浅述信息安全的人为影响因素

2020-08-21 17:21王一楠
电脑知识与技术 2020年21期
关键词:组织文化安全文化

王一楠

摘要:近年来信息安全问题事件越来越多,人们往往把问题解决的关注点仅放在技术层面上,人为因素常被忽视。实际上,人类行为意识及其相关因素对信息安全也起到至关重要的作用,因为人为制造风险和预防安全漏洞方面都扮演着重要角色。该文试图从信息安全意识、组织文化、安全文化等方面阐述与信息安全相关的人为影响因素,以引起研究者和行业从业者的重视与思考。

关键词:信息安全意识;组织文化;安全文化

中图分类号:TP309 文献标识码:A

文章编号:1009-3044(2020)21-0058-02

开放科学(资源服务)标识码(OSID):

近年来随着越来越多的组织机构成为网络安全攻击者的捕获目标,信息安全事件的数量正与日俱增。网络风险成为组织领导者或管理者最普遍关心的问题。一般来说,提到信息安全,我们通常只关注于技术层面的解决方案和降低风险的措施。然而,现在人们越来越认识到只依靠技术解决方案并不能充分緩解安全漏洞的发生概率,反而有时人们对技术的过度依赖导致了信息安全风险的产生,而风险又往往引发信息安全事件,因此人的作用至关重要,人是信息安全中的薄弱环节。

为了解决信息安全问题,认识并改变人们的安全意识、安全行为变得越来越重要,我们必须了解信息安全意识等人为原因。而人类行为、意识在很大程度上是由文化决定的,它时时影响人们在社会环境和工作中的相互作用。因此,当试图分析、塑造、改变人们的信息安全意识时,考虑其所在的群体、社会环境和组织体系的组织文化、安全文化尤为重要,只有这样才能充分达到提高信息安全的目的。

1 信息安全意识

信息安全意识是指组织成员对组织信息安全政策、规章和指导方针重要性的理解程度以及对其中相关规定的遵守、执行状态。了解信息安全意识及其影响因素对于降低信息安全风险是非常重要的。知识一态度一行为(KAB)模型认为,员工对安全行为的认知程度越高,其维护安全状态的态度越端正,从而自发改善其信息安全行为[1]。

目前,基于人类方向的信息安全研究主要探索与信息安全行为相关或可能对信息安全产生影响的特定人类特征上。有研究表明,信息安全意识在一定程度上可以通过年龄、性别、心理弹性、工作压力、教育程度和一些个性特征来预测。例如,研究发现信息安全意识与年龄呈正相关,年龄越大,信息安全意识越强。此外,女性、性格较随和、责任心较强、表现出较强适应力和较低工作压力、受教育程度更高的人以及不善于冒险的人在信息安全意识上的得分更高,也就是信息安全意识更强翻。

2 组织文化

对于组织文化的概念界定,不同的学者采用不同的提法,最被广泛接受的定义是Schein的组织文化理论。Schein认为文化由以下三个相互作用的层次组成。一是人工产物层次,它是组织文化中最表面、最浅显的层次,主要指在组织中可观察到的行为和感受到的现象,包括组织结构和组织过程等;二是价值观层次,主要反映在组织的战略、目标、质量意识、指导哲学等当中。当组织价值观得到绝大多数成员认同时,它们就会变成信念、规则,并最终进入无意识状态;三是基本假定层次,包含潜意识的、默认的一些信仰、思想、知觉、感觉等,这是该组织文化模型中最核心的因素,是组织行为模式的终极根源[3]。

Schein的组织文化模型是理解组织文化的关键,许多理论都是建立在此模型的基础上,比如有人将文化分为参与、一致性、适应性、任务四个方面,每个方面有三个嵌套的子尺度,这四个主要方面及其子尺度相互作用,以测定组织是面向内部还是外部、偏向稳定性还是灵活性。对组织文化的研究和测量是具有重要意义的,因为它对个体和群体行为以及与其他组织行为(如工作满意度、工作绩效)的关系都具有一定影响。

