نوع مقاله : مقاله پژوهشی
نویسندگان
1 استادیار، گروه مدیریت، دانشگاه آزاد اسلامی، واحد اصفهان (خوراسگان)، اصفهان، ایران
2 دانشجوی رشته مدیریت دولتی، دانشگاه آزاد اسلامی، واحداصفهان(خوراسگان)، اصفهان، ایران
چکیده
کلیدواژهها
عنوان مقاله [English]
نویسندگان [English]
Introduction: while the role of information in today’s world cannot be denied, and since most activities and processes depend on information, the violation of information security is a critical concern. There are numerous motivations to threaten the security of an organization’s information, ranging from economic motivations to revenge, although some threats are not intentional and the source of such threats does not really intend to do so. There are two sources of security threats, internal and external. The internal threats consist of the employees who intentionally or unintentionally violate the security rules of organizational information. While there are a variety of studies, dealing with this issue from different angles, researchers found no prior reports on the relationship between information security awareness and intention to violate information security with the mediating role of individual norms and self-control. Hence, this research aims to employ several theories, including general deterrence theory, general crime theory, control theory and social learning theory and suggests 5 minor hypotheses and 2 major hypotheses to examine the mentioned relationship among the employees of Keshavarzi Bank in Isfahan city. The results will lead to the development of a new theoretical model, which expands our knowledge in this field and also can be employed by researchers as the theoretical underpinning in their future research. The results can also offer new practical suggestions and solutions to reduce the incidents of information security breach in organizations by the employees.
Material & Methods: The present study is an applied research in terms of the purpose, and it is a descriptive-survey with correlation approach in terms of the method. The population of the present study consisted of 350 employees of Keshavarzi Bank in Isfahan. The studied sample was estimated 184 individuals based on the Morgan table and was selected by stratified random sampling fitted to size. The scale was adopted and adapted from published sources, and, except the demographics, was formatted on the five-point Likert scale. The demographics consisted of 5 questions, referring to the respondents’ age, gender, education level, marital status, and organizational position. The main scale for the variable ‘information security awareness’ consisted of 3 dimensions, namely, ‘information security general awareness’, ‘information security rules awareness’, and ‘information security violation sanctions’, each consisted of three-question items. The questionnaires for ‘individual norms’ and ‘intention to violate information security’ each consisted of 4 items, and the questionnaire for ‘self-control’ consisted of 3 items. The validity of the questionnaires was obtained using face validity (by a number of respondents), content validity (by faculty members and management specialists) and construct validity (confirmatory factor analysis), using average variance extraction (AVE), composite reliability (CR), factor loading and Fornel and Larcker criterion. To examine the scale reliability, Cronbach’s alpha was used and the overall reliability was 0.83. The collected data were analyzed by SPSS and SmartPLS software at two levels of descriptive and inferential statistics. Based on the results, all the research hypotheses were approved.
Discussion of Results & Conclusions: The relationships between awareness of information security with individual norms (β=0.67), self-control (β=0.71), and intention to violate information security (β=- 0.53) were significant. The results also indicated that individual norms (β= -0.54) and self-control (β= 0.48) were significantly related to intention to violate information security. The results are consistent with some past similar studies, which have been discussed. Overall, it can be suggested that employees’ awareness regarding the security rules of the organization, and the consequences of violation of information security should be improved by conducting different classes. Moreover, building an efficient security culture to encourage employees to follow the security rules of the organization can be an effective step toward this goal. Another step would be implementing sanctions in public against those who violate the security rules of the organization.
کلیدواژهها [English]
مقدمه و بیان مسئله
جهان امروز از جوامع اطلاعاتمحور تشکیل شده است که اصلیترین ویژگی آن اهمیت و استفاده از اطلاعات و ارتباطات در امور جاری است (Krishnan, 2003). نقش بیبدیل اطلاعات در تصمیمگیریها و همچنین پیشرفت سریع فناوری اطلاعات موجب تبدیل جوامع امروزی به جوامع اطلاعاتی شده است. امروزه نقش پراهمیت اطلاعات در جوامع و حساسیت فرایندهای جمعآوری، ثبت و انتشار اطلاعات، دگرگونی بنیادینی را در ساختار مناسبات و ارتباطات جوامع ایجاد کرده و همین امر، موجب ایجاد مخاطرات، تهدیدها و نگرانیهای جدیدی مبتنی بر اطلاعات شده است که مقولۀ رفتارهای پرخطر دربارۀ اطلاعات از آن جمله است (پورنقدی، 1397). رفتارهای پرخطر، رفتارهای بالقوۀ مخربیاند که افراد یک جامعه، بهطور ارادی یا حتی بدون اطلاع از پیامدها و عواقب نامطلوب احتمالی، آنها را انجام میدهند (بوستانی، 1391: 2) که از آن جمله، نقض امنیت اطلاعات است (پورنقدی، 1397). این رفتارهای ضداجتماعی مهمترین چالشهای بهداشتی و روانی - اجتماعی در یک جامعهاند (عباسزاده و همکاران، 1396: 2). بررسی اسناد و مدارک نشان میدهد امنیت مترادف مفهوم «سلامتی» به کار رفته و وجود آن ضامن سلامتی جامعه پنداشته شده است (حیدریساربان، 1396: 46)؛ بنابراین، این امر، برنامهریزی دقیق برای شناسایی عوامل مؤثر در مدیریت و کنترل آن را برای ارتقای سلامت روانی جامعه میطلبد. اهمیت این مسئله به این دلیل است که امروزه نیازها، کسب و کار، تجارت، امور مالی و بانکی ازطریق تبادل اطلاعات برطرف میشوند؛ بنابراین، اهمیت امنیت اطلاعات دوچندان میشود (Krishnan, 2003). به همین دلیل، در صورت نقض امنیت اطلاعات، سازمانها و افراد دچار تشویش خاطر و احساس ناامنی میشوند؛ درنتیجه، بهدلیل نقش حفاظت از امنیت اطلاعات حساس افراد در سلامت و بهداشت روانی جامعه، شناسایی عواملی که در نقض امنیت اطلاعات نقش دارند و موجبات به خطر افتادن سلامت روانی جامعه را فراهم میکنند، اهمیت بسزایی دارد. در همین راستا، یکی از مهمترین عناصر در مدیریت امنیت اطلاعات، کارمندان سازمانها هستند (کریمی و پیکری، 1397).
مانند دیگر سطوح جامعه، سازمانهای امروزی به جمعآوری، ثبت و انتشار اطلاعات نیاز دارند؛ بنابراین، درک آنچه موجب میشود کارمندان، اقدامات امنیتی مربوط به اطلاعات را بپذیرند یا در مقابل آن مقاومت کنند، حیاتی است (اسفندیارپور، 1389). امروزه بسیاری از بانکها دریافتهاند که برای موفقیت، علاوه بر استفاده از روشها و فناوریهای امنیتی، به سرمایهگذاری و برنامهریزی برای ایجاد یک برنامۀ جامع امنیت نیازمندند تا بدان طریق از افشای اطلاعات حساس خود که از یک سو موجب خسارتدیدن فعالیتهای بانکداری و ازسوی دیگر، موجب نگرانی مشتریان خود و از دست دادن اعتماد آنها میشود، جلوگیری کنند. برنامۀ جامع امنیت بانکداری الکترونیک شامل فناوریها و برنامههای حفاظتی - فناوریهای موجود (نرمافزار و سختافزار)، افراد و برنامههای مدیریتی مرتبط با حفاظت از منابع و عملیات بانکداری - است. با وجود این، موفقیت چنین برنامههایی به مدیریت نیروی انسانی سازمان و برنامهریزی برای تغییر رفتار امنیتی آنها بستگی دارد (کریمی و پیکری، 1397). به عبارت دیگر، علاوه بر اهمیت استفاده از فناوریهای بهروز و پیشرفته برای حفاظت از امنیت اطلاعات، نگرش و رفتار کارمندان نیز در حفاظت از امنیت اطلاعات سازمان نقش اساس دارد (D’arcy & Herath, 2011). پژوهشگران در مطالعهای گزارش کردند که بیشتر دلایل نقض امنیت اطلاعات به فاکتورهای مرتبط به افراد برمیگردد (کریمی و پیکری، 1397)؛ بهطوری که حتی راه حل فنی بالاتر از حد نیاز را برای سازمان مضر دانستند. طبق یافتههای آنها، در صورت ایجاد همۀ تمهیدات فنی و سیاستهای امنیتی، آگاهینداشتن و بیتوجهی کارمندان میتواند همۀ حفاظتهای فنی را بینتیجه کند؛ در صورتی که کارمندان آگاه در محیط کاری تا اندازۀ زیادی موجب کاهش این خطرات امنیتی میشوند (Kruger & Kearney, 2006)؛ بنابراین، ارتقای چگونگی رفتار کارکنان بستر مناسبی برای ارتقای اثربخشی امنیت اطلاعات در درون بانک فراهم میکند و مدیریت بانک باید با تدوین برنامهها و سیاستهای مناسب و اثرگذار در این حوزه، سعی در مدیریت امنیت اطلاعات در بانک داشته باشد.
