلاعاتی را بررسی کردند. نتایج پژوهش آنها نشان دادند برنامه‌‌های آموزشی امنیت می‌توانند هم سطح درک افراد از تحریم‌ها و هم شدت درک‌شده از تحریم را افزایش دهند. همچنین شدت تحریم دریافت‎‌شده تأثیر منفی بر هدف سوءاستفاده دارد.

چانگ[6] (2007) در پژوهش «بررسی فرهنگ سازمانی بر مدیریت امنیت اطلاعات» که بین پرستاران انجام شد، به این نتیجه دست یافت که فرهنگ سازمانی، تأثیر مستقیم بر ایجاد فرهنگ امنیت اطلاعات دارد. او مؤلفه‌های سازمانی ازجمله همکاری، نوآوری، سازگاری، کارآیی و تأثیربخشی بر اصول امنیت اطلاعات (محرمانه‌بودن، در دسترس بودن، صحت و پاسخگویی) را بررسی کرد. یافته‌ها نشان دادند تمام عوامل فرهنگ سازمانی بر مؤلفه‌های امنیت اطلاعات تأثیر مثبتی دارند.

توماس و اندرسون[7] (2006) در پژوهش «پرورش یک فرهنگ امنیتی اطلاعات سازمانی» که بین 810 نفر از کارکنان یک شرکت بین‌المللی در اروپا انجام دادند، به این نتیجه دست یافتند که یک ‌راه حل امنیتی باید جزئی اساسی در هر سازمان باشد. یکی از مهم‌ترین مشکلات در دست‌یابی به جذب اطلاعات به یک سازمان، اعمال و رفتار کارکنان است. برای اطمینان از ادغام امنیت اطلاعات به فرهنگ‌ سازمانی یک سازمان، حفاظت از اطلاعات باید بخشی از فعالیت‌های روزمره و رفتار دوم شخصیت کارکنان باشد.

مطالعات پیشین عوامل متعددی را در زمینۀ عوامل انسانی نقض یا حفاظت از امنیت اطلاعات بررسی کرده‌اند؛ اما هیچ کدام از آنها، رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی را مطالعه نکرده‌اند.

 

چارچوب نظری پژوهش

نظریۀ بازدارندگی عمومی‌ به‌طور گسترده‌ای برای مطالعۀ انطباق رفتار کارکنان در سازمان استفاده می‌شود. این نظریه به استفاده از راهبرد فشار منفی (مجازات) برای پرهیز از رفتارهای غیرایمن و ناخواسته با افزایش شدت و قطعیت مجازت اشاره دارد (Straub & Welke, 1998; Straub, 1990). برخی پژوهشگران استدلال می‌کنند که پاداش (تشویقی و انگیزه) اگر به‌‌منزلۀ راهبرد اجرایی مثبت به کار گرفته شود، ممکن است به دست‌یابی رفتار انطباقی بهتر کمک کند. به‌طور مشابه اگر پاداش با تحریم همراه باشد، بر ارزیابی هزینه - فایدۀ کارکنان از رفتار انطباقی و رفتار غیرانطباقی تأثیر می‌گذارد (Bulgurcu et al., 2010). اجرای مؤثر سازوکار کنترل به چگونگی اجرا و شیوۀ به‌کارگیری آن بستگی دارد. به ‌هر حال تا به امروز مطالعه‌ای برای تحلیل تعامل مؤثر بین مجازات و پاداش دربارۀ موضوع پیروی و سیاست‌های امنیتی انجام نشده است. با مرور مقالات و پژوهش‌ها، تضادهایی در ادبیات مربوط به تطابق امنیت یافت می‌شود. تأثیر پاداش در پیروی از سیاست‌های امنیتی در سازمان‌ها به نظر متناقض است: سیاست پاداش در تأثیرگذاری بر قصد کارکنان به پیروی جواب نمی‌دهد (Mikko et al., 2014)؛ این در حالی است که برخی مطالعات نشان می‌دهند پاداش، ابزاری مثبت در جهت مشارکت کارکنان در پیروی از امنیت است (Bulgurcu et al., 2010). اگرچه استفاده از مجازات و پاداش موضوعی بسیار جالب در حوزه‌هایی مانند جامعه‌شناسی، روان‌شناسی اجتماعی و رفتار سازمانی است، هیچ مدرکی در مستندات مربوط به پیروی از سیاست‌های امنیتی سیستم‌های اطلاعاتی و حفظ اطلاعات حساس مشتریان وجود ندارد که تأیید کند این مسئله به‌طور واقعی عمل خواهد کرد (Fehr & Schmidt, 2007; Andreoni et al., 2003).

نظریۀ بازدارندگی فرض می‌کند افراد دراساس انتخاب عقلانی و منطقی دارند و انتخاب آنها برای ارتکاب جرم به منفعتی بستگی دارد که آن جرم یا جنایت ممکن است برای آنها داشته باشد و افراد کمتر مستعد به مشارکت در یک رفتار مجرمانه‌اند؛ از این‌ جهت که قطعیت، شدت و سرعت مجازاتی که علیه آن جرم تعیین‌ شده است، از منافع آن بیشتر است (Hu et al., 2011; Siponen et al., 2010). نظریۀ بازدارندگی عمومی ‌که در خط‌مشی سیستم‌های اطلاعاتی و حفظ حریم شخصی مشتریان به‌ کار رفته است، بیان می‌کند که با استفاده از فن‌‌های بازدارندگی عمومی‌ مانند منع‌‎کردن، پیشگیری، تشخیص و ارائۀ راه‌ حل، امکان کاهش تهدیدها و کاهش یا حذف ریسک وجود دارد (Subramaniam et al., 2008).

 

آگاهی از امنیت اطلاعات و ارزش‌های فردی

چنانکه پیش از این بیان شد، نظریۀ یادگیری اجتماعی، نظریۀ عمومی جرم و نظریۀ کنترل رابطۀ بین دو متغیر آگاهی از امنیت اطلاعات در سازمان با ارزش‌های شخصی (خودکنترلی و هنجارهای شخصی) و قصد نقض اطلاعات را ازحیث نظری توجیه می‌کنند (Skinner & Fream, 1997; Park et al., 2017).

