Bridging the knowing-doing gap: the role of attitude in information security awareness

Nykyaikaisten tietokoneiden ja työntekijöiden välisen konvergenssin yltyessä modernit tietojärjestelmät voidaan nähdä ennemmin sosioteknisinä kuin pelkästään teknisinä. Tämä kehitys ei ole jäänyt huomiotta hyökkääjiltä, jotka ovat alkaneet käyttää hyväkseen tietoturvallisuuden inhimillistä aspektia, sen vertauskuvallista ”heikointa lenkkiä”, kovennettujen teknisten järjestelmien sijaan, aiheuttaen samalla huomattavaa vahinkoa organisaatioille huolimatta mittavista investoinneista kyberturvallisuuteen. Näin ollen monet tämän päivän tietoturvapoikkeamista ovat joko puutteellisen tietoturvatietoisuuden omaavien tai vastoin parempaa tietoaan toimivien työntekijöiden suoraan aiheuttamia taikka välillisesti fasilitoimia. Tämä on synnyttänyt ajatuksen tietämisen ja tekemisen välisestä kuilusta (engl. knowing-doing gap). Tämä tutkimus tarkasteli tuota kuilua tiedon ja käyttäytymisen välillä, miksi työntekijät tieten tahtoen jättävät tietoturvaohjeita noudattamatta sekä asenteen roolia tuon kuilun ylittämisessä. Tutkimus toteutettiin verkkovälitteisenä kyselytutkimuksena käyttäen The Human Aspects of Information Security Questionnaire -kyselykaavaketta (HAIS-Q). Kyselyyn vastasi 287 henkilöä. Data analysoitiin käyttäen lineaariregressiota, mediaatioanalyysiä ja varianssianalyysiä. Tutkimuksen päätulokset indikoivat, että asenne on merkittävämpi tekijä käyttäytymisen kannalta kuin tieto. Mediaatioanalyysissä tulokset viittasivat siihen, että valtaosa tiedon vaikutuksesta käyttäytymiseen välittyy asenteen kautta. Siitä huolimatta, että tieto korreloi käyttäytymiseen, kuilua tiedon ja tekemisen välillä ei havaittu. Tästä huolimatta tulokset tarjoavat tietoturva¬-ammattilaisille yllykkeen keskittyä koulutuksessa ennemmin asenteiden vaalimiseen kuin tiedon karttuttamiseen. Tämän lisäksi tutkimusraportissa tarjotaan tieteellisesti perusteltuja selityksiä sille, miksi työntekijät poikkeavat ohjeista sekä suosituksia tietoturvatietoisuuden parantamiseksi, mitkä voivat niin ikään hyödyttää tietoturva-alan ammattilaisia heidän työssään.As the contemporary workers and computers converge, modern information systems tend to become sociotechnical rather than solely technical. This development has caught the eye of attackers who are now exploiting the human aspect, the proverbial “weakest link”, instead of the hardened technical aspects of information systems, causing organizations substantial loss despite investments in cyber security. Thus, many incidents today are either directly caused or indirectly facilitated by insiders who are either lacking in information security awareness or acting contrary to their knowledge. This has provoked the term the knowing-doing gap. This study examined that gap between knowledge and behaviour, why employees wilfully omit, and the role of attitude in bridging that gap. The study was conducted as a web-administered survey using the Human Aspects of Information Security Questionnaire (HAIS-Q), to which 287 participants responded. The data was analysed using linear regression, Baron-Kenny mediation, and comparison of means. The primary results indicated that attitude is a stronger determinant for behaviour than knowledge. In the mediation analysis, results suggested that most of the influence between knowledge and behaviour is mediated through attitude. However, although knowledge was weakly correlated with behaviour, the gap effect was inverse and did thus not support the existence of a knowing-doing gap. Nevertheless, the results provide an incentive for information security professionals to focus on fostering attitudes rather than only building knowledge. Furthermore, reasons to why employees omit secure behaviour and scientifically supported recommendations for improving information security awareness are presented, which may benefit professionals in their work