در این زمینه و براساس نظریۀ بازدارندگی عمومی، یکی از جنبهها و راههای مهم برای حفاظت و مدیریت امنیت اطلاعات، ارتقای آگاهی کاربران از امنیت اطلاعات است (D’arcy & Herath, 2011; D’arcy et al., 2009). در این صورت، افراد آگاهیهای لازم و مربوط به نقش و مسؤلیت خویش در حفظ امنیت اطلاعات در کار مربوط به خود را کسب میکنند. بنابراین آموزش کارکنان و افزایش آگاهی آنها دربارۀ امنیت اطلاعات، میتوانند تأثیر جالبتوجهی در حفاظت از اطلاعات سازمان داشته باشند (ولی، 1391؛ کریمی و پیکری، 1397).
رابطۀ بین آگاهی از امنیت اطلاعات در سازمان با ارزشهای شخصی (خودکنترلی و هنجارهای شخصی) و قصد نقض اطلاعات را میتوان با استناد به نظریۀ یادگیری اجتماعی، نظریۀ عمومی جرم و نظریۀ کنترل توضیح داد (Skinner & Fream, 1997; Park et al., 2017). براساس نظر اودونگو و رابین (2001)، آگاهی بر رفتار خودکنترلی افراد تأثیر دارد. در خودکنترلی، عامل کنترلکننده از محیط به انسان منتقل میشود؛ بهطوری که شخص با اختیار و آگاهی عملکرد خود را در قالب استانداردهای مشخص و درجهت اهداف مطلوب ارزیابی و اصلاح میکند (سجادی، 1385). پژوهشهای انجامشده نشان میدهند هنجارهای شخصی بهصورت مستقیم بر رفتارهای انحرافی تأثیر میگذارند (Song et al., 2016). کارمندانی که آگاهی از امنیت اطلاعات در سطح بالا دارند، ممکن است هنجارهای فردی سطح بالا هم داشته باشند که این هنجارها با بهکارگیری روشهای آموزشی در بانکها شکل گرفتهاند. در مطالعات گذشته گزارش شده است که آگاهی با هنجار فردی رابطه دارد. چنانکه ایفندو[1] (2014) گزارش کرده است، در صورتی که آگاهی دانشآموزان در زمینۀ رفتارهای ضداجتماعی افزایش یابد، این امر بر ارزشها و هنجارهای آنها تأثیر خواهد داشت. از آنجا که طبق نظریۀ عمل منطقی، ارزشهای فردی در تعیین رفتار فرد مؤثر است، میتوان نتیجه گرفت دربارۀ سیاستهای امنیتی اگر فردی خودکنترلی بالایی داشته باشد، تمایل کمتری به افشای اطلاعات دارد (سجادی، 1385)؛ بنابراین، کارکنانی که هنجارهای شخصی بالایی دارند، خود را با سیاستهای استفاده از اینترنت بیشتر تطبیق میدهند و نگرش آنها با سیاستهای امنیتی سازگاری دارد و تمایل کمتری به افشای اطلاعات سازمان دارند (Park et al., 2017)؛ بنابراین، انتظار میرود هنجارهای فردی و خودکنترلی در ارتباط بین آگاهی افراد در زمینۀ امنیت اطلاعات و رفتار آنها دربارۀ امنیت اطلاعات نقش میانجی داشته باشد.
در همین راستا، هدف این پژوهش تعیین رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی است. انجام این مطالعه، علاوه بر ارائه و آزمودن یک الگوی نظری جدید در حوزۀ امنیت اطلاعات از منظر انسانی - که میتواند به پژوهشگران و جامعۀ علمی در زمینۀ درک بهتر چگونگی مدیریت و حفاظت از امنیت اطلاعات از منظر نیروی انسانی سازمان کمک کند - میتواند مبنای نظری جدیدی را برای مطالعات بعدی و گسترش الگوی ارائهشده بهوسیلۀ پژوهشگران دیگر فراهم کند. یافتهها همچنین میتوانند شامل پیشنهادها و راهکارهای کاربردی جدیدی برای سیاستگذاری در حوزۀ مدیریت امنیت اطلاعات باشند.
مرور ادبیات پژوهش
قصد نقض امنیت اطلاعات: امنیت اطلاعات به معنای حفاظت اطلاعات و سیستمهای اطلاعاتی از فعالیتهای غیرمجاز است. این فعالیتها عبارتاند از: دسترسی، استفاده، افشا، خواندن، نسخهبرداری یا ضبط، خرابکردن، تغییر و دستکاری (سادوسکای و همکاران، 1384). قصد نقض امنیت اطلاعات یعنی رعایتنکردن محدودیتها و قوانین مرتبط با امنیت اطلاعات و نقض اطلاعات که ممکن است تبعاتی برای کسب و کار داشته باشد و جبران آن ماهها و سالها طول بکشد که ناآگاهی یا اطلاع ناقص از مقررات و قوانین یا اشتباهات، فرصتهای زیادی برای افشای اطلاعات سازمان در اختیار رقبا قرار میدهد (ولی، 1391).
آگاهی از امنیت اطلاعات: آگاهیهای لازم و مربوط به نقش و مسئولیت افراد در حفظ امنیت اطلاعات در کار مربوط به خود را گویند. آگاهی از امنیت اطلاعات در افراد سبب تغییر رفتار آنها و تقویت فعالیتهای خوب امنیتی میشود و به افراد اجازه میدهد نسبت به امنیت فناوری اطلاعات نگران و پاسخگو باشند (حسنزاده و همکاران، 1391). آگاهی از امنیت اطلاعات طبق نظر پارک و همکاران شامل سه بعد زیر است: الف) آگاهی عمومی از امنیت اطلاعات به معنای آگاهیرسانی عمومی در زمینۀ ابعاد امنیت، ازجمله اهداف یک سیستم مدیریت امنیت اطلاعات است که با هدف افزایش آگاهی عمومی کاربران و جامعۀ مخاطبان سیستمهای مدیریت امنیت اطلاعات، صورت میگیرد (Park et al., 2017). ب) آگاهی از قوانین امنیت اطلاعات که یک مفهوم ساختاری جدید است که به آگاهی، درک و رعایت کارکنان از سیاستها، قوانین و اطلاعات امنیتی سازمان مرتبط اشاره و بیان میکند که آگاهی کارکنان از سیاست امنیت اطلاعات سازمان تأثیر مثبتی بر نگرش کارکنان برای موافقت با سیاستهای امنیتی شرکت دارد (Bulgurcu et al., 2010). ج) آگاهی از شدت مجازات نقض امنیت اطلاعات به دانش و درک درست کارکنان از انواع مجازات و شدت مجازاتهای مرتبط با نقض امنیت اطلاعات سازمان اطلاق میشود (Park et al., 2017). بلگورسو و همکاران[2] (2010) نشان دادند آگاهی عمومی از اطلاعات امنیتی زیرمجموعۀ آگاهی امنیت اطلاعات است که تأثیر مثبتی در نگرش بهسوی موافقت با سیاست امنیتی اطلاعاتی سازمان دارد. کارمندان بانک به درک مفهوم کلی از امنیت اطلاعات و مسائل برای محافظت مناسب از اطلاعات سلامتی بیماران نیاز دارند.