پژوهش‌های انجام‌شده نشان می‌دهند هنجارهای شخصی بر رفتارهای انحرافی به‌صورتی مستقیم تأثیر می‌گذارند (Song et al., 2016). در مطالعات پیشین گزارش ‌شده است که آگاهی با هنجار فردی رابطه دارد؛ چنانکه ایفندو (2014) گزارش داد در صورتی‌ که آگاهی دانش‌آموزان در زمینۀ رفتارهای ضداجتماعی افزایش یابد، این امر بر ارزش‌ها و هنجارهای آنها تأثیر خواهد داشت. کارمندانی که آگاهی از امنیت ‌‌اطلاعات سطح بالا دارند، ممکن است هنجارهای فردی سطح بالا هم داشته باشند که این هنجارها ازطریق به‌کارگیری روش‌های آموزشی در بانک‌ها شکل ‌گرفته‌اند. آموزش عاملی حیاتی و تأثیرگذار در شکل‌گیری هنجارهای فردی کارمندان است. کارمندان می‌توانند ارزش‌ها و دیدگاه‌های خود را دربارۀ محرمانه نگه‌داشتن اطلاعات بانکی - مالی افراد ازطریق گذراندن برنامه‌های تنظیم‌شده دربارۀ اطلاع و آگاهی‌ها از امنیت اطلاعات در درۀ آموزشی شکل دهند؛ بنابراین، فرضیه‌های فرعی این پژوهش به شکل زیر خواهند بود:

فرضیۀ 1- آگاهی از امنیت ‌‌اطلاعات با هنجارهای فردی رابطۀ معناداری دارد.

 نظریۀ بازدارندگی تمرکزی ویژه بر خودکنترلی در رفتارهای انحرافی دارد. فرض اساسی مطالعات پیشین بر این است که افرادی که خودکنترلی پایینی دارند، رفتارهای ضداجتماعی از خود نشان می‌دهند؛ بنابراین، یکی از اهداف آموزش باید کمک به افراد در توسعۀ خودکنترلی‌شان ‌باشد (Park et al., 2017). براساس نظر اودونگو و رابین[8] (2001)، آگاهی بر رفتار خودکنترلی افراد تأثیر دارد؛ درواقع، افرادی که ازطریق برنامه‌های مختلف آگاهی از امینت اطلاعات پزشکی به سطوح بالایی از آگاهی از امنیت ‌‌اطلاعات دست ‌یافته‌اند، خودکنترلی بالاتری دارند (Park et al., 2017)؛ ازاین‌رو، در فرضیۀ فرعی دوم چنین ادعا می‌شود:

فرضیۀ 2- آگاهی از امنیت ‌‌اطلاعات با خودکنترلی رابطۀ معناداری دارد.

 

آگاهی از محرمانه‌بودن و قصد نقض امنیت اطلاعات بانکی - مالی

در مطالعات مربوط به امنیت اطلاعات رفتاری، نظریۀ بازدارندگی عمومی اهمیت بسزایی دارد. در این زمینه و براساس نظریۀ بازدارندگی عمومی، یکی از جنبه‌‌ها و راه‌‌های مهم برای حفاظت و مدیریت امنیت اطلاعات، ارتقای آگاهی کاربران از امنیت اطلاعات است (D’arcy & Herath, 2011; D’arcy et al., 2009). بولگورسو و همکاران (2010) در بررسی‌های خود به این نتیجه رسیدند که هم آگاهی از امنیت اطلاعات عمومی‌ و هم آگاهی از ضوابط و سیاست‌های امنیت اطلاعاتی، تأثیری مثبت بر نگرش موافق با سیاست امنیتی اطلاعاتی دارند. در این صورت، افراد آگاهی‌‌های لازم و مربوط به نقش و مسئولیت خویش در حفظ امنیت اطلاعات در کار مربوط به خود را کسب می‌‌کنند. آگاهی از امنیت اطلاعات در افراد سبب تغییر رفتار و تقویت فعالیت‌‌های خوب امنیتی می‌‌شود و به افراد اجازه می‌‌دهد نسبت به امنیت فناوری اطلاعات نگران و پاسخگو باشند (Von Solms, 2014). برنامه‌‌های آموزش امنیت و آگاهی می‌توانند رفتارهای انحرافی مرتبط با امنیت اطلاعات بانکی را ازطریق آموزش کارکنان دربارۀ اهمیت امنیت اطلاعات عمومی، مجازات رفتارهای انحرافی و برخوردهای متقابل در سازمان‌ها کاهش دهند. دارسی و همکاران (2009) بدین نتیجه رسیده‌اند که برنامه‌‌های آموزش امنیت و آگاهی قادرند هم ‌سطح درک افراد از مجازات و هم ‌شدت درک‌شده از مجازات را افزایش دهند. در زمینۀ اطلاعات بانکی و مالی، ذی‌نفعان ازجمله کارمندان بانک - که به درجات بالایی از آگاهی از امنیت ‌‌اطلاعات ازطریق روش‌هایی که در بانک آموزش دیده‌اند، دست‌یافته‌اند - تمایل کمتری به رفتارهای انحرافی به‌ویژه افشای اطلاعاتی مشتریان دارند؛ بنابراین، در فرضیۀ فرعی سوم ادعا می‌شود که:

فرضیه 3- آگاهی از امنیت ‌‌اطلاعات با قصد نقض امنیت‌‌ اطلاعات رابطۀ معناداری دارد.

 

ارزش‌های فردی و تمایل به نقض امنیت اطلاعات بانکی - مالی

در مطالعۀ حاضر آگاهی از امنیت ‌‌اطلاعات به‌‌منزلۀ دانش عمومی ‌یک کارمند در زمینۀ امنیت اطلاعات و دانش دربارۀ قوانین و مقررات امنیتی و موانع مربوط به آن تعریف ‌شده است. در همین راستا، مطالعات قبلی نشان می‌‌دهند برنامه‌‌های آموزش و امنیت و آگاهی اثرات جالب‌‌توجه بازدارندۀ مهمی ‌در کنترل رفتارهای انحرافی دارند (کریمی‌ و پیکری، 1397). همچنین بلگورسو و همکاران (2010) دریافتند که آگاهی عمومی ‌از امنیت اطلاعات و آگاهی از سیاست امنیتی اطلاعات تأثیر مثبت بر نگرش کارکنان برای موافقت با سیاست‌های امنیتی شرکت دارند. همچنین، طبق نظریۀ عمل منطقی، ارزش‌ها و هنجارهای افراد با چگونگی رفتار آنها مرتبط است. افرادی که سطوح بالایی از هنجارهای شخصی (برای ‌مثال، اخلاق) را دارند، دانش کافی دربارۀ اخلاق، اینکه چه چیزی درست و چه چیزی نادرست است و اینکه کدامین رفتار مناسب است، دارند. ادبیات جرم‌شناسی چنین بیان می‌کند که هنجارهای شخصی اثر بازدارندگی قوی بر رفتارهای انحرافی افراد دارند. لی و همکاران[9] (2010) بدین نتیجه رسیده‌‌اند که هنجارهای فردی به‌طور معمول در زمینۀ این است که فرد از خود رفتارهای انحرافی نشان دهد یا ملاحظات اخلاقی خود را وارد رفتارهای خویش کند؛ درواقع، هنجارهای شخصی به‌صورتی مستقیم بر رفتارهای انحرافی تأثیر می‌گذارند. در مطالعۀ حاضر، اگر باورهای فردی بر این باشند که افشای اطلاعات بانکی افراد ازلحاظ اخلاقی نادرست است، فرد تمایل کمتری به افشای چنین اطلاعاتی خواهد داشت.

