بهبود الگوی رفتاری کارشناسان امنیت اطلاعات در مواجه با تهدیدات سایبری با رویکرد آینده پژوهی
محورهای موضوعی : دانش شناسیصدیقه محمد اسماعیل 1 , محمد باقر رایین آبرومند 2 , داریوش مطلبی 3
1 - دانشیار گروه علم اطلاعات و دانش شناسی، واحد علوم تحقیقات دانشگاه آزاد اسلامی، تهران
2 - دانشجو دکتری تخصصی علم اطلاعات و دانش شناسی، واحد علوم تحقیقات دانشگاه آزاد اسلامی، تهران، ایران
3 - دانشیار گروه علوم تربیتی، واحد یادگار امام خمینی (ره) شهرری، دانشگاه آزاد اسلامی، تهران، ایران
کلید واژه: الگوی رفتاری, امنیت اطلاعات, تهدیدات سایبری, آینده پژوهی, فراترکیب.,
چکیده مقاله :
هدف: بیشتر تحقیقاتی که در زمینه امنیت سیستمهای اطلاعاتی صورت گرفته، بر عوامل فنی پرداخته شده، ولی راهکارهای امنیت اطلاعات در مواجه با تهدیدات سایبری باید به گونهای جامع و آیندهنگرانه تبیین شود تا در مقابل تهدیدات نوظهور نیز کارایی لازم را داشته باشند. پژوهش کاربردی-توسعهای حاضر با رویکرد آینده پژوهی پس از بررسی شاخصها، به بهبود الگوی رفتاری و صحیح کارشناسان امنیت اطلاعات در مواجه با تهدیدات سایبری نوظهور میپردازد.
روش پژوهش : ابتدا در مرحله کیفی از روش فراترکیب، جهت استخراج شاخصها از منابع و سؤالهای پژوهش استفاده شد و در مرحله کمی با کمک خبرگان و روش دلفی دو مرحله ای، شاخصها اعتبارسنجی، پالایش و خوشه بندی شد، در مرحله پیمایشی پاسخ پرسشنامهها پس از تجزیه و تحلیل آماری و تحلیل عاملی تأییدی، مورد بررسی قرار گرفت و با کمک نرم افزار بار عاملی مرتبه دوم و سوم هر بعد، مؤلفهها و شاخصها، به دست آمد.
یافتهها : از112منبع،142 شاخص استخراج و با کمک خبرگان اعتبارسنجی و پالایش شد. در مرحله اول و دوم دلفی17 شاخص به دلیل پایین بودن CVR/CVI حذف و در نهایت 125 شاخص نهایی گردید و به کمک نرم افزار و خوشه بندی طبقهای، ابعاد و مؤلفه پژوهش تبیین شد. سپس در مرحله پیمایشی، پس از دریافت111 پاسخنامه از سوی کارشناسان امنیت اطلاعات و بررسی پایایی آنها، الگوی رفتاری مناسب پژوهش احصاء گردید.
نتیجهگیری: براساس وزن بعدها و مؤلفههای پژوهش، بعد«تهدیدات امنیتی» مؤلفه«خسارتهای غیرعمدی» بیشترین وزن و بعد «عوامل فنی» مؤلفه «برنامهریزی» و «پایش» کمترین وزن را داشتهاند.
Objective: Most of the research conducted in the field of information systems security has been focused on technical factors, but information security solutions in the face of cyber threats should be explained in a comprehensive and forward-looking manner so that they have the necessary efficiency against emerging threats. The current applied-developmental research, with a future research approach, after examining the indicators, deals with the improvement of the correct behavior pattern of information security experts in the face of emerging cyber threats.
Methodology: First, in the qualitative phase, meta-composite method was used to extract indicators from research sources and questions, and in the quantitative phase, with the help of experts and the two-stage Delphi method, the indicators were validated, refined and clustered. After statistical analysis and confirmatory factor analysis, it was examined and with the help of second and third order factorial software, the components and indices of each dimension were obtained.
Results: 142 indicators were extracted from 112 sources and validated and refined with the help of experts. In the first and second stage of Delphi, 17 indicators were removed due to the low CVR/CVI and finally 125 indicators were finalized and with the help of software and class clustering, the dimensions and components of the research were explained. Then, in the survey stage, after receiving 111 responses from information security experts and checking their reliability, the appropriate behavioral pattern for the research was calculated.