خودکنترلی: هرگاه عامل کنترلکننده از خارج به داخل انسان منتقل شود، بهطوری که شخص با اختیار و آگاهی، عملکرد خود را در قالب استانداردهای مشخص و در جهت اهداف مطلوب ارزیابی و اصلاح کند، خودکنترلی تحقق یافته است (سجادی، 1385). نظریۀ کنترل به دیدگاهی بازمیگـردد کـه دربـارۀ کنتـرل انسـان بحـث میکند. نظریههای کنترل اجتماعی، بزهکاری را به متغیرهای عادی جامعه نسبت میدهنـد. نظریهپردازان کنترل اجتماعی در این باور مشترکاند که آنچه باید تشریح شود این است که چرا مردم از قانون پیروی میکننـد. جـزء مهـم تمام نظریههای کنترل اجتماعی، تلاش برای تشریح عوامل بازدارندۀ مـردم از ارتکـاب جـرم است (ویلیامز و مکشین، 1391). نظریۀ عمومی جرم از دیگر نظریههایی است که در این زمینـه از آن بهـره بـرده شـده است. این نظریه، مفاهیم نظریۀ کنترل را با دیـدگاههـای زیسـت اجتمـاعی، روانشـناختی، فعالیـت روزمـره و نظریـههای انتخـاب عقلانـی ترکیـب مـیکنـد (Siegel, 2001). نظریۀ عمومی جرم، مدعی است افراد با هدف کسب لذت و احتـراز از رنـج، مرتکـب جرم میشوند؛ بنابراین، جرم امری منطقـی، عقلانـی و پـیشبینـیپـذیر اسـت. افـراد زمـانی مرتکب جرم میشوند که این امـر پـاداشدهنـده و عامل خودکنترلی غایب باشد. خودکنترلی، ایجاد حالتی درون فرد است که او را به انجام وظایفش متمایل میکند، بدون آنکه عامل خارجی بر او کنترل داشتــــه باشد.
هنجاریهای فردی: هنجارهاییاند که اثر بازدارندگی قوی بر رفتارهای انحرافی افراد دارند و دانش کافی دربارۀ اخلاق، اینکه چه چیزی درست و چه چیزی نادرست است و اینکه کدامین رفتار مناسب است، ارائه میدهند (Li et al., 2010: 638). در اصطلاح جامعهشناسی هنجارها را الگوهای استانداردشدۀ رفتار میگویند. این الگوها نشاندهندۀ رفتار ایدهآل یا مطلوب جامعهاند. هنجارها در جامعهشناسی بهمنزلۀ یک قاعدۀ رفتاری عمل میکنند که هم افراد برای انجام کارها از آن پیروی میکنند و هم رفتار انسانها با آن سنجیده میشود؛ بنابراین، هنجارهای اجتماعیاند که تعیین میکنند انسان چه باید بگوید و از گفتن چه چیزهایی باید اجتناب ورزد. باید چگونه بیندیشد و چگونه رفتار کند (بیرو، 1375). هنجارها از این بابت بر ارزشها و نگرشهای اجتماعی اثر میگذارند که تجویزکننده و در عین حال نهیکنندۀ رفتارها هستند. هنجارهای اجتماعی را تجلی بیرونی ارزشهای اجتماعی میدانند. هنجارها به این دلیل باقی میمانند که با نظام ارزشی جامعه توافق دارند و به نیازهای اجتماعی پاسخ میدهند (سلیمی و داوری، 1380). پژوهشهای پیشین به این نتیجه رسیدهاند که هنجارهای ذهنی نسبت به نگرشها، در پیشبینی مقاصد رفتاری افراد نقش مهمتری دارند (نخعی و خیری، 1391).
مروری بر پژوهشهای پیشین
کریمی و پیکری (1397) در پژوهشی توصیفی - میدانی با نام «تأثیر ادراک پرستاران از آموزش امنیت اطلاعات و آگاهی از سیاستهای امنیت اطلاعات بر ادراک از شدت و قطعیت مجازات نقض امنیت اطلاعات»، تأثیر ادراک کارکنان از قطعیت و شدت مجازاتهای افشای اطلاعات را بر قصد آنها برای سوءاستفاده از اطلاعات بررسی کردند. نمونۀ بررسیشده در این پژوهش 124 نفر از کارکنان بیمارستان چمران شهر اصفهان بود. فرضیهها با نرمافزار Smart PLS تجزیه و تحلیل شدند. نتایج پژوهش نشان دادند ادراک کارکنان از شدت و قطعیت مجازاتها تأثیر منفی بر افشای اطلاعات دارد. آگاهی کارکنان از سیاستهای امنیتی سیستمهای اطلاعاتی تأثیر مثبت معنادار بر ادراک آنها نسبت به شدت و قطعیت مجازات افشای اطلاعات و آگاهیشان از برنامههای آموزشی آگاهی و امنیتی، تأثیر مثبت معنادار بر ادراک آنها نسبت به شدت و قطعیت مجازات افشای اطلاعات دارد. همچنین آگاهی کارکنان از شیوههای نظارت بر کامپیوتر، تأثیر مثبت معنادار بر ادراک آنها نسبت به شدت و قطعیت مجازات افشای اطلاعات دارد.
احمدیجزئی (1395) در پژوهش «بررسی فرهنگ سازمانی و تأثیر آن بر مدیریت امنیت اطلاعات» با توجه به سطح آمادگی کارکنان قوۀ قضاییه به این نتیجه دست یافت که فرهنگ سازمانی مشارکتی بر محرمانهبودن و دردسترس بودن اطلاعات اثرگذار بوده است؛ ولی بر پیوستگی اطلاعات و پاسخگویی اثرگذار نبوده است. همچنین فرهنگ ثبات بر هر چهار مؤلفۀ امنیت اطلاعات اثرگذار بوده است؛ ولی فرهنگ نوآوری و فرهنگ اثربخشی بر هیچکدام از مؤلفههای امنیت اطلاعات تأثیرگذار نبوده است.
خواجویی (1390) در پژوهش «بررسی کنترلهای امنیت اطلاعات»، حوزههای مدیریتی و اهداف کنترلی امنیت اطلاعات را براساس استاندارد مدیریت امنیت اطلاعات اولویتبندی کرد. او برای بررسی استاندارد مدیریت امنیت اطلاعات از روش تحلیل سلسلهمراتبی فازی و برای گردآوری دادههای پژوهش از پرسشنامهای مشتمل بر 144 مقایسۀ زوجی استفاده کرد. جامعۀ این پژوهش مناطق چهارگانۀ شرکت ملی پخش فرآوردههای نفتی ایران در منطقۀ شرق و جنوبشرق کشور شامل کرمان، زاهدان، خراسان جنوبی و چابهار بود که بهدلیل محدودبودن تعداد اعضای کمیتههای راهبری این چهار منطقه، از روش سرشماری در نمونهگیری استفاده شد. بعد از تجزیه و تحلیل دادهها ضریب ناسازگاری 05/0 برای پرسشنامههای پژوهش به دست آمد که این مقدار کمتر از 1/0 و مقداری پذیرفتنی بود. نتایج حاصل از پژوهش نشان میدهند حوزههای مدیریتی کنترل دسترسی و اکتساب، بهبود، حفظ و نگهداری سیستمهای اطلاعاتی به ترتیب با اوزان محلی 124/0 و 121/0 اولویتهای اول و دوم و مدیریت دارایی با وزن محلی 036/0 اولویت آخر را میان 11 حوزۀ پژوهش به خود اختصاص دادند. همچنین میان اهداف کنترلی، مدیریت دسترسی کاربر و مدیریت تحویل خدمت شخص سوم به ترتیب با اوزان جهانی 047/0 و 007/0 اولویتهای اول و آخر را میان 39 هدف کنترلی امنیت به خود اختصاص دادند.
اسفندیارپور (1389) در پژوهش پیمایشیِ «عوامل مؤثر بر پذیرش سیاستهای امنیت اطلاعات توسط کارمندان در سازمان»، عوامل مؤثر بر پذیرش سیاستهای امنیت اطلاعات در سازمان را با نظرخواهی از 85 نفر در سازمان وزارت کشور بررسی کرد. نتایج پژوهش نشان دادند تعهد سازمانی و تأثیرات اجتماعی، تأثیر فزایندهای در پذیرش سیاستهای امنیت اطلاعات دارند و در دسترس بودن منابع فاکتوری اثرگذار در ارتقای خودباوری و عاملی پیشبینیکننده در پذیرش سیاستهای امنیت اطلاعات خواهد بود. اگرچه سازمانها از فناوریها و فعالیتهای امنیتی استفاده میکنند، این اثبات شده است که امنیت اطلاعات تنها با ابزارهای فناورانه به دست نمیآید؛ درنتیجه، سازمانها به سیاستهای امنیت اطلاعات توجه میکنند. بیشتر سازمانها زمان و منابع برای تهیه، ایجاد و نگهداری سیاستهای امنیت صرف میکنند؛ در حالی که اگر کاربران سیستمهای اطلاعاتی سازمان تمایلی برای پیروی از سیاستها نداشته باشند این کوششها شکست خواهند خورد. همچنین نتایج نشان دادند: 1) تأثیرات اجتماعی تأثیر فزایندهای بر نیت قبول (قصد پذیرش سیاست امنیت اطلاعات) دارند؛ 2) در دسترس بودن منابع تأثیر فزایندهای بر ارتقای خودباوری و به همان اندازه نیات قبول سیاست دارد؛ 3) تعهد سازمانی نقشی مضاعف ازطریق تأثیر مستقیم بر نیات و به همان اندازه طرز تفکر دربارۀ سیاست دارد.