بنابراین، در فرضیۀ فرعی چهارم چنین ادعا می‌شود:

فرضیۀ 4- هنجارهای فردی با قصد نقض امنیت ‌‌اطلاعات رابطۀ معناداری دارند.

پژوهش‌های جرم‌شناسی همراه با فراتحلیل‌ها، اهمیت تأثیر خودکنترلی را بر رفتارهای انحرافی نشان داده‌اند. براساس نظریۀ یادگیری اجتماعی، نظریۀ عمومی‌ جرم و نظریۀ کنترل، انتظار می‌رود آگاهی از امنیت اطلاعات در سازمان، بر ارزش‌‌های شخصی مانند خودکنترلی و قصد نقض اطلاعات تأثیر بگذارد (Skinner & Fream, 1997; Park et al., 2017). افرادی که خودکنترلی پایینی دارند، تمایل بیشتری برای رفتن به‌دنبال ریسک و خطر، فعالیت‌های فیزیکی زیاد، ارتباطات غیرکلامی، کوته‌فکری و خلق‌وخوی تند دارند (McCombs, 2008). افرادی که ضمن داشتن چنین ویژگی‌هایی، خودکنترلی پایینی هم دارند، رفتارهای انحرافی مانند نقض امنیت اطلاعات را بیشتر از خود نشان می‌دهند. در این مقاله، چنین فرض شده است که اگر فردی خودکنترلی بالایی داشته باشد، تمایل کمتری به افشای اطلاعات پزشکی دارد؛ بنابراین، در فرضیۀ فرعی پنجم ادعا می‌شود که:

فرضیۀ 5- خودکنترلی رابطۀ منفی با تمایل کارکنان به افشای اطلاعات بانکی مشتریان دارد.

با توجه به 5 فرضیۀ فرعی ذکرشده، 2 فرضیه اصلی زیر پیشنهاد می‌شود:

فرضیۀ اصلی اول: آگاهی از امنیت اطلاعات با نقش میانجی کامل هنجارهای فردی با قصد نقض امنیت اطلاعات رابطه دارد.

فرضیۀ اصلی دوم: آگاهی از امنیت اطلاعات با نقش میانجی کامل خودکنترلی با قصد نقض امنیت اطلاعات رابطه دارد.

 

 

 

 

 

 

 

 

 

 

 

 


شکل 1 الگوی مفهومی ‌پژوهش

 

 

روش پژوهش

پژوهش حاضر از نوع کاربردی و یک مطالعۀ توصیفی - همبستگی است. جامعۀ آن، 350 نفر از کارکنان شعب بانک کشاورزی شهر اصفهان بود. دلیل انتخاب بانک به‌منزلۀ جامعۀ مطالعه‌شده این بود که چون موضوع این پژوهش دربارۀ عوامل مؤثر بر نقض امنیت اطلاعات بود، به‌طور طبیعی جامعۀ مطالعه‌شده باید به اطلاعات حساسی دسترسی داشته باشند تا حفاظت یا نقض آن موضوعیت یابد و مطالعۀ آن اهمیت داشته باشد. به عبارت دیگر، انجام این پژوهش با توجه به پدیدۀ مطالعه‌شده دربارۀ همۀ اعضای جامعه موضوعیت نداشت. ازطرفی، از آنجا که موضوع امنیت اطلاعات در بانک‌ها اهمیت بسزایی دارد، انجام این پژهش در بانک‌ها را توجیه می‌کرد. دلیل انتخاب یک بانک به‌منزلۀ جامعۀ مطالعه‌شده نیز این بود که پژوهشگران سعی داشتند با مطالعۀ موضوع بین کارمندان یک سازمان، نقش و دامنۀ تغییر عواملی مانند فرهنگ سازمانی، هنجارهای گروهی و عوامل مدیریتی را ثابت یا حداقل نگه دارند؛ در حالی که در صورت مطالعۀ چند بانک به‌طور همزمان، این عوامل ممکن بود از عوامل مؤثر در پیش‌بینی احتمال نقض امنیت اطلاعات محسوب شوند. بر همین اساس، نمونۀ پژوهش با استفاده از جدول مورگان 184 نفر بود که با استفاده از روش نمونه‌گیری غیرتصادفی تعیین شدند و پس از توزیع 215 پرسش‌‌نامه، تعداد 197 پرسش‌نامۀ کاربردی جمع‌آوری شد.

 

 

 

 

 

جدول 1 مشخصات ابزار، پایایی و روایی

متغیر

منبع سؤالات

آلفای کرونباخ

متوسط واریانس استخراج‌شده (AVE)

پایایی مرکب (CR)

آگاهی از امنیت اطلاعات

آگاهی عمومی ‌از امنیت اطلاعات

بلگورسو و همکاران

 (2010)

91/0

78/0

92/0

آگاهی از قوانین امنیت اطلاعات

بلگورسو و همکاران

(2010)

83/0

75/0

90/0

آگاهی از شدت مجازات نقض امنیت اطلاعات

ایفندو

(2014)

75/0

87/0

86/0

قصد نقض امنیت اطلاعات

پرینسلی و همکاران

(2016)

74/0

85/0

85/0

هنجارهای فردی

لی و همکاران

(2010)

81/0

73/0

89/0

خودکنترلی

دارسی و‌ همکاران

(2009)

81/0

74/0

87/0

 

 