3 安全文化

理解组织文化是认识和定义安全文化的基础,因为组织内的安全稳定状态是在其组织文化的影响下一步一步确立巩固的。当个人理解、内化并遵守信息安全标准和学习典范时,信息就得到了最好的保护。当前关于安全文化的研究主要是理论性的,以组织文化文献为基础,借鉴了心理学、经济学、行为科学和管理学等多个学科,研究主要集中在概念模型和框架上[4],其中最为广泛接受的分别是van Niekerk等人和Da Veiga等人在Schein组织文化理论基础上进行的改动。前者增加了知识层的概念,以更好地反映安全文化,后者把关注点放在信息安全、行为和文化之间的相互作用上,贯穿个人、群体和组织层面。

虽然还有很多观点,但是学者们一致认为安全文化就是人们用来与组织系统进行互动、执行安全相关的程序、日常任务和活动时所持的各种态度、信念、学识和价值观,它是通过内部和外部环境的共同作用形成的。内部环境包括领导和组织结构等因素,外部环境包括从经济气候到行业技术强度等诸多因素。安全文化的强大力量在于当组织成员意识到安全风险时,他们会担负起责任并执行预防措施来提高信息系统和网络的安全性。安全文化的主要目标就是通过创建一个鼓励和支持员工维护安全的工作环境来保护信息资产。

4 信息安全意识和组织文化、安全文化的关系

虽然少有研究专门探讨信息安全意识、组织文化、安全文化之间的关系,但是有些组织文化组成成分确实与安全文化和信息安全意识相关。有研究发现领导力支持对信息安全管理和创建强有力的安全文化具有较大影响,这些研究强调了领导者通过战略管理和规划、沟通和透明的决策过程鼓励积极安全行为产生的重要性。还有研究者提出组织的安全使命与积极向上的安全文化导向密切相关。例如,强调安全文化需求的使命任务更有可能激发出反映积极安全文化的行为;让组织成员参与安全管理决策使其产生自我归属感,可以达到改善安全行为和强大组织文化的目的;以人为本的组织更有可能对成员的信息安全意识产生积极导向,而仅仅关注任务的组织会在功利行为和信息安全行为之间产生矛盾利益冲突[5]。

另外,有探索性定量研究发现信息安全意识与安全文化之间存在正相关关系,如果一个组织具有良好的安全文化氛围,那么其成员更有可能具备遵守信息安全政策和执行安全规程所要求的知识、态度和行为,以维持组织良好的信息安全状态。

5 结语

当我们需要解决信息安全问题或提高安全维护能力时,除了技术层面的改进以外,信息安全意识、组织文化、安全文化及其关系等相关主观影响因素也是需要重点考虑的方面,这对于降低信息安全風险是非常必要的。本文通过综述此类理论研究为指导后续研究提供一定参考,以期相关行业实践者能够有效利用理论建议,提高信息安全处置能力,预防安全事件发生。

参考文献:

[1] Parsons K,Calic D,Pattinson M,et al.The human aspects ofinformation security questionnaire (HAIS-Q): two further vali-dation studies [J]. Computers and Security, 2017,66:40-51.

[2] McCormac A,Calic D,Parsons K,et al.The effect of resil-ience and job stress on information security awareness[Jl.lnfor-mation and Computer Security,2018,26(3):277-289.

[3] Schein E,Schein P.Organizational Culture and Leadership[Ml. 5th Edition. New Jersey: John Wiley and Sons, 2016:1-384.

[4] Nasir A,Arshah RA,Hamid M R,et al-An analysis on the di-mensions of information security culture concept:a review[J].Journal of Information Security and Applications, 2019, 44:12-22.

[5] ConnoU L,Lang M,Gathegi J,et al.Organisational culture, pro-cedural countermeasures, and employee security behaviour:aqualitative study[J]. Information and Computer Security, 2017,25(2):118-136.

【通联编辑:代影】

猜你喜欢
组织文化安全文化
高校管理与高校文化之间的双向建构关系
浅议煤炭企业安全文化建设
财会人员职业倦怠影响因素及管理建议研究