پارک و همکاران[3] (2017) نقش آموزش امنیت اطلاعات و عوامل فردی در افشای اطلاعات سلامت (پزشکی) بیماران را بر گسترش امنیت اطلاعات بررسی کردند. با توجه به بیشترشدن اهمیت اجابت مقررات و سیاستهای امنیت اطلاعات بهوسیلۀ کارکنانی که در صنعت مراقبتهای بهداشتی کار میکنند، بحث امنیت اطلاعات در مراکز درمانی از اهمیت بیشتری برخوردار شده است. همچنین یافتههای این پژوهش نشان دادند امنیت اطلاعات و ارزشهای شخصی در آموزش پرستاری و تلاش صنعت مراقبتهای بهداشتی برای حفاظت از اطلاعات سلامت بیماران نقش جالبتوجهی دارند.
وایگا و مارتینز[4] (2017) در پژوهش «بهبود فرهنگ امنیتی اطلاعات ازطریق اقدامات نظارت و پیادهسازی» که بین 512 نفر از کارکنان در آفریقای جنوبی انجام دادند، به این نتیجه دست یافتند که ابزار ارزیابی فرهنگ امنیت اطلاعات میتواند در سازمانها بهطور موفقیتآمیزی بر فرهنگ امنیت اطلاعات تأثیر بگذارد. همچنین آموزش امنیت اطلاعات و آگاهی، عاملی مهم در تأثیرگذاری مثبت بر فرهنگ امنیتی اطلاعات هنگام استفاده از ارزیابی فرهنگ امنیت اطلاعات است. آنها نشان دادند فرهنگ و خردهفرهنگهای امنیتی اطلاعات غالب در طول زمان پس از اجرای مداخلات هدفمند به یک فرهنگ امنیتی اطلاعاتی مثبتتر بهبود یافته است.
بلگورسو و همکاران (2010) در پژوهش «انطباق سیاست امنیتی اطلاعات: اعتقادات مبتنی بر عقلانیت و آگاهی از امنیت اطلاعات»، انواع مجازات و شدت مجازاتهای مرتبط با نقض امنیت اطلاعات سلامت را بررسی کردند. نتایج پژوهش آنها نشان دادند رابطهای مثبت و معنادار بین شدت تنبیه و قصد موافقت با سیاست امنیت اطلاعات در سازمان وجود دارد. همچنین نتایج پژوهش آنها نشان دادند تأثیر نقض امنیت اطلاعات محافظتشده، میتواند بسیار جدیتر از نقض سیاست امنیتی در یک سازمان باشد؛ ازاینرو، به اعمال مجازاتهای شدیدتر نیاز است.
دارسی و همکاران[5] (2009) در پژوهش «آگاهی کاربر از اقدامات مخالف امنیت و تأثیر آن در سیستمهای اطلاعاتی با رویکرد بازدارنده»، تأثیر آگاهی کاربر از اقدامات مخالف امنیت بر سیستمهای اطلاعاتی را بررسی کردند. نتایج پژوهش آنها نشان دادند برنامههای آموزشی امنیت میتوانند هم سطح درک افراد از تحریمها و هم شدت درکشده از تحریم را افزایش دهند. همچنین شدت تحریم دریافتشده تأثیر منفی بر هدف سوءاستفاده دارد.
چانگ[6] (2007) در پژوهش «بررسی فرهنگ سازمانی بر مدیریت امنیت اطلاعات» که بین پرستاران انجام شد، به این نتیجه دست یافت که فرهنگ سازمانی، تأثیر مستقیم بر ایجاد فرهنگ امنیت اطلاعات دارد. او مؤلفههای سازمانی ازجمله همکاری، نوآوری، سازگاری، کارآیی و تأثیربخشی بر اصول امنیت اطلاعات (محرمانهبودن، در دسترس بودن، صحت و پاسخگویی) را بررسی کرد. یافتهها نشان دادند تمام عوامل فرهنگ سازمانی بر مؤلفههای امنیت اطلاعات تأثیر مثبتی دارند.
توماس و اندرسون[7] (2006) در پژوهش «پرورش یک فرهنگ امنیتی اطلاعات سازمانی» که بین 810 نفر از کارکنان یک شرکت بینالمللی در اروپا انجام دادند، به این نتیجه دست یافتند که یک راه حل امنیتی باید جزئی اساسی در هر سازمان باشد. یکی از مهمترین مشکلات در دستیابی به جذب اطلاعات به یک سازمان، اعمال و رفتار کارکنان است. برای اطمینان از ادغام امنیت اطلاعات به فرهنگ سازمانی یک سازمان، حفاظت از اطلاعات باید بخشی از فعالیتهای روزمره و رفتار دوم شخصیت کارکنان باشد.
مطالعات پیشین عوامل متعددی را در زمینۀ عوامل انسانی نقض یا حفاظت از امنیت اطلاعات بررسی کردهاند؛ اما هیچ کدام از آنها، رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی را مطالعه نکردهاند.
چارچوب نظری پژوهش
نظریۀ بازدارندگی عمومی بهطور گستردهای برای مطالعۀ انطباق رفتار کارکنان در سازمان استفاده میشود. این نظریه به استفاده از راهبرد فشار منفی (مجازات) برای پرهیز از رفتارهای غیرایمن و ناخواسته با افزایش شدت و قطعیت مجازت اشاره دارد (Straub & Welke, 1998; Straub, 1990). برخی پژوهشگران استدلال میکنند که پاداش (تشویقی و انگیزه) اگر بهمنزلۀ راهبرد اجرایی مثبت به کار گرفته شود، ممکن است به دستیابی رفتار انطباقی بهتر کمک کند. بهطور مشابه اگر پاداش با تحریم همراه باشد، بر ارزیابی هزینه - فایدۀ کارکنان از رفتار انطباقی و رفتار غیرانطباقی تأثیر میگذارد (Bulgurcu et al., 2010). اجرای مؤثر سازوکار کنترل به چگونگی اجرا و شیوۀ بهکارگیری آن بستگی دارد. به هر حال تا به امروز مطالعهای برای تحلیل تعامل مؤثر بین مجازات و پاداش دربارۀ موضوع پیروی و سیاستهای امنیتی انجام نشده است. با مرور مقالات و پژوهشها، تضادهایی در ادبیات مربوط به تطابق امنیت یافت میشود. تأثیر پاداش در پیروی از سیاستهای امنیتی در سازمانها به نظر متناقض است: سیاست پاداش در تأثیرگذاری بر قصد کارکنان به پیروی جواب نمیدهد (Mikko et al., 2014)؛ این در حالی است که برخی مطالعات نشان میدهند پاداش، ابزاری مثبت در جهت مشارکت کارکنان در پیروی از امنیت است (Bulgurcu et al., 2010). اگرچه استفاده از مجازات و پاداش موضوعی بسیار جالب در حوزههایی مانند جامعهشناسی، روانشناسی اجتماعی و رفتار سازمانی است، هیچ مدرکی در مستندات مربوط به پیروی از سیاستهای امنیتی سیستمهای اطلاعاتی و حفظ اطلاعات حساس مشتریان وجود ندارد که تأیید کند این مسئله بهطور واقعی عمل خواهد کرد (Fehr & Schmidt, 2007; Andreoni et al., 2003).
نظریۀ بازدارندگی فرض میکند افراد دراساس انتخاب عقلانی و منطقی دارند و انتخاب آنها برای ارتکاب جرم به منفعتی بستگی دارد که آن جرم یا جنایت ممکن است برای آنها داشته باشد و افراد کمتر مستعد به مشارکت در یک رفتار مجرمانهاند؛ از این جهت که قطعیت، شدت و سرعت مجازاتی که علیه آن جرم تعیین شده است، از منافع آن بیشتر است (Hu et al., 2011; Siponen et al., 2010). نظریۀ بازدارندگی عمومی که در خطمشی سیستمهای اطلاعاتی و حفظ حریم شخصی مشتریان به کار رفته است، بیان میکند که با استفاده از فنهای بازدارندگی عمومی مانند منعکردن، پیشگیری، تشخیص و ارائۀ راه حل، امکان کاهش تهدیدها و کاهش یا حذف ریسک وجود دارد (Subramaniam et al., 2008).
