Az információbiztonsági tudatosság érettségi szintjének mérése szervezetekben

Az információbiztonsági tudatosság minősége, érettsége egy szervezetben létfontosságú, hiszen ez határozza meg azt, hogy a szervezet mennyire hatékonyan tudja védeni információs vagyonát. Az értekezés áttekinti az információbiztonsági tudatosság fogalmát a szakirodalom tükrében és ajánl egy olyan fogalmi meghatározást, mely alapul szolgálhat egy mérési modell kidolgozáshoz. Az értekezésben megvizsgálom azt a mérési problémát, mellyel akkor szembesülünk, amikor ennek a tudatosságnak a minőségét (érettségét) szeretnénk szervezeti szinten mérni. A szervezeti szintű mérést leginkább az érettségi modellek támogatják, ezért átfogóan bemutatom ezek világát, és végül felvázolok egy az információbiztonsági tudatosság mérésére alkalmas érettségi modellt, mely szervezeti szinten képes jellemezni az adott szervezet információbiztonsági tudatosságának érettségét. A létrehozott modell használhatóságát tesztelendő, elvégeztem egy három pilléren nyugvó primer kutatást: Klasszikus kérdőíves megkérdezéssel vizsgáltam magyarországi szervezetek információbiztonsági tudatosságának érettségi szintjét úgy, hogy közben két nemzetközi szakirodalomban fellehető modell (Dzazali-Zolait, illetve Spitzner) által szolgáltatott eredményekkel is összevetettem az általam kapott eredményeket, Strukturált interjúkat folytattam információbiztonsági szak-auditorokkal és információbiztonsági vezetőkkel, Helyszíni auditokon értékeltem szervezetek információbiztonsági gyakorlatát, tudatosságát és érettségi szintjét. A tapasztalatok összegzése nyomán javaslatokat fogalmaztam meg az érettségi modell alkalmazására és létrehoztam egy olyan kontroll készletet és audit-bizonyíték listát, melyek használatával fejleszthető egy szervezet információbiztonsági tudatosságának érettségi szintje, illetve könnyebben értékelhetővé válik egy szervezet ezirányú tevékenysége, erőfeszítései