Conclusion: Based on the weight of the dimensions and components of the research, the "security threats" dimension of the "unintentional damages" component had the highest weight and the "technical factors" dimension of the "planning" and "monitoring" component had the lowest weight.
حسینی،¬ ص.، حبیبی، ح. و حسن پور، م. (1393). مدل استرس شغلی در محیط های آموزشی - دانشگاهی. پژوهش های نوین روانشناختی. فصلنامه پژوهش های نوین روانشناختی، 9 (33)، 21.
خطایی,¬ ن.، هدایتی,¬ ع.و آغازاریان, ¬و. (1401). بررسی روشهای مقابله با حملات جعل در ارتباطات شبکههای خودرویی. نشریهفناوری اطلاعات و ارتباطات انتظامی، 3(11)، 41
دی پیر,¬ م. (1401). ارائه معیاری برای محاسبه خطر امنیتی لینکها برای جلوگیری از کلاهبرداریهای اینترنتی. فصلنامه فناوری اطلاعات و ارتباطات انتظامی، 3(11)، 23
رجبی، ف. وحاجیه علیپور, ع. (1401). تاثیر اجرای خط¬مشیگذاری عمومی بر فرهنگ سازمانی. نشریه خط¬مشیگذاری عمومی در مدیریت ، 13(45)، 103-121
شعبانی،¬ م¬.، رفعتی¬اصل,¬ م. و سهرابی,¬ش. (1400). امکان سنجی استقرار مدیریت دانش در سازمان هوشمند فناور محور. نشریه فناوری اطلاعات و ارتباطات انتظامی، 2(4)، 67-84.
قربانی،¬ و. و ثقفی،¬ ک. (1398). ارائه مدل کلان امنیت اطلاعات فضای سایبر در جمهوری اسلامی ایران. فصل نامه امنیت ملی، 9 (33)، 315-353 .
کریمی, ز. و پیکری. ح.ر. (1398). مدیریت امنیت اطلاعات: تاثیر تعهد سازمانی و عواقب ادراکشده افشای اطلاعات محرمانه بر قصد نقض امنیت اطلاعات بیماران. اخلاق پزشکی, 44(13), 20-29.
منصوری،¬ع. و جعفری،¬ ع .(1394). نقش آموزشهای تخصصی IT در پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمان. دومین همایش ملی علوم مدیریت و برنامه ریزی، آموزش و استاندارد سازی ایران . دومین همایش ملی علوم مدیریت و برنامه ریزی، آموزش و استاندارد سازی ایران - 1394
نوروزی,¬ ح.،¬ سمیعی,¬ م.، و رشنوادی,¬ ی. (1399). شناسایی و تبیین راهبردهای ترفیع در رسانههای اجتماعی (مورد مطالعه: اینستاگرام). تحقیقات بازاریابی نوین. مجله تحقیقات بازاریابی نوین، 10(3).
حبیبی¬،¬ آ. و سرآبادانی، م. (۱۴۰۱). آموزش کاربردی SPSS . انتشارات نارون.
کمائی،¬ م. (1401). بررسی تغییر از جرائم خیابانی به جرائم سایبری در آغاز همه گیری کووید-١٩، رویکردی به نظریه فعالیت های روزانه. سومین کنفرانس ملی پدافند سایبری 1401 شماره 17
مصلح شیرازی،¬ ع.¬، محمدی¬،ع .، رعنایی، ح.، و هنرپروران، ح. (1396). طراحی مدل پویاشناسی سیستم برای سیاستگذاری ارتقای شاخص¬های شبکه فناوری اطلاعات و ارتباطات ایران. نشریه فناوری اطلاعات و ارتباطات ایران، (30-29) .
نوده فراهانی،¬ س.¬، جباری،¬ ح¬.، پناهیان،¬ ح¬. (1400). ارائه مدل مفهومی مؤلفه ها و شاخص های سرمایه انسانی مؤثر بر امنیت اطلاعات سازمانها . نشریه پژوهش های حفاظتی – امنیتی، 9(35).
Referencse
Ahmed, S., & Hassan, M. (2003). Survey and case investigations on application of quality management tools and techniques in SMIs. International Journal of Quality & Reliability Management, 20(7), 795-826.
AlHogail, A. (2015). Design and validation of information security culture framework. Computers in human behavior, 49, 567-575.