آگاهی از امنیت اطلاعات و ارزشهای فردی
چنانکه پیش از این بیان شد، نظریۀ یادگیری اجتماعی، نظریۀ عمومی جرم و نظریۀ کنترل رابطۀ بین دو متغیر آگاهی از امنیت اطلاعات در سازمان با ارزشهای شخصی (خودکنترلی و هنجارهای شخصی) و قصد نقض اطلاعات را ازحیث نظری توجیه میکنند (Skinner & Fream, 1997; Park et al., 2017).
پژوهشهای انجامشده نشان میدهند هنجارهای شخصی بر رفتارهای انحرافی بهصورتی مستقیم تأثیر میگذارند (Song et al., 2016). در مطالعات پیشین گزارش شده است که آگاهی با هنجار فردی رابطه دارد؛ چنانکه ایفندو (2014) گزارش داد در صورتی که آگاهی دانشآموزان در زمینۀ رفتارهای ضداجتماعی افزایش یابد، این امر بر ارزشها و هنجارهای آنها تأثیر خواهد داشت. کارمندانی که آگاهی از امنیت اطلاعات سطح بالا دارند، ممکن است هنجارهای فردی سطح بالا هم داشته باشند که این هنجارها ازطریق بهکارگیری روشهای آموزشی در بانکها شکل گرفتهاند. آموزش عاملی حیاتی و تأثیرگذار در شکلگیری هنجارهای فردی کارمندان است. کارمندان میتوانند ارزشها و دیدگاههای خود را دربارۀ محرمانه نگهداشتن اطلاعات بانکی - مالی افراد ازطریق گذراندن برنامههای تنظیمشده دربارۀ اطلاع و آگاهیها از امنیت اطلاعات در درۀ آموزشی شکل دهند؛ بنابراین، فرضیههای فرعی این پژوهش به شکل زیر خواهند بود:
فرضیۀ 1- آگاهی از امنیت اطلاعات با هنجارهای فردی رابطۀ معناداری دارد.
نظریۀ بازدارندگی تمرکزی ویژه بر خودکنترلی در رفتارهای انحرافی دارد. فرض اساسی مطالعات پیشین بر این است که افرادی که خودکنترلی پایینی دارند، رفتارهای ضداجتماعی از خود نشان میدهند؛ بنابراین، یکی از اهداف آموزش باید کمک به افراد در توسعۀ خودکنترلیشان باشد (Park et al., 2017). براساس نظر اودونگو و رابین[8] (2001)، آگاهی بر رفتار خودکنترلی افراد تأثیر دارد؛ درواقع، افرادی که ازطریق برنامههای مختلف آگاهی از امینت اطلاعات پزشکی به سطوح بالایی از آگاهی از امنیت اطلاعات دست یافتهاند، خودکنترلی بالاتری دارند (Park et al., 2017)؛ ازاینرو، در فرضیۀ فرعی دوم چنین ادعا میشود:
فرضیۀ 2- آگاهی از امنیت اطلاعات با خودکنترلی رابطۀ معناداری دارد.
آگاهی از محرمانهبودن و قصد نقض امنیت اطلاعات بانکی - مالی
در مطالعات مربوط به امنیت اطلاعات رفتاری، نظریۀ بازدارندگی عمومی اهمیت بسزایی دارد. در این زمینه و براساس نظریۀ بازدارندگی عمومی، یکی از جنبهها و راههای مهم برای حفاظت و مدیریت امنیت اطلاعات، ارتقای آگاهی کاربران از امنیت اطلاعات است (D’arcy & Herath, 2011; D’arcy et al., 2009). بولگورسو و همکاران (2010) در بررسیهای خود به این نتیجه رسیدند که هم آگاهی از امنیت اطلاعات عمومی و هم آگاهی از ضوابط و سیاستهای امنیت اطلاعاتی، تأثیری مثبت بر نگرش موافق با سیاست امنیتی اطلاعاتی دارند. در این صورت، افراد آگاهیهای لازم و مربوط به نقش و مسئولیت خویش در حفظ امنیت اطلاعات در کار مربوط به خود را کسب میکنند. آگاهی از امنیت اطلاعات در افراد سبب تغییر رفتار و تقویت فعالیتهای خوب امنیتی میشود و به افراد اجازه میدهد نسبت به امنیت فناوری اطلاعات نگران و پاسخگو باشند (Von Solms, 2014). برنامههای آموزش امنیت و آگاهی میتوانند رفتارهای انحرافی مرتبط با امنیت اطلاعات بانکی را ازطریق آموزش کارکنان دربارۀ اهمیت امنیت اطلاعات عمومی، مجازات رفتارهای انحرافی و برخوردهای متقابل در سازمانها کاهش دهند. دارسی و همکاران (2009) بدین نتیجه رسیدهاند که برنامههای آموزش امنیت و آگاهی قادرند هم سطح درک افراد از مجازات و هم شدت درکشده از مجازات را افزایش دهند. در زمینۀ اطلاعات بانکی و مالی، ذینفعان ازجمله کارمندان بانک - که به درجات بالایی از آگاهی از امنیت اطلاعات ازطریق روشهایی که در بانک آموزش دیدهاند، دستیافتهاند - تمایل کمتری به رفتارهای انحرافی بهویژه افشای اطلاعاتی مشتریان دارند؛ بنابراین، در فرضیۀ فرعی سوم ادعا میشود که:
فرضیه 3- آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات رابطۀ معناداری دارد.
ارزشهای فردی و تمایل به نقض امنیت اطلاعات بانکی - مالی
در مطالعۀ حاضر آگاهی از امنیت اطلاعات بهمنزلۀ دانش عمومی یک کارمند در زمینۀ امنیت اطلاعات و دانش دربارۀ قوانین و مقررات امنیتی و موانع مربوط به آن تعریف شده است. در همین راستا، مطالعات قبلی نشان میدهند برنامههای آموزش و امنیت و آگاهی اثرات جالبتوجه بازدارندۀ مهمی در کنترل رفتارهای انحرافی دارند (کریمی و پیکری، 1397). همچنین بلگورسو و همکاران (2010) دریافتند که آگاهی عمومی از امنیت اطلاعات و آگاهی از سیاست امنیتی اطلاعات تأثیر مثبت بر نگرش کارکنان برای موافقت با سیاستهای امنیتی شرکت دارند. همچنین، طبق نظریۀ عمل منطقی، ارزشها و هنجارهای افراد با چگونگی رفتار آنها مرتبط است. افرادی که سطوح بالایی از هنجارهای شخصی (برای مثال، اخلاق) را دارند، دانش کافی دربارۀ اخلاق، اینکه چه چیزی درست و چه چیزی نادرست است و اینکه کدامین رفتار مناسب است، دارند. ادبیات جرمشناسی چنین بیان میکند که هنجارهای شخصی اثر بازدارندگی قوی بر رفتارهای انحرافی افراد دارند. لی و همکاران[9] (2010) بدین نتیجه رسیدهاند که هنجارهای فردی بهطور معمول در زمینۀ این است که فرد از خود رفتارهای انحرافی نشان دهد یا ملاحظات اخلاقی خود را وارد رفتارهای خویش کند؛ درواقع، هنجارهای شخصی بهصورتی مستقیم بر رفتارهای انحرافی تأثیر میگذارند. در مطالعۀ حاضر، اگر باورهای فردی بر این باشند که افشای اطلاعات بانکی افراد ازلحاظ اخلاقی نادرست است، فرد تمایل کمتری به افشای چنین اطلاعاتی خواهد داشت.
بنابراین، در فرضیۀ فرعی چهارم چنین ادعا میشود:
فرضیۀ 4- هنجارهای فردی با قصد نقض امنیت اطلاعات رابطۀ معناداری دارند.
پژوهشهای جرمشناسی همراه با فراتحلیلها، اهمیت تأثیر خودکنترلی را بر رفتارهای انحرافی نشان دادهاند. براساس نظریۀ یادگیری اجتماعی، نظریۀ عمومی جرم و نظریۀ کنترل، انتظار میرود آگاهی از امنیت اطلاعات در سازمان، بر ارزشهای شخصی مانند خودکنترلی و قصد نقض اطلاعات تأثیر بگذارد (Skinner & Fream, 1997; Park et al., 2017). افرادی که خودکنترلی پایینی دارند، تمایل بیشتری برای رفتن بهدنبال ریسک و خطر، فعالیتهای فیزیکی زیاد، ارتباطات غیرکلامی، کوتهفکری و خلقوخوی تند دارند (McCombs, 2008). افرادی که ضمن داشتن چنین ویژگیهایی، خودکنترلی پایینی هم دارند، رفتارهای انحرافی مانند نقض امنیت اطلاعات را بیشتر از خود نشان میدهند. در این مقاله، چنین فرض شده است که اگر فردی خودکنترلی بالایی داشته باشد، تمایل کمتری به افشای اطلاعات پزشکی دارد؛ بنابراین، در فرضیۀ فرعی پنجم ادعا میشود که:
فرضیۀ 5- خودکنترلی رابطۀ منفی با تمایل کارکنان به افشای اطلاعات بانکی مشتریان دارد.