چنانکه در جدول 1 نشان داده ‌شده است، پرسش‌نامۀ استفاده‌شده برای سنجش متغیرها از مقالات چاپ‌شده در مجلات معتبر بین‌المللی اقتباس و بومی‌سازی و در طیف لیکرت طراحی ‌شده‌ است. روایی صوری و محتوایی پرسش‎‌نامه با توجه به نظرهای تعدادی از افراد جامعۀ آماری و استادان و صاحب‌نظران سنجیده شد. روایی سازه با استفاده از تحلیل عاملی تأییدی و پایایی پرسش‌نامه با استفاده از آلفای کرونباخ سنجیده شد. برای بررسی روایی سازه از سه شاخص پایایی مرکب، متوسط واریانس استخراج‌شده و بار عاملی استفاده شد. مقادیر پایایی مرکب همۀ متغیرها از 7/0 و متوسط واریانس استخراج‌شده از 5/0 بیشتر شده است. به‌علاوه، بار عاملی تمام گویه‌ها از 5/0 بیشتر شده است. همچنین چنانکه در جدول 2 ذکر شده است، قاعدۀ فورنل-لارکر رعایت شده است؛ درنتیجه، روایی واگرا و همگرا تأیید شده است که این امر بیان‌کنندۀ روایی پذیرفتنی سازه در این مطالعه است. همچنین چنانکه در جدول 1 ذکر شده است، آلفای کرونباخ برای هر یک از متغیرها بیش از 7/0 است که بیان‌کنندۀ پایایی ابزار استفاده‌شده است. این مطالعه برای تحلیل داده‌ها از روش تحلیل توصیفی با نرم‌افزار SPSS و روش حداقل مربعات جزئی با نرم‌افزار SmartPLS استفاده کرده است.


 

جدول 2- قاعدۀ فورنل - لارکر

 

 

آگاهی عمومی

آگاهی از قوانین

آگاهی از شدت مجازات

قصد نقض امنیت اطلاعات

هنجارهای فردی

خودکنترلی

آگاهی عمومی‌از امنیت اطلاعات

88/0

 

 

 

 

 

آگاهی از قوانین امنیت اطلاعات

55/0

86/0

 

 

 

 

آگاهی از شدت مجازات نقض امنیت اطلاعات

59/0

69/0

93/0

 

 

 

قصد نقض امنیت اطلاعات

60/0

53/0

64/0

92/0

 

 

هنجارهای فردی

54/0

58/0

64/0

56/0

85/0

 

خودکنترلی

68/0

63/0

60/0

49/0

49/0

86/0

               


یافته‌ها

یافته‌های جمعیتشناختی

 

جدول 3- توصیف آماری ویژگی‌های جمعیت‌شناختی جامعه

متغیرها

فراوانی

درصد

جنسیت

مذکر

128

65/0

مؤنث

69

35/0

سن

کمتر از 30 سال

47

9/23

39-31 سال

100

8/50

49-40 سال

40

3/20

بیش از 50 سال

10

1/5

تحصیلات

دیپلم

16

1/8

کاردانی

45

8/22

کارشناسی

123

4/62

کارشناسی‌ارشد و بیشتر

13

6/6

وضعیت تأهل

مجرد

42

3/21

متأهل

155

7/78

سمت

رییس

7

6/3

معاون شعبه

22

2/11

کارمند

168

3/85

 

نتایج حاصل از آمار توصیفی در جدول 3 نشان می‌دهند از مجموع 197 نفر، بیشترین تعداد پاسخ‌دهندگان کارکنان مرد و کمترین تعداد پاسخ‌دهندگان زن بودند. افراد دارای سن 31 تا 39 سال بیشترین نفرات از جامعۀ آماری پژوهش و افراد با سن 50 سال کمترین نفرات از جامعۀ آماری پژوهش را تشکیل دادند. کارکنان دارای سمت کارمند بیشترین تعداد و کارکنان دارای سمت رییس شعبه کمترین تعداد پاسخ‌دهندگان‌اند. افراد دارای تحصیلات کارشناسی بیشترین تعداد از جامعۀ آماری را تشکیل داده‌اند و افرادی کمترین نمونه را تشکیل داده‌اند که تحصیلات کارشناسی‌ارشد و بالاتر دارند. افراد متأهل بیشترین تعداد و افراد مجرد کمترین تعداد از جامعۀ آماری را تشکیل داده‌اند. میانگین آگاهی، خودکنترلی، هنجار فردی و قصد نقض امنیت اطلاعات در مقیاس 5، 95/2، 18/3، 36/3، و 72/2 بود.

نتایج فرضیه‌ها

نتایج فرضیه‌های اصلی

فرضیۀ اصلی اول: آگاهی از امنیت اطلاعات با نقش میانجی هنجارهای فردی با قصد نقض امنیت اطلاعات رابطه دارد.

آزمون سوبل برای انجام استنباط دربارۀ ضریب اثر غیرمستقیم استفاده می‌شود. با داشتن برآوردی از خطای استاندارد مسیرها می‌توان p-value را محاسبه کرد.

در این رابطه:
a  ضریب مسیر میان متغیر مستقل و میانجی (امنیت اطلاعات بر هنجارهای فردی) (67/0)؛
b  ضریب مسیر میان متغیر میانجی و وابسته (هنجارهای فردی بر قصد نقض امنیت اطلاعات) (54/0-)؛
Sa  خطای استاندارد مسیر متغیر مستقل و میانجی (06/0)؛
Sb  خطای استاندارد مسیر متغیر میانجی و وابسته (01/0).

 

طبق فرمول ذکرشده مقدار آزمون 9/10- است و از آنجا که از 96/1- بیشتر است، اثر غیرمستقیم معنی‌دار دارد.

برای تعیین اثر غیرمستقیم از آمارۀVAF  استفاده می‌شود که مقداری بین 0 تا 1 است و هرچه به عدد یک نزدیک‌تر باشد، نشان‌دهندۀ اثر قوی متغیر میانجی است.

 

در این فرمولC  ضریب مسیر میان متغیر مستقل و وابسته است.

VAF = 40

یعنی 40 درصد رابطۀ امنیت با نقض اطلاعات ازطریق اثر غیرمستقیم هنجار فردی صورت می‌گیرد.

فرضیۀ اصلی دوم: آگاهی از امنیت اطلاعات با نقش میانجی خودکنترلی بر قصد نقض امنیت اطلاعات تأثیر دارد.