Ali, R. F., Dominic, P. D. D., Ali, S. E. A., Rehman, M., & Sohail, A. (2021). Information security behavior and information security policy compliance: A systematic literature review for identifying the transformation process from noncompliance to compliance. Applied Sciences, 11(8), 3383.
Alshaikh, M. (2020). Developing cybersecurity culture to influence employee behavior: A practice perspective. Computers & Security, 98, 102003.
Angelo, C., Mariangela, L., Marianna, L., Angela, L. (2022). Cybersecurity awareness in the context of the Industrial Internet of Things: A systematic literature review. Computers in Industry, 137.
Ansari, Meraj F. Sharma, P. K. & Dash, Bibhu (2022) .Prevention of Phishing Attacks Using AI-Based Cybersecurity Awareness Training. International Journal of Smart Sensor and Adhoc Network, 3(3).
Bengston, D. N. (2018). Principles for thinking about the future and foresight education. World Futures Review, 10(3), 193-202.
Bibhu, D., Meraj F. Ansari, (2022). An Effective Cybersecurity Awareness Training Model: First Defense of an Organizational Security Strategy. International Research Journal of Engineering and Technology e-ISSN: 2395-0056
Chen, X., & Tyran, C. K. (2023). A Framework for Analyzing and Improving ISP Compliance. Journal of Computer Information Systems, 1-16.
Colwill, C. (2009). Human factors in information security: The insider threat–Who can you trust these days? Information Security Technical Report, 14(4), 186-196.
Corallo, A., Lazoi, M., Lezzi, M., & Luperto, A. (2022). Cybersecurity awareness in the context of the Industrial Internet of Things: A systematic literature review. Computers in Industry, 137, 103614.
Dator, J., & Dator, J. (2019). Futures studies as applied knowledge. Jim Dator: A Noticer in Time: Selected work, 1967-2018, 7-16.
Day Pir, M. (1401). Providing a measure to calculate the security risk of links to prevent Internet fraud. Police Information and Communication Technology Quarterly, (11), 23 [In Persian].
Dunning, D. (2011). The Dunning–Kruger effect: On being ignorant of one's own ignorance. In Advances In Experimental Social Psychology, 44, 247-296
Deal, T. & Kennedy, A. (1999). The New Corporate Cultures: Revitalizing the workplace after Downsizing, Mergers, and Reengineering. Cambridge: Basic Books, a member of the Perseus Books Group
Ernest Chang, S. and Lin, C. (2007), Exploring organizational culture for information security management, Industrial Management & Data Systems, Vol. 107 No. 3, pp. 438-458. https://doi.org/10.1108/02635570710734316
Fornell, C., & Larcker, D. F. (1981). Evaluating structural equation models with unobservable variables and measurement error. Journal of marketing research, 18(1), 39-50.
Ghorbani, Gh. &Thaghafi, K. (2018), Presenting the macro model of cyber space information security in the Islamic Republic of Iran. National Security Quarterly, 9(33), 315-353 [In Persian].
Habibi, A. & Sarabadani, M. (1401). SPSS practical training. Naron Publications. [In Persian].
Hosseini, S., Habibi, H. and Hasanpour, M. (2013). Occupational stress model in educational-university environments. New psychological research. New Psychological Research Quarterly, 9(33), 21 [In Persian].
James A. O'Brien, & George M. Marakas, (2011). Management information systems. Print Book, McGraw-Hill/Irwin
Kamai, M. (1401). Investigating the change from street crimes to cyber crimes at the beginning of the Covid-19 pandemic, an approach to the theory of daily activities. Third National Cyber Defense Conference 1401 No. 17 [In Persian].
Karlsson, M., Karlsson, F., Åström, J. and Denk, T. (2022). The effect of perceived organizational culture on employees’ information security compliance, Information and Computer Security, 30(33), 382-401. https://doi.org/10.1108/ICS-06-2021-0073
Khotaei, N., Hedayati, A., and Achararian, V. (1401). Examining the methods of dealing with forgery attacks in car network communications. Police information and communication technology magazine, (11), 41 [In Persian].
Karimi, Z. and peykari, H. (2018). Information security management: the effect of organizational commitment and the perceived consequences of disclosure of confidential information on the intention to violate patients' information security. Medical ethics, 44(13), 20-29 [In Persian].