با توجه به 5 فرضیۀ فرعی ذکرشده، 2 فرضیه اصلی زیر پیشنهاد میشود:
فرضیۀ اصلی اول: آگاهی از امنیت اطلاعات با نقش میانجی کامل هنجارهای فردی با قصد نقض امنیت اطلاعات رابطه دارد.
فرضیۀ اصلی دوم: آگاهی از امنیت اطلاعات با نقش میانجی کامل خودکنترلی با قصد نقض امنیت اطلاعات رابطه دارد.
شکل 1– الگوی مفهومی پژوهش
روش پژوهش
پژوهش حاضر از نوع کاربردی و یک مطالعۀ توصیفی - همبستگی است. جامعۀ آن، 350 نفر از کارکنان شعب بانک کشاورزی شهر اصفهان بود. دلیل انتخاب بانک بهمنزلۀ جامعۀ مطالعهشده این بود که چون موضوع این پژوهش دربارۀ عوامل مؤثر بر نقض امنیت اطلاعات بود، بهطور طبیعی جامعۀ مطالعهشده باید به اطلاعات حساسی دسترسی داشته باشند تا حفاظت یا نقض آن موضوعیت یابد و مطالعۀ آن اهمیت داشته باشد. به عبارت دیگر، انجام این پژوهش با توجه به پدیدۀ مطالعهشده دربارۀ همۀ اعضای جامعه موضوعیت نداشت. ازطرفی، از آنجا که موضوع امنیت اطلاعات در بانکها اهمیت بسزایی دارد، انجام این پژهش در بانکها را توجیه میکرد. دلیل انتخاب یک بانک بهمنزلۀ جامعۀ مطالعهشده نیز این بود که پژوهشگران سعی داشتند با مطالعۀ موضوع بین کارمندان یک سازمان، نقش و دامنۀ تغییر عواملی مانند فرهنگ سازمانی، هنجارهای گروهی و عوامل مدیریتی را ثابت یا حداقل نگه دارند؛ در حالی که در صورت مطالعۀ چند بانک بهطور همزمان، این عوامل ممکن بود از عوامل مؤثر در پیشبینی احتمال نقض امنیت اطلاعات محسوب شوند. بر همین اساس، نمونۀ پژوهش با استفاده از جدول مورگان 184 نفر بود که با استفاده از روش نمونهگیری غیرتصادفی تعیین شدند و پس از توزیع 215 پرسشنامه، تعداد 197 پرسشنامۀ کاربردی جمعآوری شد.
جدول 1– مشخصات ابزار، پایایی و روایی
متغیر |
منبع سؤالات |
آلفای کرونباخ |
متوسط واریانس استخراجشده (AVE) |
پایایی مرکب (CR) |
|
آگاهی از امنیت اطلاعات |
آگاهی عمومی از امنیت اطلاعات |
بلگورسو و همکاران (2010) |
91/0 |
78/0 |
92/0 |
آگاهی از قوانین امنیت اطلاعات |
بلگورسو و همکاران (2010) |
83/0 |
75/0 |
90/0 |
|
آگاهی از شدت مجازات نقض امنیت اطلاعات |
ایفندو (2014) |
75/0 |
87/0 |
86/0 |
|
قصد نقض امنیت اطلاعات |
پرینسلی و همکاران (2016) |
74/0 |
85/0 |
85/0 |
|
هنجارهای فردی |
لی و همکاران (2010) |
81/0 |
73/0 |
89/0 |
|
خودکنترلی |
دارسی و همکاران (2009) |
81/0 |
74/0 |
87/0 |
چنانکه در جدول 1 نشان داده شده است، پرسشنامۀ استفادهشده برای سنجش متغیرها از مقالات چاپشده در مجلات معتبر بینالمللی اقتباس و بومیسازی و در طیف لیکرت طراحی شده است. روایی صوری و محتوایی پرسشنامه با توجه به نظرهای تعدادی از افراد جامعۀ آماری و استادان و صاحبنظران سنجیده شد. روایی سازه با استفاده از تحلیل عاملی تأییدی و پایایی پرسشنامه با استفاده از آلفای کرونباخ سنجیده شد. برای بررسی روایی سازه از سه شاخص پایایی مرکب، متوسط واریانس استخراجشده و بار عاملی استفاده شد. مقادیر پایایی مرکب همۀ متغیرها از 7/0 و متوسط واریانس استخراجشده از 5/0 بیشتر شده است. بهعلاوه، بار عاملی تمام گویهها از 5/0 بیشتر شده است. همچنین چنانکه در جدول 2 ذکر شده است، قاعدۀ فورنل-لارکر رعایت شده است؛ درنتیجه، روایی واگرا و همگرا تأیید شده است که این امر بیانکنندۀ روایی پذیرفتنی سازه در این مطالعه است. همچنین چنانکه در جدول 1 ذکر شده است، آلفای کرونباخ برای هر یک از متغیرها بیش از 7/0 است که بیانکنندۀ پایایی ابزار استفادهشده است. این مطالعه برای تحلیل دادهها از روش تحلیل توصیفی با نرمافزار SPSS و روش حداقل مربعات جزئی با نرمافزار SmartPLS استفاده کرده است.
جدول 2- قاعدۀ فورنل - لارکر
|
آگاهی عمومی |
آگاهی از قوانین |
آگاهی از شدت مجازات |
قصد نقض امنیت اطلاعات |
هنجارهای فردی |
خودکنترلی |
|
آگاهی عمومیاز امنیت اطلاعات |
88/0 |
|
|
|
|
|
|
آگاهی از قوانین امنیت اطلاعات |
55/0 |
86/0 |
|
|
|
|
|
آگاهی از شدت مجازات نقض امنیت اطلاعات |
59/0 |
69/0 |
93/0 |
|
|
|
|
قصد نقض امنیت اطلاعات |
60/0 |
53/0 |
64/0 |
92/0 |
|
|
|
هنجارهای فردی |
54/0 |
58/0 |
64/0 |
56/0 |
85/0 |
|
|
خودکنترلی |
68/0 |
63/0 |
60/0 |
49/0 |
49/0 |
86/0 |
|
یافتهها
یافتههای جمعیتشناختی
جدول 3- توصیف آماری ویژگیهای جمعیتشناختی جامعه
متغیرها |
فراوانی |
درصد |
|
جنسیت |
مذکر |
128 |
65/0 |
مؤنث |
69 |
35/0 |
|
سن |
کمتر از 30 سال |
47 |
9/23 |
39-31 سال |
100 |
8/50 |
|
49-40 سال |
40 |
3/20 |
|
بیش از 50 سال |
10 |
1/5 |
|
تحصیلات |
دیپلم |
16 |
1/8 |
کاردانی |
45 |
8/22 |
|
کارشناسی |
123 |
4/62 |
|
کارشناسیارشد و بیشتر |
13 |
6/6 |
|
وضعیت تأهل |
مجرد |
42 |
3/21 |
متأهل |
155 |
7/78 |
|
سمت |
رییس |
7 |
6/3 |
معاون شعبه |
22 |
2/11 |
|
کارمند |
168 |
3/85 |
نتایج حاصل از آمار توصیفی در جدول 3 نشان میدهند از مجموع 197 نفر، بیشترین تعداد پاسخدهندگان کارکنان مرد و کمترین تعداد پاسخدهندگان زن بودند. افراد دارای سن 31 تا 39 سال بیشترین نفرات از جامعۀ آماری پژوهش و افراد با سن 50 سال کمترین نفرات از جامعۀ آماری پژوهش را تشکیل دادند. کارکنان دارای سمت کارمند بیشترین تعداد و کارکنان دارای سمت رییس شعبه کمترین تعداد پاسخدهندگاناند. افراد دارای تحصیلات کارشناسی بیشترین تعداد از جامعۀ آماری را تشکیل دادهاند و افرادی کمترین نمونه را تشکیل دادهاند که تحصیلات کارشناسیارشد و بالاتر دارند. افراد متأهل بیشترین تعداد و افراد مجرد کمترین تعداد از جامعۀ آماری را تشکیل دادهاند. میانگین آگاهی، خودکنترلی، هنجار فردی و قصد نقض امنیت اطلاعات در مقیاس 5، 95/2، 18/3، 36/3، و 72/2 بود.