در این رابطه:
a  ضریب مسیر میان متغیر مستقل و میانجی (امنیت اطلاعات بر خودکنترلی) (71/0)؛
b  ضریب مسیر میان متغیر میانجی و وابسته (خودکنترلی بر قصد نقض امنیت) (48/0-)؛

Sa  خطای استاندارد مسیر متغیر مستقل و میانجی (03/0)؛
Sb  خطای استاندارد مسیر متغیر میانجی و وابسته (05/0).

 

Z-value = -8/8

طبق فرمول ذکرشده مقدار آزمون 8/8– است و از آنجا که از 96/1- بیشتر است، اثر غیرمستقیم معنی‌دار دارد.

برای تعیین اثر غیرمستقیم از آمارۀVAF  استفاده شد.

 

در این فرمولC  ضریب مسیر میان متغیر مستقل و وابسته است (آگاهی از امنیت اطلاعات بر نقض اطلاعات)

53/0=c

VAF=38

یعنی 38 درصد رابطۀ آگاهی از امنیت اطلاعات با نقض اطلاعات ازطریق اثر غیرمستقیم خودکنترلی صورت می‌گیرد.

 

نتایج فرضیه‌های فرعی

چنانکه در جدول 4 نشان داده ‌شده است، نتایج تحلیل معادلۀ ساختاری نشان می‌دهند ضریب معناداری مسیر میان تمام متغیرها از 96/1 بیشتر است که معناداری مسیر و تأیید تمام فرضیه‌ها را نشان می‌دهد. با توجه به مقدار ضریب استانداردشده می‌توان گفت یک واحد تغییر متغیر آگاهی از امنیت اطلاعات 67/0 واحد تغییر در متغیر هنجارهای فردی، 71/0 واحد تغییر در خودکنترلی و 53/0- واحد تغییر در قصد نقض امنیت اطلاعات بین کارمندان بانک ایجاد می‌کند. نتایج تحلیل معادلۀ ساختاری نشان می‌دهند یک واحد تغییر در هنجارهای فردی و خودکنترلی به ترتیب 54/0- و 48/0- واحد تغییر در قصد نقض امنیت اطلاعات بین کارمندان بانک ایجاد می‌کند.


 

جدول 4- نتایج فرضیه‌های فرعی پژوهش

فرضیۀ پژوهش

آمارۀ t

ضریب استانداردشده

مقدار p

نتیجۀ فرضیه

آگاهی از امنیت اطلاعات و هنجارهای فردی

2/11

67/0

 

0/01

تأیید فرضیه

آگاهی از امنیت اطلاعات و خودکنترلی

13

72/0

 

0/01

تأیید فرضیه

آگاهی از امنیت اطلاعات و قصد نقض امنیت اطلاعات

3/5

53/0-

0/01

تأیید فرضیه

هنجارهای فردی و قصد نقض امنیت اطلاعات

3/2

54/0-

 

0/05

تأیید فرضیه

خودکنترلی و قصد نقض امنیت اطلاعات

2/3

48/0-

0/01

تأیید فرضیه

 

 

 

 

شکل 2- ضرایب مسیر و بارهای عاملی

 


نتیجه‌

امروزه نقش پراهمیت‌ اطلاعات در جوامع و حساسیت فرایندهای جمع‌آوری، ثبت و انتشار اطلاعات، دگرگونی بنیادینی را در ساختار مناسبات و ارتباطات جوامع ایجاد کرده است و همین امر، موجب ایجاد مخاطرات، تهدیدها و نگرانی‌های جدید مبتنی بر اطلاعات شده است که مقولۀ رفتارهای پرخطر دربارۀ اطلاعات از آن جمله است. این رفتارهای ضداجتماعی مهم‌ترین چالش‌های بهداشتی و روانی - اجتماعی است؛ درنتیجه، به‌دلیل نقش حفاظت از امنیت اطلاعات حساس افراد در سلامت و بهداشت روانی جامعه، شناسایی عواملی که در نقض امنیت اطلاعات نقش دارند و موجب به خطر افتادن سلامت روانی جامعه می‌شوند، اهمیت بسزایی دارد. یکی از مهم‌ترین عناصر در مدیریت امنیت اطلاعات، کارمندان سازمان‌ها هستند. هدف پژوهش حاضر، تعیین رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی در شعب بانک کشاورزی شهر اصفهان است.

در فرضیۀ اصلی اول و دوم ادعا شد که آگاهی از امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی با قصد نقض امنیت اطلاعات رابطه دارد. نتایج تحلیل معادلۀ ساختاری جدول 4 نشان می‌‌دهند رابطۀ مستقیم بین آگاهی از امنیت اطلاعات و قصد نقض امنیت اطلاعات 53/0- است و رابطۀ غیرمستقیم ازطریق هنجارهای فردی 40 درصد و ازطریق خودکنترلی 38 درصد است. این به آن معناست که آگاهی از امنیت اطلاعات با نقش میانجی هنجارهای فردی تا 40 درصد و با نقش میانجی خودکنترلی تا 38 درصد با قصد نقض امنیت اطلاعات رابطه دارد و هر دو فرضیۀ اصلی تأیید می‌شوند. در تبیین این یافته‌ها می‌توان گفت آگاهی افراد از امنیت اطلاعات (شامل آگاهی از مسائل دربارۀ امنیت اطلاعات و عواقب نقض امنیت اطلاعات) موجب می‌شود آنها از نقض امنیت اطلاعات اجتناب کنند. همچنین بهبود هنجارهای فردی را در پی خواهد داشت که این موضوع نیز سبب کاهش قصد نقض امنیت اطلاعات می‌شود. ازطرف دیگر، می‌‌توان گفت افرادی که آگاهی کافی از امنیت اطلاعات و عواقب نقض آن دارند، به‌دلیل آگاهی از عواقب آن به‌احتمال ‌زیاد از نقض امنیت اطلاعات اجتناب می‌کنند. همچنین این آگاهی موجب افزایش خودکنترلی آنان خواهد شد که این امر به‌صورت غیرمستقیم سبب کاهش قصد نقض امنیت اطلاعات می‌شود. نتایج حاصل‌شده از پژوهش حاضر با نتایج مطالعات متعددی همسوست که در ادامه به آنها اشاره‌ شده است:

در فرضیۀ فرعی اول ادعا شد که آگاهی از امنیت ‌‌اطلاعات با هنجارهای فردی رابطۀ معناداری دارد. نتایج تحلیل معادلۀ ساختاری نشان‌دهندۀ معنی‌دار بودن این رابطه در سطح اطمینان 99 درصد است که سبب تأیید این فرضیه می‌شود. نتایج حاصل‌شده از پژوهش حاضر مبنی بر رابطۀ مثبت و معنادار آگاهی از امنیت ‌‌اطلاعات با هنجارهای فردی، با نتایج پژوهش ایفندو (2014) و سونگ و همکاران[10] (2016) همسوست. در تبیین این فرض می‌‌توان گفت افرادی که سطح بالایی از آگاهی امنیت ‌‌اطلاعات دارند، ممکن است هنجارهای فردی سطح بالا هم داشته باشند. افراد ارزش‌‌ها و دیدگاه‌های خود را دربارۀ محرمانه نگه‌داشتن اطلاعات دیگران ازطریق گذراندن برنامه‌های تنظیم‌شده شکل می‌‌دهند؛ بنابراین، افرادی که از آموزش امنیت اطلاعات برخوردار بوده‌اند، هنجارهای شخصی بالاتری در این زمینه دارند و خود را با سیاست‌‌های امنیت اطلاعات بیشتر تطبیق می‌دهند و نگرش آنها با سیاست‌‌های امنیتی سازگاری بیشتری دارد.

در فرضیۀ فرعی دوم ادعا شد که آگاهی از امنیت ‌‌اطلاعات با خودکنترلی رابطۀ معناداری دارد. نتایج تحلیل معادلۀ ساختاری نشان‌دهندۀ معنی‌دار بودن اثر در سطح اطمینان 99 درصد است که سبب تأیید این فرضیه می‌شود. نتایج حاصل، با نتایج پژوهش پارک و همکاران (2017) و اودونگو و رابین (2001) همسوست. در تبیین این فرض می‌‌توان گفت آموزش آگاهی‌های امنیتی به‌منزلۀ روشی برای توسعۀ رفتار افراد در پیروی از سیاست‌های امنیتی کمک می‌کند که این مهم رابطۀ زیادی با خودکنترلی افراد خواهد داشت. برنامه‌‌های آموزشی امنیت اطلاعات می‌توانند سبب بالارفتن درک افراد از نوع و شدت مجازات مربوط به نقض امنیت اطلاعات بشوند. افرادی که ازطریق آموزش به درک و تجربۀ بالایی در زمینۀ آگاهی از امنیت اطلاعات برسند، سعی در کنترل رفتار خود در رویارویی با شرایط و موقعیت‌های پرخطر خواهند داشت.

در فرضیۀ فرعی سوم ادعا شد که آگاهی از امنیت ‌‌اطلاعات با قصد نقض امنیت ‌‌اطلاعات رابطۀ معناداری دارد. نتایج تحلیل معادلۀ ساختاری نشان می‌‌دهند این فرضیه در سطح اطمینان 99 درصد معنادار و نوع رابطه معکوس است. نتایج حاصل‌شده از پژوهش حاضر مبنی بر رابطۀ مثبت و معنادار آگاهی از امنیت ‌‌اطلاعات با قصد نقض امنیت ‌‌اطلاعات با نتایج پژوهش ون سولمز[11] (2014)، بلگورسو و همکاران (2010) و دارسی و همکاران (2009) هم‌راستاست. در تبیین این فرضیه می‌‌توان گفت برنامه‌های آگاهی از امنیت ‌‌اطلاعات می‌‌توانند رفتارهای انحرافی مرتبط با امنیت اطلاعات را ازطریق آموزش افراد دربارۀ اهمیت امنیت اطلاعات عمومی، مجازات رفتارهای انحرافی و برخورد‌های متقابل کاهش دهند. برنامه‌‌های آموزشی امنیت اطلاعات می‌توانند سبب بالارفتن درک افراد از نوع و شدت مجازات‌ها شوند. افرادی که ازطریق آموزش به درک و تجربۀ بالایی دربارۀ آگاهی‌های امنیت اطلاعات برسند، تمایل کمتری به رفتارهای انحرافی و پرخطر به‌ویژه افشای اطلاعات حساس دارند. براساس نتایج پژوهش پیشنهاد می‌شود دوره‌های آموزشی به‌صورت غیرحضوری و از راه دور در زمینۀ سیاست‌های امنیت اطلاعات و عواقب نقض آنها برگزار شود.

براساس یافته‌های فرضیه‌های اول، دوم و سوم پیشنهاد می‌شود ایجاد تشکیلات موردنیاز برای ایجاد و تداوم امنیت فضای تبادل اطلاعات، اجرای طرح‌‌ها و برنامه‌‌های امنیتی و آگاهی‌دادن به افراد ازطریق دوره‌های آموزشی نسبت به تهدیدات بالقوه دربارۀ امنیت اطلاعات، در جریان قراردادن افراد دربارۀ خطرات مربوط به نقض امنیت اطلاعات، ارائۀ دوره‌های آموزشی دربارۀ رعایت دستور‌العمل‌‌ها و مسئولیت‌پذیر بودن در قبال اجرای خط‌مشی‌‌ها، حفاظت از امنیت اطلاعات و تشویق و پاداش به افرادی که دربارۀ حفاظت از اطلاعات حساس تلاش می‌کنند، در دستور کار قرار گیرد.

در فرضیۀ فرعی چهارم ادعا شد هنجارهای فردی با قصد نقض امنیت‌‌اطلاعات رابطۀ معناداری دارن. نتایج نشان‌دهندۀ معنی‌دار بودن رابطه در سطح اطمینان 95% بود که سبب تأیید این فرضیه می‌‌شود و نوع رابطه معکوس است. نتایج به‌دست‎‌آمده با نتایج پژوهش کریمی ‌و پیکری (1397)، بلگورسو و همکاران (2010) و لی و همکاران (2010) همسوست. در تبیین این نتیجه می‌‌توان گفت هنجارهای شخصی اثر بازدارندگی قوی بر رفتارهای انحرافی افراد دارند؛ به آن دلیل که افراد ملاحظات اخلاقی و هنجارهای شخصی خود را در رفتارهای خود دخیل می‌کنند؛ بنابراین، باورهای فردی افرادی که هنجارهای شخصی بالایی دارند، بر این است که افشای اطلاعات دیگران ازلحاظ اخلاقی نادرست است و تمایل کمتری به افشای اطلاعاتی خواهند داشت. براساس نتایج پژوهش پیشنهاد می‌شود فرهنگ‌‌سازی ازطریق آموزش با موضوع پیروی از دستورالعمل‌‌ها دربارۀ امنیت اطلاعات دیگران و همچنین برخورد با افرادی که دستورالعمل‌‌های سازمان دربارۀ اطلاعات حساب شخصی مشتریان را افشا می‌‌کنند، در دستور کار قرار گیرد.