Lee, I. (2020) Internet of Things (IoT) Cybersecurity: Literature Review and IoT Cyber Risk Management.FutureInternet,12,157.https://www.mdpi.com/1999-5903/12/9/157 https://doi.org/10.3390/fi12090157
Li, L., He, W., Xu, L., Ash, I., Anwar, M., & Yuan, X. (2019). Investigating the impact of cybersecurity policy awareness on employees’ cybersecurity behavior. International Journal of Information Management, 45, 13–24. https://doi.org/10.1016/j.ijinfomgt.2018.10.017
Mansouri, A. & Jafari, A. (2014). The role of specialized IT training in the implementation of the information security management system in the organization. The second national conference of management sciences and planning, education and standardization of Iran. The second national conference of management sciences and planning, education and standardization of Iran – 2014. [In Persian].
M. Lezzi et al. (2018). Cybersecurity for Industry 0/4 in the current literature: a reference framework. Comput. Ind.
Mosleh Shirazi, A., Mohammadi, A., Ranaei, H., and Hanparvaran, H. (2016). Designing a system dynamics model for policy-making to improve the indicators of Iran's information and communication technology network. Iranian Information and Communication Technology Journal, (29-30). [In Persian].
Moti Zwilling et al. (2022).Cyber Security Awareness, Knowledge and Behavior: A Comparative Study. Journal of Computer Information Systems, 62(1).
Niekerk, J. v., & Solms, R. v. (2005). A holistic framework for the fostering of an information security sub-culture in organizations. Nelson Mandela Metropolitan University.
Nodeh Farahani, S., Jabari, H., Panahian, H. (Spring 1400). Presenting a conceptual model of the components and indicators of human capital effective on the information security of organizations. Journal Of Protection-Security Research, 9(35). [In Persian].
Nowrozi, H., Samii, M., and Rashnavidi, Y. (2019). Identifying and explaining promotion strategies in social media (case study: Instagram). Modern marketing research. Modern Marketing Research Journal, 10(3). [In Persian].
Parsons, K. M., Young, E., Butavicius, M. A., McCormac, A., Pattinson, M. R., & Jerram, C. (2015). The Influence of Organizational Information Security Culture on Information Security Decision Making. Journal of Cognitive Engineering and Decision Making, 9(2), 117–129. https://doi.org/10.1177/1555343415575152
Pivoto, D. G., de Almeida, L. F., da Rosa Righi, R., Rodrigues, J. J., Lugli, A. B., & Alberti, A. M. (2021). Cyber-physical systems architectures for industrial internet of things applications in Industry 0/4: A literature review. Journal Of Manufacturing Systems, 58, 176-192.
Rahimli, Ailar. (2012). Knowledge Management and Competitive Advantage. Information and Knowledge Management. 37-43.
Rajabi, F. &Hajieh Alipour, A. (1401). The effect of public policy implementation on organizational culture. Journal Of Public Policy In Management, 13(45), 103.[In Persian].
Shabani,M., Rifati ¬Assal, ¬M. and Sohrabi, Sh. (1400). The feasibility of establishing knowledge management in a technology-oriented intelligent organization. Police Information And Communication Technology Publication, 2(4), 67-84. [In Persian]
Solomon, G. and Brown, I. (2021), The influence of organisational culture and information security culture on employee compliance behaviour, Journal of Enterprise Information Management, 34 (4), 1203-1228. https://doi.org/10.1108/JEIM-08-2019-0217
Sugiono, E., Efendi, S., & Afrina, Y. (2021). The effect of training, competence and compensation on the peformance of new civil servants with organizational culture as intervening: Studies at the ministry of health of the republic of Indonesia. International Journal of Science and Society, 3(1), 262-279.
Stanton, J., Mastrangelo, P. R., Stam, K. R., & Jolton, J. (2004). Behavioral Information Security: Two End User Survey Studies of Motivation and Security Practices. Proceedings of the Tenth Americas Conference on Information Systems. New York.
Tejay, G. P., & Mohammed, Z. A. (2023). Cultivating security culture for information security success: A mixed-methods study based on anthropological perspective. Information & Management, 60(3), 103751.
Wu, J., & Yang, T. (2023). Knowledge Discovery from Online Reviews. In Knowledge Technology and Systems: Toward Establishing Knowledge Systems Science, 71-104. Springer Nature Singapore.
Xiaofen, M. (2022). IS professionals’ information security behaviors in Chinese IT organizations for information security protection. Information Processing & Management, 59(1)