نتایج فرضیهها
نتایج فرضیههای اصلی
فرضیۀ اصلی اول: آگاهی از امنیت اطلاعات با نقش میانجی هنجارهای فردی با قصد نقض امنیت اطلاعات رابطه دارد.
آزمون سوبل برای انجام استنباط دربارۀ ضریب اثر غیرمستقیم استفاده میشود. با داشتن برآوردی از خطای استاندارد مسیرها میتوان p-value را محاسبه کرد.
در این رابطه:
a ضریب مسیر میان متغیر مستقل و میانجی (امنیت اطلاعات بر هنجارهای فردی) (67/0)؛
b ضریب مسیر میان متغیر میانجی و وابسته (هنجارهای فردی بر قصد نقض امنیت اطلاعات) (54/0-)؛
Sa خطای استاندارد مسیر متغیر مستقل و میانجی (06/0)؛
Sb خطای استاندارد مسیر متغیر میانجی و وابسته (01/0).
طبق فرمول ذکرشده مقدار آزمون 9/10- است و از آنجا که از 96/1- بیشتر است، اثر غیرمستقیم معنیدار دارد.
برای تعیین اثر غیرمستقیم از آمارۀVAF استفاده میشود که مقداری بین 0 تا 1 است و هرچه به عدد یک نزدیکتر باشد، نشاندهندۀ اثر قوی متغیر میانجی است.
در این فرمولC ضریب مسیر میان متغیر مستقل و وابسته است.
VAF = 40
یعنی 40 درصد رابطۀ امنیت با نقض اطلاعات ازطریق اثر غیرمستقیم هنجار فردی صورت میگیرد.
فرضیۀ اصلی دوم: آگاهی از امنیت اطلاعات با نقش میانجی خودکنترلی بر قصد نقض امنیت اطلاعات تأثیر دارد.
در این رابطه:
a ضریب مسیر میان متغیر مستقل و میانجی (امنیت اطلاعات بر خودکنترلی) (71/0)؛
b ضریب مسیر میان متغیر میانجی و وابسته (خودکنترلی بر قصد نقض امنیت) (48/0-)؛
Sa خطای استاندارد مسیر متغیر مستقل و میانجی (03/0)؛
Sb خطای استاندارد مسیر متغیر میانجی و وابسته (05/0).
Z-value = -8/8
طبق فرمول ذکرشده مقدار آزمون 8/8– است و از آنجا که از 96/1- بیشتر است، اثر غیرمستقیم معنیدار دارد.
برای تعیین اثر غیرمستقیم از آمارۀVAF استفاده شد.
در این فرمولC ضریب مسیر میان متغیر مستقل و وابسته است (آگاهی از امنیت اطلاعات بر نقض اطلاعات)
53/0=c
VAF=38
یعنی 38 درصد رابطۀ آگاهی از امنیت اطلاعات با نقض اطلاعات ازطریق اثر غیرمستقیم خودکنترلی صورت میگیرد.
نتایج فرضیههای فرعی
چنانکه در جدول 4 نشان داده شده است، نتایج تحلیل معادلۀ ساختاری نشان میدهند ضریب معناداری مسیر میان تمام متغیرها از 96/1 بیشتر است که معناداری مسیر و تأیید تمام فرضیهها را نشان میدهد. با توجه به مقدار ضریب استانداردشده میتوان گفت یک واحد تغییر متغیر آگاهی از امنیت اطلاعات 67/0 واحد تغییر در متغیر هنجارهای فردی، 71/0 واحد تغییر در خودکنترلی و 53/0- واحد تغییر در قصد نقض امنیت اطلاعات بین کارمندان بانک ایجاد میکند. نتایج تحلیل معادلۀ ساختاری نشان میدهند یک واحد تغییر در هنجارهای فردی و خودکنترلی به ترتیب 54/0- و 48/0- واحد تغییر در قصد نقض امنیت اطلاعات بین کارمندان بانک ایجاد میکند.
جدول 4- نتایج فرضیههای فرعی پژوهش
فرضیۀ پژوهش |
آمارۀ t |
ضریب استانداردشده |
مقدار p |
نتیجۀ فرضیه |
آگاهی از امنیت اطلاعات و هنجارهای فردی |
2/11 |
67/0
|
0/01 |
تأیید فرضیه |
آگاهی از امنیت اطلاعات و خودکنترلی |
13 |
72/0
|
0/01 |
تأیید فرضیه |
آگاهی از امنیت اطلاعات و قصد نقض امنیت اطلاعات |
3/5 |
53/0- |
0/01 |
تأیید فرضیه |
هنجارهای فردی و قصد نقض امنیت اطلاعات |
3/2 |
54/0-
|
0/05 |
تأیید فرضیه |
خودکنترلی و قصد نقض امنیت اطلاعات |
2/3 |
48/0- |
0/01 |
تأیید فرضیه |
شکل 2- ضرایب مسیر و بارهای عاملی
نتیجه
امروزه نقش پراهمیت اطلاعات در جوامع و حساسیت فرایندهای جمعآوری، ثبت و انتشار اطلاعات، دگرگونی بنیادینی را در ساختار مناسبات و ارتباطات جوامع ایجاد کرده است و همین امر، موجب ایجاد مخاطرات، تهدیدها و نگرانیهای جدید مبتنی بر اطلاعات شده است که مقولۀ رفتارهای پرخطر دربارۀ اطلاعات از آن جمله است. این رفتارهای ضداجتماعی مهمترین چالشهای بهداشتی و روانی - اجتماعی است؛ درنتیجه، بهدلیل نقش حفاظت از امنیت اطلاعات حساس افراد در سلامت و بهداشت روانی جامعه، شناسایی عواملی که در نقض امنیت اطلاعات نقش دارند و موجب به خطر افتادن سلامت روانی جامعه میشوند، اهمیت بسزایی دارد. یکی از مهمترین عناصر در مدیریت امنیت اطلاعات، کارمندان سازمانها هستند. هدف پژوهش حاضر، تعیین رابطۀ آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی در شعب بانک کشاورزی شهر اصفهان است.
در فرضیۀ اصلی اول و دوم ادعا شد که آگاهی از امنیت اطلاعات با نقش میانجی هنجارهای فردی و خودکنترلی با قصد نقض امنیت اطلاعات رابطه دارد. نتایج تحلیل معادلۀ ساختاری جدول 4 نشان میدهند رابطۀ مستقیم بین آگاهی از امنیت اطلاعات و قصد نقض امنیت اطلاعات 53/0- است و رابطۀ غیرمستقیم ازطریق هنجارهای فردی 40 درصد و ازطریق خودکنترلی 38 درصد است. این به آن معناست که آگاهی از امنیت اطلاعات با نقش میانجی هنجارهای فردی تا 40 درصد و با نقش میانجی خودکنترلی تا 38 درصد با قصد نقض امنیت اطلاعات رابطه دارد و هر دو فرضیۀ اصلی تأیید میشوند. در تبیین این یافتهها میتوان گفت آگاهی افراد از امنیت اطلاعات (شامل آگاهی از مسائل دربارۀ امنیت اطلاعات و عواقب نقض امنیت اطلاعات) موجب میشود آنها از نقض امنیت اطلاعات اجتناب کنند. همچنین بهبود هنجارهای فردی را در پی خواهد داشت که این موضوع نیز سبب کاهش قصد نقض امنیت اطلاعات میشود. ازطرف دیگر، میتوان گفت افرادی که آگاهی کافی از امنیت اطلاعات و عواقب نقض آن دارند، بهدلیل آگاهی از عواقب آن بهاحتمال زیاد از نقض امنیت اطلاعات اجتناب میکنند. همچنین این آگاهی موجب افزایش خودکنترلی آنان خواهد شد که این امر بهصورت غیرمستقیم سبب کاهش قصد نقض امنیت اطلاعات میشود. نتایج حاصلشده از پژوهش حاضر با نتایج مطالعات متعددی همسوست که در ادامه به آنها اشاره شده است:
در فرضیۀ فرعی اول ادعا شد که آگاهی از امنیت اطلاعات با هنجارهای فردی رابطۀ معناداری دارد. نتایج تحلیل معادلۀ ساختاری نشاندهندۀ معنیدار بودن این رابطه در سطح اطمینان 99 درصد است که سبب تأیید این فرضیه میشود. نتایج حاصلشده از پژوهش حاضر مبنی بر رابطۀ مثبت و معنادار آگاهی از امنیت اطلاعات با هنجارهای فردی، با نتایج پژوهش ایفندو (2014) و سونگ و همکاران[10] (2016) همسوست. در تبیین این فرض میتوان گفت افرادی که سطح بالایی از آگاهی امنیت اطلاعات دارند، ممکن است هنجارهای فردی سطح بالا هم داشته باشند. افراد ارزشها و دیدگاههای خود را دربارۀ محرمانه نگهداشتن اطلاعات دیگران ازطریق گذراندن برنامههای تنظیمشده شکل میدهند؛ بنابراین، افرادی که از آموزش امنیت اطلاعات برخوردار بودهاند، هنجارهای شخصی بالاتری در این زمینه دارند و خود را با سیاستهای امنیت اطلاعات بیشتر تطبیق میدهند و نگرش آنها با سیاستهای امنیتی سازگاری بیشتری دارد.