در فرضیۀ فرعی پنجم ادعا شد که خودکنترلی با قصد نقض امنیت ‌‌اطلاعات رابطۀ معناداری دارد. نتایج تحلیل نشان می‌‌دهند این رابطه در سطح اطمینان 99 درصد معنی‌دار و نوع رابطه معکوس است. نتایج حاصل‌شده با نتایج پژوهش‌های اسکینر و فریم[12] (1997)، مک‌کومبز[13] (2008)، بلگورسو و همکاران (2010) و لی و همکاران (2010) همسوست. در تبیین این فرض می‌‌توان گفت خودکنترلی در افراد سبب رفتار آگاهانه و کنترل‌شده می‌شود. ارائۀ اینگونه رفتارها از فرد نشان‌دهندۀ آگاهی او از شرایط و نتایج هر عمل است که دربارۀ رفتارهای انحرافی و پرخطر، آگاهی از نوع و شدت مجازات می‌تواند سبب جلوگیری از انجام آنها شود. باید در نظر داشت نداشتن خودکنترلی افراد جامعه می‌تواند نقش مهمی در نقض امنیت‌‌ اطلاعات ایفا و سلامت روانی دیگران را تهدید کند که جبران آن گاهی ماه‌‌ها و سال‌‌ها طول می‌کشد. براساس نتایج پژوهش پیشنهاد می‌شود سیاست‌های شدت و حتمیت برخورد با افراد ناقض سیاست‌های امنیت اطلاعات اجرایی و آشکارا پیگیری شوند.

مانند دیگر مطالعات پژوهشی، این مطالعه نیز محدودیت‌های زیر را دارد: 1- یافته‌های پژوهش تنها به مدت زمان جمع‌آوری داده‌ها و اعتبار آنها به دورۀ زمانی کوتاه‌مدت محدود است و ممکن است،گذشت زمان بر متغیرهای مطالعه‌شده دراین پژوهش تأثیر بگذارد و سبب تغییر نتایج شود. 2- یافته‌ها در زمینۀ سازمان مطالعه‌شده استنادپذیر است و تعمیم‌پذیر به کل جامعه نیست. در این راستا پیشنهاد می‌شود الگوی ارائه‌شده در جوامع آماری دیگر نیز مطالعه شود. همچنین پیشنهاد می‌شود نقش تعدیلگر عوامل بازدارندگی و فرهنگ کارمندان در قصد رعایت یا نقض امنیت اطلاعات مطالعه شود. پیشنهاد می‌شود پژوهشگران با استفاده از نظریه‌های دیگر مانند نظریۀ یادگیری اجتماعی و نظریه‌های عمومی‌جرم‌شناسی، سعی در بسط الگو داشته باشند.

 



[1]Ifinedo

[2]Bulgurcu et al.

[3]Park et al.

[4] Veiga & Martins

[5]D’Arcy et al.

[6]Chang

[7]Thomas & Anderson

[8]O’Donoghue & Rabin

[9]Li et al.

[10]Song et al.