در فرضیۀ فرعی دوم ادعا شد که آگاهی از امنیت اطلاعات با خودکنترلی رابطۀ معناداری دارد. نتایج تحلیل معادلۀ ساختاری نشاندهندۀ معنیدار بودن اثر در سطح اطمینان 99 درصد است که سبب تأیید این فرضیه میشود. نتایج حاصل، با نتایج پژوهش پارک و همکاران (2017) و اودونگو و رابین (2001) همسوست. در تبیین این فرض میتوان گفت آموزش آگاهیهای امنیتی بهمنزلۀ روشی برای توسعۀ رفتار افراد در پیروی از سیاستهای امنیتی کمک میکند که این مهم رابطۀ زیادی با خودکنترلی افراد خواهد داشت. برنامههای آموزشی امنیت اطلاعات میتوانند سبب بالارفتن درک افراد از نوع و شدت مجازات مربوط به نقض امنیت اطلاعات بشوند. افرادی که ازطریق آموزش به درک و تجربۀ بالایی در زمینۀ آگاهی از امنیت اطلاعات برسند، سعی در کنترل رفتار خود در رویارویی با شرایط و موقعیتهای پرخطر خواهند داشت.
در فرضیۀ فرعی سوم ادعا شد که آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات رابطۀ معناداری دارد. نتایج تحلیل معادلۀ ساختاری نشان میدهند این فرضیه در سطح اطمینان 99 درصد معنادار و نوع رابطه معکوس است. نتایج حاصلشده از پژوهش حاضر مبنی بر رابطۀ مثبت و معنادار آگاهی از امنیت اطلاعات با قصد نقض امنیت اطلاعات با نتایج پژوهش ون سولمز[11] (2014)، بلگورسو و همکاران (2010) و دارسی و همکاران (2009) همراستاست. در تبیین این فرضیه میتوان گفت برنامههای آگاهی از امنیت اطلاعات میتوانند رفتارهای انحرافی مرتبط با امنیت اطلاعات را ازطریق آموزش افراد دربارۀ اهمیت امنیت اطلاعات عمومی، مجازات رفتارهای انحرافی و برخوردهای متقابل کاهش دهند. برنامههای آموزشی امنیت اطلاعات میتوانند سبب بالارفتن درک افراد از نوع و شدت مجازاتها شوند. افرادی که ازطریق آموزش به درک و تجربۀ بالایی دربارۀ آگاهیهای امنیت اطلاعات برسند، تمایل کمتری به رفتارهای انحرافی و پرخطر بهویژه افشای اطلاعات حساس دارند. براساس نتایج پژوهش پیشنهاد میشود دورههای آموزشی بهصورت غیرحضوری و از راه دور در زمینۀ سیاستهای امنیت اطلاعات و عواقب نقض آنها برگزار شود.
براساس یافتههای فرضیههای اول، دوم و سوم پیشنهاد میشود ایجاد تشکیلات موردنیاز برای ایجاد و تداوم امنیت فضای تبادل اطلاعات، اجرای طرحها و برنامههای امنیتی و آگاهیدادن به افراد ازطریق دورههای آموزشی نسبت به تهدیدات بالقوه دربارۀ امنیت اطلاعات، در جریان قراردادن افراد دربارۀ خطرات مربوط به نقض امنیت اطلاعات، ارائۀ دورههای آموزشی دربارۀ رعایت دستورالعملها و مسئولیتپذیر بودن در قبال اجرای خطمشیها، حفاظت از امنیت اطلاعات و تشویق و پاداش به افرادی که دربارۀ حفاظت از اطلاعات حساس تلاش میکنند، در دستور کار قرار گیرد.
در فرضیۀ فرعی چهارم ادعا شد هنجارهای فردی با قصد نقض امنیتاطلاعات رابطۀ معناداری دارن. نتایج نشاندهندۀ معنیدار بودن رابطه در سطح اطمینان 95% بود که سبب تأیید این فرضیه میشود و نوع رابطه معکوس است. نتایج بهدستآمده با نتایج پژوهش کریمی و پیکری (1397)، بلگورسو و همکاران (2010) و لی و همکاران (2010) همسوست. در تبیین این نتیجه میتوان گفت هنجارهای شخصی اثر بازدارندگی قوی بر رفتارهای انحرافی افراد دارند؛ به آن دلیل که افراد ملاحظات اخلاقی و هنجارهای شخصی خود را در رفتارهای خود دخیل میکنند؛ بنابراین، باورهای فردی افرادی که هنجارهای شخصی بالایی دارند، بر این است که افشای اطلاعات دیگران ازلحاظ اخلاقی نادرست است و تمایل کمتری به افشای اطلاعاتی خواهند داشت. براساس نتایج پژوهش پیشنهاد میشود فرهنگسازی ازطریق آموزش با موضوع پیروی از دستورالعملها دربارۀ امنیت اطلاعات دیگران و همچنین برخورد با افرادی که دستورالعملهای سازمان دربارۀ اطلاعات حساب شخصی مشتریان را افشا میکنند، در دستور کار قرار گیرد.
در فرضیۀ فرعی پنجم ادعا شد که خودکنترلی با قصد نقض امنیت اطلاعات رابطۀ معناداری دارد. نتایج تحلیل نشان میدهند این رابطه در سطح اطمینان 99 درصد معنیدار و نوع رابطه معکوس است. نتایج حاصلشده با نتایج پژوهشهای اسکینر و فریم[12] (1997)، مککومبز[13] (2008)، بلگورسو و همکاران (2010) و لی و همکاران (2010) همسوست. در تبیین این فرض میتوان گفت خودکنترلی در افراد سبب رفتار آگاهانه و کنترلشده میشود. ارائۀ اینگونه رفتارها از فرد نشاندهندۀ آگاهی او از شرایط و نتایج هر عمل است که دربارۀ رفتارهای انحرافی و پرخطر، آگاهی از نوع و شدت مجازات میتواند سبب جلوگیری از انجام آنها شود. باید در نظر داشت نداشتن خودکنترلی افراد جامعه میتواند نقش مهمی در نقض امنیت اطلاعات ایفا و سلامت روانی دیگران را تهدید کند که جبران آن گاهی ماهها و سالها طول میکشد. براساس نتایج پژوهش پیشنهاد میشود سیاستهای شدت و حتمیت برخورد با افراد ناقض سیاستهای امنیت اطلاعات اجرایی و آشکارا پیگیری شوند.
مانند دیگر مطالعات پژوهشی، این مطالعه نیز محدودیتهای زیر را دارد: 1- یافتههای پژوهش تنها به مدت زمان جمعآوری دادهها و اعتبار آنها به دورۀ زمانی کوتاهمدت محدود است و ممکن است،گذشت زمان بر متغیرهای مطالعهشده دراین پژوهش تأثیر بگذارد و سبب تغییر نتایج شود. 2- یافتهها در زمینۀ سازمان مطالعهشده استنادپذیر است و تعمیمپذیر به کل جامعه نیست. در این راستا پیشنهاد میشود الگوی ارائهشده در جوامع آماری دیگر نیز مطالعه شود. همچنین پیشنهاد میشود نقش تعدیلگر عوامل بازدارندگی و فرهنگ کارمندان در قصد رعایت یا نقض امنیت اطلاعات مطالعه شود. پیشنهاد میشود پژوهشگران با استفاده از نظریههای دیگر مانند نظریۀ یادگیری اجتماعی و نظریههای عمومیجرمشناسی، سعی در بسط الگو داشته باشند.