[11]Von Solms

[12]Skinner & Fream

[13]McCombs

احمدی‌جزئی، م. (1395). بررسی فرهنگ سازمانی و تأثیر آن بر مدیریت امنیت اطلاعات، پایان‌نامۀ کارشناسی‌ارشد، دانشگاه غیرانتفاعی خرمدره.
اسفندیارپور، الف. (1389). عوامل مؤثر بر پذیرش سیاستهای امنیت اطلاعات توسط کارمندان در سازمان، پایان‌نامۀ کارشناسی‌ارشد رشتۀ مدیریت فناوری اطلاعات، دانشکدۀ حسابداری و مدیریت، دانشگاه علامه طباطبایی.
بوستانی، د. (1391). «سرمایۀ اجتماعی و رفتار پرخطر؛ نمونۀ مورد مطالعه: دانش‌آموزان دبیرستانی شهر کرمان»، مجلۀ علوم اجتماعی دانشگاه فردوسی مشهد، س 9، ش 1، ص 31-1.
بیرو، آ. (1375). فرهنگ علوم اجتماعی، ترجمۀ باقر ساروخانی، تهران: کیهان.
پورنقدی، ب. (1397). «فرصت‌ها و تهدیدهای امنیت در شبکه‌های اجتماعی مجازی برای دانشجویان»، پژوهش‌های راهبردی امنیت و نظم اجتماعی، س 7، ش 2، ص 89-87.
حسن‌زاده، م.؛ کریم‌‌‌زادگان، د. و مقدم‌جهانگیری، ن. (1391). «ارائۀ یک چارچوب مفهومی برای ارزیابی پرمایگی و آموزش آگاهی از امنیت اطلاعات کاربران»، نظام‌ها و خدمات اطلاعاتی، س 1، ش 2، ص 16-1.
حیدری‌ساربان، و. (1396). «تبیین رابطۀ سرمایۀ اجتماعی با احساس امنیت اجتماعی ساکنان مناطق روستایی شهرستان مشگین‌شهر»، پژوهش‌های راهبردی امنیت و نظم اجتماعی، س 6، ش 2، ص 45-62.
خواجویی، ح. (1390). بررسی کنترل‌‌های امنیت اطلاعات، پایان‌نامۀ کارشناسی‌ارشد در رشتۀ مدیریت فناوری اطلاعات گرایش کسب و کار الکترونیکی، دانشگاه سیستان و بلوچستان.
سادوسکای، ج.؛ اکس، د. ج. و گرینبرگ، آ. (1384). راهنمای امنیت فناوری اطلاعات، ترجمۀ: مهدی میردامادی، زهرا شجاعی و محمدجواد صمدی، تهران: شورای عالی اطلاع‌‌رسانی.
سجادی، ع. (1385). «خودکنترلی در نظام کنترل و نظارت اسلامی ‌(با نگاهی بر جایگاه خودکنترلی در نظریه‌‌های مدیریت)»، اندیشۀ صادق، ش 23، ص 16-3.
سلیمی، ع. و داوری، م. (1380). جامعه‌شناسی کجروی، قم: پژوهشگاه حوزه و دانشگاه.
عباس‌زاده، م.؛ علیزاده‌اقدم، م. و پریزادبنام، ش. (1396). «مطالعۀ تأثیر هوش هیجانی بر رفتارهای پرخطر عمدی رانندگان»، پژوهش‌های راهبردی امنیت و نظم اجتماعی، د 6، ش 2، ص 16-1.
کریمی، ز. و پیکری، ح. (1397). «تأثیر ادراک پرستاران از آموزش امنیت اطلاعات و آگاهی از سیاست‌های امنیت اطلاعات بر ادراک از شدت و قطعیت مجازات نقض امنیت اطلاعات؛ موردمطالعه: بیمارستان‌های تخصصی آموزشی شهر اصفهان»، آموزش پرستاری، د 7، ش 2، ص 40-31.
نخعی، آ. و خیری، ب. (1391). «بررسی تأثیر عوامل منتخب بر قصد خرید محصولات سبز»، مجلۀ مدیریت بازاریابی، ش 15، ص 130-105.
ولی، ح. (1391). شناسایی و اولویتبندی عوامل مؤثر بر پذیرش و توسعۀ سیاست‌های امنیت اطلاعات در سازمان، پایان‌نامۀ کارشناسی‌ارشد در رشتۀ مدیریت فناوری اطلاعات گرایش کسب و کار الکترونیکی، دانشگاه سیستان و بلوچستان.
ویلیامز، ف. و مک‌شین، م. (1391). نظریـه‌های جـرمشناسـی، ترجمـۀ: حمیدرضـا ملـک‎‌محمدی، تهران: میزان.
Andreoni, J. Harbaugh, W. & Vesterlund, L. (2003) “The Carrot or the Stick: Rewards, Punishments and Cooperation.” The American Economic Review, 93: 893-902.
Bulgurcu, B. Cavusoglu, H. & Benbasat, I. (2010) “Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness.” Management Information Systems, 34: 523-548.
Chang. E. (2007) “An Investigation of Organizational Culture on Information Security Management.” Academy of Management Journal, 35: 421-438.
D’Arcy, J. Hovav, A. & Galletta, D. (2009) “User Awareness of Security Countermeasures and its Impact on Information Systems Misuse: A Deterrence Approach.” Information Systems Researh, 20 (1): 79-98.
D’Arcy, J. & Herath, T. (2011) “A Review and Analysis of Deterrence Theory in the is Security Literature: Making Sense of the Disparate Findings.” European Journal of Information Systems, 20 (6): 643-658.
Fehr, E. & Schmidt, K. M. (2007) “Adding a Stick to the Carrot? The Interaction of Bonuses and Fines.” The American Economic Review, 97: 177-181.
Ifinedo, P. (2014) “Information Systems Security Policy Compliance: An Empirical Study of the Effects of Socialisation, Influence and Cognition.” Information Management, 51 (1): 69-79.
Hu, Q. Xu, Z. Dinev, T. & Ling, H. (2011) “Does Deterrence Work in Reducing Information Security Policy Abuse by Employees?” Communication of the ACM, 54 (6): 54-60.
Krishnan, R. (2003) “CISSP-Whitepaper Information Security Management Systems.” Information Systems Research, 1 (3): 255-276.
Kruger, H. A. & Kearney, W. D. (2006) “A Prototype for Assessing Information Security Awareness.” Computers & Security, 25: 289-296.
Li, H. Zhang, J. & Sarathy, R. (2010) “Understanding Compliance with Internet Use Policy from the Perspective of Rational Choice Theory.” Decision Support Systems, 48 (4): 635-645.
McCombs, B. L. (2008) “Self-Regulated Learning and Academic Achievement: A Phenomenological View.” in: Zimmerman, B. J. & Schunk, D. H. (Eds.), Self-Regulated Learning and Academic Achievement:Theoretical Perspectives. Oxfordshire, UK: Routledge. 63-118.
Mikko, S. Mahmood, M. A. & Seppo, P. (2014) “Employees' Adherence to Information Security Policies: An Exploratory Field Study.” Information & Management, 51: 217-224.
O’Donoghue, T. & Rabin, M. (2001) Healthcare Information Research, Chapter in Now or Later: Economic and Psychological Perspectives on Intertemporal Choice. edited by Roy Baumeister, George Loewenstein & Daniel Read. New York, US: Russell Sage Foundation Press.
Park, E. Kim, J. & Park, Y. S. (2017) “The Role of Information Security Learning and Individual Factors in Disclosing Patients’ Health Information.” Computers & Security, 65: 64-76.
Prinsley, R. Beavis, A. S. & Clifford-Hordacre, N. (2016) Women in STEM: A Story of Attrition Datasheet. Canberra: Office of the Chief Scientist.
Siegel, L. J. (2001) Criminology: Theories, Patterns and Typologies, Massachusetts. US: University of Massachusetts.
Song, Y. Lee, M. Jun, Y. Lee, Y. Cho, J. & Kwon, M. (2016) “Revision of the Measurement Tool for Patients’ Health Information Protection Awareness.” Healthcare Informatics Research, 22 (3): 206–216
Skinner, W. F. & Fream, A. (1997) “A Social Learning Theory Analysis of Computers Crime among College Students.” Journal of Research Crime Delinquency, 34 (4): 495-518.
Siponen, M. Pahnila, S. & Mahmood, M. A. (2010) “Compliance with Information Security Policies: An Empirical Investigation.” Computer, 43 (2): 64-71.
Straub, D. W. & Welke, R. J. (1998) “Coping with Systems Risk: Security Planning Models for Management Decision Making.” MIS Quarterly, 22 (4): 441-469.
Straub, D. W. (1990) “Effective is Security: An Empirical Study.” Information Systems Research, 1 (3): 255-276.
Subramaniam, C. Park, S. & Kumar, R. L. (2008) “Understanding the Value of Countermeasure Portfolios in Information Systems Security.” Journal of Management Information Systems, 25 (2): 241-280.
Thomas, H. & Anderson, N. (2006) “Changes in New Comers’ Psychological Contracts During Organizational Socialization: A Study of Recruits Entering the British Army.” Journal of Organizational Behavior, 19: 745-767.
Veiga. A. & Martins, N. (2017) “Defining and Identifying Dominant Information Security Cultures and Subcultures.” Computers & Security, 70: 72-94.
Von Solms, R. (2014) “Information Security Management (1): Why Information Security is so Important. Information Management and Computer Security.” Journal of Association Information Systems, 6: 174-177.